基于主动防御蜜罐技术综述.pptVIP

基于主动防御的蜜罐技术综述 汇报人：董娅妮 一、蜜罐技术的概念及工作原理 1.1 蜜罐的定义 “蜜网项目组”的创始人Lance Spitzner给出了对蜜罐的权威定义. 它是一种安全资源，其价值在于被扫描、攻击和攻陷的系统。这个定义表 明了蜜罐并无其它的实际作用，因此所有流入，流出蜜罐网流量都可能 预示了扫描、攻击和攻陷。 1.2 蜜罐的工作原理 蜜罐通常是指一个受到严密监控和监听的网络诱骗系统。 那些攻击者往往会被这个真实或模拟的网络和服务所诱惑。安 全专家和防护人员就可以利用攻击者攻击蜜罐的这个期间对 其行为和过程进行分析，以搜集所需要的信息。蜜罐这时可以 对新攻击发出预警，同时它还可以延缓攻击诱骗攻击者使其转 移攻击目标，从而来保护网络和信息的安全。 蜜罐系统的核心价值就是在于这些攻击活动进行监视、检测和分析。只有具备了强大的监视能力，才能更好的捕获攻击者或黑客的行踪和信息。蜜罐技术的监视机制具备隐藏性，保证了追踪攻击者在攻击的实施过程中，能较好的不被攻击者跟踪监视。从而能够更好更安全的获得攻击过程的真实记录，同时也能保证系统的安全。 蜜罐其实它是预先设置好的包含漏洞的系统，它的作用就是引诱攻击者对系统进行攻击和入侵。从而来记录黑客进入系统的行踪和信息，同时诱骗和转移攻击者攻击目标来保护服务系统的正常运行。蜜罐的主要技术原理可以从下面几点来阐述口： (1)网络欺骗性：蜜罐技术体系中关键的核心技术就是网络欺骗技术性。常见的功能有模拟服务端口、流量仿真等。 (2)数据捕获：一个蜜罐系统一般由三层实现：最外层是由 防火墙来对蜜罐的网络连接实现日志记录；中间层由入侵检测系统来实现，获取蜜罐系统内的网络包；最里层的由蜜罐系统的主机来完成，捕获蜜罐主机的系统Et志等信息。 (3)数据分析：对数据进行分析是蜜罐技术中的难点。数据分析中分别包括对网络协议分析以及网络行为分析和入侵报警等。 (4)数据控制：数据控制作为是蜜罐的核心功能之一，是为了 保障蜜罐自身的安全。蜜罐的本身设置就是主动引诱网络击者，而成为的攻击目标。如果蜜罐被攻破，反而会成为入侵者利用作为攻击其他系统的跳板，因而对于数据的控制安全陛要高。 二、蜜罐技术的分类和蜜罐工具 为了尝试和研究这种主动的防御技术，研究人员和安全专家就不断地研制和使用着各种各样的蜜罐工具。目前蜜罐产品有很多，本文从蜜罐的部署的目的和蜜罐的交互性两个角度来对蜜罐产品进行分类。 (1)根据蜜罐的部署目的不同，可以将蜜罐分为产品型蜜 罐和研究型蜜罐两类。 ① 产品型蜜罐一般应用于商业组织的网络系统中。它的 目的是在于为一个组织网络提供安全保护。这些保护可以包括检测攻击、防止攻击造成的破坏等。同时还可以协助管理员根据具体的情况做出必要的措施，从而在一定程度上起到了保护组织的安全措施。 ② 研究型蜜罐则与产品型蜜罐有所不同，它是专门针对 攻击者的捕获和分析，这种蜜罐能对攻击者进行追踪和分析，能够较好地捕获记录与信息，从而掌握攻击者的想法和心理状态，为管理员和安全专家做出决策提供帮助。 (2)蜜罐还可按照其交互度的等级可划分为两类：低交互 蜜罐和高交互蜜罐。 ① 低交互蜜罐最大的特点是模拟现实环境。蜜罐为攻击 者提供攻击的目标不是真实的对象，即是不是真正的产品系统。而是对各种系统及其提供服务的模拟环境，正是这特性，因而它是最安全的蜜罐类型，但它也存在缺陷就是它收集的信息是比较有限的。 ②高交互蜜罐具有一个真实的操作系统，它完全提供真实 的操作系统和网络环境，它没有任何的模拟。它是一种针对性的工具，专门用来以获取攻击信息为目的。在这类蜜罐中，能够获取更多的攻击者的攻击信息。缺点就是为攻击者提供了更广阔的自由空间，从而增加了是被入侵的风险。 三、蜜罐技术的优势与存在的问题 3.1优势 基于蜜罐技术的原理，蜜罐技术具有以下优势： (1)具有高度分析价值的小数量集：蜜罐系统的优点之一 就是它们大大减少了所要分析的数据。对于通常的网站或邮件服务器，攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量。 (2)极低(近乎为0)的误报率：蜜罐技术在防护功能方面是相对比较弱，然而它却具有较强的检测功能。有人认为，目前入侵检测系统(IDS)可以进行入侵检测。但由于IDS的误报和漏报率比较高，往往系统会出现各种警告和误报。而蜜罐技术的误报率却远远低于市场上大部分IDS工具，从而使其在这方面具有优势。 (3)资源需求低，投入低而产出大：当安全资源突然剧增 的时候而容易耗尽导致资源失效。如果使用防火墙，它容易使其在连接数据库溢出时容易发生失效。这样一来，它就