蜜罐与蜜网技术分析选编.pptVIP

第三篇 网络防护篇;第16章 蜜罐与蜜网技术;第16章 蜜罐与蜜网技术;16.1 概述; 目前,对于网络诱骗的研究有两个大类。一类是蜜罐(honeypot) 技术,一类是蜜网(honeynet) 工程。 蜜罐(honeypot) 技术。国际上的一些安全组织首先研究蜜罐(honeypot) 技术。在一般情况下,honeypot 模拟某些常见的漏洞,模拟其它操作系统的特征或者在某个系统上做了一些设置,使其成为一台“牢笼”主机,来诱骗入侵者,目的是增加黑客攻击系统所花的开销,使攻击者劳而无功,从而降低黑客攻击系统的兴趣,减少重要系统被攻击的危险。; 蜜网(honeynet )工程。Honeynet 工程建立在一个真实的网络和主机环境,所有系统都是标准的机器,在这些系统之上运行的是真实完整的操作系统及应用程序,没有刻意地模拟某种环境或者故意地使系统不安全,这样可使建立的网络环境看上去会更加真实可信,以增强其诱骗的效果。 在该工程中,网络和系统都隐藏在防火墙后面，所有进出该网络的数据和网络诱骗主机上的行为都受到监视、捕获及控制。;16.2 蜜罐技术;16.2 蜜罐技术; 蜜罐技术的发展历程可以分为以下三个阶段。 从九十年代初蜜罐概念的提出直到1998 年左右，“蜜罐”还仅仅限于一种思想，通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。;从1998 年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出一些专门用于欺骗黑客的开源工具，如Fred Cohen 所开发的DTK(欺骗工具包)、Niels Provos 开发的Honeyd 等,同时也出现了像KFSensor、 Specter 等一些商业蜜罐产品。 这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。;但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客识别等问题，从2000 年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐，但与之前不同的是，融入了更强大的数据捕获、数据分析和数据控制的工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。; 蜜罐可以按照其部署目的分为 产品型蜜罐 研究型蜜罐 ; 产品型蜜罐的目的在于为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。 一般产品型蜜罐较容易部署,而且不需要管理员投入大量的工作。较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和KFSensor、ManTraq 等一系列的商业产品。; 研究型蜜罐则是专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐,对黑客攻击进行追踪和分析，能够捕获黑客的攻击记录；了解到黑客所使用的攻击工具及攻击方法；甚至能够监听到黑客之间的交谈，从而掌握他们的心理状态等信息。 研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作，具有代表性的工具是“蜜网项目组”所推出的第二代蜜网技术。; 蜜罐还可以按照其交互度的等级划分为 低交互蜜罐 高交互蜜罐 交互度反应了黑客在蜜罐上进行攻击活动的自由度。; 低交互蜜罐一般仅仅模拟操作系统和网络服务,较容易部署且风险较小,但黑客在低交互蜜罐中能够进行的攻击活动较为有限,因此通过低交互蜜罐能够收集的信息也比较有限,同时由于低交互蜜罐通常是模拟的虚拟蜜罐,或多或少存在着一些容易被黑客所识别的指纹(Fingerprinting)信息。产品型蜜罐一般属于低交互蜜罐。; 高交互蜜罐则完全提供真实的操作系统和网络服务，没有任何的模拟。 高交互蜜罐在提升黑客活动自由度的同时，自然地加大了部署和维护的复杂度及风险的扩大。研究型蜜罐一般都属于高交互蜜罐，也有部分蜜罐产品，如ManTrap,属于高交互蜜罐。;蜜罐技术的优点包括: (1)收集数据的保真度,由于蜜罐不提供任何实际的作用,因此其收集到的数据很少,同时收集到的数据很大可能就是由于黑客攻击造成的,蜜罐不依赖于任何复杂的检测技术等,因此减少了漏报率和误报率。 使用蜜罐技术能够收集到新的攻击工具和攻击方法,而不像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。;蜜罐技术的优点包括： (2)