第8讲 蜜罐技术.ppt

第14章 蜜罐技术 本章主要内容 蜜罐技术提出与发展历程 蜜罐技术概念及分类 蜜罐技术原理 蜜罐技术实例 互联网安全状况 安全基础薄弱 操作系统/软件存在大量漏洞 安全意识弱、缺乏安全技术能力 任何主机都是攻击目标！ DDoS、跳板攻击需要大量僵尸主机 蠕虫、病毒的泛滥 并不再仅仅为了炫耀：Spamming, Phishing 攻击者不需要太多技术 攻击工具的不断完善 ?? Metasploit: 40+ Exploits 攻击脚本和工具可以很容易得到和使用 ??0-day exploits: packetstorm 网络攻防的非对称博弈 工作量不对称 攻击方：夜深人静, 攻其弱点 防守方：24*7, 全面防护 信息不对称 攻击方：通过网络扫描、探测、踩点对攻击目标全面了解 防守方：对攻击方一无所知 后果不对称 攻击方：任务失败，极少受到损失 防守方：安全策略被破坏，利益受损 攻击方掌握主动权 传统安全防护机制的不足 被动安全防护机制 加密、VPN 防火墙: 配置问题、针对开放业务端口的攻击、内部攻击 入侵检测系统IDS: 已知攻击特征库、高误报率 反病毒软件: 病毒特征库在线升级，延迟 “主动”安全防护机制 漏洞扫描与补丁分发工具:扫描脚本、补丁延迟 入侵防御系统IPS: 已知攻击特征库、“傻瓜式” 蜜罐技术的提出 防御方尝试改变攻防博弈不对称性而提出的一种 主动防护技术 对攻击者的欺骗技术－增加攻击代价、减少对实际系统的安全威胁 了解攻击者所使用的攻击工具和攻击方法 追踪攻击源、攻击行为审计取证 蜜罐技术的提出 Honeypot: 首次出现在Cliff Stoll的小说“The Cuckoo’s Egg” (1990) 著名计算机安全专家Fred Cohen 蜜罐技术发展历程 蜜罐技术 1998年后，出现DTK、Honeyd等大量开源蜜罐工具 同期出现一些商业产品，但并未得到市场普及 蜜网技术 1999年由蜜网项目组(The Honeynet Project)提出并实现 目前已发展到第三代蜜网技术 蜜场技术 2003年由Lance Spitzner首次提出Honeypot farms思想 目前仍未有实际的工具、产品和应用 蜜罐技术概念 定义：honeypot: “A security resource who’s value lies in being probed, attacked or compromised”——Lance Spitzner（The Honeynet Project 的创始人） 蜜罐是一类安全资源，其价值就在于被探测、被攻击及被攻陷。 蜜罐技术分类 系统功能（产品型蜜罐、研究型蜜罐） 交互程度（低交互蜜罐、高交互蜜罐） 产品型蜜罐 目标:有效防护业务网络 间接性防护－通过诱骗增大攻击者代价，混淆关键业务资源，了解并规避安全威胁 直接性防护－蜜场技术 较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和KFSensor、ManTrap 等一系列的商业产品。 研究型蜜罐 目标:研究对手，了解自身面临的安全威胁 知己知彼、百战不殆 蜜网技术(Know Your Enemy)(Enemy)－目前更多意义上属－于研究型蜜罐技术 具有代表性的工具是“蜜网项目组”所推出的第二代蜜网技术 低交互式蜜罐技术 交互性：攻击者在蜜罐中活动的交互性级别 低交互式蜜罐技术 具有与攻击源主动交互的能力 模拟网络服务响应，模拟漏洞 容易部署，容易控制攻击 低交互式－交互级别由于模拟能力而受限，数据获取能力和伪装性较弱，一般仅能捕获已知攻击 例: Honeyd 商业产品: KFSensorKFSensor, Specter, , HoneyPointHoneyPoint… 高交互式蜜罐技术 高交互式蜜罐技术 使用真实的操作系统、网络服务与攻击源进行交互 高度的交互等级－对未知漏洞、安全威胁具有天然的可适性，数据获取能力、伪装性均较强 弱势－资源需求较大，可扩展性较弱，部署安全风险较高 虚拟机蜜罐 VS. 物理蜜罐 虚拟机(Virtual Machine)/仿真器(Emulator)技术 节省硬件资源、容易部署和控制、容易恢复、安全风险降低 高交互式蜜罐工具 Honeynet ––蜜网项目组(The Honeynet Project) 蜜罐技术优缺点 优点 收集到的数据很大可能就是由于黑客攻击造成的，不依赖于任何复杂的检测技术等，因此减少了漏报率和误报率。 能够收集到新的攻击工具和攻击方法。 不需要强大的资源支持。 缺点 需要较多的时间和精力投入。 只能对针对蜜罐的攻击行为进行监视和分析，其视图较为有限。 不能直接防护有漏洞的信息系统。 会带来一定的安全风险。 蜜罐