蜜罐与蜜网技术研究.pptVIP

第三篇 网络防护篇 第11章 安全扫描技术的原理与应用 第12章 操作系统安全防范 第13章 密码及认证技术 第14章 防火墙的技术原理与应用 第15章 入侵检测技术的原理与应用 第16章 蜜罐与蜜网技术 第17章 数据备份与灾难恢复技术 第18章 网络安全综合防范平台 第16章 蜜罐与蜜网技术 新兴的蜜罐技术，基于主动防御理论而提出，日益受到网络安全领域重视。蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵，进而了解攻击思路、攻击工具和攻击目的等行为信息，特别是对各种未知攻击行为信息的学习。 蜜网作为蜜罐技术的高级学习工具，不同于蜜罐技术的低级形式单机蜜罐，一般是由防火墙、路由器、入侵检测系统以及一台或多台蜜罐主机组成的网络系统。 第16章 蜜罐与蜜网技术 16.1概述 16.2 蜜罐技术 16.3 蜜网工程 16.4常见的网络诱骗工具及产品 16.5 实验：Honeyd的安装和配置 16.1 概述 网络诱骗技术是一种欺骗黑客攻击的技术,它用来吸引攻击者,使他们进入受控环境中,使用各种监控技术来捕获攻击者的行为,网络诱骗技术的核心是强大的网络和系统活动的监视能力,以及监视机制的隐蔽性,这是记录黑客攻击活动的根本条件。 16.1 概述 目前,对于网络诱骗的研究有两个大类。一类是蜜罐(honeypot) 技术,一类是蜜网(honeynet) 工程。 蜜罐(honeypot) 技术。国际上的一些安全组织首先研究蜜罐(honeypot) 技术。在一般情况下,honeypot 模拟某些常见的漏洞,模拟其它操作系统的特征或者在某个系统上做了一些设置,使其成为一台“牢笼”主机,来诱骗入侵者,目的是增加黑客攻击系统所花的开销,使攻击者劳而无功,从而降低黑客攻击系统的兴趣,减少重要系统被攻击的危险。 16.1 概述 蜜网(honeynet )工程。Honeynet 工程建立在一个真实的网络和主机环境,所有系统都是标准的机器,在这些系统之上运行的是真实完整的操作系统及应用程序,没有刻意地模拟某种环境或者故意地使系统不安全,这样可使建立的网络环境看上去会更加真实可信,以增强其诱骗的效果。 在该工程中,网络和系统都隐藏在防火墙后面，所有进出该网络的数据和网络诱骗主机上的行为都受到监视、捕获及控制。 16.2 蜜罐技术 “蜜罐”这一概念最初出现在1990 年出版的一本小说《The Cuckoo’s Egg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。 “蜜网项目组”(The Honeynet Project)的创始人Lance Spitzner给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。 这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷，而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。 16.2 蜜罐技术 16.2.1 蜜罐的发展历程 16.2.2 蜜罐的分类 16.2.3 蜜罐的优缺点 16.2.1 蜜罐的发展历程 蜜罐技术的发展历程可以分为以下三个阶段。 从九十年代初蜜罐概念的提出直到1998 年左右，“蜜罐”还仅仅限于一种思想，通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。 16.2.1 蜜罐的发展历程 从1998 年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出一些专门用于欺骗黑客的开源工具，如Fred Cohen 所开发的DTK(欺骗工具包)、Niels Provos 开发的Honeyd 等,同时也出现了像KFSensor、 Specter 等一些商业蜜罐产品。 这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。 16.2.1 蜜罐的发展历程 但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客识别等问题，从2000 年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐，但与之前不同的是，融入了更强大的数据捕获、数据分析和数据控制的工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。 16.2.2. 蜜罐的分类 蜜罐可以按照其部署目的分为 产品型蜜罐 研究型蜜罐 16.