蜜罐和蜜网.pptVIP

蜜罐和蜜网 Honeypots and Honeynets 入侵检测也有局限性 入侵检测系统虽然在入侵行为的检测方面取得了很大的成功,但自身存在难以克服的局限:虚警、漏警。 安全模型/规则，未知网络攻击 数据整合/挖掘-如何从大量的数据中为攻击检测和确认提供有用的信息 Honeypot是IDS的补充 Honeypot是一种网络诱骗系统,伪装成具有看似重要但却没有价值数据的有漏洞的系统,诱骗入侵者。 Honeypot不会主动发送任何数据流,任何与它的互动皆可以被认为可疑,使用它可有效降低错报的发生; Honeypot根据系统活动而不是规则数据库检测攻击,不会被新型攻击手段绕过,因此可以解决漏报问题; Honeypot每天产生的数据量很少,大部分都很有价值,从中容易诊断出有用信息,解决数据整合问题。 Honeypot-诱惑攻击者的欺骗系统,是一个non-hardened的系统 当攻击者忙着吃蜜的时候，收集攻击者的数据。 -攻击的来源 -攻击者在做什么，在寻找什么 -攻击者在exploiting 什么 vulnerabilities。 蜜罐系统是具有吸引和诱骗价值的资源，它期待被检测、攻击和潜在的利用。蜜罐系统不修补任何安全漏洞，它们向系统管理员提供附加的、有价值的信息。可以是真实的网络系统或是真实网络环境的模拟，其作用是引诱黑客扫描、攻击并最终攻陷从而获取攻击者的信息以及他们的攻击技术和手段。 Honeypot的工作机制 Honeypot并不是一个真实系统，因而到它的所有流量都是可疑的。 通常位于DMZ区。 审计活动/保存日志文件/记录事件 如：进程启动/文件增加/删除/修改/击键 评估入侵者的技术等级，他们的意图或身份 收集证据数据 Honeypot的类型-Honeypot是一种安全资源,其价值体现在被探测、攻击或者摧毁的时候。Honeypot根据与攻击者的交互(interaction)程度可分为以下三种: 低交互度Honeypot-不运行真实操作系统的真实应用服务, 而是模拟，对外呈现真实应用服务的基本功能,攻击者于是与这些模拟服务进行预先设定好的例行交互。 只为外界攻击提供非常有限的应答或只是简单的监听网络的连接信息，如可能只开设几个虚假的端口信息，当攻击者根据扫描工具找到这些端口并进行攻击时，蜜罐系统因为没有回应，因而只能产生一些简单的日志信息，而这些信息只是一些初始的连接信息，无法真正评估攻击的目的，而且因为无法回应或只回应少量信息. 黑客很快就会发现异常并停止攻击，这样也就失去了诱骗的初衷。当然，因为交互信息的有限性，这种类型的蜜罐系统的安全性也是最高的，它不易被黑客攻破而成为攻击其它内网主机的跳板。 Honeypot的类型 中交互度的Honeypot-仍然没有提供真实的操作系统应用服务与攻击者交互,但为攻击者提供了更多复杂的诱骗进程,模拟了更多更复杂的特定服务。中交互度Honeypot能够预期一些活动,并且旨在可以给出一些低交互度Honeypot所无法给予的响应。 交互频率高，蜜罐系统可以提供较低交互系统更加详细的日志和攻击手段。 但中交互系统因为要模拟众多的服务而加大了其普通使用的技术门槛。因为在无操作系统支持的基础上提供各种协议服务，而且要诱骗攻击者认为这是一个真正的服务，这就要求在技术上要非常的逼真与高效，攻击者往往是对网络安全技术有深入了解的人，如果只是简单的或偶尔不正确的响应一些攻击者的请求，攻击者可能很快就会发现被攻击系统的陷阱，从而停止攻击。 因此架设一个中交互系统是比较复杂的，要求实施者对网络协议与服务有深刻的认识。同时，因为中交互系统提供了较多的网络服务，有可能被攻击者利用成为跳板，因此，在实施该系统的网络内，因经常检查系统日志，并严格检查是否有安全漏洞已经被黑客利用。 Honeypot的类型 高交互度的Honeypot-复杂度大大增加,面对攻击者的是真实操作系统的真实应用服务。高交互度Honeypot为攻击者提供对实际操作系统的访问权,在此环境下无任何实体模拟或受限, Honeypot收集攻击者信息的能力也大大增强,但同时它也面临高风险,一旦攻击者掌握了对某个Honeypot的控制权,即拥有了被侵入机器完整可操作系统的控制权,从而会在被侵入系统内进一步扩大侵害。 高交互系统可以提供真实的操作系统环境，攻击者完全可以认为它就是一台真实的服务器主机，因此，它可以对攻击者的攻击方法进行详细的日志记录。当攻击者自认为成功入侵时，系统也成功的记录了它的入侵过程，这样可以帮助系统发现当前系统漏洞并采取相应措施修补漏洞。 当然，因为部署了真实的操作系统，就难免有攻击者可以通过蜜罐系统对其它内网主机进行攻击，因此，管理员应定期检