第14章蜜罐技术分析解析.pptVIP

计算机网络安全 何路 蜜网项目组 ? 非赢利性研究机构 ? 目标 ? To learn the tools, tactics, and motives of the blackhat community and share these lessons learned ? 历史 ? 1999 – 非正式的邮件列表 ? June 2000 – 演变为蜜网项目组 ? Jan. 2002 – 发起蜜网研究联盟 ? Dec. 2002 – 10 个活跃的联盟成员 ? 创始人及主席 ? Lance Spitzner (Sun Microsystems) 第 14 章 蜜罐技术 何路 helu@ 计算机网络安全 何路 本章主要内容 ? 蜜罐技术提出与发展历程 ? 蜜罐技术概念及分类 ? 蜜罐技术原理 ? 蜜罐技术实例 计算机网络安全 何路 互联网安全状况 ? 安全基础薄弱 ? 操作系统 / 软件存在大量漏洞 ? 安全意识弱、缺乏安全技术能力 ? 任何主机都是攻击目标！ ? DDoS 、跳板攻击需要大量僵尸主机 ? 蠕虫、病毒的泛滥 ? 并不再仅仅为了炫耀： Spamming, Phishing ? 攻击者不需要太多技术 ? 攻击工具的不断完善 ? ?? Metasploit: 40+ Exploits ? 攻击脚本和工具可以很容易得到和使用 ? ?? 0-day exploits: packetstorm 计算机网络安全 何路 网络攻防的非对称博弈 ? 工作量不对称 ? 攻击方：夜深人静 , 攻其弱点 ? 防守方： 24*7, 全面防护 ? 信息不对称 ? 攻击方：通过网络扫描、探测、踩点对攻击目标 全面了解 ? 防守方：对攻击方一无所知 ? 后果不对称 ? 攻击方：任务失败，极少受到损失 ? 防守方：安全策略被破坏，利益受损 ? 攻击方掌握主动权 计算机网络安全 何路 传统安全防护机制的不足 ? 被动安全防护机制 ? 加密、 VPN ? 防火墙 : 配置问题、针对开放业务端口的攻击、 内部攻击 ? 入侵检测系统 IDS: 已知攻击特征库、高误报率 ? 反病毒软件 : 病毒特征库在线升级，延迟 ? “主动”安全防护机制 ? 漏洞扫描与补丁分发工具 : 扫描脚本、补丁延迟 ? 入侵防御系统 IPS: 已知攻击特征库、“傻瓜式” 计算机网络安全 何路 蜜罐技术的提出 ? 防御方尝试改变攻防博弈不对称性而提出的一 种 主动防护技术 ? 对攻击者的欺骗技术－增加攻击代价、减少对实际 系统的安全威胁 ? 了解攻击者所使用的攻击工具和攻击方法 ? 追踪攻击源、攻击行为审计取证 ? 蜜罐技术的提出 ? Honeypot: 首次出现在 Cliff Stoll 的小说“ The Cuckoos Egg‖ (1990) ? 著名计算机安全专家 Fred Cohen 计算机网络安全 何路 蜜罐技术发展历程 ? 蜜罐技术 ? 1998 年后，出现 DTK 、 Honeyd 等大量开源蜜罐工 具 ? 同期出现一些商业产品，但并未得到市场普及 ? 蜜网技术 ? 1999 年由蜜网项目组 (The Honeynet Project) 提出 并实现 ? 目前已发展到第三代蜜网技术 ? 蜜场技术 ? 2003 年由 Lance Spitzner 首次提出 Honeypot farms 思想 ? 目前仍未有实际的工具、产品和应用 计算机网络安全 何路 蜜罐技术概念 ? 定义： honeypot: ―A security resource whos value lies in being probed, attacked or compromised ‖—— Lance Spitzner （ The Honeynet Project 的创 始人） ? 蜜罐是一类安全资源，其价值就在于被探 测、被攻击及被攻陷。 计算机网络安全 何路 蜜罐技术分类 ? 系统功能（产品型蜜罐、研究型蜜罐） ? 交互程度（低交互蜜罐、高交互蜜罐） 计算机网络安全 何路 产品型蜜罐 ? 目标 : 有效防护业务网络 ? 间接性防护－通过诱骗增大攻击者代价，混 淆关键业务资源，了解并规避安全威胁 ? 直接性防护－蜜场技术 ? 较具代表性的产品型蜜罐包括 DTK 、 honeyd 等开源工具和 KFSensor 、 ManTrap 等一系列的商业产品。 计算机网络安全 何路 研究型蜜罐 ? 目标 : 研究对手，了解自身面临的安全威 胁 ? 知己知彼、百战不殆 ? 蜜网技术 (Know Your Enemy)(Enemy) －目 前更多意义上属－于研究型蜜罐技术 ? 具有代表性的工具是“蜜网项目组”所推出 的第二代蜜网技术 计算机网络安全 何路