网络防御中的蜜罐技术 .pdfVIP

维普资讯

网络防御中的蜜罐技术--第1页

福建电脑２００６年第７期

网络防御中的蜜罐技术

刘占

（中国人民武装警察部队学院基础部计算机教研室河北廊坊０６５０００）

摘【要】：常规杀毒软件、防火墙软件只是被动的防护，等待攻击者攻击。而蜜罐好比是网络系统情报收集系统，故意让

人攻击．引诱黑客前来攻击。等待攻击者入侵后，就可以知道他是如何攻击的，还可以通过窃听黑客之间的联系，收集黑客所

用的种种工具。掌握黑客的资料。

【关键词】：网络安全网络攻击蜜罐技术

１．引子轻受保护组织将受到的攻击威胁．蜜罐加强了受保护组织的安

随着网络全球化的迅猛发展．Ｉｎｔｅｍｅｔ的安全问题日益严重全性。它所做的工作就是检测并且对付恶意的攻击者。

并成为全世界关注的焦点问题。影响网络安全状况的因素很多，①这类蜜罐在防护中所做的贡献很少．蜜罐不会将那些试

方面由于互联网的开放性和各种操作系统、软件的默认安装图攻击的入侵者拒之门外。因为蜜罐设计的初衷就是妥协。所以

一

配置存在很多漏洞和缺陷．同时大部分的网络使用者还不它不会将入侵者拒之门外。实际上。蜜罐希望有人闯人系统，从

具备安全意识，很少进行安全防护工作。不能做到及时给系统打而进行各项记录和分析工作。

补丁，安装防火墙和升级杀毒软件等．从而导致了目前的互联网②虽然蜜罐的防护功能很弱。但是它却具有很强的检测功

络具有巨大的安全隐患。此外。由于网络技术的发展攻击者不再能．对于许多组织而言，想要从大量的系统日志中检测出可疑的

需要专业技术和技巧．可以方便地从互联网上找到所需的最新行为是非常困难的。虽然。有入侵检测系统ＯＤＳ）的存在。但是，

的攻击软件并实施攻击。而这些由高级黑客开发的攻击软件越ＩＤＳ发生的误报和漏报．让系统管理员疲于处理各种警告和误

来越容易使用，功能越来越强．造成的破坏也越来越大。特别值报。而蜜罐的误报率远远低于大部分ＩＤＳ工具，也务须当心特征

得注意的一种趋势是多种攻击脚本和工具的融合．如大量的内数据库的更新和检测引擎的修改。因为蜜罐没有任何有效行为，

核后门工具包的出现。针对严重的安全威胁。我们需要了解攻击从原理上来讲．任何连接到蜜罐的连接都应该是侦听、扫描或者

者使用了哪些工具。采取了何种攻击方式．以便更有效的维护互攻击的一种．这样就可以极大的减低误报率和漏报率，从而简化

联网的安全。由此产生了蜜罐技术。为捕获黑客的行为。深入分检测的过程。从某种意义上来讲．蜜罐已经成为一个越来越复杂

析黑客行踪系统了基础。的安全检测工具了

２．蜜罐的概念③如果组织内的系统已经被入侵的话。那些发生事故的系

美国Ｌ．Ｓｐｉｚｎｅｒ是一个著名的蜜罐技术专家。他对蜜罐做过统不能进行脱机工作。这样的话．将导致系统所提供的所有产品

这样的一个定义：蜜罐是一种安全资源。其价值在于被扫描、攻服务都将被停止．同时．系统管理员也不能进行合适的鉴定和分

击和攻陷。这个定义表明蜜罐并无其他实际作用．其价值就在于析。而蜜罐可以对入侵进行响应，它提供了一个具有低数据污染

对攻击活动进行监视、检测和分析因此所有流入，流出蜜罐的网的系统和牺牲系统可以随时进行脱机工作。此时。系统管理员将