本文目录一览

1,什么是虚拟蜜罐

虚拟蜜罐:从僵尸网络追踪到入侵检测》全面而详细地介绍蜜罐技术的概念、分类及应用,及低交互蜜罐、高交互蜜罐、混合蜜罐以及客户端蜜罐的实现机理与部署应用方式;结合具体的工具,尤其是开源工具,阐述各类蜜罐的建立、配置和应用;介绍蜜罐在恶意软件捕获、僵尸网络追踪中的应用;通过案例分析,结合实际讨论蜜罐的作用与应用效果。此外,《虚拟蜜罐:从僵尸网络追踪到入侵检测》还介绍了攻击者识别蜜罐的方法。上述内容有利于我们了解恶意软件、僵尸网络的工作机理和过程,有助于理解蜜罐技术在网络防御中的作用,把握与敌手对抗过程中使用蜜罐的优势与不足,为我们构建坚实的主动网络防御系统提供非常有益的指南。  不论是对网络安全研究者来讲,还是对于网络安全管理者来讲;不论是对网络安全感兴趣准备涉足这一领域的初学者,还是对长期从事网络安全管理工作的资深工程师,《虚拟蜜罐:从僵尸网络追踪到入侵检测》确实是一部难得的宝典。

什么是虚拟蜜罐

2,蜜罐技术的作用

蜜罐主要是一种研究工具,但同样有着真正的商业应用。把蜜罐设置在与公司的Web或邮件服务器相邻的IP地址上,你就可以了解它所遭受到的攻击。当然,蜜罐和蜜网不是什么“射后不理”(fire and forget)的安全设备。据蜜网计划声称,要真正弄清楚攻击者在短短30分钟内造成的破坏,通常需要分析30到40个小时。系统还需要认真维护及测试。有了蜜罐,你要不断与黑客斗智斗勇。可以这么说:你选择的是战场,而对手选择的是较量时机。因而,你必须时时保持警惕。蜜罐(Honeypot)是一种在互联网上运行的计算 机系统。它是专门为吸引并诱骗那些试图非法闯 入他人计算机系统的人(如电脑黑客)而设计的,蜜 罐系统是一个包含漏洞的诱骗系统,它通过模拟 一个或多个易受攻击的主机,给攻击者提供一个 容易攻击的目标。由于蜜罐并没有向外界提供真 正有价值的服务,因此所有对蜜罐尝试都被视为 可疑的。蜜罐的另一个用途是拖延攻击者对真正 目标的攻击,让攻击者在蜜罐上浪费时间。简单 点一说:蜜罐就是诱捕攻击者的一个陷阱。

蜜罐技术的作用

3,蜜网技术与蜜罐技术的区别

蜜网是在蜜罐技术上逐渐发展起来的一个新的概念,又可成为诱捕网络。蜜罐技术实质上还是一类研究型的统的蜜罐技术的差异在于,蜜网构成了一个黑客诱捕网络体系架构,在这个高交互蜜罐技术。其主要目的是收集黑客的攻击信息。但与传架构中,可以包含一个或多个蜜罐,同时保证网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。
Honeynet不是一个单独的系统,而是由多个系统和多个攻击检测应用组成的网络。该网络放置在防火墙的后面,所有进出网络的数据都会通过这里,并可以捕获控制这些数据。所有放置在Honeynet中的系统都是标准的产品系统。就像楼上说的Honeypot是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明Honeypot并无其他实际作用,因此所有流入/流出Honeypot的网络流量都可能预示了扫描、攻击和攻陷。而Honeypot的核心价值就在于对这些攻击活动进行监视、检测和分析。你也可以简单理解成,多个Honeypot构成了一个Honeyne
1、论文题目:要求准确、简练、醒目、新颖。 2、目录:目录是论文中主要段落的简表。(短篇论文不必列目录) 3、提要:是文章主要内容的摘录,要求短、精、完整。字数少可几十字,多不超过三百字为宜。 4、关键词或主题词:关键词是从论文的题名、提要和正文中选取出来的,是对表述论文的中心内容有实质意义的词汇。关键词是用作机系统标引论文内容特征的词语,便于信息系统汇集,以供读者检索。 每篇论文一般选取3-8个词汇作为关键词,另起一行,排在“提要”的左下方。 主题词是经过规范化的词,在确定主题词时,要对论文进行主题,依照标引和组配规则转换成主题词表中的规范词语。 5、论文正文: (1)引言:引言又称前言、序言和导言,用在论文的开头。 引言一般要概括地写出作者意图,说明选题的目的和意义, 并指出论文写作的范围。引言要短小精悍、紧扣主题。 〈2)论文正文:正文是论文的主体,正文应包括论点、论据、 论证过程和结论。主体部分包括以下内容: a.提出-论点; b.分析问题-论据和论证; c.解决问题-论证与步骤; d.结论。 6、一篇论文的参考文献是将论文在和写作中可参考或引证的主要文献资料,列于论文的末尾。参考文献应另起一页,标注方式按《gb7714-87文后参考文献著录规则》进行。 中文:标题--作者--出版物信息(版地、版者、版期):作者--标题--出版物信息所列参考文献的要求是: (1)所列参考文献应是正式出版物,以便读者考证。 (2)所列举的参考文献要标明序号、著作或文章的标题、作者、穿害扁轿壮计憋袭铂陋出版物信息。

蜜网技术与蜜罐技术的区别

4,蜜罐技术的工作原理

蜜罐的主要原理包括以下几个方面: 第一,网络欺骗。使入侵者相信存在有价值的、可利用的安全弱点,蜜罐的价值就是在其被探测、攻击或者攻陷的时候得以体现,网络欺骗技术是蜜罐技术体系中最为关键的核心技术,常见的有模拟服务端口、模拟系统漏洞和应用服务、流量仿真等。 第二,数据捕获。一般分三层实现:最外层由防火墙来对出入蜜罐系统的网络连接进行日志记录;中间层由入侵检测系统(IDS)来完成,抓取蜜罐系统内所有的网络包;最里层的由蜜罐主机来完成,捕获蜜罐主机的所有系统日志、用户击键序列和屏幕显示。 第三,数据分析。要从大量的网络数据中提取出攻击行为的特征和模型是相当困难的,数据分析是蜜罐技术中的难点,主要包括网络协议分析、网络行为分析、攻击特征分析和入侵报警等。数据分析对捕获的各种攻击数据进行融合与挖掘,分析黑客的工具、策略及动机,提取未知攻击的特征,或为研究或管理人员提供实时信息。 第四,数据控制。数据控制是蜜罐的核心功能之一,用于保障蜜罐自身的安全。蜜罐作为网络攻击者的攻击目标,若被攻破将得不到任何有价值的信息,还可能被入侵者利用作为攻击其他系统的跳板。虽然允许所有对蜜罐的访问,但却要对从蜜罐外出的网络连接进行控制,使其不会成为入侵者的跳板危害其他系统。 首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一定查得到痕迹……因此,蜜罐的定义是:“蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。”设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。
来源 最初出现在1990 年出版的一本小说《The Cuckoos Egg》 中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起 商业间谍案的故事。“蜜网项目组”(The Honeynet Project)的创始人Lance Spitzner 给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和 攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流 量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进 行监视、检测和分析。[编辑本段]蜜罐技术的发展历程 蜜罐技术的发展历程分为以下三个阶段。 从九十年代初蜜罐概念的提出直到1998 年左右,“蜜罐”还仅仅限于一种思 想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。这一阶段的蜜罐 实质上是一些真正被黑客所攻击的主机和系统。 从1998 年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出 一些专门用于欺骗黑客的开源工具,如Fred Cohen 所开发的DTK(欺骗工具包)、 Niels Provos 开发的Honeyd 等,同时也出现了像KFSensor、Specter 等一些商业 蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模 拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。 虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。 但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客识别等问题,从 2000 年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭 建蜜罐,但与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的 工具,并且将蜜罐纳入到一个完整的蜜网体系中,使得研究人员能够更方便地追 踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。[编辑本段]按照其部署目的分 蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类,产品型蜜罐的 目的在于为一个组织的网络提供安全保护,包括检测攻击、防止攻击造成破坏及 帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署,而 且不需要管理员投入大量的工作。较具代表性的产品型蜜罐包括DTK、honeyd 等开源工具和KFSensor、ManTraq 等一系列的商业产品。研究型蜜罐则是专门 用于对黑客攻击的捕获和分析,通过部署研究型蜜罐,对黑客攻击进行追踪和分 析,能够捕获黑客的键击记录,了解到黑客所使用的攻击工具及攻击方法,甚至 能够监听到黑客之间的交谈,从而掌握他们的心理状态等信息。研究型蜜罐需要 研究人员投入大量的时间和精力进行攻击监视和分析工作,具有代表性的工具是 “蜜网项目组”所推出的第二代蜜网技术。[编辑本段]按照其交互度的等级划分 蜜罐还可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐,交互度反 应了黑客在蜜罐上进行攻击活动的自由度。低交互蜜罐一般仅仅模拟操作系统和 网络服务,较容易部署且风险较小,但黑客在低交互蜜罐中能够进行的攻击活动 较为有限,因此通过低交互蜜罐能够收集的信息也比较有限,同时由于低交互蜜 罐通常是模拟的虚拟蜜罐,或多或少存在着一些容易被黑客所识别的指纹 (Fingerprinting)信息。产品型蜜罐一般属于低交互蜜罐。高交互蜜罐则完全提 供真实的操作系统和网络服务,没有任何的模拟,从黑客角度上看,高交互蜜罐 完全是其垂涎已久的“活靶子”,因此在高交互蜜罐中,我们能够获得许多黑客 攻击的信息。高交互蜜罐在提升黑客活动自由度的同时,自然地加大了部署和维 护的复杂度及风险的扩大。研究型蜜罐一般都属于高交互蜜罐,也有部分蜜罐产 品,如ManTrap,属于高交互蜜罐。[编辑本段]蜜罐技术的优点 ?? 收集数据的保真度,由于蜜罐不提供任何实际的作用,因此其收集到的 数据很少,同时收集到的数据很大可能就是由于黑客攻击造成的,蜜罐 不依赖于任何复杂的检测技术等,因此减少了漏报率和误报率。 ?? 使用蜜罐技术能够收集到新的攻击工具和攻击方法,而不像目前的大部 分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。 ?? 蜜罐技术不需要强大的资源支持,可以使用一些低成本的设备构建蜜罐, 不需要大量的资金投入。 ?? 相对入侵检测等其他技术,蜜罐技术比较简单,使得网络管理人员能够 比较容易地掌握黑客攻击的一些知识。[编辑本段]蜜罐技术的缺点 ?? 需要较多的时间和精力投入。 ?? 蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,其视图较为有限, 不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。 ?? 蜜罐技术不能直接防护有漏洞的信息系统。 ?? 部署蜜罐会带来一定的安全风险。 部署蜜罐所带来的安全风险主要有蜜罐可能被黑客识别和黑客把蜜罐作为 跳板从而对第三方发起攻击。一旦黑客识别出蜜罐后,他将可能通知黑客社团, 从而避开蜜罐,甚至他会向蜜罐提供错误和虚假的数据,从而误导安全防护和研 究人员。防止蜜罐被识别的解决方法是尽量消除蜜罐的指纹,并使得蜜罐与真实 的漏洞主机毫无差异。蜜罐隐藏技术和黑客对蜜罐的识别技术(Anti-Honeypot) 之间相当于一个博弈问题,总是在相互竞争中共同发展。另外,蜜罐技术的初衷 即是让黑客攻破蜜罐并获得蜜罐的控制权限,并跟踪其攻破蜜罐、在蜜罐潜伏等 攻击行为,但我们必须防止黑客利用蜜罐作为跳板对第三方网络发起攻击。为了 确保黑客活动不对外构成威胁,必须引入多个层次的数据控制措施,必要的时候 需要研究人员的人工干预。 7.蜜罐的实际例子下面我们以Redhat linux 9.0为平台,做一个简单的蜜罐陷阱的配置。我们知道,黑客一旦获得root口令,就会以root身份登录,这一登录过程就是黑客入侵的必经之路。其二,黑客也可能先以普通用户身份登录,然后用su命令转换成root身份,这又是一条必经之路。我们讨论如何在以下情况下设置陷阱:(1)当黑客以root身份登录时;(2)当黑客用su命令转换成root身份时;(3)当黑客以root身份成功登录后一段时间内;第一种情况的陷阱设置一般情况下,只要用户输入的用户名和口令正确,就能顺利进入系统。如果我们在进入系统时设置了陷阱,并使黑客对此防不胜防,就会大大提高入侵的难度系数。例如,当黑客已获取正确的root口令,并以root身份登录时,我们在此设置一个迷魂阵,提示它,你输入的口令错误,并让它重输用户名和口令。而其实,这些提示都是虚假的,只要在某处输入一个密码就可通过。黑客因此就掉入这个陷阱,不断地输入root用户名和口令,却不断地得到口令错误的提示,从而使它怀疑所获口令的正确性,放弃入侵的企图。给超级用户也就是root用户设置陷阱,并不会给系统带来太多的麻烦,因为,拥有root口令的人数不会太多,为了系统的安全,稍微增加一点复杂性也是值得的。这种陷阱的设置时很方便的,我们只要在root用户的.profile中加一段程序就可以了。我们完全可以在这段程序中触发其他入侵检测与预警控制程序。陷阱程序如下:# root .profileClearEcho “You had input an error password , please input again !”EchoEcho –n “Login:”Read pIf ( “$p” = “123456”) thenClearElseExit第二种情况的陷阱设置在很多情况下,黑客会通过su命令转换成root身份,因此,必须在此设置陷阱。当黑客使用su命令,并输入正确的root口令时,也应该报错,以此来迷惑它,使它误认为口令错误,从而放弃入侵企图。这种陷阱的设置也很简单,你可以在系统的/etc/profile文件中设置一个alias,把su命令重新定义成转到普通用户的情况就可以了,例如alias su=”su user1”。这样,当使用su时,系统判断的是user1的口令,而不是root的口令,当然不能匹配。即使输入su root也是错误的,也就是说,从此屏蔽了转向root用户的可能性。第三种情况的陷阱设置如果前两种设置都失效了,黑客已经成功登录,就必须启用登录成功的陷阱。一旦root用户登录,就可以启动一个计时器,正常的root登录就能停止计时,而非法入侵者因不知道何处有计时器,就无法停止计时,等到一个规定的时间到,就意味着有黑客入侵,需要触发必要的控制程序,如关机处理等,以免造成损害,等待系统管理员进行善后处理。陷阱程序如下:# .testfiletimes=0while [ $times –le 30 ] dosleep 1times=$[times + 1]donehalt /* 30秒时间到,触发入侵检测与预警控制 */将该程序放入root .bashrc中后台执行:# root . bashrc….Sh .testfile&该程序不能用Ctrl-C终止,系统管理员可用jobs命令检查到,然后用kill %n将它停止。从上述三种陷阱的设置,我们可以看到一个一般的规律:改变正常的运行状态,设置虚假信息,使入侵者落入陷阱,从而触发入侵检测与预警控制程序。你看是不是,不是就算了

文章TAG:蜜罐技术  什么是虚拟蜜罐  
下一篇