雪鹰领主,完美世界小说下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

深入解析蜜罐技術(shù)之概念介紹

蜜罐技術(shù)前的噩夢(mèng)

1993年以后Internet開始商用化，通過(guò)Internet進(jìn)行的各種電子商務(wù)業(yè)務(wù)日益增多，加之Internet/Intranet技術(shù)日趨成熟，很多組織和企業(yè)都建立了自己的內(nèi)部網(wǎng)絡(luò)并將之與Internet聯(lián)通。電子商務(wù)應(yīng)用和企業(yè)網(wǎng)絡(luò)中的商業(yè)秘密均成為攻擊者的目標(biāo)。

據(jù)美國(guó)商業(yè)雜志《信息周刊》公布的一項(xiàng)調(diào)查報(bào)告稱，黑客攻擊和病毒等安全問(wèn)題在2000年造成了上萬(wàn)億美元的經(jīng)濟(jì)損失，在全球范圍內(nèi)每數(shù)秒鐘就發(fā)生一起網(wǎng)絡(luò)攻擊事件。2003年夏天，對(duì)于運(yùn)行著Microsoft Windows的成千上萬(wàn)臺(tái)主機(jī)來(lái)說(shuō)簡(jiǎn)直就是場(chǎng)噩夢(mèng)！也給廣大網(wǎng)民留下了悲傷的回憶，這一些都?xì)w結(jié)于沖擊波蠕蟲的全世界范圍的傳播。

蜜罐技術(shù)的發(fā)展背景

網(wǎng)絡(luò)與信息安全技術(shù)的核心問(wèn)題是對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行有效的防護(hù)。網(wǎng)絡(luò)安全防護(hù)涉及面很廣，從技術(shù)層面上講主要包括防火墻技術(shù)、入侵檢測(cè)技術(shù),病毒防護(hù)技術(shù),數(shù)據(jù)加密和認(rèn)證技術(shù)等。在這些安全技術(shù)中，大多數(shù)技術(shù)都是在攻擊者對(duì)網(wǎng)絡(luò)進(jìn)行攻擊時(shí)對(duì)系統(tǒng)進(jìn)行被動(dòng)的防護(hù)。而蜜罐技術(shù)可以采取主動(dòng)的方式。

顧名思義，就是用特有的特征吸引攻擊者，同時(shí)對(duì)攻擊者的各種攻擊行為進(jìn)行分析并找到有效的對(duì)付辦法。（在這里，可能要聲明一下，剛才也說(shuō)了，“用特有的特征去吸引攻擊者”，也許有人會(huì)認(rèn)為你去吸引攻擊者，這是不是一種自找麻煩呢，但是，我想，如果攻擊者不對(duì)你進(jìn)行攻擊的話，你又怎么能吸引他呢？換一種說(shuō)話，也許就叫誘敵深入了）。

蜜罐的概念

在這里，我們首先就提出蜜罐的概念。美國(guó) L．Spizner是一個(gè)著名的蜜罐技術(shù)專家。他曾對(duì)蜜罐做了這樣的一個(gè)定義：蜜罐是一種資源，它的價(jià)值是被攻擊或攻陷。這就意味著蜜罐是用來(lái)被探測(cè)、被攻擊甚至最后被攻陷的，蜜罐不會(huì)修補(bǔ)任何東西，這樣就為使用者提供了額外的、有價(jià)值的信息。蜜罐不會(huì)直接提高計(jì)算機(jī)網(wǎng)絡(luò)安全，但是它卻是其他安全策略所不可替代的一種主動(dòng)防御技術(shù)。

具體的來(lái)講，蜜罐系統(tǒng)最為重要的功能是對(duì)系統(tǒng)中所有操作和行為進(jìn)行監(jiān)視和記錄，可以網(wǎng)絡(luò)安全專家通過(guò)精心的偽裝，使得攻擊者在進(jìn)入到目標(biāo)系統(tǒng)后仍不知道自己所有的行為已經(jīng)處于系統(tǒng)的監(jiān)視下。為了吸引攻擊者，通常在蜜罐系統(tǒng)上留下一些安全后門以吸引攻擊者上鉤，或者放置一些網(wǎng)絡(luò)攻擊者希望得到的敏感信息，當(dāng)然這些信息都是虛假的信息。

另外一些蜜罐系統(tǒng)對(duì)攻擊者的聊天內(nèi)容進(jìn)行記錄，管理員通過(guò)研究和分析這些記錄，可以得到攻擊者采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平等信息，還能對(duì)攻擊者的活動(dòng)范圍以及下一個(gè)攻擊目標(biāo)進(jìn)行了解。同時(shí)在某種程度上，這些信息將會(huì)成為對(duì)攻擊者進(jìn)行起訴的證據(jù)。不過(guò)，它僅僅是一個(gè)對(duì)其他系統(tǒng)和應(yīng)用的仿真，可以創(chuàng)建一個(gè)監(jiān)禁環(huán)境將攻擊者困在其中，還可以是一個(gè)標(biāo)準(zhǔn)的產(chǎn)品系統(tǒng)。無(wú)論使用者如何建立和使用蜜罐，只有它受到攻擊,它的作用才能發(fā)揮出來(lái)。

蜜罐的具體分類和體現(xiàn)的安全價(jià)值

自從計(jì)算機(jī)首次互連以來(lái)，研究人員和安全專家就一直使用著各種各樣的蜜罐工具，根據(jù)不同的標(biāo)準(zhǔn)可以對(duì)蜜罐技術(shù)進(jìn)行不同的分類，前面已經(jīng)提到，使用蜜罐技術(shù)是基于安全價(jià)值上的考慮。但是，可以肯定的就是，蜜罐技術(shù)并不會(huì)替代其他安全工具，例如防火墻、系統(tǒng)偵聽等。這里我也就安全方面的價(jià)值來(lái)對(duì)蜜罐技術(shù)進(jìn)行探討。

根據(jù)設(shè)計(jì)的最終目的不同我們可以將蜜罐分為產(chǎn)品型蜜罐和研究型蜜罐兩類。

① 產(chǎn)品型蜜罐一般運(yùn)用于商業(yè)組織的網(wǎng)絡(luò)中。它的目的是減輕組織將受到的攻擊的威脅，蜜罐加強(qiáng)了受保護(hù)組織的安全措施。他們所做的工作就是檢測(cè)并且對(duì)付惡意的攻擊者。

⑴這類蜜罐在防護(hù)中所做的貢獻(xiàn)很少，蜜罐不會(huì)將那些試圖攻擊的入侵者拒之門外，因?yàn)槊酃拊O(shè)計(jì)的初衷就是妥協(xié)，所以它不會(huì)將入侵者拒絕在系統(tǒng)之外，實(shí)際上，蜜罐是希望有人闖入系統(tǒng)，從而進(jìn)行各項(xiàng)記錄和分析工作。

⑵雖然蜜罐的防護(hù)功能很弱，但是它卻具有很強(qiáng)的檢測(cè)功能，對(duì)于許多組織而言，想要從大量的系統(tǒng)日志中檢測(cè)出可疑的行為是非常困難的。雖然，有入侵檢測(cè)系統(tǒng)（IDS）的存在，但是，IDS發(fā)生的誤報(bào)和漏報(bào)，讓系統(tǒng)管理員疲于處理各種警告和誤報(bào)。而蜜罐的作用體現(xiàn)在誤報(bào)率遠(yuǎn)遠(yuǎn)低于大部分IDS工具，也務(wù)須當(dāng)心特征數(shù)據(jù)庫(kù)的更新和檢測(cè)引擎的修改。因?yàn)槊酃逈](méi)有任何有效行為，從原理上來(lái)講，任何連接到蜜罐的連接都應(yīng)該是偵聽、掃描或者攻擊的一種，這樣就可以極大的減低誤報(bào)率和漏報(bào)率，從而簡(jiǎn)化檢測(cè)的過(guò)程。從某種意義上來(lái)講，蜜罐已經(jīng)成為一個(gè)越來(lái)越復(fù)雜的安全檢測(cè)工具了。

⑶如果組織內(nèi)的系統(tǒng)已經(jīng)被入侵的話，那些發(fā)生事故的系統(tǒng)不能進(jìn)行脫機(jī)工作，這樣的話，將導(dǎo)致系統(tǒng)所提供的所有產(chǎn)品服務(wù)都將被停止，同時(shí)，系統(tǒng)管理員也不能進(jìn)行合適的鑒定和分析，而蜜罐可以對(duì)入侵進(jìn)行響應(yīng)，它提供了一個(gè)具有低數(shù)據(jù)污染的系統(tǒng)和犧牲系統(tǒng)可以隨時(shí)進(jìn)行脫機(jī)工作。此時(shí)，系統(tǒng)管理員將可以對(duì)脫機(jī)的系統(tǒng)進(jìn)行分析，并且把分析的結(jié)果和經(jīng)驗(yàn)運(yùn)用于以后的系統(tǒng)中。

② 研究型蜜罐專門以研究和獲取攻擊信息為目的而設(shè)計(jì)。這類蜜罐并沒(méi)有增強(qiáng)特定組織的安全性，恰恰相反，蜜罐要做的是讓研究組織面對(duì)各類網(wǎng)絡(luò)威脅，并尋找能夠?qū)Ω哆@些威脅更好的方式，它們所要進(jìn)行的工作就是收集惡意攻擊者的信息。它一般運(yùn)用于軍隊(duì)，安全研究組織。

根據(jù)蜜罐與攻擊者之間進(jìn)行的交互，可以分為3類：低交互蜜罐，中交互蜜罐和高交互蜜罐，同時(shí)這也體現(xiàn)了蜜罐發(fā)展的3個(gè)過(guò)程。

① 低交互蜜罐最大的特點(diǎn)是模擬。蜜罐為攻擊者展示的所有攻擊弱點(diǎn)和攻擊對(duì)象都不是真正的產(chǎn)品系統(tǒng)，而是對(duì)各種系統(tǒng)及其提供的服務(wù)的模擬。由于它的服務(wù)都是模擬的行為，所以蜜罐可以獲得的信息非常有限，只能對(duì)攻擊者進(jìn)行簡(jiǎn)單的應(yīng)答，它是最安全的蜜罐類型。

② 中交互是對(duì)真正的操作系統(tǒng)的各種行為的模擬，它提供了更多的交互信息，同時(shí)也可以從攻擊者的行為中獲得更多的信息。在這個(gè)模擬行為的系統(tǒng)中，蜜罐可以看起來(lái)和一個(gè)真正的操作系統(tǒng)沒(méi)有區(qū)別。它們是真正系統(tǒng)還要誘人的攻擊目標(biāo)。

③高交互蜜罐具有一個(gè)真實(shí)的操作系統(tǒng)，它的優(yōu)點(diǎn)體現(xiàn)在對(duì)攻擊者提供真實(shí)的系統(tǒng)，當(dāng)攻擊者獲得ROOT權(quán)限后，受系統(tǒng)，數(shù)據(jù)真實(shí)性的迷惑，他的更多活動(dòng)和行為將被記錄下來(lái)。缺點(diǎn)是被入侵的可能性很高，如果整個(gè)高蜜罐被入侵，那么它就會(huì)成為攻擊者下一步攻擊的跳板。目前在國(guó)內(nèi)外的主要蜜罐產(chǎn)品有DTK，空系統(tǒng)，BOF，SPECTER，HOME-MADE蜜罐，HONEYD，SMOKEDETECTOR，BIGEYE，LABREA TARPIT，NETFACADE，KFSENSOR，TINY蜜罐，MANTRAP，HONEYNET十四種。

蜜罐技術(shù)的概念介紹在這里就向大家介紹完了，希望大家已經(jīng)掌握，在以后的文章中，我們將會(huì)繼續(xù)向大家介紹相關(guān)內(nèi)容。下一篇我們將會(huì)介紹：蜜罐的配置模式和信息收集

【編輯推薦】

防病毒的未來(lái)在“云”中
病毒橫行網(wǎng)購(gòu)人群成主要受害者
該如何防治快里藏刀閃盤病毒

分享文章：深入解析蜜罐技術(shù)之概念介紹
文章鏈接：http://m.fisionsoft.com.cn/article/cdsdjii.html

新聞中心

其他資訊