蜜罐与蜜网技术分析.ppt
《蜜罐与蜜网技术分析.ppt》由会员分享,可在线阅读,更多相关《蜜罐与蜜网技术分析.ppt(64页珍藏版)》请在冰豆网上搜索。
第三篇网络防护篇o第第11章章安全扫描技术的原理与应用安全扫描技术的原理与应用o第第12章章操作系统安全防范操作系统安全防范o第第13章章密码及认证技术密码及认证技术o第第14章章防火墙的技术原理与应用防火墙的技术原理与应用o第第15章章入侵检测技术的原理与应用入侵检测技术的原理与应用o第第16章章蜜罐与蜜网技术蜜罐与蜜网技术o第第17章章数据备份与灾难恢复技术数据备份与灾难恢复技术o第第18章章网络安全综合防范平台网络安全综合防范平台第第16章章蜜罐与蜜网技术蜜罐与蜜网技术新兴的蜜罐技术,基于主动防御理论而提出,新兴的蜜罐技术,基于主动防御理论而提出,日益受到网络安全领域重视。
蜜罐主要通过精心日益受到网络安全领域重视。
蜜罐主要通过精心布置的布置的诱骗环境来吸引和容忍入侵诱骗环境来吸引和容忍入侵,进而了解攻,进而了解攻击思路、攻击工具和攻击目的等行为信息,特别击思路、攻击工具和攻击目的等行为信息,特别是对各种未知攻击行为信息的学习。
是对各种未知攻击行为信息的学习。
蜜网作为蜜罐技术的高级学习工具,不同于蜜网作为蜜罐技术的高级学习工具,不同于蜜罐技术的低级形式单机蜜罐,一般是蜜罐技术的低级形式单机蜜罐,一般是由防火墙、由防火墙、路由器、入侵检测系统以及一台或多台蜜罐主机路由器、入侵检测系统以及一台或多台蜜罐主机组成的网络系统组成的网络系统。
第第16章章蜜罐与蜜网技术蜜罐与蜜网技术o16.1概述概述o16.2蜜罐技术蜜罐技术o16.3蜜网工程蜜网工程o16.4常见的网络诱骗工具及产品常见的网络诱骗工具及产品o16.5实验:
实验:
Honeyd的安装和配置的安装和配置16.1概述概述网络诱骗技术是一种欺骗黑客攻击的技术网络诱骗技术是一种欺骗黑客攻击的技术,它用来它用来吸引吸引攻击者攻击者,使他们进入受控环境中使他们进入受控环境中,使使用各种用各种监控技术监控技术来捕获攻击者的行为来捕获攻击者的行为,网络诱骗网络诱骗技术的核心是强大的网络和系统活动的监视能技术的核心是强大的网络和系统活动的监视能力力,以及监视机制的隐蔽性以及监视机制的隐蔽性,这是记录黑客攻击这是记录黑客攻击活动的根本条件。
活动的根本条件。
目前目前,对于网络诱骗的研究有两个大类。
一类是对于网络诱骗的研究有两个大类。
一类是蜜蜜罐罐(honeypot)技术技术,一类是一类是蜜网蜜网(honeynet)工程工程。
蜜罐蜜罐(honeypot)技术。
国际上的一些安全组织首先技术。
国际上的一些安全组织首先研究蜜罐研究蜜罐(honeypot)技术。
在一般情况下技术。
在一般情况下,honeypot模模拟某些常见的漏洞拟某些常见的漏洞,模拟其它操作系统的特征或者在某个模拟其它操作系统的特征或者在某个系统上做了一些设置系统上做了一些设置,使其成为一台使其成为一台“牢笼牢笼”主机主机,来诱来诱骗入侵者骗入侵者,目的是增加黑客攻击系统所花的开销目的是增加黑客攻击系统所花的开销,使攻击使攻击者劳而无功者劳而无功,从而降低黑客攻击系统的兴趣从而降低黑客攻击系统的兴趣,减少重要系减少重要系统被攻击的危险。
统被攻击的危险。
16.1概述概述蜜网蜜网(honeynet)工程。
工程。
Honeynet工程建立在一工程建立在一个个真实的网络和主机环境真实的网络和主机环境,所有系统都是标准的机器所有系统都是标准的机器,在在这些系统之上运行的是真实完整的操作系统及应用程序这些系统之上运行的是真实完整的操作系统及应用程序,没有刻意地模拟某种环境或者故意地使系统不安全没有刻意地模拟某种环境或者故意地使系统不安全,这样这样可使建立的网络环境看上去会更加真实可信可使建立的网络环境看上去会更加真实可信,以增强其诱以增强其诱骗的效果。
骗的效果。
在该工程中在该工程中,网络和系统都隐藏在网络和系统都隐藏在防火墙防火墙后面,所有后面,所有进出该网络的数据和网络诱骗主机上的行为都受到进出该网络的数据和网络诱骗主机上的行为都受到监视、监视、捕获及控制捕获及控制。
16.1概述概述16.2蜜罐技术蜜罐技术“蜜罐蜜罐”这一概念最初出现在这一概念最初出现在1990年出版的一本年出版的一本小说小说TheCuckoosEgg中中,在这本小说中描述了在这本小说中描述了作者作为一个公司的网络管理员作者作为一个公司的网络管理员,如何追踪并发现一起商如何追踪并发现一起商业间谍案的故事。
业间谍案的故事。
“蜜网项目组蜜网项目组”(TheHoneynetProject)的创始的创始人人LanceSpitzner给出了对蜜罐的给出了对蜜罐的权威定义权威定义:
蜜罐是一蜜罐是一种安全资源种安全资源,其价值在于被扫描、攻击和攻陷。
其价值在于被扫描、攻击和攻陷。
这个定义表明蜜罐并无其他实际作用这个定义表明蜜罐并无其他实际作用,因此所有流入因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷,流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷,而蜜罐的而蜜罐的核心价值核心价值就在于对这些攻击活动进行监视、检就在于对这些攻击活动进行监视、检测和分析。
测和分析。
16.2蜜罐技术蜜罐技术o16.2.1蜜罐的发展历程蜜罐的发展历程o16.2.2蜜罐的分类蜜罐的分类o16.2.3蜜罐的优缺点蜜罐的优缺点蜜罐技术的发展历程可以分为以下三个阶段。
蜜罐技术的发展历程可以分为以下三个阶段。
o从九十年代初蜜罐概念的提出直到从九十年代初蜜罐概念的提出直到1998年左右,年左右,“蜜罐蜜罐”还仅仅还仅仅限于一种思想限于一种思想,通常由网络管理,通常由网络管理人员应用人员应用,通过欺骗黑客达到追踪的目的。
这一阶通过欺骗黑客达到追踪的目的。
这一阶段的蜜罐实质上是一些段的蜜罐实质上是一些真正被黑客所攻击的主机真正被黑客所攻击的主机和系统和系统。
16.2.1蜜罐的发展历程蜜罐的发展历程o从从1998年开始,蜜罐技术开始吸引了一些安全研究年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出一些人员的注意,并开发出一些专门用于欺骗黑客的开源工专门用于欺骗黑客的开源工具具,如,如FredCohen所开发的所开发的DTK(欺骗工具包欺骗工具包)、NielsProvos开发的开发的Honeyd等等,同时也出现了像同时也出现了像KFSensor、Specter等一些商业蜜罐产品。
等一些商业蜜罐产品。
o这一阶段的蜜罐可以称为是这一阶段的蜜罐可以称为是虚拟蜜罐虚拟蜜罐,即开发的这些蜜,即开发的这些蜜罐工具能够模拟成罐工具能够模拟成虚拟的操作系统和网络服务虚拟的操作系统和网络服务,并对黑,并对黑客的攻击行为做出回应,从而欺骗黑客。
虚拟蜜罐工具客的攻击行为做出回应,从而欺骗黑客。
虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。
的出现也使得部署蜜罐也变得比较方便。
16.2.1蜜罐的发展历程蜜罐的发展历程o但是由于虚拟蜜罐工具存在着交互程度低但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客较容易被黑客识别等问题,从识别等问题,从2000年之后年之后,安全研究人员更倾向于使安全研究人员更倾向于使用用真实的主机、操作系统和应用程序搭建蜜罐真实的主机、操作系统和应用程序搭建蜜罐,但与之,但与之前不同的是,融入了更强大的前不同的是,融入了更强大的数据捕获、数据分析和数数据捕获、数据分析和数据控制据控制的工具,并且将蜜罐纳入到一个完整的蜜网体系的工具,并且将蜜罐纳入到一个完整的蜜网体系中,使得研究人员能够更方便地追踪侵入到蜜网中的黑中,使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。
客并对他们的攻击行为进行分析。
16.2.1蜜罐的发展历程蜜罐的发展历程蜜罐可以按照其部署目的分为蜜罐可以按照其部署目的分为1.产品型蜜罐产品型蜜罐2.研究型蜜罐研究型蜜罐16.2.2.蜜罐的分类蜜罐的分类产品型蜜罐的目的在于为一个组织的网络提供产品型蜜罐的目的在于为一个组织的网络提供安全保护,包括检测攻击、防止攻击造成破坏及帮安全保护,包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。
助管理员对攻击做出及时正确的响应等功能。
一般产品型蜜罐较容易部署一般产品型蜜罐较容易部署,而且不需要管理而且不需要管理员投入大量的工作。
较具代表性的产品型蜜罐包括员投入大量的工作。
较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和等开源工具和KFSensor、ManTraq等一系列的商业产品。
等一系列的商业产品。
16.2.2.蜜罐的分类蜜罐的分类研究型蜜罐则是研究型蜜罐则是专门用于对黑客攻击的捕获和分析专门用于对黑客攻击的捕获和分析,通过部署研究型蜜罐通过部署研究型蜜罐,对黑客攻击进行追踪和分析,能够对黑客攻击进行追踪和分析,能够捕获黑客的攻击记录;了解到黑客所使用的攻击工具及攻捕获黑客的攻击记录;了解到黑客所使用的攻击工具及攻击方法;甚至能够监听到黑客之间的交谈,从而掌握他们击方法;甚至能够监听到黑客之间的交谈,从而掌握他们的心理状态等信息。
的心理状态等信息。
研究型蜜罐需要研究人员投入大量的时间和精力进研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作,行攻击监视和分析工作,具有代表性的工具具有代表性的工具是是“蜜网项目蜜网项目组组”所推出的第二代蜜网技术。
所推出的第二代蜜网技术。
16.2.2.蜜罐的分类蜜罐的分类蜜罐还可以按照其交互度的等级划分为蜜罐还可以按照其交互度的等级划分为1.低交互蜜罐低交互蜜罐2.高交互蜜罐高交互蜜罐交互度反应了交互度反应了黑客在蜜罐上进行攻击活动的黑客在蜜罐上进行攻击活动的自由度自由度。
16.2.2.蜜罐的分类蜜罐的分类低交互蜜罐一般仅仅低交互蜜罐一般仅仅模拟操作系统和网络服模拟操作系统和网络服务务,较容易部署且风险较小较容易部署且风险较小,但黑客在低交互蜜罐但黑客在低交互蜜罐中能够进行的攻击活动较为有限中能够进行的攻击活动较为有限,因此通过低交因此通过低交互蜜罐能够收集的信息也比较有限互蜜罐能够收集的信息也比较有限,同时由于低同时由于低交互蜜罐通常是模拟的虚拟蜜罐交互蜜罐通常是模拟的虚拟蜜罐,或多或少存在或多或少存在着一些容易被黑客所识别的指纹着一些容易被黑客所识别的指纹(Fingerprinting)信息。
信息。
产品型蜜罐产品型蜜罐一般属于低一般属于低交互蜜罐。
交互蜜罐。
16.2.2.蜜罐的分类蜜罐的分类高交互蜜罐则完全提供高交互蜜罐则完全提供真实的操作系统和网真实的操作系统和网络服务络服务,没有任何的模拟。
,没有任何的模拟。
高交互蜜罐在提升黑客活动自由度的同时,高交互蜜罐在提升黑客活动自由度的同时,自然地加大了部署和维护的复杂度及风险的扩大。
自然地加大了部署和维护的复杂度及风险的扩大。
研究型蜜罐一般都属于高交互蜜罐,也有部分蜜研究型蜜罐一般都属于高交互蜜罐,也有部分蜜罐产品,如罐产品,如ManTrap,属于高交互蜜罐。
属于高交互蜜罐。
16.2.2.蜜罐的分类蜜罐的分类蜜罐技术的优点包括蜜罐技术的优点包括:
(1)收集数据的保真度收集数据的保真度,由于蜜罐不提供任何实际的作用由于蜜罐不提供任何实际的作用,因因此其收集到的数据很少此其收集到的数据很少,同时收集到的数据很大可能就是同时收集到的数据很大可能就是由于黑客攻击造成的由于黑客攻击造成的,蜜罐不依赖于任何复杂的检测技术蜜罐不依赖于任何复杂的检测技术等等,因此减少了漏报率和误报率。
因此减少了漏报率和误报率。
n使用蜜罐技术能够收集到新的攻击工具和攻击方法使用蜜罐技术能够收集到新的攻击工具和攻击方法,而不像目前的大部分入侵检测系统只能根据特征匹配而不像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。
的方法检测到已知的攻击。
16.2.3蜜罐的优缺点蜜罐的优缺点蜜罐技术的优点包括:
蜜罐技术的优点包括:
(2)蜜罐技术蜜罐技术不需要强大的资源支持不需要强大的资源支持,可以使用一可以使用一些低成本的设备构建蜜罐些低成本的设备构建蜜罐,不需要大量的资金不需要大量的资金投入。
投入。
16.2
升级会员 