密罐技术的历史发展

概念的形成
尽管一些组织在很多年前就开始在蜜罐技术领域进行研究和实践,但是直到1990年才有一些文章针对这类问题进行专门的探讨。在Clifford Stoll所著的《The Cuckoo`s Egg》一书中,记述和讨论了在1986年至1987年的10个月间发生的一系列事件。这本书以类似小说的体裁记录了名为Stoll的天文学家,在其受到侵入的系统中了解和诱骗***者的故事。而另一篇由Bill Cheswick所写的名为“An Evening with Berferd in Which a Cracker Is Lured,Endured,and Studied”的论文更多在技术角度对蜜罐的概念进行了探讨。Bill Cheswick的论文同样采自真实的事件,不同的是,这篇论文中所描述的系统是真正为了被***而搭建起来的,而Stoll的只是在发现自己的系统被侵入之后才突发的决定进行这场游戏。Bill Cheswick将目标集中于监测所搭建系统所受到的安全***并从中发现***者的行为方式。这两个作品第一次完整而有目的的探讨了蜜罐的概念,内容也相当引人入胜,但美中不足的是其中都没有对蜜罐的含义进行准确的界定,也没有探讨蜜罐对于安全领域的价值。
奠基
为了使蜜罐系统更加高效,很多政府组织和技术性公司的人员都在着手开发成型的蜜罐产品。第一个被公开发布出来的蜜罐工具包是由著名的安全专家Fred Cohen创建的DTK(Deception Toolkit)。DTK的0.1版本在1997年11月发布,是一种免费提供的蜜罐解决方案。DTK由C语言和Perl脚本构成,部署在UNIX系统上,模拟了很多UNIX系统的漏洞,记录这些漏洞受到***的信息。1998年,随着蜜罐的价值更加受到重视,第一个商业蜜罐产品CyberCop Sting正式现身。该产品最初由Secure Network Inc.的Alfred Huger开发,于1998年被NAI购买。CyberCop Sting相比DTK具有很多不同的特性:例如该产品运行于Windows平台,这使得该系统的部署获得了很大简化;另外该产品可以同时模拟很多不同类型的系统,这就使得用户不但可以模拟单个系统,还可以创建一个模拟网络。同样在1998年,Marty Roesch也开发了一个与Sting颇多相似的被称为NetFacade的产品。尽管该产品在商业方面没有取得什么成就,但是从这个产品的开发过程中衍生出了一个非常重要的开放源代码项目Snort。可以说1998年是蜜罐取得极大发展的一个年头,而接下来的1999年HoneyNet项目的创建可以说为蜜罐在安全领域的地位打下了非常坚实的基础。这是由几十名安全专家发展的一个非赢利性质的项目,在这个项目中提出了的HoneyNet是一种高级的蜜罐形式。在项目创建后的几年时间里,HoneyNet成功的展现了这类技术在研究和监测***方面的价值。并且这个项目的技术信息和研究成果通过Know Your Enemy(了解你的敌人)系列文章得到了广泛的传播,使得蜜罐的理念逐步深入人心。
如火如荼的发展
由于2000年到2001年间网络蠕虫爆炸性的发展,使得蜜罐的实用价值得到了体现。为了应对这些传播速度极快的恶意软件,安全厂商和安全组织迫切的需要寻找一种有效的获取样本和理解其行为模式的手段,而蜜罐为这种需求提供了完美的解答。SANS、SecurityFocus等知名的安全组织都通过部署模拟某些Windows系统漏洞的蜜罐捕获蠕虫病毒,并深入的对其进行分析。另外在2002年1月8日,一个未知exploit被一个Solaris 蜜罐捕获,这是第一个有书面记载的未知exploit捕获。这一事件对安全领域产生了很大的触动,也使得很多安全专家大跌眼镜。这一事件表明蜜罐技术在防御未知威胁方面也大有用武之地。至今为止,蜜罐已经以很多种不同的形式获得了实际应用,并在安全领域中担当起越来越重要的作用。

你可能感兴趣的:(密罐技术的历史发展)