蜜罐技术简介

蜜罐技术简介

1.蜜罐的概念

蜜罐（Honeypot）首次出现在Cliff Stoll的小说“The Cuckoo’s Egg”(1990)里，蜜网项目组给出的定义是：没有业务上的用途，因此所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷，主要用以监视、检测和分析攻击。它用真实的或虚拟的系统模拟一个或多个易受攻击的主机，给入侵者提供一个容易攻击的目标，从而发现攻击者采用的手段。

2.蜜罐的价值

n捕获、发现新的攻击手段及战术方法；

n目的性强，捕获的数据价值高；

n误报率、漏报率小；

n建立安全事件行为特征库；

n相对入侵检测等其他技术，蜜罐技术比较简单，使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。

3.蜜罐的核心技术

蜜罐的核心技术一般包括数据捕获技术，数据控制技术以及数据分析技术，其中数据捕获和数据分析技术与网络分析技术类似。

数据捕获技术：数据捕获就是在入侵者无察觉的情况下，完整地记录所有进入蜜罐系统的连接行为及其活动。捕获到的数据日志是数据分析的主要来源，通过对捕获到的日志的分析，发现入侵者的攻击方法、攻击目的、攻击技术和所使用的攻击工具。一般来说收集蜜罐系统日志有两种方式：基于主机的信息收集方式和基于网络的信息收集方式。

数据分析技术：数据分析就是把蜜罐系统所捕获到的数据记录进行分析处理，提取入侵规则。从中分析是否有新的入侵特征。数据分析包括网络协议分析、网络行为分析和攻击特征分析等。对入侵数据的分析主要是找出所收集的数据哪些具有攻击行为特征，哪些是正常数据流。分析的主要目的有两个：一个是分析攻击者在蜜罐系统中的活动、扫描击键行为、非法访问系统所使用工具、攻击目的何在以及提取攻击特征；另一个是对攻击者的行为建立数据统计模型，看其是否具有攻击特征，若有则发出预警，保护其它正常网络，避免受到相同攻击。

4.常用的蜜罐系统

4.1Honeyd

一款优秀的虚拟蜜罐系统，提供强大易用的功能。

n可以模拟任意TCP/UDP网络服务，如IIS, Telnet, pop3…；

n支持同时模拟多个IP地址主机；

n最多同时支持65535个IP地址；

n支持ICMP，对ping和traceroute做出响应；

n通过代理和重定向支持对实际主机、网络服务的整合；

n提供UI用户界面；

nHoneyd与NIDS结合使用，能捕获更多更全面的攻击信息

通过部署Honeyd可以对黑客攻击进行捕获和分析，达到以下效果：

n了解黑客在干什么

n了解黑客的攻击方法

n捕获他们的键击记录

n捕获他们的攻击工具

n监控他们的会话

4.2DTK

DTK(DeceptionToolkit) 由FredChoen用Perl语言编写的一组源代码公开的脚本程序，采用服务仿真技术，是最早出现的一种欺骗系统，它可以在几分钟内部署一系列的陷阱，以显著提高攻击代价，同时降低防御成本，欺骗自动攻击程序，使其无效。