蜜罐技术简介

蜜罐技术简介

1.蜜罐的概念

蜜罐(Honeypot)首次出现在Cliff Stoll的小说“The Cuckoo’s Egg”(1990)里,蜜网项目组给出的定义是:没有业务上的用途,因此所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷,主要用以监视、检测和分析攻击。它用真实的或虚拟的系统模拟一个或多个易受攻击的主机,给入侵者提供一个容易攻击的目标,从而发现攻击者采用的手段。

2.蜜罐的价值

n捕获、发现新的攻击手段及战术方法;

n目的性强,捕获的数据价值高;

n误报率、漏报率小;

n建立安全事件行为特征库;

n相对入侵检测等其他技术,蜜罐技术比较简单,使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。

3.蜜罐的核心技术

蜜罐的核心技术一般包括数据捕获技术,数据控制技术以及数据分析技术,其中数据捕获和数据分析技术与网络分析技术类似。

数据捕获技术:数据捕获就是在入侵者无察觉的情况下,完整地记录所有进入蜜罐系统的连接行为及其活动。捕获到的数据日志是数据分析的主要来源,通过对捕获到的日志的分析,发现入侵者的攻击方法、攻击目的、攻击技术和所使用的攻击工具。一般来说收集蜜罐系统日志有两种方式:基于主机的信息收集方式和基于网络的信息收集方式。

数据分析技术:数据分析就是把蜜罐系统所捕获到的数据记录进行分析处理,提取入侵规则。从中分析是否有新的入侵特征。数据分析包括网络协议分析、网络行为分析和攻击特征分析等。对入侵数据的分析主要是找出所收集的数据哪些具有攻击行为特征,哪些是正常数据流。分析的主要目的有两个:一个是分析攻击者在蜜罐系统中的活动、扫描击键行为、非法访问系统所使用工具、攻击目的何在以及提取攻击特征;另一个是对攻击者的行为建立数据统计模型,看其是否具有攻击特征,若有则发出预警,保护其它正常网络,避免受到相同攻击。

4.常用的蜜罐系统

4.1Honeyd

一款优秀的虚拟蜜罐系统,提供强大易用的功能。

n可以模拟任意TCP/UDP网络服务,如IIS, Telnet, pop3…

n支持同时模拟多个IP地址主机;

n最多同时支持65535个IP地址;

n支持ICMP,对ping和traceroute做出响应;

n通过代理和重定向支持对实际主机、网络服务的整合;

n提供UI用户界面;

nHoneyd与NIDS结合使用,能捕获更多更全面的攻击信息

通过部署Honeyd可以对黑客攻击进行捕获和分析,达到以下效果:

n了解黑客在干什么

n了解黑客的攻击方法

n捕获他们的键击记录

n捕获他们的攻击工具

n监控他们的会话

4.2DTK

DTK(DeceptionToolkit) FredChoenPerl语言编写的一组源代码公开的脚本程序,采用服务仿真技术,是最早出现的一种欺骗系统,它可以在几分钟内部署一系列的陷阱,以显著提高攻击代价,同时降低防御成本,欺骗自动攻击程序,使其无效。

 

你可能感兴趣的:(技术,项目组,黑客攻击,入侵者)