一种蜜网技术的介绍
蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷,它以牺牲真实的没有打补丁的操作系统(一般以 Linux 为平台)为代价欺骗入侵者以达到采集黑客攻击方法和保护真实主机目标。传统蜜罐有着不少的优点,比如收集数据的保真度,蜜罐不依赖于任何复杂的检测技术等,因此减少了漏报率和误报率。使用蜜罐技术能够收集到新的攻击工具和攻击方法,而不像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。但是随着应用的广泛,传统蜜罐的缺点也开始暴露了出来,综合起来主要有 3 个方面:
(1)蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,其视图不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。
(2)蜜罐技术不能直接防护有漏洞的信息系统并有可能被攻击者利用带来一定的安全风险。
(3)攻击者的活动在加密通道上进行( IPSec,SSH,SSL,等等)增多,数据捕获后需要花费时间破译,这给分析攻击行为增加了困难。
针对以上问题出现了蜜网技术。蜜网技术实质上是一类研究型的高交互蜜罐技术,与传统蜜罐技术的差异在于,蜜网构成了一个黑客诱捕网络体系架构,在这个架构中,可以包含一个或多个蜜罐,同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。图 1 给出了蜜网的结构及其蜜罐在蜜网中的位置。其中最为关键的部件为称为 HoneyWall 的蜜网网关,包括三个网络接口,网卡 1接入外网,网卡 2 连接蜜网,而网卡 3 作为一个秘密通道,连接到一个监控网络。HoneyWall 是一个工作在链路层的桥接设备,作为蜜网与其他网络的惟一连接点,所有流入流出蜜网的网络流量都将通过 HoneyWall,并受其控制和审计,同时不会对网络数据包进行 TTL 递减和网络路由,也不会提供本身的 MAC 地址,因此对黑客而言,HoneyWall 是完全不可见的,因此黑客不会识别出其所攻击的网络是蜜网。
(1)蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,其视图不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。
(2)蜜罐技术不能直接防护有漏洞的信息系统并有可能被攻击者利用带来一定的安全风险。
(3)攻击者的活动在加密通道上进行( IPSec,SSH,SSL,等等)增多,数据捕获后需要花费时间破译,这给分析攻击行为增加了困难。
针对以上问题出现了蜜网技术。蜜网技术实质上是一类研究型的高交互蜜罐技术,与传统蜜罐技术的差异在于,蜜网构成了一个黑客诱捕网络体系架构,在这个架构中,可以包含一个或多个蜜罐,同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。图 1 给出了蜜网的结构及其蜜罐在蜜网中的位置。其中最为关键的部件为称为 HoneyWall 的蜜网网关,包括三个网络接口,网卡 1接入外网,网卡 2 连接蜜网,而网卡 3 作为一个秘密通道,连接到一个监控网络。HoneyWall 是一个工作在链路层的桥接设备,作为蜜网与其他网络的惟一连接点,所有流入流出蜜网的网络流量都将通过 HoneyWall,并受其控制和审计,同时不会对网络数据包进行 TTL 递减和网络路由,也不会提供本身的 MAC 地址,因此对黑客而言,HoneyWall 是完全不可见的,因此黑客不会识别出其所攻击的网络是蜜网。
