1.蜜罐的概念
蜜罐(Honeypot)首次出现在Cliff Stoll的小说“The Cuckoo’s Egg”(1990)里,蜜网项目组给出的定义是:没有业务上的用途,因此所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷,主要用以监视、检测和分析攻击。它用真实的或虚拟的系统模拟一个或多个易受攻击的主机,给入侵者提供一个容易攻击的目标,从而发现攻击者采用的手段。
2.蜜罐的价值
n捕获、发现新的攻击手段及战术方法;
n目的性强,捕获的数据价值高;
n误报率、漏报率小;
n建立安全事件行为特征库;
n相对入侵检测等其他技术,蜜罐技术比较简单,使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。
3.蜜罐的核心技术
蜜罐的核心技术一般包括数据捕获技术,数据控制技术以及数据分析技术,其中数据捕获和数据分析技术与网络分析技术类似。
数据捕获技术:数据捕获就是在入侵者无察觉的情况下,完整地记录所有进入蜜罐系统的连接行为及其活动。捕获到的数据日志是数据分析的主要来源,通过对捕获到的日志的分析,发现入侵者的攻击方法、攻击目的、攻击技术和所使用的攻击工具。一般来说收集蜜罐系统日志有两种方式:基于主机的信息收集方式和基于网络的信息收集方式。
数据分析技术:数据分析就是把蜜罐系统所捕获到的数据记录进行分析处理,提取入侵规则。从中分析是否有新的入侵特征。数据分析包括网络协议分析、网络行为分析和攻击特征分析等。对入侵数据的分析主要是找出所收集的数据哪些具有攻击行为特征,哪些是正常数据流。分析的主要目的有两个:一个是分析攻击者在蜜罐系统中的活动、扫描击键行为、非法访问系统所使用工具、攻击目的何在以及提取攻击特征;另一个是对攻击者的行为建立数据统计模型,看其是否具有攻击特征,若有则发出预警,保护其它正常网络,避免受到相同攻击。
4.常用的蜜罐系统
4.1Honeyd
一款优秀的虚拟蜜罐系统,提供强大易用的功能。
n可以模拟任意TCP/UDP网络服务,如IIS, Telnet, pop3…;
n支持同时模拟多个IP地址主机;
n最多同时支持65535个IP地址;
n支持ICMP,对ping和traceroute做出响应;
n通过代理和重定向支持对实际主机、网络服务的整合;
n提供UI用户界面;
nHoneyd与NIDS结合使用,能捕获更多更全面的攻击信息
通过部署Honeyd可以对黑客攻击进行捕获和分析,达到以下效果:
n了解黑客在干什么
n了解黑客的攻击方法
n捕获他们的键击记录
n捕获他们的攻击工具
n监控他们的会话
4.2DTK
DTK(DeceptionToolkit) 由FredChoen用Perl语言编写的一组源代码公开的脚本程序,采用服务仿真技术,是最早出现的一种欺骗系统,它可以在几分钟内部署一系列的陷阱,以显著提高攻击代价,同时降低防御成本,欺骗自动攻击程序,使其无效。