您的位置:360文档中心› 浅谈蜜罐系统的实现技术

浅谈蜜罐系统的实现技术

合集下载

蜜罐技术是什么

蜜罐技术是什么

第一章蜜罐技术蜜罐(Honeypot Technology)技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐好比是情报收集系统。

蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。

所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。

还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。

第二章详细解释2.1蜜罐的定义首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一定查得到痕迹……因此,蜜罐的定义是:“蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。

”设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。

另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。

2.2涉及的法律问题蜜罐是用来给黑客入侵的,它必须提供一定的漏洞,但是我们也知道,很多漏洞都属于“高危”级别,稍有不慎就会导致系统被渗透,一旦蜜罐被破坏,入侵者要做的事情是管理员无法预料的。

例如,一个入侵者成功进入了一台蜜罐,并且用它做“跳板”(指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为)去攻击别人,那么这个损失由谁来负责?设置一台蜜罐必须面对三个问题:设陷技术、隐私、责任。

设陷技术关系到设置这台蜜罐的管理员的技术,一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏,由此导致的后果将十分严重。

蜜罐技术的研究与分析

蜜罐技术的研究与分析
优 缺 点
式 。 正 因 为 高 交 互 蜜 罐 提 供 了完 全 开 放 的 系 统 给 黑 客 , 来 带 了更 高 的 风 险 , 即黑 客 可 能 通 过 这 个 开 放 的 系 统 去 攻 击 其 他 系统 。 2 - 具 体 实 现 的 角 度 , 为 物 理蜜 罐 和 虚 拟 蜜 罐 .3 2从 分 2 -. 理 蜜罐 :通 常 是 一 台或 多 台真 实 的在 网络 上 存 . 31 2 物 在的主机操作 , 主机 上 运 行 着 真 实 的操 作 系 统 . 有 自己 的 I 拥 P 地 址 , 供 真 实 的 网络 服 务 来 吸 引攻 击 。 提 223 虚 拟 蜜 罐 : 常 用 的是 虚 拟 的机 器 、 拟 的操 作 系 .-2 . 通 虚 统 , 会 响 应 发送 到虚 拟蜜 罐 的 网络 数 据 流 , 供模 拟 的 网络 它 提 服务 等 。 3蜜罐 的 关 键技 术 . 蜜 罐 的关 键 技 术 主 要 包 括欺 骗技 术 、 据 捕 获 技 术 、 据 数 数 控制 技 术 、 据 分 析 技 术 , 等 。 中 , 据 捕 获 技 术 与数 据控 数 等 其 数 制技 术 是 蜜 罐 技 术 的核 心 。
远的意 义 。 2 蜜罐 的 定 义 和 分 类 . 21 .蜜罐 的 定 义
蜜 罐 的价 值 是 在 其 被探 测 、攻击 或者 攻 陷 的 时候 才 得 到 体 现 的 。 攻 击 者 的 注 意 力 吸 引到 蜜 罐 上 , 蜜 罐 进 行工 作 的 将 是 前 提 。 骗 的成 功 与 否 取 决 于欺 骗 质 量 的 高低 。 用 的欺 骗 技 欺 常
12 4
I空 间 欺 骗 利 用 计 算 机 的 多 宿 主 能 力 .在 一 块 网卡 上 分 P 配多 个 I地 址 , 增加 入侵 者 的搜 索 空 间 , 而 显 著 增 加 他 们 P 来 从 的工 作 量 , 间接 实 现 了 安全 防护 的 目 的。 项 技 术 和 虚拟 机 技 这 术 结 合 可 建 立 一个 大 的虚 拟 网 段 , 花 费 极低 。 且 31 .2漏 洞 模 拟 。 . 即通 过模 拟操 作 系 统 和 各种 应 用 软件 存 在 的漏 洞 . 吸引 人 侵 者 进 入 设 置好 的蜜 罐 。 侵 者 在 发 起 攻击 前 , 般要 对 系 入 一 统 进 行 扫 描 , 具 有 漏 洞 的系 统 , 而 最容 易 引起 攻 击 者 攻 击 的欲 望 。 洞模 拟 的关 键 是要 恰 到 好 处 , 有 漏 洞 会 使 入 侵者 望 而 漏 没 生畏 , 洞百 出又 会 使 入侵 者心 生 疑 虑 。 漏 31 .3流 量 仿 真 。 . 蜜 罐 只有 以 真 实 网络 流 量 为 背 景 . 能 真 正 吸 引 入 侵 者 才 长期 停 驻 。流 量 仿 真 技 术 是 利用 各种 技 术 使 蜜 罐 产 生 欺 骗 的 网 络 流 量 , 样 即 使 使 用 流 量 分 析 技 术 , 无 法 检 测 到 蜜 罐 这 也 的存 在 。目前 的 方法 : 是 采 用 重 现方 式 复 制真 正 的 网络 流量 一 到诱 骗环 境 ; 是 从 远 程 产 生 伪 造 流 量 . 入 侵 者 可 以发 现 和 二 使 利用 [。 2 1 31 .. 务 伪 装 。 4服 进 入 蜜 罐 的攻 击 者 如 发 现 该 蜜 罐 不 提 供 任 何 服 务 ,就会 意识 到危 险而 迅 速 离 开蜜 罐 , 蜜罐 失 效 。 使 服务 伪 装 可 以 在 蜜 罐 中 模 拟Ht 、 r 、e n等 网 络 基 本 服 务 并 伪 造 应 答 ,使 入 t F PTl t p e 侵 者 确信 这 是 一 个 正 常 的 系统 。 31 重 定 向技 术 E。 .. 5 3 ] 即在 攻 击 者 不 知 情 的情 况 下 , 其 引 到蜜 罐 中 , 以 在 重 将 可 要 服 务器 的 附近 部 署 蜜 罐 , 服 务器 发现 可疑 行 为后 , 其 重 当 将 定 向 到蜜 罐 。 可 以使 用 代 理 蜜罐 , 还 以及 多 个蜜 罐 模 拟 真 正 的 服 务 器 , 对 服 务 器 的请 求 到 来 时 , 用 事 先 定 义 好 的 规 则 , 当 利 将 请 求 随 机发 送 到 蜜 罐 和 服 务 器 中 的一 个 , 以迷 惑攻 击者 , 用 增 大 攻击 者 陷入 蜜 罐 的 概 率 。

网络蜜罐识别技术研究与应用

网络蜜罐识别技术研究与应用

网络蜜罐识别技术研究与应用随着互联网技术的不断发展,网络安全问题也越来越受到重视。

而网络蜜罐技术作为一种主动防御手段,能够有效地识别攻击者,及时发现和处置安全威胁,得到了广泛应用。

本文将介绍网络蜜罐识别技术的基本原理、现状和未来发展趋势。

一、网络蜜罐识别技术的基本原理网络蜜罐是一种模拟目标系统或服务的计算机系统,并通过记录攻击信息、分析攻击手段及行动手法、识别攻击者等方式,来有效地检测网络攻击。

在进行网络蜜罐识别时,需要采取以下几个步骤:1.部署蜜罐系统:设置虚假系统或服务,吸引攻击者的目光。

2.收集攻击数据:收集攻击者在蜜罐系统中的行为数据和攻击数据,包括攻击方式、攻击目标、攻击时间、攻击来源等信息。

3.分析攻击数据:对收集到的攻击信息进行分析,研究攻击者的攻击手段和行动手法。

4.识别攻击者:根据攻击数据的特征和行为模式,对攻击者进行身份识别。

5.处置安全威胁:加强对系统的防御,并对攻击者进行跟踪和分析。

二、网络蜜罐识别技术的现状随着网络蜜罐技术的不断发展,网络蜜罐识别技术也得到了较大的发展。

目前,网络蜜罐识别技术主要表现在以下三个方面:1.组合架构:网络蜜罐识别技术已经发展到了“AI+蜜罐”的阶段,通过运用人工智能和机器学习技术,来识别攻击者并预测攻击行为。

2.动态分析:网络蜜罐识别技术已经局限于静态分析,不能有效地识别零日攻击(zero-day threat)。

因此,通过将动态分析技术与网络蜜罐技术相结合,可以提高攻击检测的精度。

3.云端部署:通过将网络蜜罐部署在云端环境中,可以降低成本和提高可扩展性。

三、网络蜜罐识别技术的未来发展趋势未来,网络蜜罐识别技术将朝着以下几个方向不断发展:1.机器学习:机器学习技术可以根据攻击者的行为特征和模式,预测攻击行为,并进行实时响应,从而提高网络蜜罐的精度和效率。

2.大数据:通过采集和学习数据,建立大数据分析模型,可以增强网络蜜罐的检测能力和识别能力。

分布式蜜罐系统的设计与实现

分布式蜜罐系统的设计与实现
o en t c e o e p t a i  ̄ A i d o c n q e o iti u e o e p t n t eb sso o e p t e t g wh c e p d fe e t f i g at k d h n y o sl b a e y kn f e h iu fd sr t d h n y o a i fh n y o t n i h s t i r n t b o h s i u h n y o f lt o f i da i e e t y tms a dt e t a se i f r e ih r u d y f e s a kt er a n t o k i f r - o e p t a o me t f r n s o f r a d s e , n n amu l y t m o h u s s m d wh c o n l e d c e } e b h w r o ma n t n a s l i r d c s h le aa m t d t el a l r a eo s m f c i ey i , sar u t t e u e ef s l r r ea e k a a r t fs t e e t l ̄ o e , t a a n h m y e v Ke r s i t so e e t n a e t h n y o ; i e t c to ff g r r t s se o i r u e o e p t y wo d : n r i n d t ci ; g n ; o e p t d n i ai n o n e p n ; y t m f si t dh n y o u o i f i i d tb
分布式蜜罐系统的设计与实现
肖军 弼 , 刘 广 神 ( 国石 油 大 学( 东)计 算机 与通 信 工程 学 院 ,山 东 青 岛 265) 中 华 655

蜜罐技术原理和攻击方法

蜜罐技术原理和攻击方法

蜜罐技术原理和攻击方法蜜罐是一种极为重要的安全技术,用于锁定攻击者、收集攻击者的黑客行为数据,以帮助安全团队更好地了解攻击者及其攻击方法,优化安全策略。

本文将介绍蜜罐技术原理和攻击方法。

蜜罐技术原理蜜罐是一种用来诱捕攻击者的虚拟或实体系统,它可以模拟真实系统环境,以吸引攻击者主动进攻。

攻击者攻击蜜罐时,安全团队可以在不影响真实环境的情况下收集攻击者的行为数据、攻击手段和攻击方式,从而深入掌握攻击者的攻击行为。

蜜罐可以根据使用场景和目的分为两种类型:高交互型和低交互型。

高交互型蜜罐是指模拟真实系统环境,可以与攻击者进行类似于真实环境中的交互。

高交互型蜜罐一般需要较高的部署成本和维护成本,但是可以提供更完整的攻击者行为数据。

高交互型蜜罐的应用场景主要包括网络攻击检测、漏洞研究、异常流量监测等。

低交互型蜜罐是指一些虚拟机、容器或网络设备等,它们使用低功耗设备,通常只提供有限的迷惑信息,拦截并记录攻击者的进攻行为。

由于低交互型蜜罐部署简单,适用范围广泛,因此在互联网和企业内部网络中得到了广泛的应用。

蜜罐技术攻击方法虽然蜜罐技术在安全领域中得到了广泛的应用,但在攻击者眼中,蜜罐通常被视为一个诱饵,攻击者会针对蜜罐进行攻击。

攻击者的攻击方法通常包括以下几种:1. 暴力破解攻击:攻击者会使用一些破解工具,对蜜罐进行暴力破解。

2. 恶意软件攻击:攻击者会在蜜罐中植入恶意软件,企图获取蜜罐内部的数据。

3. 认证攻击:攻击者会试图发现蜜罐的弱点,并利用这些弱点进行认证攻击。

4. 信息收集攻击:攻击者会使用一些网络工具,对蜜罐进行信息收集,以获得足够的攻击情报。

为了有效地防御攻击者的攻击,应当结合以下几方面措施:1. 网络拓扑结构优化:优化网络拓扑结构,使蜜罐与假蜜罐等对抗技术难以检测,从而提高蜜罐的安全性。

2. 蜜罐部署策略优化:根据实际情况,灵活调整蜜罐的部署策略,对攻击者进行有效的诱饵和收集。

3. 攻击者欺骗技术:通过欺骗攻击者,让攻击者认为他们已经成功攻击到真实系统,从而引导他们进入蜜罐。

蜜罐实现原理

蜜罐实现原理

蜜罐实现原理蜜罐(Honeypot)是一种用于诱捕黑客的安全机制,它模拟了一个看似易受攻击的系统或网络,吸引攻击者入侵并收集其攻击行为和手段。

蜜罐的实现原理主要包括以下几个方面。

1. 诱饵设置蜜罐的首要任务是诱使攻击者感兴趣并试图攻击。

为了实现这一目标,蜜罐需要设置一些诱饵,例如开放的端口、弱密码账户、易受漏洞影响的应用程序等。

这些诱饵看似真实,但实际上是对攻击者进行诱导和引导的。

2. 日志记录蜜罐需要详细记录攻击者的所有行为和操作,包括攻击手段、攻击目的、攻击时间等信息。

通过对攻击行为的分析,可以及时发现攻击者的新手段和攻击趋势,为安全防护提供重要参考。

3. 网络监控蜜罐通常会与真实网络环境相隔离,以避免攻击对真实系统造成影响。

但同时,蜜罐也需要与网络环境保持连接,并监控网络流量。

通过对网络流量的监控和分析,可以及时发现攻击者的扫描行为、漏洞利用等攻击活动。

4. 虚拟化技术为了提高蜜罐的安全性和可靠性,通常会使用虚拟化技术。

通过将蜜罐部署在虚拟机中,可以有效隔离蜜罐与真实系统,防止攻击对真实系统造成影响。

同时,虚拟化技术还可以方便地进行蜜罐的部署和管理。

5. 威胁情报分享蜜罐收集到的攻击行为和手段可以作为威胁情报分享给其他安全团队或组织。

通过分享威胁情报,可以提高整个安全社区对新型攻击的认知和防范能力,从而共同应对不断演变的威胁。

6. 响应机制当蜜罐检测到攻击行为时,需要采取相应的响应措施。

这些响应措施可以包括拦截攻击流量、阻止攻击者的访问、向攻击者发送虚假信息等。

通过灵活和及时的响应机制,可以最大程度地阻止攻击者的进一步攻击。

7. 学习分析蜜罐不仅仅是用来吸引攻击者的陷阱,还是一个用于学习和分析攻击手段的平台。

通过对攻击者的行为和手段进行分析,可以及时发现新的攻击方式和漏洞利用技术,从而改进系统的安全性。

蜜罐的实现原理是通过设置诱饵、记录日志、监控网络、使用虚拟化技术、分享威胁情报、响应攻击和学习分析等手段来吸引攻击者,并收集其攻击行为和手段。

蜜罐技术详解与案例分析

蜜罐技术详解与案例分析

蜜罐技术详解与案例分析蜜罐技术是一种用于检测和诱捕黑客攻击的安全防御工具。

它通过模拟漏洞和易受攻击的目标来吸引攻击者,并记录他们的行为。

本文将详细介绍蜜罐技术的原理、分类以及几个成功的案例分析。

一、蜜罐技术的原理蜜罐技术的核心原理是通过创建一个看似真实的系统或网络,来吸引和诱捕黑客攻击。

蜜罐可以是一个虚拟机、一个虚拟网络或一个物理设备,在这个系统中,存在着一些看似易受攻击的漏洞或是敏感信息。

当攻击者企图入侵或攻击这些漏洞时,蜜罐会记录下他们的攻击行为和手段,并提供有关攻击者的详细信息。

二、蜜罐技术的分类蜜罐可以分为以下几种不同类型:1. 高交互蜜罐:这种蜜罐模拟了一个完整的系统,攻击者可以与之进行实时互动,这包括使用真实的漏洞和服务。

高交互蜜罐提供了最真实的攻击场景,并能够获取最多的攻击者信息,但它也存在一定的风险和安全隐患。

2. 低交互蜜罐:这种蜜罐只模拟了一部分的系统服务或功能,它减少了与攻击者的互动,因此相对较安全。

低交互蜜罐可以快速部署和更新,但信息收集相对较少。

3. 客户端蜜罐:这种类型的蜜罐主要用于追踪和识别客户端攻击,例如恶意软件的传播、垃圾邮件的发送等。

客户端蜜罐可以帮助安全团队及时发现客户端攻击行为,并采取相应的措施。

4. 网络蜜罐:这种蜜罐放置在网络中,用于监测网络攻击和入侵。

它可以模拟各种网络服务和协议,以吸引攻击者对网络进行攻击。

5. 物理蜜罐:这种类型的蜜罐是一台真实的物理设备,通常用于保护企业的关键系统和数据。

物理蜜罐可以监测并记录与其交互的攻击者的行为,从而提高企业的安全性。

三、蜜罐技术的案例分析以下是几个成功的蜜罐技术案例分析:1. Honeynet计划Honeynet计划是一个非营利性的组织,致力于通过蜜罐技术、漏洞研究和威胁情报分享来提高网络安全。

他们搭建了一系列全球分布的蜜罐网络,成功地识别了许多高级攻击行为,并提供了有关黑客活动的详细报告。

2. CanSecWest PWN2OWN比赛PWN2OWN是一项安全比赛活动,鼓励研究人员发现和报告操作系统和网络浏览器的安全漏洞。

蜜罐技术

蜜罐技术

蜜罐(Honeypot)技术蜜罐技术是入侵检测技术的一个重要发展方向,它已经发展成为诱骗攻击者的一种非常有效而实用的方法,它不仅可以转移入侵者的攻击,保护主机和网络不受入侵,而且可以为入侵的取证提供重要的线索和信息。

蜜罐概述蜜罐是一种在互联网上运行的计算机系统,它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人而设计的。

蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或者多个易受攻击的主机,给攻击者提供一个容易攻击的目标。

由于蜜罐并没有像外界提供真正有价值的服务,因此所有链接的尝试都将被视为是可疑的。

蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。

这样,最初的攻击目标得到了保护,真正有价值的内容没有受到侵犯。

此外,蜜罐也可以为追踪攻击者提供有用的线索,为起诉攻击者搜集有力的证据。

从这个意义上说,蜜罐就是“诱捕”攻击者的一个陷阱。

1.1 蜜罐的概念L.Spitzner是一名蜜罐技术专家,他对蜜罐做了这样的定义:蜜罐是一种资源,它的价值是被攻击或者攻陷,这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会修补任何东西,这样就为使用者提供了额外的、有价值的信息。

蜜罐不会直接提高计算机网络安全,但它却是其他安全策略所不可替代的一种主动防御技术。

无论使用者如何建立和使用蜜罐,只有蜜罐受到攻击,它的作用才能发挥出来。

为了方便攻击者攻击,最好是将蜜罐设置成域名服务器(DNS)、Web或者电子邮件转发服务等流行应用中的某一种。

1.2蜜罐的安全价值根据设计的最终目的不同可以将蜜罐分为产品型蜜罐和研究型蜜罐。

1、产品型蜜罐产品型蜜罐一般运用于特定组织中以减小各种网络威胁,它增强了产品资源的安全性。

产品型蜜罐最大的价值就是检测,这是因为产品型蜜罐可以降低误报率和漏报率,这极大地提高了检测非法入侵行为的成功率。

在响应中也会增强整个组织对意外事件的响应能力,但是蜜罐不能阻止入侵者进入那些易受攻击的系统。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

模 拟 系统 漏 洞 和 应 用服 务 可 以 预 期一 些 活 动 ,并 且 旨在 可以 给 出 些端 口响 应无 法 给 出 的响 应 。 譬

如 ,可 能 有 一种 蠕 虫 病毒 正 在 扫 描 特定的 IS漏洞 ,在 这种情况 下 ,可 I 以构建一个模拟 Mir sf IS We co ot I b 服务器的 Ho e p t n y o ,并包括通 常会 伴随 该 程 序 的一 些 额 外 的功 能 或者 行为。无论何时对该 Ho e p t 立 ny o建 ht 连接 ,它都会以一 个 I b服 t p I We S 务 器的 身 份加 以 响 应 ,从 而 为 攻 击 者提供一个与实际的 I b服务器 I We S 进行 交 互 的机 会 。这 种级 别 的 交互 比端 口模拟 所 收 集到 的信 息 要丰 富 识 破 ,掉 进 其 中的 黑 客就 会 很 快 逃 得 多。 走 ,甚 至 进行 一 些 针 对 蜜罐 的 报 复 1 .3 P空 间欺骗 .1 I 性攻 击 。因此 ,需要 系统动 态配置来 I 空 间欺 骗利 用计 算机 的多 宿 模 拟 正 常 的 系统 行 为 ,使 蜜罐 也 像 P 主能 力在一 块 儿网卡 上分 配 多个 I 真 实 网 络 系统 那 样 随 时 问而 改 变 。 P 地址 来 增加 入 侵者 的 搜 索 空 间 ,使 动态 配 置 的 系统 状 态应 该 能 尽 可 能 他们 的 工作 量 增加 。使 用 这 项技 术 地 反 映 出真 实 系统 的特 性 。生 产 型 和虚 拟机 技 术 来 建立 一 个 大 的虚 拟 蜜罐 保 护 关键 系统 ,其 系统 状 态 应 网段 ,只需要 极低的花费 。如一些 蜜 该 同关 键 系统 尽 量 保 持一 致 , 系统 罐 系统 采用 ARP地 址欺骗技 术 ,探 动 态 配 置 对 于 这 类 蜜罐 更 加 重 要 。 测现有 网络环境 中不存在 的 I P地址 , 系统提 供的 网络服 务的开 启 、关 闭 、 并 发送 ARP数据 包假 冒不 存在的 主 重启 、配 置等 都 应 该 在 蜜罐 中有 相 机从 而达到 I P欺 骗的 目的 。 应 的体现 和调 整 。对于研 究型 蜜罐 , 1 .4 流量 仿真 .1 适 时 地 调 整其 各 种 系统 状 态 和 配 置 入 侵 者 侵入 系统 后 ,他 们通 常 使 系统 更逼 真 ,增 加 其对 黑 客 的欺 会非 常谨 慎 。他们 可 能 会 使 用一 些 骗性 。 工具 分 析 系统 的 网络 流 量 ,如果 发 1 .6 组 织信息欺 骗 .1 现 系统 网络 流量 很 少 ,就 会怀 疑 系 如果 某 个 组 织提 供 有 关 个 人 和 统 的真 实 性 。流量 仿 真 是利 用 各 种 系统 信 息 的访 问 ,那 么欺 骗 也 必 须 技 术手 段 产 生欺 骗 的 网络 流 量 使 流 以某 种 方式 反映 出这 些信息 。 例如 , 量 分析 不 能检 测 到 欺 骗 。现 在 主 要 如果 组织的 DNS服 务器包 含 了个 人

蜜 罐技 术 是 对现 有 安 全技 术 的 进 一步 完 善和 补 充 ,它 是 通过 对 现 有 系统 的 模 拟 造 就 一 个 仿 真 系统 , 这 个仿 真 系统 对 黑客 有 同真 系统一 样的吸引力 ,在防火墙和 I S的协助 D
工作 系统 时 ,黑客 才 会对 系统 进 行
是 侦 听非 工 作 的服 务 端 口。 当黑 客 现 的 方 式 复制 真 正 的 网络 流 量 ,这 那 么你 就需要 在欺骗 的 DNS列表 中 通 过端 口扫 描 检测 到 系 统打 开 了非 使 得 欺 骗 系统 与 真 实 的 系统 十 分相 具 有 伪造 的 拥 有者 及 其 位 置 ,否 则 工作 的服 务 端 口时 ,他 们 很 可能 主 似 。二是从远程伪造流量 ,使入侵者 欺骗很容 易被发现 。而且 ,伪造的人

善 懿 鬣 j
蜜罐 系统是信 收集和研 究攻击行为的一
个 重 要 工 具 誊 文 分析 了蜜罐 系统 的实 现 本
技术 ’并指 出 了蜜罐 系统存在缺陷。
蜜罐;蜜罐的伪 装;采集信 息;数据控制; =
数据 分 析
技 术 ,模 仿 正常 服 务 器软 件的 一些 下 ,记录黑客的网络交互信 息 ,通过 基 本 行 为吸 引黑 客攻 击 ,但很 容 易 对记录 信息 的分析来 掌握 I DS检 测 被 黑 客识 破 ,采 集 不到 太 多的 有用 不 到 的 攻 击 以 及 攻 击 的 整 个 过 程 , 黑客信息 。采用真实 系统作蜜罐 ,能 并 对新 的攻 击 行 为设 计 出有 针对 性 提 供 黑客 与 系统 的 交互 能 力 ,伪 装 的 防范 措施 ,使 得整 个 网络 的安 全 程 度 明显 提 高 。但 如果 暴 露 出太 多 性 能得 到提 高 。利 用 蜜罐 认 识黑 客 的漏洞 ,也会 引起黑客的怀疑 ,只有 有一 定 的 复杂性 ,搭 建 的蜜 罐 不仅 适 当打 一 些补 丁 。使用 真 实的 系统 要不被黑 客识破 ,还要采 集到信 息 , 并 对 系统 进行 配 置 ,这 样 黑客 不容 就 必须 解决 伪 装逼 真 、控 制 适 度和 易识 破 真 伪 。最 为逼 真 的 配置 办法 完 整的 信息 采 集这 三 个 问题 。采 集 是把 一 个 修改 过 敏感 信 息 的工 作系 到数 据之 后 ,还 要 对 数据 进 行分 析 统 的 内容直 接 复 制到 蜜罐 上 ,用虚 处理 ,从 中提 取有 价值 的信 息 。 假 的信 息替 换 掉 真实 的 用 户信 息和 1 蜜罐 系统 的实现 技术 文档 。更 为高 级 的蜜 罐 系统 是设 置 包括蜜罐的伪装 、采集信息、数 个 包 含 多台 蜜 罐 机 的 网络 环 境 , 据 控制 、数据 分析 四个 部分 。 来提 高 蜜罐 系统 的伪 装程 度 。 目前 1 .1 蜜罐的伪装 有以 下集 中伪 装方法 : 1 .1 模拟服 务端 口 .1 当蜜 罐表 现 得 如 同一 个正 常 的

薯垂 叠




薯 繁
中 国科技信息21年第 期 cI CNE 00 H ASIC № TC  ̄OYIo N E Eh G Ff o 捌 0 _ N N N 蠹0
誊 叠 要 i 誊 j 誊 鋈
l l
浅谈蜜罐 系统的实现技术
谭琼玲 湖南省永 州职业技术 学院商贸旅游 学院 4 5 0 21 0
动 向这 些 端 口发起 连 接 ,并试 图利 用应 用服 务 的 漏洞 或 已知 系统 来 发 送 攻 击代 码 。而 蜜罐 系 统 通过 端 口 响应 来收 集 所需 要 的 信 息 。 但是 由 于 简单 的 模 拟非 工 作 服 务端 口,最 多只能 与 黑 客建 立 连 接 ,所 以获 取 的信息是 有限 的 。 1 .2 模拟系统漏洞和应用服 .1
攻击 ;只有逼真 ,黑客才会在蜜罐上 较 长 时 间的 停 留 ,暴露 出更 多的信 息 。最初 的 蜜罐 系统采 用 伪造 服 务
ll l
¨¨

¨
诱 骗 黑 客 攻 击的 常 用 欺 骗手 段
的方 法 有 两种 。一 是 采 用 实时 ,
相关文档
最新文档