技术培训-蜜罐与蜜网技术介绍
蜜罐技术是什么
第一章蜜罐技术蜜罐(Honeypot Technology)技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐好比是情报收集系统。
蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。
所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。
还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
第二章详细解释2.1蜜罐的定义首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一定查得到痕迹……因此,蜜罐的定义是:“蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。
”设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。
另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。
2.2涉及的法律问题蜜罐是用来给黑客入侵的,它必须提供一定的漏洞,但是我们也知道,很多漏洞都属于“高危”级别,稍有不慎就会导致系统被渗透,一旦蜜罐被破坏,入侵者要做的事情是管理员无法预料的。
例如,一个入侵者成功进入了一台蜜罐,并且用它做“跳板”(指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为)去攻击别人,那么这个损失由谁来负责?设置一台蜜罐必须面对三个问题:设陷技术、隐私、责任。
设陷技术关系到设置这台蜜罐的管理员的技术,一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏,由此导致的后果将十分严重。
蜜罐及蜜网技术
信息系统安全与对抗技术蜜罐及蜜网技术❖L.Spiuner是一名蜜罐技术专家,他对蜜罐的定义:蜜罐是一种资源,它的价值是被攻击或攻陷,这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会修补任何东西,这样就为使用者提供了额外的、有价值的信息。
❖蜜罐不会直接提高计算机网络安全,但它却是其他安全策略所不可替代的一种主动防御技术。
❖产品型蜜罐的价值•运用于特定组织中以减小各种网络威胁,它增强了产品资源的安全性•防护•检测•响应❖研究型蜜罐的安全价值•研究型蜜罐可以捕获自动攻击•研究型蜜罐并不会降低任何风险与威胁,但是它们可以帮助使用者获得更多入侵者的信息❖诱骗服务(Deception Service)❖弱化系统(Weakened System)❖强化系统(Hardened System)❖用户模式服务器❖诱骗服务(Deception Service)•足以让攻击者相信是一件非常困难的事情❖弱化系统(Weakened System)❖强化系统(Hardened System)❖用户模式服务器❖诱骗服务(Deception Service )❖弱化系统(Weakened System )❖强化系统(Hardened System )❖用户模式服务器•是一个配置有已知攻击弱点的操作系统•恶意攻击者更容易进入系统❖诱骗服务(Deception Service)❖弱化系统(Weakened System)❖强化系统(Hardened System)•强化系统并不配置一个看似有效的系统❖用户模式服务器❖诱骗服务(Deception Service)❖弱化系统(Weakened System)❖强化系统(Hardened System)❖用户模式服务器❖配置蜜罐的实例•蜜罐系统应该与任何真实的产品系统隔离•尽量将蜜罐放置在距离外网最近的位置•需要有步骤地记录所有通过蜜罐的信息❖配置蜜罐的实例❖产品型蜜罐❖研究型蜜罐❖根据交互的程度分类•低交互蜜罐:只提供—些特殊的虚假服务低交互蜜罐蜜罐的分类❖根据交互的程度分类•低交互蜜罐:只提供—些特殊的虚假服务•中交互蜜罐:中交互蜜罐提供了更多的交互信息,但还是没有提供一个真实的操作系统中交互蜜罐蜜罐的分类❖根据交互的程度分类•低交互蜜罐:只提供—些特殊的虚假服务•中交互蜜罐:中交互蜜罐提供了更多的交互信息,但还是没有提供一个真实的操作系统•高交互蜜罐:高交互蜜罐具有一个真实的操作系统高交互蜜罐蜜罐的分类❖蜜罐基本分类•牺牲型蜜罐•外观型蜜罐•测量型蜜罐❖由多个系统和多个攻击检测应用组成的网络❖信息控制❖信息捕获❖信息收集密网(Honeynet)分布式蜜网❖只要谈及蜜罐,就会使人联想到“诱骗”。
无线网络安全的蜜罐技术应用
无线网络安全的蜜罐技术应用无线网络的广泛应用为人们的生活带来了很多便利,但与此同时也给网络安全带来了挑战。
为了保障无线网络的安全性,蜜罐技术作为一种重要的网络安全手段逐渐被广泛应用。
本文将介绍蜜罐技术的原理及其在无线网络安全中的应用。
一、蜜罐技术概述蜜罐技术又称为“网络陷阱”,是一种通过模拟或虚拟方式制造一个看似易受攻击的系统或网络环境,以吸引黑客入侵,从而收集和分析黑客攻击行为、手段及相关信息的安全技术。
蜜罐技术通过追踪黑客攻击活动,为网络安全人员提供了重要的信息来源和对策建议。
二、蜜罐技术在无线网络安全中的应用2.1 蜜罐的部署在无线网络中,蜜罐技术可以通过开放性的无线接入点或虚拟的无线网络来进行部署。
开放性的无线接入点是一种被故意设置为没有安全密码的Wi-Fi接入点,吸引黑客进行入侵。
虚拟的无线网络则是通过虚拟机技术创建一个模拟的无线网络环境,实现对黑客的引诱。
这两种方式都可以有效地吸引黑客并获取攻击信息。
2.2 蜜罐的监测和分析蜜罐技术能够精确记录和监测黑客攻击的全过程,包括攻击来源、攻击方式、攻击目标以及攻击手段等。
网络安全人员可以通过对这些攻击行为的分析,及时了解黑客的攻击手法和目的,并制定相应的防御策略。
此外,蜜罐还可以记录黑客的攻击过程和使用的工具,为进一步的溯源和定位提供技术依据。
2.3 蜜罐的诱捕与干预为了提高蜜罐的可信度和吸引力,蜜罐技术可以对黑客进行主动干预。
通过设置特定的诱饵和陷阱,引诱黑客进一步深入攻击并留下更多的痕迹。
这种干预不仅可以增加黑客的攻击成本,还可以使其暴露更多的攻击技巧和手段,帮助网络安全人员更好地了解和抵御黑客攻击。
2.4 蜜罐的防御作用蜜罐技术在无线网络安全中的应用不仅仅是为了收集黑客的攻击信息,还可以起到防御的作用。
通过蜜罐技术,网络安全人员可以及时发现和拦截未知的攻击行为,并通过实时监测和分析蜜罐活动,及时采取相应的防御措施,有效地保护无线网络的安全。
蜜罐技术原理和攻击方法
蜜罐技术原理和攻击方法蜜罐是一种极为重要的安全技术,用于锁定攻击者、收集攻击者的黑客行为数据,以帮助安全团队更好地了解攻击者及其攻击方法,优化安全策略。
本文将介绍蜜罐技术原理和攻击方法。
蜜罐技术原理蜜罐是一种用来诱捕攻击者的虚拟或实体系统,它可以模拟真实系统环境,以吸引攻击者主动进攻。
攻击者攻击蜜罐时,安全团队可以在不影响真实环境的情况下收集攻击者的行为数据、攻击手段和攻击方式,从而深入掌握攻击者的攻击行为。
蜜罐可以根据使用场景和目的分为两种类型:高交互型和低交互型。
高交互型蜜罐是指模拟真实系统环境,可以与攻击者进行类似于真实环境中的交互。
高交互型蜜罐一般需要较高的部署成本和维护成本,但是可以提供更完整的攻击者行为数据。
高交互型蜜罐的应用场景主要包括网络攻击检测、漏洞研究、异常流量监测等。
低交互型蜜罐是指一些虚拟机、容器或网络设备等,它们使用低功耗设备,通常只提供有限的迷惑信息,拦截并记录攻击者的进攻行为。
由于低交互型蜜罐部署简单,适用范围广泛,因此在互联网和企业内部网络中得到了广泛的应用。
蜜罐技术攻击方法虽然蜜罐技术在安全领域中得到了广泛的应用,但在攻击者眼中,蜜罐通常被视为一个诱饵,攻击者会针对蜜罐进行攻击。
攻击者的攻击方法通常包括以下几种:1. 暴力破解攻击:攻击者会使用一些破解工具,对蜜罐进行暴力破解。
2. 恶意软件攻击:攻击者会在蜜罐中植入恶意软件,企图获取蜜罐内部的数据。
3. 认证攻击:攻击者会试图发现蜜罐的弱点,并利用这些弱点进行认证攻击。
4. 信息收集攻击:攻击者会使用一些网络工具,对蜜罐进行信息收集,以获得足够的攻击情报。
为了有效地防御攻击者的攻击,应当结合以下几方面措施:1. 网络拓扑结构优化:优化网络拓扑结构,使蜜罐与假蜜罐等对抗技术难以检测,从而提高蜜罐的安全性。
2. 蜜罐部署策略优化:根据实际情况,灵活调整蜜罐的部署策略,对攻击者进行有效的诱饵和收集。
3. 攻击者欺骗技术:通过欺骗攻击者,让攻击者认为他们已经成功攻击到真实系统,从而引导他们进入蜜罐。
蜜罐技术详解与案例分析
蜜罐技术详解与案例分析蜜罐技术是一种用于检测和诱捕黑客攻击的安全防御工具。
它通过模拟漏洞和易受攻击的目标来吸引攻击者,并记录他们的行为。
本文将详细介绍蜜罐技术的原理、分类以及几个成功的案例分析。
一、蜜罐技术的原理蜜罐技术的核心原理是通过创建一个看似真实的系统或网络,来吸引和诱捕黑客攻击。
蜜罐可以是一个虚拟机、一个虚拟网络或一个物理设备,在这个系统中,存在着一些看似易受攻击的漏洞或是敏感信息。
当攻击者企图入侵或攻击这些漏洞时,蜜罐会记录下他们的攻击行为和手段,并提供有关攻击者的详细信息。
二、蜜罐技术的分类蜜罐可以分为以下几种不同类型:1. 高交互蜜罐:这种蜜罐模拟了一个完整的系统,攻击者可以与之进行实时互动,这包括使用真实的漏洞和服务。
高交互蜜罐提供了最真实的攻击场景,并能够获取最多的攻击者信息,但它也存在一定的风险和安全隐患。
2. 低交互蜜罐:这种蜜罐只模拟了一部分的系统服务或功能,它减少了与攻击者的互动,因此相对较安全。
低交互蜜罐可以快速部署和更新,但信息收集相对较少。
3. 客户端蜜罐:这种类型的蜜罐主要用于追踪和识别客户端攻击,例如恶意软件的传播、垃圾邮件的发送等。
客户端蜜罐可以帮助安全团队及时发现客户端攻击行为,并采取相应的措施。
4. 网络蜜罐:这种蜜罐放置在网络中,用于监测网络攻击和入侵。
它可以模拟各种网络服务和协议,以吸引攻击者对网络进行攻击。
5. 物理蜜罐:这种类型的蜜罐是一台真实的物理设备,通常用于保护企业的关键系统和数据。
物理蜜罐可以监测并记录与其交互的攻击者的行为,从而提高企业的安全性。
三、蜜罐技术的案例分析以下是几个成功的蜜罐技术案例分析:1. Honeynet计划Honeynet计划是一个非营利性的组织,致力于通过蜜罐技术、漏洞研究和威胁情报分享来提高网络安全。
他们搭建了一系列全球分布的蜜罐网络,成功地识别了许多高级攻击行为,并提供了有关黑客活动的详细报告。
2. CanSecWest PWN2OWN比赛PWN2OWN是一项安全比赛活动,鼓励研究人员发现和报告操作系统和网络浏览器的安全漏洞。
学习使用计算机网络蜜罐工具
学习使用计算机网络蜜罐工具在网络安全领域中,蜜罐是一种被用于吸引黑客攻击的工具。
通过监控攻击者在其上进行的活动,蜜罐能够收集到有关攻击者的行为和策略的宝贵信息。
在本文中,我们将介绍如何学习使用计算机网络蜜罐工具。
一、蜜罐概述蜜罐是一种安全工具,旨在模拟真实系统或网络环境,诱使黑客攻击,以便收集攻击者的信息,并帮助分析其攻击手段和策略。
蜜罐存在于网络中,它们看起来与真实系统没有区别,吸引攻击者来攻击。
通过监控和分析攻击者的行为,可以及时采取有效措施来保护真实系统的安全。
二、选择蜜罐工具学习使用计算机网络蜜罐工具之前,我们需要选择适合自己需求的工具。
常用的蜜罐工具有以下几种:1. Honeyd:一种低交互蜜罐工具,通过模拟多个虚拟主机来吸引攻击者。
它能够生成大量的虚拟网络流量,提供灵活的配置选项。
2. Dionaea:一种高交互蜜罐工具,主要用于模拟Windows系统环境。
它能够捕获并记录攻击者使用的恶意软件和漏洞利用工具。
3. Kippo:一种针对SSH服务的低交互蜜罐工具。
它模拟了一个可正常登录的SSH服务器,以吸引攻击者尝试破解密码或进行其他恶意活动。
4. Cowrie:一种基于Kippo的改进版高交互蜜罐工具,能够记录并分析攻击者的操作行为,并提供更好的安全性和可扩展性。
5. Glastopf:一种基于Web应用的低交互蜜罐工具,用于模拟各种Web服务的漏洞和攻击场景。
它能够记录攻击者使用的恶意URL和Payload。
根据自己的需求和技术水平,选择合适的蜜罐工具进行学习和实践。
三、安装和配置蜜罐工具安装和配置蜜罐工具可能略有不同,具体步骤可以参考相应工具的官方文档或网络上的教程。
以Honeyd工具为例,简要介绍一下安装和配置的基本步骤:1. 下载和安装Honeyd工具。
可以在官方网站或开源软件存储库中获取到Honeyd的安装文件。
2. 创建Honeyd配置文件。
配置文件定义虚拟机的IP地址、操作系统类型、开放的端口以及其他参数。
蜜罐技术
蜜罐(Honeypot)技术蜜罐技术是入侵检测技术的一个重要发展方向,它已经发展成为诱骗攻击者的一种非常有效而实用的方法,它不仅可以转移入侵者的攻击,保护主机和网络不受入侵,而且可以为入侵的取证提供重要的线索和信息。
蜜罐概述蜜罐是一种在互联网上运行的计算机系统,它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人而设计的。
蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或者多个易受攻击的主机,给攻击者提供一个容易攻击的目标。
由于蜜罐并没有像外界提供真正有价值的服务,因此所有链接的尝试都将被视为是可疑的。
蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。
这样,最初的攻击目标得到了保护,真正有价值的内容没有受到侵犯。
此外,蜜罐也可以为追踪攻击者提供有用的线索,为起诉攻击者搜集有力的证据。
从这个意义上说,蜜罐就是“诱捕”攻击者的一个陷阱。
1.1 蜜罐的概念L.Spitzner是一名蜜罐技术专家,他对蜜罐做了这样的定义:蜜罐是一种资源,它的价值是被攻击或者攻陷,这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会修补任何东西,这样就为使用者提供了额外的、有价值的信息。
蜜罐不会直接提高计算机网络安全,但它却是其他安全策略所不可替代的一种主动防御技术。
无论使用者如何建立和使用蜜罐,只有蜜罐受到攻击,它的作用才能发挥出来。
为了方便攻击者攻击,最好是将蜜罐设置成域名服务器(DNS)、Web或者电子邮件转发服务等流行应用中的某一种。
1.2蜜罐的安全价值根据设计的最终目的不同可以将蜜罐分为产品型蜜罐和研究型蜜罐。
1、产品型蜜罐产品型蜜罐一般运用于特定组织中以减小各种网络威胁,它增强了产品资源的安全性。
产品型蜜罐最大的价值就是检测,这是因为产品型蜜罐可以降低误报率和漏报率,这极大地提高了检测非法入侵行为的成功率。
在响应中也会增强整个组织对意外事件的响应能力,但是蜜罐不能阻止入侵者进入那些易受攻击的系统。
蜜罐和蜜网
低交互度Honeypot的实现
-Kfsensor
部署目标 检测攻击 增加攻击代价 为应急响应提供丰富信 息研究 部署位置 直接接入互联网DMZ非 军事区 内部网络 攻击检测、诱骗网络
低交互度Honeypot的实现
-Honeyd /
经过测试,最多同时支持65535个IP地址 对ping和traceroute做出响应
支持同时模拟多个IP地址主机
支持ICMP
通过代理和重定向支持对实际主机、网络服务的整 合-重定向使得我们可以将一个到虚拟蜜罐上的服务 的连接请求转发到一台真实服务器运行的服务进程。
add windows tcp port 23 proxy “162.105.204.159 23”
因此架设一个中交互系统是比较复杂的,要求实施者对网络协议与服务有深 刻的认识。同时,因为中交互系统提供了较多的网络服务,有可能被攻击者 利用成为跳板,因此,在实施该系统的网络内,因经常检查系统日志,并严 格检查是否有安全漏洞已经被黑客利用。
Honeypot的类型
高交互度的Honeypot-复杂度大大增加,面对攻击者的是真实操作系统 的真实应用服务。高交互度Honeypot为攻击者提供对实际操作系统的 访问权,在此环境下无任何实体模拟或受限, Honeypot收集攻击者信息 的能力也大大增强,但同时它也面临高风险,一旦攻击者掌握了对某个 Honeypot的控制权,即拥有了被侵入机器完整可操作系统的控制权,从 而会在被侵入系统内进一步扩大侵害。 高交互系统可以提供真实的操作系统环境,攻击者完全可以认为它就 是一台真实的服务器主机,因此,它可以对攻击者的攻击方法进行详 细的日志记录。当攻击者自认为成功入侵时,系统也成功的记录了它 的入侵过程,这样可以帮助系统发现当前系统漏洞并采取相应措施修 补漏洞。 当然,因为部署了真实的操作系统,就难免有攻击者可以通过蜜罐系 统对其它内网主机进行攻击,因此,管理员应定期检查蜜罐主机的安 全性和完整性,也可通过其它方法将蜜罐主机与受保护主机隔离,使 攻击者即使攻破了蜜罐系统也无法跳板攻击其它主机。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
蜜罐的分类
交互性:攻击者在蜜罐中活动的交互性级别 低交互型-虚拟蜜罐
• 模拟服务和操作系统 • 只能捕获少量信息 / 容易部署,减少风险 • 例: Honeyd
高交互型-物理蜜罐
• 提供真实的操作系统和服务,而不是模拟 • 可以捕获更丰富的信息 / 部署复杂,高安全风险 • 例: 蜜网
虚拟机蜜罐-虚拟硬件、真实操作系统/网络服务
蜜罐技术优势
高度保真的小数据集
• 低误报率 • 低漏报率
能够捕获新的攻击方法及技术 并不是资源密集型 原理简单,贴近实际
蜜罐技术概述
蜜罐技术的提出 蜜罐技术基本概念、分类及优势 虚拟蜜罐工具-Honeyd 蜜罐技术发展历程,当前研究热点
16
Honeyd
A virtual honeypot framework
• Honeyd 1.0 (Jan 22, 2005) by Niels Provos, Google Inc.
支持同时模拟多个IP地址主机
• 经过测试,最多同时支持65535个IP地址 • 支持模拟任意的网络拓扑结构
通过服务模拟脚本可以模拟任意TCP/UDP网络服务
• IIS, Telnet, pop3…
• 仅限对讲解内容相关的问题 • 对问题不感兴趣的可自由活动
讲座结束后留充分时间问答
• 欢迎任何问题 • 欢迎加入HoneynetCN邮件组讨论
蜜罐技术概述
蜜罐技术的提出 蜜罐技术基本概念、分类及优势 虚拟蜜罐工具-Honeyd 蜜罐技术发展历程,当前研究热点
8
互联网安全状况
安全基础薄弱
络攻防知识建模,恶意软件分析及防范技术 • 博士论文方向:基于数据融合框架的网络攻击关联分
析技术研究 • 2004年微软学者,2005年IBM Ph.D. Fellowship • Email: zhugejianwei@
提问规则
讲座共分为三节 每节中间休息10分钟
• “利用蜜网技术深入剖析互联网安全威胁”-2005年全国计算机 大会
• Gen 2/Gen 3虚拟蜜网部署与测试技术报告 • “最新蜜罐与蜜网技术及应用”-《电脑安全专家》2005年7月刊
非常话题专栏4篇文章
恶意软件的捕获与分析
• 重点针对僵尸网络 • “僵尸网络的发现与跟踪”-NetSec 2005
• 操作系统/软件存在大量漏洞 • 安全意识弱、缺乏安全技术能力
任何主机都是攻击目标!
• DDoS、跳板攻击需要大量僵尸主机 • 蠕虫、病毒的泛滥 • 并不再仅仅为了炫耀:Spamming, Phishing
攻击者不需要太多技术
• 攻击工具的不断完善
Metasploit: 40+ Exploits
支持ICMP
• 对ping和traceroutes做出响应
通过代理机制支持对真实主机、网络服务的整合
• add windows tcp port 23 proxy “162.105.204.159 23”
Honeyd监控未使用IP地址
Honeyd设计上的考虑
接收网络流量 模拟蜜罐系统
• 仅模拟网络协议栈层次,而不涉及操作系统各 个层面
• 可以模拟任意的网络拓扑
Honeyd宿主主机的安全性
• 限制只能在网络层面与蜜志功能
接收网络流量
Honeyd模拟的蜜罐系 统接收相应网络流量三 种方式
• 为Honeyd模拟的虚拟主 机建立路由
• 攻击脚本和工具可以很容易得到和使用
0-day exploits: packetstorm
网络攻防的非对称博弈
工作量不对称
• 攻击方:夜深人静, 攻其弱点 • 防守方:24*7, 全面防护
信息不对称
• 攻击方:通过网络扫描、探测、踩点对攻击目标全面 了解
• 防守方:对攻击方一无所知
后果不对称
蜜罐与蜜网技术
Introduction to Honeypot and Honeynet
狩猎女神项目组 The Artemis Project
1
内容概要
狩猎女神项目组 蜜罐技术简介
• 提出、发展历程、概念、Honeyd、发展趋势
Gen 3蜜网技术
• 蜜网基本原理、发展历程、框架、技术细节、 部署实例
Fred Cohen
• DTK: Deception Tool Kit (1997) • A Framework for Deception (2001)
蜜罐技术概述
蜜罐技术的提出 蜜罐技术基本概念、分类及优势 虚拟蜜罐工具-Honeyd 蜜罐技术发展历程,当前研究热点
12
蜜罐技术的概念
• 攻击方:任务失败,极少受到损失 • 防守方:安全策略被破坏,利益受损
蜜罐技术的提出
试图改变攻防博弈的非对称性
• 对攻击者的欺骗技术-增加攻击代价、减少对 实际系统的安全威胁
• 了解攻击者所使用的攻击工具和攻击方法 • 追踪攻击源、攻击行为审计取证 Honeypot: 首次出现在Cliff Stoll的小说“The Cuckoo’s Egg”(1990)
蜜网数据分析与可视化研究
• 网络环境感知工具N-Eye (Open Source) • 攻击数据统计分析与可视化工具 • 基于数据融合框架的网络攻击关联分析技术研究
演讲者介绍
诸葛建伟
• 北京大学计算机科学技术研究所博士研究生 • 狩猎女神项目组发起人及技术负责人 • 研究方向:蜜罐与蜜网技术,入侵检测/关联分析,网
“A security resource who’s value lies in being probed, attacked or compromised”
对攻击者的欺骗技术 没有业务上的用途,不存在区分正常流量和攻击
的问题 所有流入/流出蜜罐的流量都预示着扫描、攻击及
攻陷 用以监视、检测和分析攻击
蜜罐与蜜网技术的应用举例
• 僵尸网络(Botnet)、网络钓鱼(Phishing)
狩猎女神项目组
The Artemis Project
3
项目组简介
项目组目前研究工作
蜜网维护及攻击案例分析
• 结合第三代蜜网技术、honeyd虚拟蜜罐工具、mwcollect / nepenthes 恶意软件自动捕获工具