蜜罐与计算机取证技术
蜜罐技术是什么
第一章蜜罐技术蜜罐(Honeypot Technology)技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐好比是情报收集系统。
蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。
所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。
还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
第二章详细解释2.1蜜罐的定义首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一定查得到痕迹……因此,蜜罐的定义是:“蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。
”设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。
另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。
2.2涉及的法律问题蜜罐是用来给黑客入侵的,它必须提供一定的漏洞,但是我们也知道,很多漏洞都属于“高危”级别,稍有不慎就会导致系统被渗透,一旦蜜罐被破坏,入侵者要做的事情是管理员无法预料的。
例如,一个入侵者成功进入了一台蜜罐,并且用它做“跳板”(指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为)去攻击别人,那么这个损失由谁来负责?设置一台蜜罐必须面对三个问题:设陷技术、隐私、责任。
设陷技术关系到设置这台蜜罐的管理员的技术,一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏,由此导致的后果将十分严重。
网络诱骗技术之蜜罐
网络诱骗技术之蜜罐摘要:基于主动防御理论系统而提出的新兴蜜罐技术,日益受到网络安全领域的重视,蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵,进而了解攻击思路、攻击工具和攻击目的等行为信息,特别是对各种未知攻击行为信息的学习。
根据获取的攻击者得情报,安全组织就能更好地理解网络系统当前面临的危险,并知道如何阻止危险的发生。
本文首先系统地介绍了蜜罐和蜜罐网络诱骗系统的原理知识及关键技术,重点阐述了蜜罐的发展趋势及研究方向。
关键词:蜜罐、网络诱骗、网络安全、蜜网Phishing technology Honeypot(Northeastern University at Qinhuangdao, Qinhuangdao, 066004) Abstract: Based on active defense system proposed by the emerging theory of honeypot technology, increasingly the importance of network security, honeypots, mainly through careful layout of the environment to attract and tolerance decoy invasion, and then understand the idea of attack, attack tools, and the purpose of acts such as attacks information, especially information on a variety of learning unknown attacks. According to the attacker have access to intelligence and security organizations can better understand the danger facing the network system, and how to prevent dangerous place. This article first systematic introduction to honeypots and honeypot network decoy system, the principle knowledge and key technologies, focusing on trends and honeypot research.Keywords: Honeypot, Phishing, network security, Honeynet0引言“蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo’s Egg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。
蜜罐技术
蜜罐(Honeypot)技术蜜罐技术是入侵检测技术的一个重要发展方向,它已经发展成为诱骗攻击者的一种非常有效而实用的方法,它不仅可以转移入侵者的攻击,保护主机和网络不受入侵,而且可以为入侵的取证提供重要的线索和信息。
蜜罐概述蜜罐是一种在互联网上运行的计算机系统,它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人而设计的。
蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或者多个易受攻击的主机,给攻击者提供一个容易攻击的目标。
由于蜜罐并没有像外界提供真正有价值的服务,因此所有链接的尝试都将被视为是可疑的。
蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。
这样,最初的攻击目标得到了保护,真正有价值的内容没有受到侵犯。
此外,蜜罐也可以为追踪攻击者提供有用的线索,为起诉攻击者搜集有力的证据。
从这个意义上说,蜜罐就是“诱捕”攻击者的一个陷阱。
1.1 蜜罐的概念L.Spitzner是一名蜜罐技术专家,他对蜜罐做了这样的定义:蜜罐是一种资源,它的价值是被攻击或者攻陷,这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会修补任何东西,这样就为使用者提供了额外的、有价值的信息。
蜜罐不会直接提高计算机网络安全,但它却是其他安全策略所不可替代的一种主动防御技术。
无论使用者如何建立和使用蜜罐,只有蜜罐受到攻击,它的作用才能发挥出来。
为了方便攻击者攻击,最好是将蜜罐设置成域名服务器(DNS)、Web或者电子邮件转发服务等流行应用中的某一种。
1.2蜜罐的安全价值根据设计的最终目的不同可以将蜜罐分为产品型蜜罐和研究型蜜罐。
1、产品型蜜罐产品型蜜罐一般运用于特定组织中以减小各种网络威胁,它增强了产品资源的安全性。
产品型蜜罐最大的价值就是检测,这是因为产品型蜜罐可以降低误报率和漏报率,这极大地提高了检测非法入侵行为的成功率。
在响应中也会增强整个组织对意外事件的响应能力,但是蜜罐不能阻止入侵者进入那些易受攻击的系统。
蜜罐与蜜网技术介绍
蜜罐技术弱势
劳力/技术密集型 局限的视图 不能直接防护信息系统 带来的安全风险
17
北京大学计算机科学技术研究所
安全风险
发现蜜罐
黑客知道要避免进入哪些系统 向蜜罐反馈虚假、伪造的信息 消除蜜罐的指纹 蜜罐-反蜜罐技术:博弈问题! 期望黑客获得蜜罐的root权限 黑客会将其用作危害第三方的跳板 引入多层次的数据控制机制 人为分析和干预
团队协作
5
北京大学计算机科学技术研究所
网络攻防的不对称博弈
工作量不对称
攻击方:夜深人静, 攻其弱点 防守方:24*7*365, 全面防护 攻击方:通过网络扫描、探测、踩点对攻击目标 全面了解 防守方:对攻击方一无所知 攻击方:任务失败,极少受到损失 防守方:安全策略被破坏,利益受损
6
信息不对称
提供真实的操作系统和服务,而不是模 拟 可以捕获更丰富的信息 部署复杂,高安全风险 实例:ManTrap, Gen II蜜网
15
北京大学计算机科学技术研究所
蜜罐技术优势
高保真-高质量的小数据集
很小的误报率 很小的漏报率
捕获新的攻击及战术 并不是资源密集型 简单
16
北京大学计算机科学技术研究所
18
利用蜜罐攻击第三方
北京大学计算机科学技术研究所
蜜罐工具实例
DTK
Deception Toolkit (1997) by Fred Cohen Fred Cohen, A Framework for Deception.
蜜罐技术在网络安全领域中的应用
蜜罐技术在网络安全领域中的应用蜜罐技术是一种主动式的安全防御手段,它通过模拟攻击目标并联机检测攻击者行为,从而帮助安全团队了解攻击者的攻击方式、攻击手段和攻击目的,及时识别和防御攻击,提高系统安全性。
1.攻击情报收集蜜罐技术能够主动吸引黑客攻击,收集攻击者的IP地址、攻击方式、恶意代码类型等攻击情报,帮助安全团队了解对手的攻击手段和攻击目的,预测未来可能出现的攻击,及时制定相应的安全防御策略。
2.异地备份和存档通过将蜜罐部署在不同的地理位置和不同的系统环境中,可以完成系统的备份和存档。
蜜罐中保存的攻击日志和恶意软件可以在恶意行为发现之后,作为证据提交给相关部门以提高治安水平。
3.提升安全响应速度当攻击者攻击蜜罐时,安全团队可以从攻击行为和数据包中获取有关攻击者的信息,及时发现并排查安全漏洞,避免攻击对实际系统造成更大的损害,提升了安全响应速度。
4.训练安全团队人员蜜罐技术可以通过模拟攻击场景,提供对安全团队人员的训练。
安全人员可以通过实际演练,学习掌握攻击者的攻击技巧,从而提高安全防御能力和技能水平。
5.测试安全防御能力蜜罐技术还可以用于测试安全防御系统的能力。
通过将蜜罐部署在网络环境中,模拟恶意攻击,并观察安全防御系统的实际效果,以检测和修复安全漏洞和缺陷,提高系统的安全性能。
总之,蜜罐技术的应用范围广泛,可以用于收集攻击情报、备份存档、提升安全响应速度、训练安全人员和测试安全防御能力,对提高系统的安全性和网络安全防御能力有着重要的作用。
因此,为了保护企业数据的安全性,我们应该积极采用蜜罐技术并合理运用其优点来保障网络安全。
网络攻击溯源与追踪的技术与方法
网络攻击溯源与追踪的技术与方法概述随着互联网的迅速发展,网络攻击成为了一个常见的威胁。
为了保护网络安全,溯源和追踪网络攻击成为了重要的技术和方法之一。
本文将介绍网络攻击溯源和追踪的技术与方法,包括IP地址追踪、日志分析、蜜罐技术以及数字取证等。
I. IP地址追踪IP地址追踪是网络攻击溯源的基础。
每台连接到互联网的设备都有一个唯一的IP地址,通过追踪该IP地址可以确定攻击者的位置。
通常,网络管理员可以利用网络流量监测工具来实时追踪IP地址。
另外,一些专门的溯源工具也能提供更为细致的追踪和地理定位信息。
II. 日志分析日志分析是网络攻击溯源的另一种常见方法。
网络设备、服务器和应用程序可以生成大量的日志,这些日志记录了网络活动和事件信息。
通过分析这些日志,可以找到异常行为并追踪攻击者。
例如,异常登录日志、访问日志和安全事件日志都可以提供有关攻击的线索。
III. 蜜罐技术蜜罐技术是一种主动防御手段,它模拟了一个真实的系统或网络环境,吸引攻击者进攻。
通过设置蜜罐来吸引攻击者,网络管理员可以更好地了解攻击者的行为,并追踪他们的攻击路径。
蜜罐还可以收集攻击者使用的工具和技术,进一步帮助分析和追溯攻击。
IV. 数字取证数字取证是指通过收集、分析和保护数字证据来追踪和识别网络攻击者。
数字取证可以帮助确定攻击者的身份、攻击的手段和目的。
在信息安全领域中,常用的数字取证工具有EnCase、Forensic Toolkit (FTK)等。
通过对计算机文件系统和网络数据流的分析,可以获取与攻击相关的信息。
V. 数据包分析数据包分析是网络攻击溯源和追踪的重要技术手段。
网络上的交换数据包携带着攻击者和受害者之间的通信信息,通过分析这些数据包可以追踪攻击的来源和路径。
一些网络安全分析工具如Wireshark、Tcpdump等,能够帮助捕获网络数据包,并提供详细的协议分析和流量统计。
VI. 协同合作网络攻击溯源与追踪需要多方协作,包括企业、政府和安全机构。
蜜罐技术及其应用综述
(.De at n f mp tr 1 pr me t Co ue,Hu a u l e ui a e o n nP bi S crt Ac d m ̄ Ch n s a 1 0 6 c y a g h 0 0 ,Chn ;2 De at n f te t s 4 ia . p r me t Mah mai , o c Xi g a iest, e z o 2 0 0 C ia 3 S h o f mp tr ce c , t n l ies f fn e e h oo y a n nUnv ri Ch n h u 3 0 , hn ; . c o l Co ue in e Nai a v ri o Dee s c n lg , n y 4 o S o Un y t T
方向。
关键 词: 蜜罐 ; 蜜网; 网络安全 ;取证 ;预 警
中图法分类号 : P 1. T 31 5
文献标 识码 : A
文章编 号 :0072 2 0) 252 .4 10 .04(0 8 2 .7 50
S mm ay o o e p t e h i u n sa p iai n u r f n y o c n q ea di p l t s h t t c o
C agh 10 3 C ia . u a s tto Sa dri t n C a gh 10 7 C ia hn sa 0 7 , hn;4 H n I tue f tnadz i , h n sa 00 , hn) 4 n ni ao 4
Ab t a t Ho e p t e h q ei n f h o s o sa dk yt c n q e f r ai na s r n e Afe n l zn er c n s a c e sr c : n y o c niu o eo t eh t t n e h iu s ni o m t s u a c . t s p e i n o tra ay i gt e t e e r h s h e r i e d ma n o o e p t e h o o y t e d f i o d c t g r s o o e p t e e p t td Ba e n v re e t r sh n y o , n t o i f n y o c h h t n l g , h e n t n a a e o i fh n y o x ai e . i i n e r a a s d o a i d f au e o e p t
网络信息安全的蜜罐与蜜网技术
网络信息安全的蜜罐与蜜网技术网络信息安全是当今社会中不可忽视的重要议题之一。
为了应对不断增长的网络攻击和威胁,各种安全技术被研发出来,其中蜜罐与蜜网技术在网络安全领域中扮演着重要的角色。
蜜罐与蜜网技术可以说是网络防御体系中的“绊脚石”,通过诱使攻击者的注意力转移到虚假目标上,保护真实系统的安全。
本文将深入探讨蜜罐与蜜网技术的原理、应用以及其对网络安全的影响。
一、蜜罐技术蜜罐技术是一种利用安全漏洞吸引攻击者并收集攻击信息的方法。
蜜罐可以是一个虚拟机、一个系统、一个应用程序等,并通过实施合适的伪造,使攻击者产生对其价值的错觉。
当攻击者攻击了蜜罐,管理员就可以获取攻击者的信息以及攻击方式。
这种技术可以帮助安全专家识别攻击者的手段和目的,提供关于攻击者行为的详细记录,进一步优化网络防御策略。
蜜罐可以分为低交互蜜罐和高交互蜜罐两种类型。
低交互蜜罐主要用于攻击者获取目标及攻击信息,并能提供类似真实环境的部分服务;而高交互蜜罐则可以模拟完整的网络环境和服务,与攻击者进行实时互动,收集更多的信息并增加攻击者暴露自身的风险。
在实际应用中,蜜罐技术主要用于安全研究、网络攻击监测、攻击溯源和黑客防范等方面。
通过搭建蜜罐系统,安全专家能够分析攻击者的行为,预测新的攻击模式,从而提前采取相应的安全措施。
同时,蜜罐技术也可以用于对抗黑客,并增加网络安全的整体强度。
二、蜜网技术蜜网技术是指将多个蜜罐组成一个密集的网络环境,形成一个蜜罐阵列。
蜜网技术通过在网络中分布多个虚拟、伪造或易受攻击的系统,吸引攻击者进行攻击。
与蜜罐单独使用相比,蜜网技术可以提供更大规模和复杂度的攻击模拟环境,更好地了解攻击者的动机、行为以及他们之间可能存在的关联。
蜜网技术在网络安全中具有重要作用。
首先,它为安全人员提供更多真实攻击事件的数据,帮助他们分析攻击者的行为和策略,改善网络安全防护。
其次,蜜网技术可以用于主动监控攻击行为,及时发现并阻止未知安全威胁。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
蜜罐与计算机网络取证技术摘要:随着信息化的飞速发展,网络安全得到人们前所未有的关注。
对于网络安全的防护,传统的被动防御已经无法满足人们的需要,蜜罐技术作为一种主动枝术弥补了传统防护系统的不足。
从定义、分类以及关键技术等方面对蜜罐技术给出一个比较系统的解释,并指出了蜜罐技术存在的问题,探讨了将来的发展趋势。
本文结合当前网监工作面临的维护网络安全和打击网络犯罪艰巨任务,由于网络和计算机的特性.,是我们对计算机犯罪的预防、取证和侦破面临了很大的困难。
提出了将蜜罐技术引入到网监工作中,使之成为维护网络安全和打击网络犯罪的有力武器。
关键词:蜜罐、蜜罐技术应用、网络安全、犯罪取证一、引言以计算机网络为核心的信息技术的飞速发展使得电子商务、电子政务和电子军务等的应用日益广泛,也使得网络信息安全成为人们日益关注的问题。
随着网络的不断普及,个人信息窃取、网络诈骗、病毒传播、网络攻击等网络犯罪也日益猖獗,例如:一些不法分子建立假冒的网上银行、向用户发送含有诈骗信息的电子邮件等,以窃取用户网上银行的用户名和密码,盗取用户资金;一些黑客为了证明自己的技术而去入侵政府官网,并肆意篡改网页内容,造成了极大的破坏。
为了保障网络安全,防火墙和入侵检测等技术应运而生,并在各个领域得到了广泛的应用。
然而,它们检测网络入侵行为大都是被动的、基于规则的,对入侵的发现及报警也是在规则的基础上,对一些新的入侵手段则无能为力,因此,单纯的防火墙或入侵检测等技术已不能满足需要。
为了利用法律手段严惩网络犯罪,我们就必须取得入侵者犯罪的证据,于是,计算机取证技术也孕育而生了,蜜罐技术则是计算机取证中的一项关键技术。
计算机取证(Computer Forensics)是网络主动防御技术在打击网络犯罪中的应用,它是应用计算机的辨析方法,对网络犯罪的行为进行捕获和分析,以保留犯罪的电子证据,并以此作为重要证据提起诉讼。
对于网络入侵的犯罪行为,对被入侵的计算机、网络设备与系统进行扫描,将入侵的全过程重组,并将其获取、保存、分析、出示,形成具有法律效力的电子证据。
计算机取证在计算机和网络犯罪猖獗的今天有着至关重要的作用,它是法学和计算机科学的融合,通过在计算机上提取犯罪证据,以打击计算机和网络犯罪。
二、蜜罐技术1、蜜罐的概念和发展历程“蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo's Egg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。
“蜜网项目组”(The Honeynet Project)的创始人Lance Spitzner给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。
这个定义表明蜜罐并无其他实际作用,因此所有流人/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。
而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。
2、蜜罐的定义蜜罐(Honeypot)是一种专门设计成被扫描、攻击和入侵的网络资源。
具体来说,蜜罐就是一个包含漏洞的系统,它可以模拟一个或多个易受攻击的主机,可以包含一些不威胁系统安全的数据以引诱攻击者。
由于它没被授权任何行为,没有任何产品价值,因此,所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。
而蜜罐作为一种安全资源,其价值就在于被探测、被攻击或攻陷,尔后对这些攻击活动进行监视、检测和分析。
设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。
另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。
3、蜜罐的类型世界上不会有非常全面的事物,蜜罐也一样。
根据管理员的需要,蜜罐的系统和漏洞设置要求也不尽相同,蜜罐是有针对性的,而不是盲目设置来无聊的,因此,就产生了多种多样的蜜罐。
3.1.实系统蜜罐实系统蜜罐是最真实的蜜罐,它运行着真实的系统,并且带着真实可入侵的漏洞,属于最危险的漏洞,但是它记录下的入侵信息往往是最真实的。
这种蜜罐安装的系统一般都是最初的,没有任何SP补丁,或者打了低版本SP补丁,根据管理员需要,也可能补上了一些漏洞,只要值得研究的漏洞还存在即可。
然后把蜜罐连接上网络,根据目前的网络扫描频繁度来看,这样的蜜罐很快就能吸引到目标并接受攻击,系统运行着的记录程序会记下入侵者的一举一动,但同时它也是最危险的,因为入侵者每一个入侵都会引起系统真实的反应,例如被溢出、渗透、夺取权限等。
3.2.伪系统蜜罐什么叫伪系统呢?不要误解成“假的系统”,它也是建立在真实系统基础上的,但是它最大的特点就是“平台与漏洞非对称性”。
大家应该都知道,世界上操作系统不是只有Windows一家而已,在这个领域,还有Linux、Unix、OS2、BeOS等,它们的核心不同,因此会产生的漏洞缺陷也就不尽相同,简单的说,就是很少有能同时攻击几种系统的漏洞代码,也许你用LSASS溢出漏洞能拿到Windows的权限,但是用同样的手法去溢出Linux只能徒劳。
根据这种特性,就产生了“伪系统蜜罐”,它利用一些工具程序强大的模仿能力,伪造出不属于自己平台的“漏洞”,入侵这样的“漏洞”,只能是在一个程序框架里打转,即使成功“渗透”,也仍然是程序制造的梦境,也就是说系统本来就没有让这种漏洞成立的条件,谈何“渗透”?实现一个“伪系统”并不困难,Windows平台下的一些虚拟机程序、Linux自身的脚本功能加上第三方工具就能轻松实现,甚至在Linux/Unix下还能实时由管理员产生一些根本不存在的“漏洞”,让入侵者自以为得逞的在里面瞎忙。
实现跟踪记录也很容易,只要在后台开着相应的记录程序即可。
这种蜜罐的好处在于,它可以最大程度防止被入侵者破坏,也能模拟不存在的漏洞,甚至可以让一些Windows蠕虫攻击Linux,即只要你模拟出符合条件的Windows特征!但是它也存在坏处,因为一个聪明的入侵者只要经过几个回合就会识破伪装,另者,编写脚本不是很简便的事情,除非那个管理员很有耐心或者十分悠闲。
4、蜜罐的关键技术蜜罐系统的优点之一就是它们大大减少了所要分析的数据。
对于通常的网站或邮件服务器,攻击流量通常会被合法流量所淹没。
而蜜罐进出的数据大部分是攻击流量。
因而,浏览数据、查明攻击者的实际行为也就容易多了。
(1)网络欺骗:是使入侵者相信信息系统存在有价值的、可利用的安全弱点。
它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性,从而使入侵者不知道其进攻是否奏效或成功。
(2)数据的捕获技术:在攻击者入侵的同时,蜜罐系统将记录攻击者输入输出信息,键盘记录信息,屏幕信息,以及攻击者曾使用过的工具,并分析攻击者所要进行的下一步。
(3)端口重定向:是数据控制技术的一种,通过重定向器将网络各个子网中发现的恶意的或未授权的活动重定向到蜜罐中,以集中监控和捕获。
从而控制攻击者出入蜜罐的活动,使其不会以蜜罐为跳板攻击和危害别的主机。
(4)攻击分析与特征提取:是对捕获的各种攻击数据进行融合、挖掘,分析黑客的工具、策略和动机,提取未知攻击的特征。
(5)攻击(入侵)报警:是感知网络安全态势,分析系统的漏洞,在攻击发生前采取相应的防御措施,发现攻击时能自动报警,为系统管理员提供实时信息。
5、蜜罐技术优缺点蜜罐技术的优点包括:(1)收集数据的保真度,由于蜜罐不提供任何实际的作用,因此其收集到的数据很少,同时收集到的数据很大可能就是由于黑客攻击造成的,蜜罐不依赖于任何复杂的检测技术等,因此减少了漏报率和误报率。
(2)使用蜜罐技术能够收集到新的攻击工具和攻击方法,而不像目前的大部分人侵检测系统只能根据特征匹配的方法检测到已知的攻击。
(3)蜜罐技术不需要强大的资源支持,可以使用一些低成本的设备构建蜜罐,不需要大量的资金投人。
(4)相对人侵检测等其他技术,蜜罐技术比较简单,使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。
蜜罐技术也存在着一些缺陷,主要有:(1)需要较多的时间和精力投人。
(2)蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,其视图较为有限,不像人侵检测系统能够通过旁路侦听等技术对整个网络进行监控。
(3)蜜罐技术不能直接防护有漏洞的信息系统。
(4)部署蜜罐会带来一定的安全风险。
6、常用的蜜罐技术工具(1)DTK:DTK是一项针对互联网普通用户的源代码开放的蜜罐技术软件,由C语言和Perl 脚本语言编写而成,该工具软件可以从网上免费下载。
(2)Honeyd:Honeyd是由Google公司研发的源代码开放的蜜罐技术软件,Honeyd是运行在UNIX下的软件,可以在网络上模拟主机的后台程序。
该工具软件也可以从网上免费下载。
(3)VMware:VMware是一种可以让你在同一时刻运行多种操作系统的虚拟软件。
V Mware 是通过在电脑上安装虚拟软件来工作的。
此虚拟软件允许你在同一时刻启动和运行多个操作系统。
(4)IPTables:IPTables是一种灵活性相当高的正式的防火墙,有连接限制,网络地址转换,日志记录的功能,和许多其他的特性。
我们把IPTables配置成我们HostOS上的过滤器,计算流出网络的数据报。
一旦对向外的连接到达了限制的数量,之后所有的连接尝试都会被阻止,保证被人侵的honeypot不会对其他系统造成损害。
(5)Snort:Snort是一种开放源代码的IDS产品,我们可以用它来捕获所有的网络活动,对已知的具有攻击特征的信息发出警告。
Snort有三种主要模式:信息包嗅探器、信息包记录器或成熟的侵人探测系统。
三、蜜罐技术的使用1、利用蜜罐取证的一般原则利用蜜罐进行取证分析时,一般遵循如下原则和步骤:(1)确定攻击的方法、日期和时间(假设IDS的时钟和NTP参考时间源同步);(2)尽可能多的确定有关入侵者的信息;(3)列出所有入侵者添加或修改的文件,并对这些程序(包括未编译或未重组部分,因为这些部分可能对确定函数在此时间中的作用和角色有帮助)进行分析,并回答如下问题:●程序是否安装了嗅探器或密码,如果是,那么哪些文件与之相关,这些文件位于何处?●是否有“rootkit”或者其他特洛伊木马程序安装在系统中,如果有,安装了什么操作系统程序,进行什么操作可能会把这些程序传播出去?●系统中所发现的程序的来源是否公开?(4)建立一条时间时间线,对系统行为进行详细分析,注意支撑或确认证据的来源(可以考虑与系统其他地方或与具有相似配置的“干净”系统相比较);(5)给出适合管理层面或新闻媒体需要的报告(包括入侵的常规方面而不必包括特殊的确定性数据);(6)对事故进行费用估计;(7)最后提交报告应(包含index.txt timestnmp.txt costs.txt evidence.txt summary.txt advisory.txt files.tar)。