蜜罐技术用于网络安全的分析与研究_崔嘉
基于网络蜜罐技术的校园网络安全方法研究
基于网络蜜罐技术的校园网络安全方法研究[摘要]信息时代的到来需要计算机网络安全防护由被动防御转为主动防御,从而使蜜罐技术在网络对抗中日益受到重视。
蜜罐是深入了解黑客的一种有效手段,并且可以提高网络安全防护水平。
本文通过分析校园网安全现状和安全设计原则,通过Winsock编程,构建设计校园网蜜罐系统,并通过测试验证了蜜罐系统在校园网中部署的可行性。
[关键词]网络安全蜜罐技术系统设计一、校园网络安全现状与安全设计原则(一)校园网络安全现状从网络安全的角度来看,整个网络分为三大部分,第一部分为重点信息安全保护区;第二部分为校园网普通网络区域;第三部分为外部网络区域。
国内校园网的安全问题有其历史原因,因为意识与资金的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,常常只是在内部网与互连网之间放一个防火墙就万事大吉,有些甚至直接连接互连网,这就给病毒、黑客提供了充分施展身手的空间。
校园网现在的工作系统大多是基于客户/服务器模式和Intenret/Intranet网络计算模式的分布式应用。
在这样一个分布式应用的环境中,学校的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等等每一个都是一个供人出入的“门户”,只要有一个“门户”没有完全保护好,“黑客”就会通过这道门进入系统,窃取或破坏所有系统资源。
如何保证和加强网络的安全性和保密性对于校园网的正常、安全运行至关重要。
(二)校园网安全设计原则1.安全性。
网络应在具有开放性的同时,保证其安全性。
要制定合适的安全策略,建立有效的网络安全制度;对资源访问控制进行实时有效的监控,保证通信传递的安全性。
2.高可靠性。
为保证信息能够及时可靠地发布,信息中心的系统应能保障不间断运行,在系统设计上应考虑关键部件采用冗余设计和容错技术,通讯子网间应留有备用信道。
3.开放性。
网络信息中心所采用的技术遵循国际标准,不仅要和现有的设备能够完全互连互通,而且能与未来网络技术发展相适应,因此网络系统须采用支持局域网、广域网、路由等国际标准协议。
网络安全蜜罐”技术研究与实现
2、软件层面:在操作系统和应用软件层面进行优化,增强其抗攻击能力。例 如,设计伪装软件应用,使蜜罐在受到攻击时能够进行伪装响应,诱导攻击者 中计。
3、网络层面:通过网络架构优化和网络安全策略配置,实现网络通信的安全 性和可靠性。例如,设置蜜罐网络与真实网络的隔离,防止攻击者在蜜罐网络 中进一步渗透。
五、总结与展望
网络安全蜜罐作为一种主动防御技术,可以有效发现和防范各种网络攻击行为。 通过对潜在攻击者的诱导和监控,蜜罐能够获取丰富的攻击信息,提高网络防 御的针对性和效果。然而,蜜罐技术也存在一定的挑战和限制,例如如何提高 诱骗的准确性和防御效果、如何避免自身被攻破等问题。
未来,随着技术的不断进步和应用场景的不断扩展,网络安全蜜罐技术将会有 更多的发展机遇和挑战。结合、机器学习等技术,智能蜜罐将会更加普及和高 效;随着云计算、物联网等技术的广泛应用,蜜罐技术也将扩展到更大规模和 更为复杂的网络环境中。因此,我们期待未来网络安全蜜罐技术能够为网络安 全领域带来更多的创新和突破。
1、本次演示所实现的蜜罐网络诱骗技术能够有效诱骗攻击者进入预设陷阱, 提高了防御效果。
2、通过多层次、全方位的蜜罐设计,实现了对多种攻击手法的有效应对。 3、通过对攻击数据的分析,能够准确识别出攻击者的行为特征和意图。
谢谢观看
4、威慑作用:通过展示网络安全蜜罐的能力和效果,威慑潜在的攻击者,降 低网络攻击的风险。
三、技术研究
网络安全蜜罐的技术研究主要包括以下几个方面:
1、技术原理:网络安全蜜罐的技术原理是通过模拟或构造各种漏洞,吸引攻 击者进行扫描和攻击,记录攻击者的行为并进行分析,从而获取网络攻击的相 关信息。
2、实现方式:网络安全蜜罐的实现方式包括软件和硬件两种方式。软件蜜罐 可以通过虚拟机或容器技术模拟漏洞,硬件蜜罐则可以通过定制硬件或路由器 等设备实现。
网络安全分析及防御技术——蜜罐技术
计算机网络信息安全及防御技术——蜜罐技术——****** 关键词:计算机、网络信息安全、蜜罐技术摘要:随着计算机网络的飞速发展,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性。
人们可以通过互联网进行网上购物、银行转账等许多商业活动。
开放的信息系统必然存在众多潜在的安全隐患:木马程序攻击、电子邮件欺骗、间谍恶意代码软件、安全漏洞和系统后门等,本文针对目前计算机网络存在的主要威胁和隐患进行了分析,并重点阐述了蜜罐技术这一网络安全防御技术。
1.引言随着人类社会生活对Internet需求的日益增长,网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题,特别是1993年以后Internet开始商用化,通过Internet进行的各种电子商务业务日益增多,加之Internet/Intranet技术日趋成熟,很多组织和企业都建立了自己的内部网络并将之与Internet联通。
上述电子商务应用和企业网络中的商业秘密均成为攻击者的目标。
近些年来,拒绝网络攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件等各种各样的网络攻击事件层出不穷。
2.网络信息安全网络信息安全分为网络安全和信息安全两个层面。
网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率。
信息安全则主要是指数据安全,包括数据加密、备份、程序等。
计算机网络之所以存在着脆弱性,主要是由于技术本身存在着安全弱点、系统的安全性差、缺乏安全性实践等;计算机网络受到的威胁和攻击除自然灾害外,主要来自软件漏洞、计算机病毒、黑客攻击、配置不当和安全意识不强等。
(1)软件漏洞。
每一版本的操作系统或网络软件的出现都不可能是完美无缺和无漏洞的。
大多数IT安全事件(如补丁程序或网络攻击等)都与软件漏洞有关,黑客利用编程中的细微错误或者上下文依赖关系,让它做任何他们想让它做的事情。
蜜罐技术在网络安全防护中的应用研究
蜜罐技术在网络安全防护中的应用研究摘要:随着全球信息的飞速发展,各种信息化系统已经成为关键的基础设施,蜜罐技术的出现使网络防御战由被动转向主动,可以帮助即时发现系统漏洞。
本文通过对蜜罐技术的概念阐述,探讨蜜罐技术的应用可能性。
关键词:蜜罐技术;密网;欺骗技术;主动防御1蜜罐技术的概念界定1.1蜜罐技术的概念在网络安全中,蜜罐是一种入侵诱饵,引诱黑客进行攻击,进而浪费黑客的时间和资源,收集黑客的信息,保留证据[1]。
因此,蜜罐一般作为诱饵设置在网络连接设备中,用于检测攻击者所使用的攻击方式,了解攻击者的攻击目标。
蜜罐技术的设计目标主要为捕获攻击信息、伪装欺骗、防御攻击及向管理者提供有价值的分析报告。
1.2蜜罐技术的工作原理一个简单的低交互蜜罐通常由计算机、应用程序和模拟真实系统行为的数据组成,所采用的真实系统往往对攻击者有很大的吸引力,如金融系统、物联网设备和公共设施等[2]。
通过模拟真实系统行为使得蜜罐看起来像是具有很高价值的攻击对象,但实际上是孤立并受到密切监控的网络防御系统。
正是由于常规的合法用户不会访问蜜罐,所以任何访问蜜罐的尝试都可以认为是恶意的攻击方式并被记录,因此误报率几乎为零。
蜜罐技术在按照部署方式和设计用途可以分为生产型蜜罐和研究型蜜罐[3]。
生产型蜜罐作为生产网络的真实组成部分,通常与生产服务器一起部署在实际的生产网络中,能够吸引并转移攻击者的攻击,使系统安全管理员有足够的时间评估攻击的威胁等级并做出适当的防御。
研究型蜜罐主要用于对攻击者的活动进行分析并发现新的攻击方式、规律和系统漏洞等。
1.3蜜罐技术分类蜜罐技术按照与攻击者的交互程度可以分为高交互蜜罐、中交互蜜罐和低交互蜜罐[4]。
高交互蜜罐利用真实的操作系统和环境进行构建,对攻击者来说是最真实的系统。
虽然高交互蜜罐因为其交互程度更高难以被识别,但是带来了更高的风险,很可能会被攻击者攻破并利用其攻击其他系统。
中交互蜜罐用于监控蜜罐与网络的连接,不提供真实的操作系统和服务,这类蜜罐是最复杂且最难维护。
蜜罐技术在网络安全领域中的应用
蜜罐技术在网络安全领域中的应用蜜罐技术是一种通过模拟安全漏洞或攻击场景来吸引攻击者,并通过分析攻击行为,收集有关攻击者的信息的安全工具。
总的来说,蜜罐不是真正的系统,而是一种特殊的陷阱,它容易让攻击者掉入。
因此,蜜罐技术在网络安全领域中被广泛应用。
1、攻击者行为研究拥有蜜罐是为了诱使攻击者利用蜜罐中的漏洞实施攻击行为,通过对攻击行为的详细分析,可获取可用的安全信息,如攻击者的攻击目的、攻击周期、攻击方法、操作系统漏洞等等。
这些信息可以提供有价值的数据来补充其他安全措施的监控信息,充分了解对手的攻击手段和攻击方式。
2、监测网络攻击蜜罐技术的另一个关键领域是网络攻击监测。
利用蜜罐,可以收集反攻击信息,监控网络攻击行为。
安装在不同的地点的多个蜜罐,可以收集网络中不同方面的情报信息。
根据信息分析,可以更明确地识别网络攻击行为,达到监测和阻止网络攻击的目的。
蜜罐技术还可以检测出新的未知攻击方式,应对恶意攻击手段的不断发展。
3、识别漏洞安装在蜜罐中的操作系统和应用程序都是模拟的,必然存在一些漏洞。
恶意攻击者的利用漏洞的攻击方式可从蜜罐的攻击行为中得到体现。
攻击行为的分析是检查蜜罐的目的之一,因为攻击行为的详细记录可以帮助识别漏洞,并促进操作系统安全性的提高,使系统所暴露的漏洞更加敏感。
4、测试安全防御系统安装在蜜罐中的模拟计算机系统和应用程序可用于模拟针对真实环境的攻击行为。
而蜜罐的相应规则和机制可以用于监控攻击行为。
其结果可用于测试防御系统,发现潜在漏洞并改善安全防御体系。
总的来说,蜜罐技术凭借其优秀的特性和强大的功能已经得到了广泛的应用。
它可以有效地预测安全事件,并提供全天候的监控,保护网络的安全性和完整性,对于网络安全领域具有非凡的意义。
有关“蜜罐(honeypot)”技术在网络安全中的探讨
设 计 良好 的 “ 蜜罐 ”共 有 以下 几种 主要 功 能 : 是 阻止 功 能, 一 它把 一 个 网络 设计 成 可 以监视 和 捕获 他人 入侵 的智 能化 网络 ; 二 是通 过 提供 给 攻击 者 基于 伪造 数 据 的 “ 蜜罐 ” ,可 以转 移攻 击者 的视 线 ,使 攻击 者 对 真正 系统 的 危害 性 降到 最低 ;三 是 不仅 可 以 发现 外 部 的攻击 者 ,也可 以提 供 内部 攻击 者 攻击 方 式 的特征 值 ; 四是可 以通 过 “ 罐 ”提 供 的数 据 了解攻 击者 的技术 、手段 , 以 蜜 更好 地 保护 系 统 安全 。设 计 蜜罐 的初 衷 就是 让 黑客 入侵 ,借 此 收 集证 据 , 同时 隐藏 真 实的服 务 器地 址 , 因此我 们 要求 一 台合格 的 蜜罐 拥有 这 些 功能 :发 现 攻击 、产 生 警告 、强大 的记 录 能力 、欺 骗 、协助 调 查 。另 外一 个 功能 由管理 员去 完成 ,那就 是在 必要 时 候根 据 蜜罐 收集 的 证据 来起 诉入 侵者 。 ( ) “ 罐 ”系 统 的实现 四 蜜 实 际应 用 的 “ 蜜罐 系统 是 多样 的 。最 简单 的 “ 蜜罐 ”就 是 在外 网上 ( I t r e  ̄ 连 )有 一台 计算 机运 行 没有 打 上补 丁 的 与 ne n t ( ) “ 罐 ” 的定义 一 蜜 微软 W n o s 者R d H t L n x idw 或 e a i u 。然 后在 计算 机 和 I t r e 连 接 n e nt 个 “ o ep t hn y n ”就 是一 个 设计 用来 观 测 黑客 如 何探 测 并最 之 间安 置一 套 网络 监控 系 统 , 以便悄 悄记 录 下进 出计 算机 的所有 终入 侵 系统 的 系统 。它意 味着 包 含一 些 并不 威胁 本 部 门机 密 的数 流量 ,监 视 各种 攻击 行 为 。 据 或应 用程 序 而 同时对 于 黑客 来 说又 共 有很 大 诱惑 力 的这 样 的一 同时 ,一些 安 全扫 描 、安 全 分析 工具 和 ~些 黑客 软件 也 共有 个 系统 ,也 就 是放 置在 你 网络 上 的一 台计 算 机 ,表 面看 来 像一 台 “ 罐 ” 的功 能 。 ̄T gr u t和 N ta 。其 中,N ta 被誉 为 蜜 i eS ie e C t eC t 普通 的机 器 , 但 同时通 过 一些 特 殊配 置来 引诱 潜在 的 黑客 并捕 获 网络 安 全界 的 “ 士 军刀 ” ,是 一个 简单 而有 用 的工 具 ,透 过使 瑞 C 或 D 协议 的网络 连接 去 读 写数 据 。它被 设 计成 一个 稳 定 的 它们 的踪迹 。我们 要 弄清 楚一 台蜜罐 和 一 台没 有任 何 防范 措施 的 用T P UP 计算 机 的 区别 ,虽 然这 两 者都 有 可 能被入 侵 破坏 ,但 是本 质 却完 后 门工 具 ,能够 直 接 由其 他程 序和 脚 本轻 松驱 动 , 因而被 黑客 广 全 不 同, 蜜罐 是 网络 管理 员经 过 周密 布 置而 设 下 的 “ 匣子 ” , 黑 泛使 用 。但 同时 ,它 也可 以作 为 “ 罐 ”使 用 。其 原理 是N ta 蜜 eC t 看似 漏洞 百出却 尽在 掌 握之 中, 它收 集 的入侵 数 据 十分 有 价值 ; 可 以帮助 我们 在 一些 端 门上 绑定 服 务 ,这样 就 允许 我们 在L n x iu , 而后 者 ,根 本就 是 送给 入 侵者 的 礼物 ,即使 被入 侵 也 不一 定查 得 N ,F eB D 建 立一 些 如 Sn m i ,D S en t T 甚至 是 T reS上 e da 1 N ,T l e ,F P 到 痕迹 。 因此 ,蜜 网项 目组 ( h Hn y e r jc ) 的创 始 人 W b ev r 的虚 假 服务 。 T eo en t Po e t eS r e等 Ln ep t nr 出了对 蜜 罐 的权 威定 义 :蜜 罐是 一种 安 全 资源 , a cS i ze给 简单 地 使用 以下语 句 ,就 可 以不 停地 监 听某 一个 端 门 ,直 到 其价 值在 于 被扫 描 、攻击 和 攻 陷 。 cr + 为止 ,同时把 结 果输 出到 日志文 件 中 ( :lg tt c t lc C o .x )n —L p8 >c: l g x O o .t t ( )“ 二 蜜罐 ” 的系统 结 构 “ 罐 ”是某 一运 行环 境 下 的特殊 软 件 , 主 要 由入侵 检 测 、 蜜 它 ( )专业 “ 罐 ”软 件 五 蜜 专业 “ 罐 ”软件 有很 多种 ,典 型 的有C b r o t n 和 D K 蜜 y e C pS i g T 入侵 重 定 向、模 拟脆 弱 性 、行 为 记录 、数 据 融 合 、行 为分 析 、行 ( ee ��
蜜罐技术在网络安全领域中的应用
蜜罐技术在网络安全领域中的应用蜜罐技术是一种旨在诱骗黑客攻击的安全机制。
它通过模拟或部署容易受到攻击的系统或网络,以吸引黑客的注意并暴露他们的攻击行为。
蜜罐技术在网络安全领域中有广泛的应用,本文就蜜罐技术在网络安全领域的应用进行详细的探讨。
蜜罐技术可以用于检测黑客的攻击行为。
通过部署蜜罐系统,安全团队可以观察到黑客的攻击手段和攻击目标,获取关于黑客的情报信息。
这对于更好地了解黑客的攻击技术、特征和策略非常有用,有助于提高网络的防御能力。
蜜罐技术可以用于诱骗黑客并阻止他们的攻击。
安全团队可以通过部署具有吸引力的蜜罐系统来吸引黑客的注意力,让他们转移攻击目标并暴露在蜜罐系统中。
蜜罐系统可以与真实网络隔离,以防止攻击对真实网络的影响。
第四,蜜罐技术可以用于收集黑客的情报信息。
蜜罐系统可以收集黑客攻击的来源IP 地址、攻击者的行为模式、攻击目标的类型等信息。
这些信息可以用于追踪黑客的身份、分析黑客的攻击行为,以及加强对黑客的打击和处置。
第五,蜜罐技术可以用于提高对新型攻击的防御能力。
蜜罐系统可以部署在网络的关键节点或者安全漏洞处,诱使黑客攻击。
通过分析攻击行为和攻击方式,安全团队可以发现新型攻击的特征和漏洞,及时修补漏洞,提高网络的安全性。
蜜罐技术还可以用于培训网络安全人员。
通过观察和分析黑客攻击的行为和手段,网络安全人员可以提高他们的技术水平,熟悉各种类型的攻击方式,并制定相应的对抗策略和应急处理方案。
蜜罐技术在网络安全领域中有着广泛的应用,通过诱骗黑客并观察、分析他们的攻击行为,可以提高网络的安全性,收集情报信息,培训网络安全人员,并及时应对新型攻击。
蜜罐技术是网络安全领域中的重要工具,对于保护网络安全,防御黑客攻击具有重要意义。
蜜罐技术在网络安全领域中的应用
蜜罐技术在网络安全领域中的应用
蜜罐技术是一种用于网络安全领域的重要工具,它可以帮助安全专家识别和监测潜在的攻击者,收集攻击相关的信息,从而提高网络安全的防御水平。
本文将详细介绍蜜罐技术在网络安全领域中的应用。
蜜罐技术是一种虚拟或物理的系统,它模拟一个易受攻击的目标,吸引攻击者前来攻击,以便收集攻击者的信息并捕获攻击行为。
蜜罐通常被放置在网络中的关键位置,模拟各种不同类型的目标,如Web服务器、数据库、邮件服务器等。
蜜罐技术的应用可以分为以下几个方面:
1. 收集攻击者信息:蜜罐可以吸引攻击者主动攻击,从而获取攻击者的信息,如攻击者的IP地址、攻击手法、工具和漏洞利用等。
这些信息可以帮助安全专家了解攻击者的行为和策略,进一步提升网络安全的防御水平。
3. 监测威胁情报:蜜罐可以主动与攻击者进行互动,并通过与攻击者的交互收集威胁情报。
蜜罐可以模拟一个容易受攻击的邮件服务器,与恶意邮件发送者进行互动,获取恶意邮件的内容、发送者信息等,从而及时掌握威胁情报,以便及时采取相应的安全措施。
4. 提高漏洞管理能力:蜜罐可以用于测试和验证网络系统的安全性,帮助安全专家检测漏洞并优化系统的安全配置。
由于蜜罐是一个模拟的目标系统,在攻击者攻击时暴露的漏洞和安全问题可以被专业人员发现并修复,从而提高系统的整体安全性。
5. 培养安全人才:蜜罐技术对于网络安全从业人员的培养也有一定的作用。
通过搭建和管理蜜罐系统,安全专家可以不断学习和了解最新的攻击手法和恶意代码,提高自身的技术水平和对网络安全的认识。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
传统的安全技术仅限于被动防御, 只有攻击行为发 生后,才能予以识别,最后再进行阻隔,且仅限于已知类 型的攻击行为。 作为主动防御技术,蜜罐弥补了这方面的 短板。 蜜罐技术通过诱导攻击的方式,记录各种入侵行为 并对其进行分析,通过更深层次的追踪,发现未知的攻击 行为和攻击模式,通过对海量攻击数据的统计分析,更进 一步地探究攻击者的入侵动机, 从而使用有针对性的防 御策略。 从长远角度看,通过分析收集到的攻击数据,可
3.2 利用蜜罐系统与入侵检测的联动增强防护能力
入侵系统自带攻击行为特征库,对入侵行为的检测 主要是通过调用特征库中的数据对其进行匹配,一旦与 特征库中的某种数据匹配,随即做出警示。 特征库的数 据也不是一劳永逸的,需要及时进行更新,只有不断地 进行完善,才能对新的攻击行为做出响应。 蜜罐系统的 出现可以省去不定时更新的麻烦, 两系统相互联动,蜜 罐系统会将记录的攻击信息发送至入侵检测系统,而后 者在接受到该类信息后对其进行一系列的处理,剥离分 析提取其中的攻击特征, 然后将其加入到特征库数据 中,以此及时地完善特征库,以使入侵检测系统对之前 未知的攻击行为做出响应[2]。 两种系统的联动大大加强 了入侵检测系统的防御力。
3.4 蜜罐在反蠕虫病毒中的应用
蠕虫病毒是另外一种常见的网络攻击行为,蜜罐技 术同样可以有针对性地对其进行防御与控制,根据蠕虫 病毒扫描、感染、复制传播特点,蜜罐系统可以有几项的 措施对其进行处理。 蜜罐系统可以检测出感染阶段的蠕 虫病毒,对于已知的蠕虫病毒,可以直接通过重新设置 防火墙或者修改 ID S 规则, 然后重定向到蜜罐系统即 可。 对于未知的蠕虫病毒,可以通过迂回的方式对其进 行处理, 首先是利用专门为未知病毒设定的伪造数据 包,以此延迟系统应答与扫描速度,同时使用特定的辅 助软件工具与程序分析系统日志,快速阻断连接。 然后, 与入侵检测系统联动,将获取的攻击信息分析,提取攻 击特征,再次重新设置防火墙或者修改 ID S 规则,使入 侵 检 测 系 统 可 以 对 之 后 的 攻 击 行 为 做 出 警 示 [3]。
·12· 2016 年 6 月· 网络空间安全
认证及保密 · Authentication and Confidentiality
以更为全面地了解已知与未知的攻击行为、攻击模式、攻 击源头等。 将这些提取出来的信息整合在一起,可以建立 起一个相对完善、且能自我更新的特征库,这将在以后的 网络安全问题中发挥极为重要的辅助作用。
T he Analysis and R esearch of N etwork Security for H oneypot T echnolog
Cui Jia (Naval Aeronautical and Astronautical University ShandongYantai 264001)
3.3 利用蜜罐检测僵尸网络
僵尸系统与网络是许多黑客常用的攻击手段,蜜罐 系统可以针对性的对其进行检测。 僵尸网络的特点是分 布式的,但数量极大,常用的攻击方式有常见的零日攻 击以及掌握攻击向量, 通过远程命令通道发起攻击行 为。 蜜罐系统专门利用僵尸网络的特点,可以顺藤摸瓜, 对其进行及时地追踪与检测分析,进而可以评定僵尸网 络的大概数量。 想要更深入地跟踪僵尸网络,需要的参 数主要是僵尸网络服务器所需要的属性值,而这种属性 值的获得可以通过蜜罐手段获取的僵尸系统程序样本 的逆向分析得到。 蜜罐系统的功能不止于此,其还能准 确识别攻击行为所属的操作系统,以及对攻击活动的完 整保存与再现。 上文提及获得的僵尸程序样本,除了进 行逆向分析之外,还可以通过在线沙盒以及各种杀毒软 件进行更进一步的分析检测,在线提交,将攻击行为特 征共享。
【上接第 6 页】
(6)安全反击。 在符合法律法规的条件下,主动防御 系统可以采用适当的反击技术反击入侵, 如探测类攻 击、欺骗类攻击等,以破坏攻击源。
5 结束语
随着移动计算、云存储、大数据技术的快速发展,网 络安全攻击渠道逐渐呈现出多样化、 智能化等特点,并 且网络攻击威胁潜藏的周期更长,安全威胁的感染速度 更加迅速,影响到主动防御系统的正常运行。 因此,定期 更新安全防御策略,动态化地提升主动防御系统安全防 御能力,构建一种多层次、深度安全防御体系,具有重要 的作用和意义。
1 引言
随着信息技术的飞速发展与互联网领域的急速扩 张,网络中的不安全因素日渐增多,传统意义上的维护 措施已经无法满足信息安全的需要,急需尽快提出行之 有效的解决办法。 传统的安全技术仅限于被动防御,只 有攻击行为发生后才能予以识别,再进行阻隔,这种“后 发制人”的模式只能是处于防不胜防的挨打局面,需要 一种“先发制人”的主动防御技术来彻底反转主被动关 系, 通过对攻击者的目的进行技术性分析以及预判,有 针对性地防止可能发生的攻击。 蜜罐网络欺骗技术正是 主动防御与入侵检测为一体模式的代表,不仅可以防止 攻击者的攻击行为, 还可以对其攻击行为进行分析,更 重要的是还可以进行取证以震慑攻击者,具有极高的实 用价值。
[3] 李艺.复 杂 信 息 网 络的 安 全 防 御 体 系 构建 原 则 研 究[J].装 备学 院学报, 2015, 26(1):88-92.
[4] 甘 露 ,孙 君 菊.云 计 算 技 术 下 的 网 络 安 全 防 御 技 术 探 析 [J].网 络安全技术与应用, 2016(2).
[5] 刘新 ,任 天 成 ,马 雷 等.一 种 改 进 的 信 息 网 络 安 全 防 御 图 模 型 及生成方法研究[J].山东电力技术, 2014(1).
认证及保密 · Authentication and Confidentiality
蜜罐技术用于网络安全的分析与研究
崔嘉 (海军航空工程学院 山东烟台 264001)
【 摘 要 】蜜罐技术在严峻的网络安全形势下应运而生,其主动防御与入侵检测相结合的特点是传统网络安全技术 的强力补充,并取得了良好的防治效果。论文从蜜罐技术的定义及其应用于网络安全的优势入手,详细探讨了蜜罐 技术在网络安全中的应用。 【 关键词 】蜜罐技术;网络安全;主动防御;入侵检测
[3] 王 海 峰 ,陈 庆 奎.蜜 网 动 态 部 署 研 究 与 设 计[J].计 算 机 工 程 与 应 用 ,2011(10):89-92.
[4] 向全 青.基 于 网 络 扫描 技 术 的 动 态 蜜 罐网 络 设 计 与 实 现[J].信 息 技 术 ,2013(6):165-169.
作者简介: 崔嘉 (1982-)男 ,山 东 滨 州 人 ,硕 士 研 究 生 ,讲 师 ;主 要 研 究 方 向 和关注领域:物联网应用技术、装备管理信息化、信息安全。
此外,为了便于取证,蜜罐网络还布置了网络日志 脚本记录程序,对异常的访问里面只是一个陷阱, 一个可以进行主动防御的陷阱。 从实用性角度考虑,蜜 罐技术具有几大优势。
大幅提高检测正确率。 蜜罐网络相对封闭,即不会 有陌生访问。 当攻击者发起网络攻击行为时,一般先会
参考文献
[1] 赵 宏 ,王 灵 霞.基 于 蜜 罐 技 术 的 校 园 网 络 安 全 防 御 系 统 设 计 与 实 现 [J].自 动 化 与 仪 器 仪 表 ,2015(3):134-136.
[2] 吴元 立 ,司 光 亚 ,罗 批.人 工 智 能 技 术 在 网 络 空 间 安 全 防 御 中 的 应 用 [J].计 算 机 应 用 研 究 ,2015,32(8):2241-2244.
【 Abstra ct】H oneypot technology emerged under severe network security situation, its combination of active defense and intrusion detection is a powerful supplement to the traditional network security technology, and has achieved good protective effect. T his paper expounds the definition and advantages of honeypot technology, then discusses the application of honeypot technology in network security. 【 K eyw ords 】honeypot technology;network security;active defense;intrusion detection
作者简介: 王雪东(1961-),男,吉林榆树人,毕业于 西 安 通 信技 术 学 院 载 波 通 信 专 业 ,大 学 本 科 ,现 任 河 北 省 张 家 口 市 公 安 局 信 息 通 信 处 ,副 处 长 ,工 程 师 ;主 要 研 究 方 向 和 关 注 领 域 :公 安 信 息 通 信 、计 算 机 网 络 及 网络安全工作。
4 结束语
蜜罐技术是一种安全有效的网络安全技术,其主动 防御的特点是传统网络安全技术的强力补充。 面对未知 的攻击模式与攻击工具, 蜜罐技术可以有效地进行处 理,及时完善特征库,在各类网络安全问题中扮演了至 关重要的角色,很好地维护了网络安全。 随着时代的发 展与技术的进步,蜜罐技术将会在网络安全维护中大放 异彩。
2 蜜罐技术的定义及其优势
蜜罐技术是一种旨在保护网络安全运行的一种“蜜 罐”,即诱导攻击的诱饵。 它也是一种网络系统,在被保 护的网络系统邻近运行,只不过它故意设置了些许系统 漏洞,可以转移攻击者的注意力,迷惑攻击者,代替目标 网络系统,将可能的攻击转移到蜜罐网络上。 而作为诱 饵的蜜罐网络本身并无重要信息,攻击行为并没有造成 损失,这样就成功地保护了目标网络。 蜜罐网络是一个 相对封闭的闭环网络,一般不对外进行内容服务。 因此, 只要有袭击者访问蜜罐网络,都会被认定为是异常的攻 击行为。