蜜罐主机和蜜罐网络
入侵检测复习知识点归纳(同济大学信息安全)
Ch1:1.入侵检测:是指发现或检测(discover or detect)网络系统和计算机系统中出现各种的入侵活动(intrusion activities, namely attack ),或者说是对所有企图穿越被保护的安全边界的活动或者对违反系统的安全策略的行为的识别。
2、入侵检测系统:用来监视计算机系统或者网络系统的中的恶意活动的系统,它可以是硬件,软件或者组合。
当IDS检测出入侵时,还能对入侵做出响应:被动方式的报警或主动方式的终止入侵活动。
入侵检测系统的准确性可以用误报率(False positive rate)和漏报率(False negative rate)衡量,这个是一个重要的评价指标。
误报(False positive)是当一个正常活动或者合法的网络流(包)触发IDS报警。
漏报(False negative)是一个恶意的活动或网络流(包)却没有触发IDS报警。
3.入侵检测系统常见的分类方法.采集数据来源,检测方法(数据分析方法),从响应方式,体系结构和实现。
4.入侵检测系统主要组成部件和各部件的功能感应器(Sensor): 完成网络,主机和应用程序相关数据(网络包或流,主机审计日志与系统调用,以及具体应用程序相关的日志)采集,并转化成分析器所要求的格式。
分析器(Analyzer):完成数据的分析,并寻找入侵特征。
称为(基于)特征入侵检(signature detection or signature-based ),也有文献称为误用检测(misuse detection )。
或者通过一些统计指标判断行为是否异常,称为(基于)异常入侵检测(anomaly detection or anomaly-based )。
最后做出判断是正常还是攻击。
报警器(Alarm):若检测到攻击,报警器除了要报告网络或系统管理员外(由控制台界面发出声色警报,同时邮件或短信息通知),若是被动响应方式,则有管理员去处理;若是主动响应方式,则会自动查表找与攻击对应的具体响应,即采取相应的响应动作:或者通知防火墙更新过滤规则,中断连接;或者通知主机系统中断某个恶意的进程或用户。
网络诱骗技术之蜜罐
网络诱骗技术之蜜罐摘要:基于主动防御理论系统而提出的新兴蜜罐技术,日益受到网络安全领域的重视,蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵,进而了解攻击思路、攻击工具和攻击目的等行为信息,特别是对各种未知攻击行为信息的学习。
根据获取的攻击者得情报,安全组织就能更好地理解网络系统当前面临的危险,并知道如何阻止危险的发生。
本文首先系统地介绍了蜜罐和蜜罐网络诱骗系统的原理知识及关键技术,重点阐述了蜜罐的发展趋势及研究方向。
关键词:蜜罐、网络诱骗、网络安全、蜜网Phishing technology Honeypot(Northeastern University at Qinhuangdao, Qinhuangdao, 066004) Abstract: Based on active defense system proposed by the emerging theory of honeypot technology, increasingly the importance of network security, honeypots, mainly through careful layout of the environment to attract and tolerance decoy invasion, and then understand the idea of attack, attack tools, and the purpose of acts such as attacks information, especially information on a variety of learning unknown attacks. According to the attacker have access to intelligence and security organizations can better understand the danger facing the network system, and how to prevent dangerous place. This article first systematic introduction to honeypots and honeypot network decoy system, the principle knowledge and key technologies, focusing on trends and honeypot research.Keywords: Honeypot, Phishing, network security, Honeynet0引言“蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo’s Egg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。
学习使用计算机网络蜜罐工具
学习使用计算机网络蜜罐工具在网络安全领域中,蜜罐是一种被用于吸引黑客攻击的工具。
通过监控攻击者在其上进行的活动,蜜罐能够收集到有关攻击者的行为和策略的宝贵信息。
在本文中,我们将介绍如何学习使用计算机网络蜜罐工具。
一、蜜罐概述蜜罐是一种安全工具,旨在模拟真实系统或网络环境,诱使黑客攻击,以便收集攻击者的信息,并帮助分析其攻击手段和策略。
蜜罐存在于网络中,它们看起来与真实系统没有区别,吸引攻击者来攻击。
通过监控和分析攻击者的行为,可以及时采取有效措施来保护真实系统的安全。
二、选择蜜罐工具学习使用计算机网络蜜罐工具之前,我们需要选择适合自己需求的工具。
常用的蜜罐工具有以下几种:1. Honeyd:一种低交互蜜罐工具,通过模拟多个虚拟主机来吸引攻击者。
它能够生成大量的虚拟网络流量,提供灵活的配置选项。
2. Dionaea:一种高交互蜜罐工具,主要用于模拟Windows系统环境。
它能够捕获并记录攻击者使用的恶意软件和漏洞利用工具。
3. Kippo:一种针对SSH服务的低交互蜜罐工具。
它模拟了一个可正常登录的SSH服务器,以吸引攻击者尝试破解密码或进行其他恶意活动。
4. Cowrie:一种基于Kippo的改进版高交互蜜罐工具,能够记录并分析攻击者的操作行为,并提供更好的安全性和可扩展性。
5. Glastopf:一种基于Web应用的低交互蜜罐工具,用于模拟各种Web服务的漏洞和攻击场景。
它能够记录攻击者使用的恶意URL和Payload。
根据自己的需求和技术水平,选择合适的蜜罐工具进行学习和实践。
三、安装和配置蜜罐工具安装和配置蜜罐工具可能略有不同,具体步骤可以参考相应工具的官方文档或网络上的教程。
以Honeyd工具为例,简要介绍一下安装和配置的基本步骤:1. 下载和安装Honeyd工具。
可以在官方网站或开源软件存储库中获取到Honeyd的安装文件。
2. 创建Honeyd配置文件。
配置文件定义虚拟机的IP地址、操作系统类型、开放的端口以及其他参数。
蜜罐与蜜网技术介绍
蜜罐技术弱势
劳力/技术密集型 局限的视图 不能直接防护信息系统 带来的安全风险
17
北京大学计算机科学技术研究所
安全风险
发现蜜罐
黑客知道要避免进入哪些系统 向蜜罐反馈虚假、伪造的信息 消除蜜罐的指纹 蜜罐-反蜜罐技术:博弈问题! 期望黑客获得蜜罐的root权限 黑客会将其用作危害第三方的跳板 引入多层次的数据控制机制 人为分析和干预
团队协作
5
北京大学计算机科学技术研究所
网络攻防的不对称博弈
工作量不对称
攻击方:夜深人静, 攻其弱点 防守方:24*7*365, 全面防护 攻击方:通过网络扫描、探测、踩点对攻击目标 全面了解 防守方:对攻击方一无所知 攻击方:任务失败,极少受到损失 防守方:安全策略被破坏,利益受损
6
信息不对称
提供真实的操作系统和服务,而不是模 拟 可以捕获更丰富的信息 部署复杂,高安全风险 实例:ManTrap, Gen II蜜网
15
北京大学计算机科学技术研究所
蜜罐技术优势
高保真-高质量的小数据集
很小的误报率 很小的漏报率
捕获新的攻击及战术 并不是资源密集型 简单
16
北京大学计算机科学技术研究所
18
利用蜜罐攻击第三方
北京大学计算机科学技术研究所
蜜罐工具实例
DTK
Deception Toolkit (1997) by Fred Cohen Fred Cohen, A Framework for Deception.
电子商务安全技术蜜罐应用
电子商务安全技术蜜罐应用摘要:蜜罐主机和欺骗网络可以获取入侵者团体的智慧、使用的工具、方法、策略及他们的动机等信息。
利用这些信息可以有效地帮助我们增强网络的安全性,提高安全事故的反应能力。
本文引入了蜜罐技术,分析了蜜罐技术的基本原理及优点,并将其与传统的网络防护技术相结合,提高电子商务的安全性。
关键词:蜜罐;蜜网;蜂蜜信标;电子商务;网络安全中图分类号:tp393.08 文献标识码:a 文章编号:1673-8500(2013)03-0085-01电子商务正以空前的速度迅猛发展,电子商务的开放性及网络的全球性、共享性,使得电子商务的安全问题成为人们关注的焦点,全世界由于信息系统脆弱而导致的经济损失逐年上升。
国内大部分电子商务站点存在严重的安全漏洞,网站一旦被病毒和黑客攻击,给商家和客户带来的损失将会是非常巨大的。
面对不断出现的新的攻击方法和攻击工具,传统的、被动防御的网络防护技术,如防火墙、入侵检测技术、病毒防护技术、数据加密和认证技术等越来越无法适应网络安全的需要。
基于以上原因,本文把蜜罐技术应用在电子商务中,提高电子商务网络的安全。
一、电子商务网络安全现状及原因我国大部分电子商务网站把主要精力放在网站的结构和内容的建设上,忽略了网站的安全防护,这使得安全事故未能得到有效遏制。
网络的不安全性,商家和客户都受到不同程度的损失,进一步阻碍了电子商务的发展。
1.电子商务网络安全存在的不安全因素有:(1)网络安全漏洞:目前电子商务应用的操作系统都存在不同程度的安全漏洞,如不定期升级及维护,遭到攻击就可能泄漏系统信息,甚至导致系统崩溃。
(2)人为因素:保密观念不强或不懂忽视保密守则,随便乱放机密材料等。
2.存在网络安全的原因:(1)安全意识淡薄:许多电子商务网站认为自身规模不大,不会引来恶意攻击;有些是在受到攻击后才会加强网站安全;一些认为安装了防火墙等安全产品就能保障其网站的安全。
(2)安全产品误区:安全产品只能在一定程度上提高网站安全性,且其本身也存在或多或少的安全问题。
(扩充)蜜罐与蜜网技术
蜜罐技术优势
高度保真的小数据集
• 低误报率 • 低漏报率
能够捕获新的攻击方法及技术 并不是资源密集型 原理简单,贴近实际
蜜罐技术概述
蜜罐技术的提出 蜜罐技术基本概念、分类及优势 虚拟蜜罐工具-Honeyd 蜜罐技术发展历程,当前研究热点
Honeyd
A virtual honeypot framework
Feb 12 23:06:33 Connection to closed port: udp (210.35.128.1:1978 172.16.85.101:1978) Feb 12 23:23:40 Connection request: tcp (66.136.92.78:3269 - 172.16.85.102:25) Feb 12 23:23:40 Connection established: tcp (66.136.92.78:3269 - 172.16.85.102:25) <-> sh scripts/smtp.sh Feb 12 23:24:14 Connection dropped with reset: tcp (66.136.92.78:3269 172.16.85.102:25) Feb 12 23:34:53 Killing attempted connection: tcp (216.237.78.227:3297 172.16.85.102:80) Wed Feb 12 23:23:40 UTC 2003: SMTP started from EHLO Port
蜜罐的分类
交互性:攻击者在蜜罐中活动的交互性级别 低交互型-虚拟蜜罐
• 模拟服务和操作系统 • 只能捕获少量信息 / 容易部署,减少风险 • 例: Honeyd
“蜜罐”配置实验
实验23“蜜罐”配置实验1.实验目的通过安装和配置“蜜罐”,了解“蜜罐”的原理,及其配置使用方法。
2.实验原理2.1“蜜罐”技术的起源入侵检测系统能够对网络和系统的活动情况进行监视,及时发现并报告异常现象。
但是,入侵检测系统在使用中存在着难以检测新类型黑客攻击方法,可能漏报和误报的问题。
蜜罐使这些问题有望得到进一步的解决,通过观察和记录黑客在蜜罐上的活动,人们可以了解黑客的动向、黑客使用的攻击方法等有用信息。
如果将蜜罐采集的信息与IDS采集的信息联系起来,则有可能减少IDS的漏报和误报,并能用于进一步改进IDS的设计,增强IDS的检测能力。
“蜜罐”的思想最早是由Clifford Stoll于1988年5月提出。
该作者在跟踪黑客的过程中,利用了一些包含虚假信息的文件作为黑客“诱饵”来检测入侵,这就是蜜罐的基本构想,但他并没有提供一个专门让黑客攻击的系统。
蜜罐正式出现是Bill Cheswick提到采用服务仿真和漏洞仿真技术来吸引黑客。
服务仿真技术是蜜罐作为应用层程序打开一些常用服务端口监听,仿效实际服务器软件的行为响应黑客请求。
例如,提示访问者输入用户名和口令,从而吸引黑客进行登录尝试。
所谓漏洞仿真是指返回黑客的响应信息会使黑客认为该服务器上存在某种漏洞,从而引诱黑客继续攻击。
2.2蜜罐技术的优点Honeypot是一个相对新的安全技术,其价值就在被检测、攻击,以致攻击者的行为能够被发现、分析和研究。
它的概念很简单:Honeypot没有任何产品性目的,没有授权任何人对它访问,所以任何对Honeypot的访问都有可能是检测、扫描甚至是攻击。
Honeypot的检测价值在于它的工作方式。
正如前文所提到的,由于Honeypot没有任何产品性功能,没有任何授权的合法访问,所以在任何时间来自任何地方对Honeypot的任何访问都有可能是非法的可疑行为。
Honeypot的工作方式同NIDS等其他的传统检测技术正好相反,NIDS不能解决的问题,Honeypot却能轻易解决。
蜜罐与蜜网技术
击 者 劳而 无功 . 而 降低 黑 客攻 击 系 ( 从 欺骗 工具 包 ) il Po o 开发 的 的商业产 品 。研究型 蜜罐 则是 专 门用 、Nes rv s 通 统 的 兴趣 减少 重 要 系统 被攻 击 的危 H n y o e d等 , 同时也 出现 了像K S no , 于 对黑 客攻 击 的 捕获 和 分析 . 过部 F es r
维普资讯
T lc m r e ee o ma k t技 术 前 沿
蜜罐与蜜网技术
牛少彰 张 玮 ( 北京邮电大学
摘要: 网络Байду номын сангаас全领域 日益受到重视 , 新兴的蜜罐与蜜网技术 。 基于主动防御理论而提出。蜜罐与 蜜网技术通过精心布置的诱骗环境来吸引容忍入侵 ,进而了解攻击思路 .攻击工具和攻击 目的等行为 信息 根据获取的攻击者的情报能更好地理解 网络系统当前面临的危险 ,并且知道如何阻止这些危险 的发生。在 网络安全防护 中做到有的放矢 ,获得最大的主动权 。 关键词 :网络安全 。蜜罐技术 。蜜网技术
术. 一类是 蜜网 (o e n t h n y e )工程 。
一
种思 想 . 常 由网络 管理人 员应 用 . 蜜罐 的目的在 于为一 个组 织的 网络提 通
包括 检 测攻 击 防止 攻 国际 上的一 些安全 组 织首 先研究 通 过 欺骗 黑客达 到追 踪 的 目的。这 ~ 供 安全 保 护 .
网络 诱骗 系统 . 网络 诱骗 系统是 进 出该 网络 的数 据和 网络 诱骗 主机 上 于使 用真 实 的主机 、操 作 系统 和应 用
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络攻防原理与实践
蜜罐的优点
❖ 简捷性
无需开发奇异的算法,无需维护签名数据库,不会出 现错误配置的规则库。只要把蜜罐拿过来,放到组织 中的某个地方,然后就可以静观其变了。
❖ 投资回报
蜜罐迅速且不断地展现着其自身的价值所在,它不仅 可以用来证实其自身的价值,而且还包括对其他安全 资源所做的投资。
威慑型蜜罐 对攻击者产生心理上的威吓及迷惑作用的蜜罐系 统,其主要职责就是告诉攻击者自己是个蜜罐系 统,这样可以形成一定的阻吓作用,减弱攻击者 的攻击意图。
高等教育出版社
网络攻防原理与实践
蜜罐的分类
检测型蜜罐 通过提高蜜罐系统的检测能力,用户不只可以通过 蜜罐系统的活动情况判断攻击行为的发生,还可以 更加广泛和细致的监测攻击活动。
高等教育出版社
网络攻防原理与实践
蜜罐的缺点
❖ 视野有限
蜜罐只能看到何种活动是直接针对它们自身的,而漏 掉周围的事件。
❖ 指纹识别
指纹识别指的是由于蜜罐具备一些特定的预期特征或 者行为,因而能够被攻击者识别出其真实身份的情况。
❖ 风险
一旦一个蜜罐遭受了攻击,就可以被用于攻击、渗透, 甚至危害其他的系统或者组织。
高等教育出版社
网络攻防原理与实践
蜜罐的伪装
❖ 采用真实系统作蜜罐,能提供黑客与系统的交互能力, 伪装程度明显提高。
❖ 还要对这些真实系统进行配置,最为逼真的配置办法是 把一个修改过敏感信息的工作系统的内容直接拷贝到蜜 罐上。
❖ 目前蜜罐的主要网络欺骗技术有:
模拟端口 模拟系统漏洞和应用服务 IP空间欺骗 流量仿真 网络动态配置 组织信息欺骗 网络服务 蜜罐主机
防火墙 可以配置防火墙记录所有的出入数据,供以后仔 细地检查。
入侵检测系统 NIDS在网络中的放置方式使得它能够对网络中所 有机器进行监控,可以用HIDS记录进出蜜罐的所 有数据包,也可以配置NIDS只去捕获感兴趣的数 据流。
高等教育出版社
网络攻防原理与实践
主动的信息收集
❖ 信息也可以主动获得,使用第三方的机器或服务 甚至直接针对攻击者反探测
中交互度蜜罐 中交互度的蜜罐能够预期一些活动,并且旨在可 以给出一些低交互度蜜罐所无法给予的响应。
高等教育出版社
网络攻防原理与实践
蜜罐的分类
高交互度蜜罐 高交互度的蜜罐可以提供大量关于攻击者的信息, 目的是为攻击者提供对实际操作系统的访问权,在 这种环境下没有任何东西是模拟的或者受限的。
Honeynet蜜网 不仅为攻击者提供了完整的操作系统进行攻击和交 互,而且还提供了多个蜜罐。 Honeynet的复杂性在于对往来于蜜罐的所有活动 既进行控制又加以捕获的控制网络的构建。
研究型蜜罐 蜜罐系统可以提供一个非常强大的用于了解攻击者 和安全威胁的机制。 研究型蜜罐可以让使用者获悉很多未知的安全隐患 和攻击方法,这可以做为一种预警机制来提前发现 将要造成破坏的攻击行为。
高等教育出版社
网络攻防原理与实践
蜜罐的分类
❖ 按交互级别分类
低交互度蜜罐 一个低交互度的蜜罐很容易安装和部署,并只能 对少量服务进行模拟。 低交互度蜜罐的主要价值在于检测,具体说来就 是对未授权扫描或者未授权连接尝试的检测。
第15章 蜜罐主机和蜜罐网络
高等教育出版社
1. 蜜罐概述 2. 蜜罐的实现技术 3. 蜜罐主机的部署 4. 蜜罐网络
网络攻防原理与实践
本章要点
高等教育出版社பைடு நூலகம்
网络攻防原理与实践
蜜罐的基本概念
❖ 蜜罐是一种安全资源,它的价值就在于被扫描、 攻击和攻陷,并对这些攻击活动进行监视、检测 和分析。
❖ 设计蜜罐的初衷是为吸引那些试图非法入侵他人 计算机系统的人,借此收集证据,同时隐藏真实 的服务器地址。
高等教育出版社
网络攻防原理与实践
信息的采集
❖ 蜜罐系统需要隐蔽地采集尽量全面的黑客活动信 息。
❖ 对黑客在蜜罐上的活动,需要从系统级、网络级 等多个层次进行记录,以完整认识黑客的活动。
❖ 蜜罐依据收集和分析数据地点的不同将收集信息 的方式进行分类:
基于主机的信息收集 基于网络的信息收集 主动的信息收集
高等教育出版社
网络攻防原理与实践
基于主机的信息收集
❖ 记录数据流
将攻击者的信息存放在一个安全的、远程的地方。 以通过串行设备、并行设备、USB或Firewire技术和
网络接口将连续数据存储到远程日志服务器。
❖ “Peeking”机制
MD-5检验和检查:如果攻击者有一个和蜜罐对比的 参照系统,就会计算所有标准的系统二进制文件的 MD-5校验和来测试蜜罐。
库的依赖性和进程相关性检查:即使攻击者不知道原 始二进制系统的确切结构,仍然能应用特定程序观察 共享库的依赖性和进程的相关性。
高等教育出版社
网络攻防原理与实践
基于网络的信息收集
❖ 基于网络的信息收集将收集机制设置在蜜罐之外, 以一种不可见的方式运行。
❖ 可以利用防火墙和入侵检测系统从网络上收集进 出蜜罐的信息。
如Whois,Portscan等。
❖ 这种方式很危险,容易被攻击者察觉并离开蜜罐, 而且不是蜜罐所研究的主要范畴。
高等教育出版社
网络攻防原理与实践
风险控制
❖ 在运行蜜罐时,将存在的风险分为三个方面:
未发现黑客对蜜罐的接管 蜜罐被黑客控制并接管是非常严重的,这样的蜜 罐已毫无意义且充满危险。
高等教育出版社
网络攻防原理与实践
蜜罐的优点
❖ 数据价值
蜜罐通常只会收集少量的数据,但这些数据却具有极 高的价值。
蜜罐能以一种快捷而易懂的格式提供所需的精确信息, 简化了分析,提高了响应速度。
❖ 资源
蜜罐只会对少量活动进行捕获和监视,所以在它们身 上通常不会发生资源枯竭问题。
蜜罐只会捕获那些直接针对其本身的活动,因此系统 并不会受到流量的震荡。
❖ 蜜罐具有发现攻击、产生警告、记录攻击信息、 欺骗、调查取证等功能。
❖ 蜜罐最大的优势在于它能主动地检测和响应网络 入侵和攻击,并且采集的信息价值高。
高等教育出版社
网络攻防原理与实践
蜜罐的分类
❖ 按价值体现分类
欺骗型蜜罐 纯粹的以欺骗性目的存在的蜜罐系统,通过伪装 成攻击目标,从而转移攻击者的注意力,同时通 过报警等各种附加机制对攻击进行响应。