江苏龙网

  1. 主页 > 生活百科 > >

蜜罐技术是一种什么防御技术?实现原理是什么?

蜜罐技术

前言:蜜罐技术的出现改变了这种被动态势,它通过吸引、诱骗攻击者,研究学习攻击者的攻击目的和攻击手段,从而延缓乃至阻止攻击破坏行为的发生,有效保护真实服务资源 。
自网络诞生以来,攻击威胁事件层出不穷,网络攻防对抗已成为信息时代背景下的无硝烟战争 。然而,传统的网络防御技术如防火墙、入侵检测技术等都是一种敌暗我明的被动防御,难以有效应对攻击者随时随地发起的无处不在的攻击和威胁 。蜜罐技术的出现改变了这种被动态势,它通过吸引、诱骗攻击者,研究学习攻击者的攻击目的和攻击手段,从而延缓乃至阻止攻击破坏行为的发生,有效保护真实服务资源 。
一、什么是蜜罐技术
国际蜜罐技术研究组织Hone.NET Project的创始人Lance Spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷 。蜜罐并不向外界用户提供任何服务,所有进出蜜罐的网络流量都是非法的,都可能预示着一次扫描和攻击,蜜罐的核心价值在于对这些非法活动进行监视、检测和分析 。
蜜罐是用来吸引那些入侵者,目的在于了解这些攻击 。蜜罐看起来就是一台有一个或者多个可以被攻击者利用漏洞的服务器或计算机主机 。他们简单的就如同一个默认安装的操作系统充满了漏洞以及被攻破的可能性 。

蜜罐技术是一种什么防御技术?实现原理是什么?

文章插图
二、蜜罐技术的发展
蜜罐技术改变了传统防御的被动局面 。早期的蜜罐一般伪装成存有漏洞的网络服务,对攻击连接做出响应,从而对攻击方进行欺骗,增加攻击代价并对其进行监控 。由于这种虚拟蜜罐存在着交互程度低、捕获攻击信息有限且类型单一、较容易被攻击者识别等问题 。Spitzner等安全研究人员提出并倡导蜜网(honeynet)技术,并在1999年成立了非赢利性研究组织The HoneynetProjectl 。蜜网(是由多个蜜罐系统加上防火墙、入侵防御、系统行为记录、自动报警与数据分析等辅助机制所组成的网络体系结构,在蜜网体系结构中可以使用真实系统作为蜜罐,为攻击者提供更加充分的交互环境,也更难被攻击者所识别 。蜜网技术使得安全研究人员可以在高度可控的蜜罐网络中,监视所有诱捕到的攻击活动行为 。
为了克服传统蜜罐技术与生俱来的监测范围受限的弱点,The Honeynet Project在2003年开始引入分布式蜜罐(distributed honeypot)与分布式蜜网(distributedhoneynet)的技术概念,并于2005年开发完成Kanga分布式蜜网系统,能够将各个分支团队部署蜜网的捕获数据进行汇总分析 。
【蜜罐技术是一种什么防御技术?实现原理是什么?】分布式蜜罐/蜜网能够通过支持在互联网不同位置上进行蜜罐系统的多点部署,有效地提升安全威胁监测的覆盖面,克服了传统蜜罐监测范围窄的缺陷,因而成为目前安全业界采用蜜罐技术构建互联网安全威胁监测体系的普遍部署模式,具有较大影响力的包括The Honeynet Project的Kanga及其后继GDH系统、巴西分布式蜜罐系统、欧洲电信的Leurre、Com与SGNET系统、中国Matrix分布式蜜罐系统等 。
在互联网和业务网络中以分布式方式大量部署蜜罐系统,特别是在包含提供充分交互环境的高交互式蜜罐时,需要部署方投入大量的硬件设备与IP地址资源,并需要较多的维护人力成本 。2003年,Spitzner提出了一种蜜罐系统部署的新型模式-蜜场(honeyfarm) 。基于蜜场技术概念实现的网络威胁预警与分析系统有Collapsar,Potemkin和 Icarus等 。
三、蜜罐的目标与作用
蜜罐技术强大而灵活,不仅可以识别对网络上主机的攻击也可以监视和记录攻击是如何进行的 。蜜罐可以和入侵检测IDS一起工作,与 IDS相比,蜜罐的误报率较低 。这是因为蜜罐既不提供任何网络服务,也没有任何合法用户,但并不是网络上的空闲设备 。因此,任何流入或者流出蜜罐的网络通信都可以是做可疑的,是网络正在被攻击的一种标志 。
蜜罐的主要目标是容忍入侵者攻击自身,在被攻击的过程中记录收集入侵者的攻击工具、手段、动机、目的等行为信息 。尤其是入侵者使用了新的未知攻击行为时,收集这些信息,从而根据其调整网络安全策略,提高系统安全性能 。同时蜜罐还具有转移攻击者注意力,消耗其攻击资源、意志,间接保护真实目标系统的作用 。
四、蜜罐的分类
蜜罐可以运行任何操作系统和任意数量的服务 。蜜罐根据交互程度(Level ofInvolvement)的不同可以分为高交互蜜罐和低交互蜜罐 。蜜罐的交互程度是指攻击者与蜜罐相互作用的程度,高交互蜜罐提供给入侵者一个真实的可进行交互的系统 。


推荐阅读


上一篇:10 大可以摧毁你的 Linux 的命令

下一篇:网络攻击追踪溯源中攻击者如何掩盖真实IP