信息安全的本质是持续对抗。
蜜罐与蜜网:通过设置‘假目标’来增加攻击成本,通过观察攻击者在蜜罐与蜜网中的攻击行为,来全面的了解攻击者。蜜罐与蜜网被攻破的结果是可预测的同时也是可控制的。
蜜罐(Honeypot)
定义:A security resource who’s value lies in probed ,attacked or compromised .
两个重要的特点:
没有业务上的用途,换句话说所有的流入与流出蜜罐的数据都预示着扫描,攻击,和攻陷可能性。
用于监视,检测与分析攻击。
在 A Note on the Role of Deception in Information Protection © 1998 Fred Cohen中,Cohen对欺骗的特点做出了如下的非正式的总结:
1.欺骗增加了攻击者的工作量,因为攻击者无法预测那一次的攻击能够成功,那些会失败;
2.欺骗允许防御者追击攻击者的种种入侵尝试并在攻击者在找到防御者的真实漏洞之前进行响应;
3.欺骗消耗了攻击者的资源;
4.欺骗增加了攻击者更高技能的要求;
5.欺骗增加了攻击者的不确定性;
基于上述的理论,Cohen设计的欺骗防御基本结构如下
1.影响攻击者的策略选择,使其按照防御者设计的路径进行攻击;
2.尽快的检测到攻击者,联动切断其他的路径;
3.消耗攻击者资源
客户端蜜罐(HoneyClients)
越来越多的攻击针对客户端软件,这些攻击并不会本身主动去寻找攻击目标,而是被动的等待有人去使用有缺陷的客户端。
主动客户端蜜罐
主动地去搜索攻击者
被动客户端蜜罐
通常是被动的等待攻击者的流量到达。通常是从网络流量中读取从流量中提取与还原的文档附件,模拟用户去打开文档。
无论哪种的客户端蜜罐设计都要需要考虑应用协议(也有文档解析协议)本身和需要捕获的攻击类型。
在行为检测算法设计方面通常是基于完整性测试判断是否发现了攻击行为:如蜜罐程序本身,配置文件和注册表是否被篡改。对于主动型的客户端蜜罐采用的是同步交互的方式。被动的客户端蜜罐是采用了异步交互的方式