蜜罐技术简介

蜜罐技术简介

1. 蜜罐的概念

蜜罐（Honeypot）首次出现在Cliff Stoll的小说“The Cuckoo’s Egg”(1990)里，蜜网项目组给出的定义是：没有业务上的用途，因此所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷，主要用以监视、检测和分析攻击。它用真实的或虚拟的系统模拟一个或多个易受攻击的主机，给入侵者提供一个容易攻击的目标，从而发现攻击者采用的手段。

1. 蜜罐的价值

1. 捕获、发现新的攻击手段及战术方法；
2. 目的性强，捕获的数据价值高；
3. 误报率、漏报率小；
4. 建立安全事件行为特征库；
5. 相对入侵检测等其他技术，蜜罐技术比较简单，使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。

1. 蜜罐的核心技术

蜜罐的核心技术一般包括数据捕获技术，数据控制技术以及数据分析技术，其中数据捕获和数据分析技术与网络分析技术类似。

数据捕获技术：数据捕获就是在入侵者无察觉的情况下，完整地记录所有进入蜜罐系统的连接行为及其活动。捕获到的数据日志是数据分析的主要来源，通过对捕获到的日志的分析，发现入侵者的攻击方法、攻击目的、攻击技术和所使用的攻击工具。一般来说收集蜜罐系统日志有两种方式：基于主机的信息收集方式和基于网络的信息收集方式。

数据分析技术：数据分析就是把蜜罐系统所捕获到的数据记录进行分析处理，提取入侵规则。从中分析是否有新的入侵特征。数据分析包括网络协议分析、网络行为分析和攻击特征分析等。对入侵数据的分析主要是找出所收集的数据哪些具有攻击行为特征，哪些是正常数据流。分析的主要目的有两个：一个是分析攻击者在蜜罐系统中的活动、扫描击键行为、非法访问系统所使用工具、攻击目的何在以及提取攻击特征；另一个是对攻击者的行为建立数据统计模型，看其是否具有攻击特征，若有则发出预警，保护其它正常网络，避免受到相同攻击。

1. 常用的蜜罐系统

1. Honeyd

一款优秀的虚拟蜜罐系统，提供强大易用的功能。

1. 可以模拟任意TCP/UDP网络服务，如IIS, Telnet, pop3…；
2. 支持同时模拟多个IP地址主机；
3. 最多同时支持65535个IP地址；
4. 支持ICMP，对ping和traceroute做出响应；
5. 通过代理和重定向支持对实际主机、网络服务的整合；
6. 提供UI用户界面；
7. Honeyd与NIDS结合使用，能捕获更多更全面的攻击信息

通过部署Honeyd可以对黑客攻击进行捕获和分析，达到以下效果：

1. 了解黑客在干什么
2. 了解黑客的攻击方法
3. 捕获他们的键击记录
4. 捕获他们的攻击工具
5. 监控他们的会话

1. DTK

DTK(DeceptionToolkit) 由FredChoen用Perl语言编写的一组源代码公开的脚本程序，采用服务仿真技术，是最早出现的一种欺骗系统，它可以在几分钟内部署一系列的陷阱，以显著提高攻击代价，同时降低防御成本，欺骗自动攻击程序，使其无效。