4-5 网络安全响应技术（2）-蜜网技术.pdf

计算机系统与网络安全技术计算机系统与网络安全技术 蜜罐和蜜罐系统蜜罐和蜜罐系统 一种安全资源，其价值在于被一种安全资源，其价值在于被 扫描、攻击和攻陷。扫描、攻击和攻陷。 蜜罐 网络安全响应技术网络安全响应技术 网络安全技术网络安全技术 蜜罐和蜜罐系统蜜罐和蜜罐系统 一个包含漏洞且运行于互联网上的一个包含漏洞且运行于互联网上的计算机系统计算机系统 它它通过模拟一个或多个易受攻击的系统，给攻击通过模拟一个或多个易受攻击的系统，给攻击 者提供一个包含漏洞并容易被攻破的攻击者提供一个包含漏洞并容易被攻破的攻击目标目标 吸引吸引攻击者对其发起攻击，同时完整地且不被察攻击者对其发起攻击，同时完整地且不被察 觉地将他们的活动记录下来。觉地将他们的活动记录下来。 蜜罐系统蜜罐系统 网络安全响应技术网络安全响应技术 网络安全技术网络安全技术 第一阶段第一阶段 九十年代初，蜜罐实质上是一些真正被黑客所 攻击的主机和系统。 第二阶段第二阶段 1998 年，蜜罐又称为是虚拟蜜罐，即开发的这些蜜 罐工具能够模拟成虚拟的操作系统和网络服务，并对 黑客的攻击行为做出回应，从而欺骗黑客。 第三阶段第三阶段 2000 年之后，更倾向于使用真实的主机、操作系 统和应用程序搭建蜜罐，融入了更强大的数据捕获、 数据分析和数据控制的工具，并且将蜜罐纳入到一 个完整的蜜网体系中。 蜜罐技术的发展历程蜜罐技术的发展历程 网络安全响应技术网络安全响应技术 网络安全技术网络安全技术 按照其部署目的按照其部署目的 产品型产品型蜜罐蜜罐 在于在于为一个组织的网络提供为一个组织的网络提供 安全安全保护保护 研究型研究型蜜罐蜜罐 对对黑客攻击进行追踪和分析，黑客攻击进行追踪和分析， 了解到黑客所使用的攻击工了解到黑客所使用的攻击工 具及攻击方法具及攻击方法 按照其交互度的等级按照其交互度的等级 低交互低交互蜜罐蜜罐 模拟模拟操作系统和网络操作系统和网络服务服务 中交互中交互蜜罐蜜罐 模拟模拟真正操作系统真正操作系统的各种的各种行为行为 高高交互交互蜜罐蜜罐 完全完全向攻击者提供真实的操作向攻击者提供真实的操作 系统和网络系统和网络服务服务 蜜罐分类蜜罐分类 网络安全响应技术网络安全响应技术 网络安全技术网络安全技术 攻击攻击 诱骗诱骗 吸引黑客的注意并诱使其发起吸引黑客的注意并诱使其发起攻击攻击 增大增大黑客发现并入侵蜜罐的黑客发现并入侵蜜罐的几率几率 数据数据 捕捉捕捉 是蜜罐的核心是蜜罐的核心功能功能 主要主要分为两层：基于主机的数据分为两层：基于主机的数据收集收集 基于基于网络的数据网络的数据收集收集 数据数据 控制控制 防止以当前攻陷系统作为防止以当前攻陷系统作为跳板，进而跳板，进而攻攻 击其它击其它系统系统 蜜罐主要功能模块蜜罐主要功能模块 网络安全响应技术网络安全响应技术 网络安全技术网络安全技术 功能功能 蜜网技术蜜网技术 网络安全响应技术网络安全响应技术 网络安全技术网络安全技术 (2)(2)该体系结构可以包含一个或多个蜜罐，并提供多种工具以方便该体系结构可以包含一个或多个蜜罐，并提供多种工具以方便 对攻击信息的采集和分析对攻击信息的采集和分析 (3)(3)同时保证蜜网网络的高度可控性同时保证蜜网网络的高度可控性 (1)(1)蜜网技术建立了一个攻击诱捕的网络体系架构蜜网技术建立了一个攻击诱捕的网络体系架构 蜜网拓扑结构蜜网拓扑结构 虚拟主机 虚拟主机 物理主机 物理主机 虚拟主机 虚拟主机 虚拟主机 宿主系统 宿主系统 连接控制器 网络安全响应技术网络安全响应技术 网络安全技术网络安全技术 蜜网的应用蜜网的应用 网络安全响应技术网络安全响应技术 网络安全技术网络安全技术 抗蠕虫抗蠕虫 病毒病毒 捕获网捕获网 络钓鱼络钓鱼 捕获僵捕获僵 尸网络尸网络 捕获捕获垃垃 圾邮件圾邮件 典型的攻击诱骗工具典型的攻击诱骗工具 网络安全响应技术网络安全响应技术 网络安全技术网络安全技术 提高蜜网的可移植性提高蜜网的可移植性 提高蜜网的交互性提高蜜网的交互性 提高蜜网的信息控制和记录功能提高蜜网的信息控制和记录功能 降低蜜网的风险降低蜜网的风险 蜜网技术发展趋势蜜网技术发展趋势 网络安全响应技术网络安全响应技术 网络安全技术网络安全技术 与其他安全组件联动与其他安全组件联动 结束结束