一、简介
蜜罐其实就是一个“陷阱”程序,这个陷阱是对入侵者特意设计出来的一些伪造的系统漏洞,这些伪造的系统漏洞,在引诱入侵者扫描或攻击时,就会激活能够触发报警事件的软件。蜜罐程序一般分为两种:一种是只发现人侵者而不对其采取报复行动,另一种是同时采取报复行动。
Honeypot:是一种故意存在着缺陷的虛拟系统,用来对黑客进行欺骗。
Honeynet:是一个很有学习价値的工具,它能使我们了解黑客人侵的攻击方式。
二、 核心机制
核心机制是蜜罐技术达成对攻击方进行诱骗与检测的必须组件
1) 欺骗环境构建机制: 构造出对攻击方具有诱骗性的安全资源,吸引攻击方对其进行探测、攻击与利用,这里所谓的"安全资源"可以理解为存在受攻击面的一切资源,包括
1.1) 蜜罐所模拟的操作系统,即系统级漏洞,例如MS06-28
1.2) 蜜罐所模拟的系统服务、系统端口,例如RPC、SMP、FTP
1.3) 蜜罐所模拟的应用层服务: CMS系统、VoIP等
2) 威胁数据捕获机制: 对诱捕到的安全威胁进行日志记录,尽可能全面地获取各种类型的安全威胁原始数据:
2.1) 网络连接
2.2) 原始数据包
2.3) 系统行为数据
2.4) 恶意代码样本(.exe、shellcode)
3) 威胁数据分析机制: 在捕获的安全威胁原始数据的基础上,分析追溯安全威胁的类型与根源,并对安全威胁姿势进行感知
三、 辅助机制
对蜜罐技术其他扩展需求的归纳,主要包括:
1) 安全风险控制机制
2) 配置与管理机制
3) 反蜜罐技术对抗机制等
辅助机制的主要目标
1) 安全风险控制机制要确保部署蜜罐系统不被攻击方恶意利用去攻击互联网和业务网络,让部署
方规避道德甚至法律风险;
2) 配置与管理机制使得部署方可以便捷地对蜜罐系统进行定制与维护;
3) 反蜜罐技术对抗机制的目标是提升蜜罐系统的诱骗效果,避免被具有较高技术水平的攻击方利用反蜜罐技术而识别