绝对隔离+底层限制,成就猎鹰蜜罐“牢不可破”的立体化安全

前言

自网络诞生以来,攻击威胁事件层出不穷,网络攻防对抗已成为信息时代背景下的无硝烟战争。然而,传统的网络防御技术如防火墙、入侵检测技术等都是一种敌暗我明的被动防御,难以有效应对攻击者随时随地发起的无处不在的攻击和威胁。蜜罐技术的出现改变了这种被动态势,它通过吸引、诱骗攻击者,研究学习攻击者的攻击目的和攻击手段,从而延缓乃至阻止攻击破坏行为的发生,有效保护真实服务资源。
国际蜜罐技术研究组织Honeynet Project的创始人Lance Spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。蜜罐并不向外界用户提供任何服务,所有进出蜜罐的网络流量都是非法的,都可能预示着一次扫描和攻击,蜜罐的核心价值在于对这些非法活动进行监视、检测和分析。

蜜罐是用来吸引那些入侵者,目的在于了解这些攻击。蜜罐看起来就是一台有一个或者多个可以被攻击者利用漏洞的服务器或计算机主机。他们简单的就如同一个默认安装的操作系统充满了漏洞以及被攻破的可能性。

  • 什么是网络蜜罐(Honeypot)?

网络蜜罐(Honeypot)是一种安全防御技术,它模拟并部署一个看似易受攻击的系统或网络,用于吸引和监测潜在的网络攻击者。网络蜜罐的主要目的是收集关于攻击技术、攻击者行为和漏洞的信息,以便加强网络安全防御。

网络蜜罐通过模拟吸引攻击者与其进行交互,从而获取攻击者的行为、技术手段和攻击策略。当攻击者尝试入侵、扫描、攻击或利用蜜罐中的漏洞时,蜜罐会记录攻击者的行为并收集关键的信息,如攻击源IP地址、攻击方法、使用的工具和漏洞利用方式等。这些信息用于分析攻击行为、识别新的攻击技术和漏洞,并改进网络的安全防御措施。

  • 蜜罐的种类有哪些呢?

电子邮件蜜罐:电子邮件蜜罐使用欺骗性电子邮件地址,只能使用自动地址收集器等可疑方法才能检测到该地址,这意味着合法用户无法找到该地址。因此,发送到该地址的所有邮件都会被归类为垃圾邮件,并且这些电子邮件的发件人会立即被网络阻止。这有助于互联网服务提供商阻止垃圾邮件

数据库蜜罐:组织经常创建包含虚假内容的诱饵数据库,以识别和消除系统漏洞。数据蜜罐可以收集有关SQL 注入和黑客用来访问虚假数据库的其他方法的信息,它们还可以用于分析攻击中窃取的虚假数据的传播和使用。

恶意软件蜜罐:恶意软件蜜罐是一种旨在通过模仿软件应用程序或 API 来吸引恶意软件的技术,创建一个受控环境,让创建者可以安全地分析恶意软件攻击。然后,该信息可用于构建更复杂的恶意软件防御措施

蜘蛛蜜罐:网络爬虫或“蜘蛛”是此类蜜罐陷阱的预期目标。蜘蛛蜜罐创建只能由自动网络爬虫或机器人访问的网页和链接,使组织能够深入了解它们的运作方式以及它们可能导致的任何潜在问题

客户端蜜罐:传统的蜜罐是被动等待攻击的服务器蜜罐。但客户端蜜罐(或计算机蜜罐)是主动安全机制,寻找发起攻击的服务器。客户端蜜罐模拟客户端设备,与服务器交互,并调查是否发生了攻击。

罐的分类方式有很多按照学术的标准分为:生产蜜罐\研究蜜罐;按照按交互级别划分,蜜网和其他形式的蜜罐安全可以根据三个不同的交互级别进一步分为:纯蜜罐、高交互蜜罐、低交互蜜罐

生产蜜罐:被大型组织用作主动防御的诱饵,引导黑客远离主网络。组织使用从这种“受控”黑客行为中收集的数据来消除其防御中的任何弱点,并更好地保护其真实网络免受黑客攻击

研究蜜罐:是复杂的陷阱,通常由政府或大型网络安全组织用来跟踪高级持续威胁的发展并掌握不断发展的黑客技术

纯蜜罐:最复杂且维护起来最具挑战性的综合操作系统。纯蜜罐配备模拟敏感文档和用户数据,向潜在入侵者呈现最真实的外观

高交互蜜罐:复杂的蜜罐允许黑客在基础设施内自由活动,为分析师提供有关网络犯罪分子活动的最多数据。高交互蜜罐需要更多维护,并且可能带来更高风险

低交互蜜罐:这些诱饵不是模仿整个系统,而是代表公司系统和服务中对黑客最有吸引力的部分。因此,它们提供的有关攻击者的信息更加有限,但可以使用TCP/IP 协议更轻松地进行设置

  • 蜜罐的特点

蜜罐技术在网络安全领域的运用特点有如下几个方面:

(1)主动防御性同时也引入安全风险

蜜罐技术化被动防御技术为主动,变事后防御为事前防御,利用自身特点引诱入侵者展开攻击,同时采集各类信息进行研究,为后续网络安全防护提供技术支撑和理论基础。但在防御过程中同样也存在一定的安全风险,毕竟蜜罐是主动引诱入侵者展开攻击,将风险嫁接到自身系统中去,若因虚拟技术、数据控制等技术的不成熟,很可能使得入侵者发现蜜罐的存在而被暴露,或利用蜜罐作为跳板转向攻击其他系统,从而导致整个系统的被攻击甚至被攻陷。

(2)操作简单、使用灵活

蜜罐技术的概念和所涉及的技术较为简单,工作人员能在短时间内加以熟练掌握,并且在任意网络中都能加以配置使用,操作便捷、使用灵活。

(3)采集的数据信息范围广、价值高

蜜罐可以在全过程中及时采集入侵者的各类攻击数据信息。相对于防火墙、入侵检测系统采集的数据信息而言,由于蜜罐本身特性只采集关于入侵攻击行为的数据信息,在一定程度上更具有针对性和准确性。因此,所采集的数据信息的准确率相对较高,后期利用价值和使用效率也就越高。再者,相对于传统防御技术而言,蜜罐采集的数据信息范围更广,对于一些新发的新型入侵手段和攻击方法,蜜罐都能够轻松监测和捕捉到,而传统防御技术对此则望尘莫及。

(4)消耗成本较低但检测范围较小

蜜罐技术可采用虚拟技术进行工作。虚拟化的使用减少了大部分硬件设施设备的需求,资源占有率低、消耗成本低,传统防御技术手段大多需要昂贵的硬件设备作为基础支撑。传统防御手段和蜜罐的监测范围也有所区别,蜜罐尚未能对整个网络环境进行检测,存在一定的短板,通常用于单台主机、单个局域网检测。   

  • 蜜罐的关键技术

1.网络欺骗技术

网络欺骗的目的就是通过欺骗手段将入侵者引向预先设定好的攻击方向,从而达到蒙骗目的,以保护真实的工作系统。相关人员可以通过隐藏或插入错误信息,设置安全弱点和技术漏洞等方法,来引诱入侵者对系统进行攻击和窃取,这些手段的使用可以拖延入侵者的操作时长、增加入侵难度和其入侵不确定性。

因此,也可以说采取欺骗手段水平的高低是蜜罐系统价值的重要表现形式,同样也是蜜罐系统发挥出本身作用的重要条件。目前网络欺骗技术的主要常见方法有网络流量仿真、网络动态配置、IP空间欺骗、虚拟端口响应、模拟系统漏洞、多重地址转换和组织信息欺骗等。

2.数据控制技术

数据控制技术实际就是通过自动干预和手工干预的双重手段实现对系统流出数据的管控、监测和追踪,在满足最大限度避免入侵者被察觉的基础上,设置流出数据的连接上限阈值,防止入侵者将蜜罐系统作为跳板而攻击其他系统或第三方主机,数据控制一般对流入数据无限制要求。

该技术应当做到以下几点:一是能够实现当蜜罐被入侵时自动报警功能;二是当所有数据控制层出现问题时,蜜罐系统应自动阻断工作进程,实现自我隔离;三是至少具有连接控制和路由控制的双层数据控制;四是管理员可以对任何连接状态和数据控制程度加以维护和调节;五是具有系统崩溃后的兜底保护功能。

3.数据采集分析技术

数据采集分析技术包含采集和分析两大方面,其中对采集的各类数据信息综合分析进而得出相关结论是蜜罐技术的难点所在。数据采集是指在不被入侵者察觉的前提下,对入侵者入侵行为信息和操作轨迹、系统日志记录、网络连接日志记录、网络数据包、屏幕显示信息等进行采集,采集渠道包括防火墙、入侵检测系统、蜜罐系统主机等,系统最后再将所采集的数据信息通过网络连接保存至远程服务器。在采集到上述数据信息后,需进行研究和分析,从而得出入侵者的攻击手段和目的、使用的攻击工具和命令等,为建立入侵行为数据统计模型提供帮助,同时为应对和解决入侵者入侵行为提供相应数据支撑和方法指导。

数据分析包括网络攻击分析、协议分析、特征分析等技术。

4.端口重定向技术

端口重定向目的在于避免入侵者对实际要入侵访问的服务器产生安全威胁,而将危险转移到蜜罐系统中的模拟服务当中去。实际工作原理就是在外部网络请求访问系统时,请求访问的对象是未开放的端口服务,这时外部的连接就可以使用代理的方式,将入侵者引入到蜜罐系统设置好的模拟服务中去,但入侵者是不能察觉到这是蜜罐系统所模拟出来的,从而保护真实系统。所以该功能对于蜜罐系统的要求较高,需根据技术发展情况及时进行蜜罐系统的更新和升级。端口重定向技术一般包括客户端、服务器重定向两类。

  • 蜜罐在网络安全领域的应用

当前,蜜罐越来越多地被应用于大型网络的安全态势感知,通过主动防御入侵攻击,收集入侵行为情报,及时弥补安全漏洞并构建攻击预测模型,降低潜在类似攻击带来的损失。目前,我国电子政务网络、金融行业、各生产制造集团等均有自己的大型广域网及互联网监测探头等网络基础设施,已具备部署蜜罐的基础条件。将蜜罐技术应用于大型网络关键节点或子网中,变被动防御为主动防御,对于构建严密的网络安全防御体系具有重要意义。

1.解决垃圾邮件、僵尸网络、蠕虫病毒、网络钓鱼等安全问题

垃圾邮件、僵尸网络、蠕虫病毒、网络钓鱼等都是目前网络上常见的网络安全问题,是入侵者攻击时所采用的常用手段,蜜罐都可对其进行及时防御和应对处理。

垃圾邮件可携带、传播各类恶意软件及病毒木马等;僵尸网络可利用多种传播手段,使多台主机感染bot程序,实现入侵者同时控制多台主机的目的;蠕虫病毒在无人干预的情况下,能通过不间断获取安全漏洞信息完成自我复制,从而感染控制、攻击主机,其特点是运行独立、隐蔽性强、追踪困难;网络钓鱼通过欺骗性手段进行网络诈骗,泄露用户个人信息,使用户遭受经济等损失。

蜜罐技术可以捕获攻击行为、控制病毒传播、阻断连接、入侵者追踪、记录日志数据等,在后期研究分析中得出应对方法及对策,从而实现安全保护的目标。

2.利用网络欺骗、虚拟化、入侵检测等技术确保系统安全

蜜罐的网络欺骗、虚拟化技术使真实系统得到掩护,诱骗入侵者攻击蜜罐虚拟的系统或服务,入侵者在虚拟的环境下被迫拖延大量时间,为保护真实系统赢得了时间和机会;蜜罐与入侵检测系统相互联动,当蜜罐获取到入侵攻击信息后再传递至入侵检测系统,能对新攻击行为的相关数据信息加以检测和分析,实现实时监控和特征库数据更新,使入侵检测系统能对新攻击行为及时处置,同时也缩小数据控制范围,提供攻击识别速度和能力。

3.建立安全事件数据库,应用证据信息取证等领域

蜜罐技术作为一种主动安全防御技术,不仅主动引诱入侵者进行攻击,而且能够详细记录攻击过程中产生的各种信息,通过大量数据综合比对,可以分析得出入侵者的攻击思路和特点、方法手段等,从而摸排安全风险源,寻求网络安全问题应对处置方法。因此,将这些海量数据搜集汇总建立安全事件数据库,对网络安全工作的开展和能力提升大有裨益。同时通过蜜罐采集到的各类数据信息,也为后期证据信息取证工作提供相应保障。

  • 云蜜罐

德迅猎鹰(云蜜罐)部署诱饵和陷阱在关键网络入口,诱导攻击者攻击伪装目标,保护真实资产,并且对攻击者做行为取证和追踪溯源,定位攻击者自然人身份,提升主动防御能力,让安全防御工作由被动变主动。

特点:

分钟级快速构建内网主动防御系统

无侵入、轻量级的软件客户端安装,实现网络自动覆盖可快速在企业内网形成蜜网入口,轻松排兵布阵。

蜜罐配套协议蜜罐

多种真实蜜罐和服务形成的蜜罐系统,使入侵者难以分辨后逗留在蜜网内暴露入侵踪迹。

隐密取证

通过获取设备指纹、社交信息、位置信息等数据快速勾勒攻击者画像,提供完整攻击信息,为溯源、抓捕攻击者提供有效依据。

转移战场

将攻击流量引出内网转移战场到SaaS蜜网环境,并从网络隔离、流量单向控制等维度配置安全防护系统,保证系统自身不被攻击者识别和破坏。

捕获0day攻击

蜜网流量纯粹,无干扰流量,基于攻击行为分析可以快速定位未知威胁并配合真实业务进行优化防御策略。

一键接入

德迅云安全蜜罐管理平台由专家团队监控维护,一旦发现安全风险,及时分析预警,配合客户进行应急响应。

  • 结语

蜜罐技术与网络入侵技术是共同向前发展的,随着入侵手段的多样化、高技术化,这也对蜜罐技术提出了更高要求。在当下,蜜罐技术应在与传统防御技术相结合的基础之上,加强蜜罐攻防技术研发升级,提升蜜罐对入侵者诱骗力和应对攻击的“耐受力”,同时加强蜜罐技术的数据信息采集能力与研究分析能力,为网络安全工作提供科学支撑和指导。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/555556.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【学习笔记】Vue3源码解析:第五部分 - 实现渲染(1)

课程地址:【已完结】全网最详细Vue3源码解析!(一行行带你手写Vue3源码) 第五部分-:(对应课程的第29-32节) 第29节:《实现渲染的createRender方法》 1、通过createApp()方法得到一个…

AI热潮下,公链基础设施赛道都有哪些变化?

最近在一级市场,最火热的赛道无疑是AI,其次是BTC,每天聊的项目80%都集中在这两个赛道,我个人最多的时候一天可以聊5,6个AI项目。 可以预见的是AI泡沫会在明后年达到顶峰,随着数以百计的AI新项目上线&#…

QT实现客户端断开连接

Widget.cpp #include "widget.h" #include "ui_widget.h"Widget::Widget(QWidget *parent): QWidget(parent), ui(new Ui::Widget), socket(new QTcpSocket(this)) {ui->setupUi(this);//初始化界面ui->msgEdit->setEnabled(false); //不可用ui-…

SQL Server Management Studio 显示行号

前言 在使用 SQL Server Management Studio (SSMS) 进行数据库管理和查询时,能够看到代码的行号是非常有用的。这可以帮助您更容易地定位代码错误、讨论特定的代码行,或者在执行长查询时快速找到特定行。在本文中,我将向您展示如何在 SSMS 中…

AIDE:自动驾驶目标检测的自动数据引擎

AIDE:自动驾驶目标检测的自动数据引擎 摘要IntroductionRelated WorksMethodData FeederModel Updater4 Experiments 摘要 自动驾驶车辆(AV)系统依赖于健壮的感知模型作为安全保证的基石。然而,道路上遇到的物体表现出长尾分布&a…

图像生成模型浅析(Stable Diffusion、DALL-E、Imagen)

目录 前言1. 速览图像生成模型1.1 VAE1.2 Flow-based Model1.3 Diffusion Model1.4 GAN1.5 对比速览 2. Diffusion Model3. Stable Diffusion3.1 Text Encoder3.2 Decoder3.3 Generation Model 总结参考 前言 简单学习下图像生成模型的相关知识🤗 以下内容来自于李宏…

vue3+elment复杂详情页面打开后,再打开其他页面都显示空白,控制台也没什么特殊报错

页面使用了el-tabs 、 el-tab-pane、el-table 等标签 但是经测试不是这些问题导致的 js也使用了onMounted ,但是除掉也时空白页面 反正之前人写的页面可乱,尤其是js这块,穿插引用import一大堆 主题页面样式布局如下 最后看到页面代码太乱…

古籍数字化平台:精校功能介绍

一、平台介绍 古籍数字化平台,本着公益性、低成本、合作共赢的三大原则,功能涵盖古籍OCR识别、族谱县志OCR识别、民国报纸OCR识别、图文逐字校对、数据著录、智能标点分段、精编排版、智能白话译文等,是一站式线上整理全流程平台。 平台集成…

备战面试K8S

备战面试&&K8S Kubernetes关于DockerDocker的优缺点分析 WebAssemblyWebAssembly与Container比较 CtrCrictlCtr和CriCtl的区别 Pod生命周期PodConditions容器状态Pod容器组成生命周期的流程 Kubelet EFK日志采集工具的优缺点 Kubernetes 容器运行接口 Container Runti…

2024年免费云服务器推荐,小编亲测好用!

随着云计算技术的飞速发展,云服务器以其弹性、高效、安全的特性,成为众多企业和个人用户的首选。尽管市面上有众多收费的云服务器产品,但免费的云服务器仍然吸引着大量用户,尤其是初学者和预算有限的用户。下面,我们就…

从API到Agent:洞悉LangChain工程化设计

作者:范志东 原文:https://mp.weixin.qq.com/s/zGS9N92R6dsc9Jk57pmYSg 本文作者试着从工程角度去理解LangChain的设计和使用。大家可以将此文档作为LangChain的“10分钟快速上手”手册,希望帮助需要的同学实现AI工程的Bootstrap。 我想做一…

[Vision Board创客营]学习片上Flash移植FAL

文章目录 [Vision Board创客营]学习片上Flash移植FAL介绍环境搭建使用组件测试porbeerasewriteread 结语 [Vision Board创客营]学习片上Flash移植FAL 水平较菜,大佬轻喷。😰😰😰 介绍 🚀🚀Vision-Board 开…

安全开发实战(3)--存活探测与端口扫描

目录 安全开发专栏 前言 存活探测 端口扫描 方式一: 1.3.1 One 1.3.2 Two 1.3.3 批量监测 方式二: 1.3.1 One 1.3.2 Two 1.3.3 Three 1.3.4 扫描ip地址,提取出开放端口和协议 ​编辑 1.3.5 批量扫描(最终完成版) 总结 安全开发专栏 安全开发实战​http://t.csd…

MySql数据库从0-1学习-第五天事务和索引

事务 事务 是一组操作的集合,它是一个不可分割的工作单位。事务会把所有的操作作为一个整体一起向系统提交或撤销操作请求,即这些操作 要么同时成功,要么同时失败。 注意事项,默认事务是自动提交的,也就是说,当执行一条DML语句,MySql会立即隐…

【Java开发指南 | 第八篇】Java变量、构造方法、创建对象

读者可订阅专栏:Java开发指南 |【CSDN秋说】 文章目录 Java变量构造方法创建对象 Java变量 在Java中,变量用于存储数据值。它们是程序中用于保存信息的一种基本方式。变量在程序执行过程中可以被赋予不同的值,并且这些值可以在程序的不同部分…

超越现实的展览体验,VR全景展厅重新定义艺术与产品展示

随着数字化时代的到来,VR全景展厅成为了企业和创作者展示作品与产品的新兴选择。通过结合先进的虚拟现实技术,VR全景展厅不仅能够提供身临其境的观展体验,而且还拓展了传统展示方式的界限。 一、虚拟现实技术的融合之美 1、高度沉浸的观展体验…

Unity开发holoLens2应用时的ProjectSettings配置

正确的进行Unity工程配置,才能进行后续的【发布】和【部署】操作… 本案例开发环境说明: Unity2021.3.18Win10VS2022HoloLens2 一、平台设置 二、Quality画面质量设置 三、Player玩家设置 四、XR-Plug设置 五、环境测试 导入一个官方demo&#xff0c…

EasyPoi表格导入添加校验

EasyPoi表格导入添加校验 项目添加maven依赖实体类自定义校验controller测试结果 代码地址 项目添加maven依赖 <?xml version"1.0" encoding"UTF-8"?> <project xmlns"http://maven.apache.org/POM/4.0.0"xmlns:xsi"http://www…

【任务调度】Apache DolphinScheduler快速入门

Apache DolphinScheduler基本概念 概念&#xff1a;分布式、去中心化、易扩展的可视化DAG工作流任务调度系统。 作用&#xff1a;解决数据处理流程中错综复杂的依赖关系&#xff0c;使调度系统在数据处理流程中开箱即用。Apache DolphinScheduler是一款开源的调度工具&#xff…

紫光展锐携手中国联通智慧矿山军团(山西)完成RedCap现网环境测试

近日&#xff0c;紫光展锐与中国联通智慧矿山军团&#xff08;山西&#xff09;在现网环境下成功完成了RedCap技术测试。此次测试对搭载紫光展锐RedCap芯片平台V517的模组注网速度和信号情况、Iperf打流测试上下行情况、ping包延时情况以及模组拨号入网压测等项目进行了全面验证…