蜜罐技术的出现究竟影响了什么

自网络诞生以来,攻击威胁事件层出不穷,网络攻防对抗已成为信息时代背景下的无硝烟战争。然而,传统的网络防御技术如防火墙、入侵检测技术等都是一种敌暗我明的被动防御,难以有效应对攻击者随时随地发起的无处不在的攻击和威胁。蜜罐技术的出现改变了这种被动态势,它通过吸引、诱骗攻击者,研究学习攻击者的攻击目的和攻击手段,从而延缓乃至阻止攻击破坏行为的发生,有效保护真实服务资源。


一、什么是蜜罐技术

国际蜜罐技术研究组织Honeynet Project的创始人Lance Spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。蜜罐并不向外界用户提供任何服务,所有进出蜜罐的网络流量都是非法的,都可能预示着一次扫描和攻击,蜜罐的核心价值在于对这些非法活动进行监视、检测和分析。

蜜罐是用来吸引那些入侵者,目的在于了解这些攻击。蜜罐看起来就是一台有一个或者多个可以被攻击者利用漏洞的服务器或计算机主机。他们简单的就如同一个默认安装的操作系统充满了漏洞以及被攻破的可能性。

二、蜜罐的目标与作用

蜜罐技术强大而灵活,不仅可以识别对网络上主机的攻击也可以监视和记录攻击是如何进行的。蜜罐可以和入侵检测IDS一起工作,与 IDS相比,蜜罐的误报率较低。这是因为蜜罐既不提供任何网络服务,也没有任何合法用户,但并不是网络上的空闲设备。因此,任何流入或者流出蜜罐的网络通信都可以是做可疑的,是网络正在被攻击的一种标志。

蜜罐的主要目标是容忍入侵者攻击自身,在被攻击的过程中记录收集入侵者的攻击工具、手段、动机、目的等行为信息。尤其是入侵者使用了新的未知攻击行为时,收集这些信息,从而根据其调整网络安全策略,提高系统安全性能。同时蜜罐还具有转移攻击者注意力,消耗其攻击资源、意志,间接保护真实目标系统的作用。

三、蜜罐的分类

蜜罐可以运行任何操作系统和任意数量的服务。蜜罐根据交互程度(Level ofInvolvement)的不同可以分为高交互蜜罐和低交互蜜罐。蜜罐的交互程度是指攻击者与蜜罐相互作用的程度,高交互蜜罐提供给入侵者一个真实的可进行交互的系统。

相反,低交互蜜罐只可以模拟部分系统的功能。高交互蜜罐和真实系统一样可以被完全攻陷,允许入侵者获得系统完全的访问权限,并可以以此为跳板实施进一步的网络攻击。相反的,低交互蜜罐只能模拟部分服务、端口、响应,入侵者不能通过攻击这些服务获得完全的访问权限。

从实现方法上来分,蜜罐可分为物理蜜罐和虚拟蜜罐。物理蜜罐是网络上一台真实的完整计算机,虚拟蜜罐是由一台计算机模拟的系统,但是可以响应发送给虚拟蜜罐的网络流量。


四、蜜罐防护过程

蜜罐防护过程包括诱骗环境构建、入侵行为监控、后期处理措施3个阶段。

(1)诱骗环境构建:通过构建欺骗性数据、文件等,增加蜜罐环境甜度,引诱攻击者入侵系统,实现攻击交互目的。交互度高低取决于诱骗环境仿真度与真实性,目前主要有模拟环境仿真和真实系统构建方案。

模拟环境仿真方案通过模拟真实系统的重要特征吸引攻击者,具备易部署优势。利用一种或多种开源蜜罐进行模拟仿真,多蜜罐结合方案有利于不同蜜罐的优势集成;将仿真程序与虚拟系统结合构建蜜罐自定义架构,提高交互度;对硬件利用模拟器实现硬件虚拟化,避免实际硬件破坏。然而,虚拟特性使模拟环境仿真方案存在被识别风险。

真实系统构建方案则采用真实软硬件系统作为运作环境,降低识别率,极大提高了攻击交互度。

在软件系统方面,采用真实系统接口真实主机服务、业务运作系统等,具备较高欺骗性与交互度,但其维护代价较高且受保护资源面临着一定被损害风险。在硬件设备方面,可直接利用真实设备进行攻击信息诱捕,如将物理可穿戴设备作为引诱节点、以手机SIM卡作为蜜卡等,通过构建真实软硬件系统环境提高诱骗度。在低能耗场景下采用真实软硬件设备引诱攻击者具有一定优势,然而对于某些数据交互频繁的业务系统内,存在高能耗、不易部署、维护成本大等缺陷。

(2)入侵行为监控:在攻击者入侵蜜罐系统后,可利用监视器、特定蜜罐、监控系统等对其交互行为进行监控记录,重点监控流量、端口、内存、接口、权限、漏洞、文件、文件夹等对象,避免攻击造成实际破坏,实现攻击可控性。如模块监控、事件监控、攻击监控、操作监控、活动监控等。

上述攻击入侵行为监控中,不同方案的侧重点不同,高交互蜜罐则需更强监控力度。由于监控范围无法全面覆盖,可能导致监控缺失后果,致使攻击者利用监控盲区损害系统,同时,较大监控范围易捕捉更多信息,全方位访问监控成为一种相对安全措施。

(3)后期处理措施:监控攻击行为所获得数据,可用于数据可视化、流量分类、攻击分析、攻击识别、警报生成、攻击溯源、反向追踪等。具体处理措施为:提取基础数据,以图表方式展示统计数据;分析关联度,提供入侵行为电子证据;分类恶意特征,过滤恶意用户;分析数据包信息,识别潜在安全威胁;利用水平检测识别攻击分类,后期处理措施以分析方式,使防御系统分析收集数据,掌握攻击信息,实现改善系统防御方案的良性循环。

五、蜜礶部署方式

按地理位置分类,蜜罐部署方式可分为单点部署和分布式部署。单点部署将蜜罐系统部署于同一区域,如工控系统工业区、无线网络作用域、特定实验场景模拟区等,部署难度小,但作用范围有限,风险感知能力弱。

分布式部署则是将蜜罐系统部署于不同地域回,利用分布在不同区域的蜜罐收集攻击数据,因此数据收集范围广,实验数据全面,能有效感知总体攻击态势,但部署较困难且维护成本高。

按部署归属度划分,蜜罐部署方式可分为业务范围部署和外部独立部署。前者将蜜罐部署于真实业务系统内,从而提高蜜罐甜度和交互度。但入侵者可以利用蜜罐作为跳板转向攻击真实系统,因而需要严格监控和数据通信隔离。外部独立部署即蜜罐与真实业务系统处于空间隔离状态,降低将蜜罐作为攻击跳板的风险,但诱骗性能较低。

当然攻击们面对蜜罐的诱捕,也不会坐以待毙,所以产生了反蜜罐应对措施。

目前蜜罐研究多为工程部署,而较少涉及蜜罐基础理论。敌手与蜜罐对抗属于典型的博弈行为,可以将黄开枝、洪颖、罗文宇等人的博弈论应用至蜜罐中,通过博弈分析验证,为蜜罐提供理论支撑。利用信令博弈、非合作不完全信息博弈、贝叶斯不完全信息博弈等验证推理蜜罐系统主动性、有效性、约束条件等。

六、蜜罐技术的具体运用

德迅猎鹰(云蜜罐)——部署诱饵和陷阱在关键网络入口,诱导攻击者攻击伪装目标,保护真实资产,并且对攻击者做行为取证和追踪溯源,定位攻击者自然人身份,提升主动防御能力,让安全防御工作由被动变主动。

1.1分钟快速构建内网主动防御系统

无侵入、轻量级的软件客户端安装,实现网络自动覆盖可快速在企业内网形成蜜网入口,轻松排兵布阵。

2.Web蜜罐配套协议蜜罐,以假乱真延缓攻击

多种真实蜜罐和服务形成的蜜罐系统,使入侵者难以分辨后逗留在蜜网内暴露入侵踪迹。

3.隐密取证,抓获自然人

通过获取设备指纹、社交信息、位置信息等数据快速勾勒攻击者画像,提供完整攻击信息,为溯源、抓捕攻击者提供有效依据。

4.转移战场,高度内网安全保障

将攻击流量引出内网转移战场到SaaS蜜网环境,并从网络隔离、流量单向控制等维度配置安全防护系统,保证系统自身不被攻击者识别和破坏。

5.捕获0day攻击等高级新型威胁

蜜网流量纯粹,无干扰流量,基于攻击行为分析可以快速定位未知威胁并配合真实业务进行优化防御策略。

6.安全专家服务一键接入

德迅云安全蜜罐管理平台由专家团队监控维护,一旦发现安全风险,及时分析预警,配合客户进行应急响应。


结论:

随着网络技术的不断发展,网络上的攻击者也越来越多,攻击手段也曾出不穷,被动防御的更已经不能够完全跟上病毒、木马的更新速度,总会有漏网之鱼。蜜罐的出现改变了网络安全防护的被动局面,从被动接受病毒破坏到主动引诱病毒攻击获得信息,蜜罐的主动防御技术将会越来越受到人们的重视。
 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/895821.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

IO多路复用概述与epoll简介

一、引言 在网络编程中,高并发的场景下处理大量连接请求是一项挑战。传统的阻塞式IO模型会让线程在等待数据的过程中陷入停顿,导致系统效率低下。为了解决这个问题,IO多路复用应运而生。它允许一个线程同时监听多个文件描述符(如…

Gin框架操作指南02:JSON渲染

官方文档地址(中文):https://gin-gonic.com/zh-cn/docs/ 注:本教程采用工作区机制,所以一个项目下载了Gin框架,其余项目就无需重复下载,想了解的读者可阅读第一节:Gin操作指南&#…

qt creator 开发环境的安装

1.找官网 官网地址:Installation | Qt Creator Documentation 点 Parent Directory 继续点 Parent Directory 点 archive/ 2.下载在线安装器 点 online_ainstallers 选择在线安装器版本 选择对应版本后进入下载列表,根据自己的系统选择下载。 下载后…

DreamFace 4.7.1 | 图片说话,数字人

DreamFace是一款可以把静态图片变成动态视频的软件,操作简单,内置多种模板可供选择。此外,还支持将图片变得更清晰或者转换成卡通风格等功能,非常适合喜欢创意视频制作的用户。通过安装软件后,根据提示选择需要转换的静…

c++ pdf文件提取txt文本示例

最近抽空采用之前封装的接口将pdf文件提取出txt文本,顺利完成,界面如下所示: 提起的效果如下所示: 输出的txt文本内容如下: 下载链接:https://download.csdn.net/download/u011269801/89905548

vue中如何检测数组变化(vue基础,面试,源码级讲解)

大家有什么不明白的地方可以分享在评论区,大家一起探讨哦~~ (如果对数据劫持还有所不明白的小伙伴,可以去看看上一篇文章哦) 在vue2中,是如何对数组进行劫持的呢? 简单代码实现: 在vue2中&…

pytorh学习笔记——cifar10(三)模仿VGGNet创建卷积网络

VGG16是由牛津大学视觉几何组(Visual Geometry Group)提出的一种深度卷积神经网络模型。 VGGNet 探索了卷积神经网络的深度与其性能之间的关系,成功地构筑了 16~19 层深的卷积神经网络,同时拓展性又很强,迁移到其它图片…

反转链表 K个一组翻转链表

目录 LeetCode206 反转链表 LeetCode92 反转链表II LeetCode25 K个一组翻转链表 LeetCode206 反转链表 /*** Definition for singly-linked list.* struct ListNode {* int val;* ListNode *next;* ListNode() : val(0), next(nullptr) {}* ListNode(int x)…

poisson过程——随机模拟(Python和R实现)

Python实现 exponential()使用,自动poisson过程实现。 import numpy as np import matplotlib.pyplot as plt# Parameters lambda_rate 5 # rate parameter (events per time unit) T 10 # total time# Generate Poisson process times np.random.exponential(…

PCL 点云配准 Trimed-ICP算法(精配准

目录 一、概述 1.1原理 1.2实现步骤 1.3应用场景 二、代码实现 2.1关键函数 2.1.1 perform_standard_icp 函数 2.1.2 perform_trimmed_icp 函数 2.1.3 visualize_registration 函数 2.2完整代码 PCL点云算法汇总及实战案例汇总的目录地址链接: PCL点云算…

软件设计模式------简单工厂模式

简单工厂模式(Simple factory Pattern),又称静态工厂方法(Static Factory Method),属于创新型模式,但它不属于GoF23个设计模式其一。 一、模式动机: 有时需要创建一些来自相同父类的类的实例。 二、定义&#xff1a…

(二十)、从宿主机访问 k8s(minikube) 发布的 redis 服务

文章目录 1、环境准备2、具体操作2.1、启动 minikube (start/stop)2.2、准备 redis-deployment.yaml2.3、执行 redis-deployment.yaml2.3.1、查看 pod 信息和日志 2.4、检查部署和服务状态2.4.1、如果需要删除 3、查看 IP 的几个命令3.1、查看IP的几个命令3.2、解读3.3、宿主机…

【C语言】数据输出格式控制

数据的输出格式修饰 常用两种&#xff1a; 整型中&#xff0c;输出数据左对齐、右对齐、占m位、不足m位前补0。浮点型中&#xff0c;默认通过四舍五入保留小数点后6位&#xff0c;通过参数设置保留小数点后n位。 #include <stdio.h> #define PI 3.14159 /* 功能&#x…

D43【python 接口自动化学习】- python基础之函数

day43 装饰器&#xff08;上&#xff09; 学习日期&#xff1a;20241020 学习目标&#xff1a;函数&#xfe63;- 56 装饰器&#xff1a;函数嵌套的定义与调用的区别 学习笔记&#xff1a; 变量作用域 变量读取顺序&#xff1a;local-》enclosed-》global-》builtin # 变量…

Spring MessageSource国际化原理

spring framework提供MessasgeSource来实现国际化。 MessageSource用法 准备properties文件&#xff0c;放在resources文件夹下面。这是默认语言和韩语的文件。 i18n/message.propertiesi18n/message_ko.properties 文件里面的内容是key-value格式,使用{0}、{1}作为变量占位…

【Next.js 项目实战系列】05-删除 Issue

原文链接 CSDN 的排版/样式可能有问题&#xff0c;去我的博客查看原文系列吧&#xff0c;觉得有用的话&#xff0c;给我的库点个star&#xff0c;关注一下吧 上一篇【Next.js 项目实战系列】04-修改 Issue 删除 Issue 添加删除 Button​ 本节代码链接 这里我们主要关注布局…

Win10 IDEA远程连接HBase

Win10 IDEA远程连接HBase Win10 IDEA连接虚拟机中的Hadoop&#xff08;HDFS&#xff09; 关闭Hadoop和Hbase 如果已经关闭不需要走这一步 cd /usr/local/hbase bin/stop-hbase.sh cd /usr/local/hadoop ./sbin/stop-dfs.sh获取虚拟机的ip 虚拟机终端输入 ip a关闭虚拟机…

VS Code开发qt项目

没整明白&#xff0c;尴尬 安装扩展 设置cmake路径 前提是已经安装了QT 报错 用msvc选windows启动&#xff0c;用mingw则选gdb启动

Vue3 新特性、Pinia

一、新特性 - defineOptions 背景说明 因为我们用了<script setup>语法&#xff0c;没办法给setup去提供一些平级的属性&#xff0c;官方就提供了一个叫做 defineOptions 的语法 所以在 Vue3.3 中引入了 defineOptions 宏&#xff0c;用来定义 Options API 的选项。可以…

[OpenCV] 数字图像处理 C++ 学习——17模板匹配详细讲解+附完整代码

文章目录 前言1.理论基础1.1模板匹配介绍1.2匹配算法介绍 2.代码实现2.1模块匹配(matchTemplate)2.2最佳匹配函数(minMaxLoc()) 3.完整代码 前言 模板匹配是图像处理和计算机视觉领域中的一种经典技术&#xff0c;它通过在大图像中搜索与小图像&#xff08;模板&#xff09;匹…