沐澤美學館2021-04-09 21:03:13隨著人類社會生活對Internet需求的日益增長,網路安全逐漸成為Internet及各項網路服務和應用進一步發展的關鍵問題,特別是1993年以後Internet開始商用化,
透過Internet進行的各種電子商務業務日益增多,加之Internet/Intranet技術日趨成熟,很多組織和企業都建立了自己的內部網路並將之與Internet聯通。上述上電子商務應用和企業網路中的商業秘密均成為攻擊者的目標。據美國商業雜誌《資訊週刊》公佈的一項調查報告稱,駭客攻擊和病毒等安全問題在2000年造成了上萬億美元的經濟損失,在全球範圍內每數秒鐘就發生一起網路攻擊事件。2003年夏天,對於執行著Microsoft Windows的成千上萬臺主機來說簡直就是場噩夢!也給廣大網民留下了悲傷的回憶,這一些都歸結於衝擊波蠕蟲的全世界範圍的傳播。
2。蜜罐技術的發展背景
網路與資訊保安技術的核心問題是對計算機系統和網路進行有效的防護。網路安全防護涉及面很廣,從技術層面上講主要包括防火牆技術、入侵檢測技術,病毒防護技術,資料加密和認證技術等。在這些安全
在這裡,我們首先就提出蜜罐的概念。美國 L.Spizner是一個著名的蜜罐技術專家。他曾對蜜罐做了這樣的一個定義:蜜罐是一種資源,它的價值是被攻擊或攻陷。這就意味著蜜罐是用來被探測、被攻擊甚至最後被攻陷的,蜜罐不會修補任何東西,這樣就為使用者提供了額外的、有價值的資訊。蜜罐不會直接提高計算機網路安全,但是它卻是其他安全策略所不可替代的一種主動防禦技術。
具體的來講,蜜罐系統最為重要的功能是對系統中所有操作和行為進行監視和記錄,可以網路安全專家透過精心的偽裝,使得攻擊者在進入到目標系統後仍不知道自己所有的行為已經處於系統的監視下。為了吸引攻擊者,通常在蜜罐系統上留下一些安全後門以吸引攻擊者上鉤,或者放置一些網路攻擊者希望得到的敏感資訊,當然這些資訊都是虛假的資訊。另外一些蜜罐系統對攻擊者的聊天內容進行記錄,管理員透過研究和分析這些記錄,可以得到攻擊者採用的攻擊工具、攻擊手段、攻擊目的和攻擊水平等資訊,還能對攻擊者的活動範圍以及下一個攻擊目標進行了解。同時在某種程度上,這些資訊將會成為對攻擊者進行起訴的證據。不過,它僅僅是一個對其他系統和應用的模擬,可以建立一個監禁環境將攻擊者困在其中,還可以是一個標準的產品系統。無論使用者如何建立和使用蜜罐,只有它受到攻擊,它的作用才能發揮出來。
4。蜜罐的具體分類和體現的安全價值
自從計算機首次互連以來,研究人員和安全專家就一直使用著各種各樣的蜜罐工具,根據不同的標準可以對蜜罐技術進行不同的分類,前面已經提到,使用蜜罐技術是基於安全價值上的考慮。但是,可以肯定的就是,蜜罐技術並不會替代其他安全工具,列如防火牆、系統偵聽等。這裡我也就安全方面的價值來對蜜罐技術進行探討。
★ 根據設計的最終目的不同我們可以將蜜罐分為產品型蜜罐和研究型蜜罐兩類。
① 產品型蜜罐一般運用於商業組織的網路中。它的目的是減輕受組織將受到的攻擊的威脅,蜜罐加強了受保護組織的安全措施。他們所做的工作就是檢測並且對付惡意的攻擊者。
⑴這類蜜罐在防護中所做的貢獻很少,蜜罐不會將那些試圖攻擊的入侵者拒之門外,因為蜜罐設計的初衷就是妥協,所以它不會將入侵者拒絕在系統之外,實際上,蜜罐是希望有人闖入系統,從而進行各項記錄和分析工作。
⑵雖然蜜罐的防護功能很弱,但是它卻具有很強的檢測功能,對於許多組織而言,想要從大量的系統日誌中檢測出可疑的行為是非常困難的。雖然,有入侵檢測系統(IDS)的存在,但是,IDS發生的誤報和漏報,讓系統管理員疲於處理各種警告和誤報。而蜜罐的作用體現在誤報率遠遠低於大部分IDS工具,也務須當心特徵資料庫的更新和檢測引擎的修改。因為蜜罐沒有任何有效行為,從原理上來講,任何連線到蜜罐的連線都應該是偵聽、掃描或者攻擊的一種,這樣就可以極大的減低誤報率和漏報率,從而簡化檢測的過程。從某種意義上來講,蜜罐已經成為一個越來越複雜的安全檢測工具了。
⑶如果組織內的系統已經被入侵的話,那些發生事故的系統不能進行離線工作,這樣的話,將導致系統所提供的所有產品服務都將被停止,同時,系統管理員也不能進行合適的鑑定和分析,而蜜罐可以對入侵進行響應,它提供了一個具有低資料汙染的系統和犧牲系統可以隨時進行離線工作。此時,系統管理員將可以對離線的系統進行分析,並且把分析的結果和經驗運用於以後的系統中。
