蜜罐只有虚假的敏感数据,可以是一个网络、一台主机、一项服务、也可以是数据库中无用的数据项以及伪装的用户名 弱口令等。
蜜网=蜜罐+数据控制+数据捕获+数据采集等元素
蜜罐与蜜网的研究主要涉及五类关键技术:
网络欺骗:
1、真实蜜罐或蜜网
2、虚拟蜜罐或蜜网
攻击捕获技术:
三个层次:
1、访问控制层次:在路由器 网关 防火墙捕获黑客的连接和数据。
2、网络层次:网络上捕获黑客对蜜罐和蜜网的攻击
3、系统层次:主机上捕获攻击者的行为
数据控制技术:
控制攻击者出入蜜罐的活动,避免成为跳板。不限制蜜罐的数据流入,限制蜜罐的数据流出。通常是采用多层次的数据控制机制。防火墙+IDS
攻击分析与特征提取
对捕获的攻击数据进行融合、挖掘,分析黑客的工具、策略以及动机,提取未知攻击的特征。
基于蜜罐和蜜网自动提取攻击特征:
1、LCS算法,提取质量较差。
2、可视化、统计分析辅助人工筛选出可以数据+LCS
3、利用协议语义
预警防御技术:
1、检测内部攻击:Honeytoken、非正常使用信息做诱饵,追踪攻击活动
2、检测缓冲区溢出攻击:shadow honeypot 检测运行状态
3、防御DoS攻击:honeypot back-propagation 通过伪装技术来欺骗和阻止DoS攻击
4、检测恶意代码的攻击:HoneyStat 蜜罐技术和Logistic回归理论
5、检测对无线网络的攻击:
6、检测恶意网站对浏览器的攻击
7、检测垃圾邮件的攻击
8、检测Web应用攻击:GHH
主要挑战和发展趋势:
系统伪装:需要增强系统伪装的智能性,感知和学习实时的网络环境,动态、自动进行配置;提高服务的质量和被攻击、探测的概率,确保蜜罐的高度的真实真实性和迷惑性
体系结构:针对于大型分布式网络,难以适应大型的分布式网络环境,攻击分析、特征提取和安全响应没有加入到体系结构中,缺乏与其他系统的协作与联动。
多源信息融合:对多源信息统一数据的表示和存储,进行精化处理与数据挖掘,选择最优的融合算法,提高融合分析的快速性与准确性。
攻击分析与特征提取:借鉴其他领域中处理数据信息的一些成熟的理论:机器学习、人工智能、数据挖掘等,以加强基于数据可视化、协议还原、攻击工具自动识别、入侵场景自动分析、攻击特征自动提取等技术。
计算机取证和法律问题:避免蜜罐被作为跳板。
