蜜罐分类及应用解析
蜜罐是一种安全技术,虽已出现多年,但在安全领域的意义尚无公认结论。文章介绍了不同类型蜜罐,包括欺骗型、威慑型、检测型和研究型蜜罐的特点与作用,指出蜜罐不能替代其他安全系统,是安全体系的增强和补充。
蜜罐的概念与价值
蜜罐,是HoneyPot的中文译名。这是一种颇具神秘感的安全技术,既使对阅历丰富的安全专家来说。因为尽管很多年前蜜罐技术就已经出现,但是至今对其在安全领域的意义、价值、地位都未有一个公认的结论。蜜罐同时也是一种极具吸引力的技术,虽然我已经对这一技术有了多年的接触,但是蜜罐带给我的激动人心的感觉相比刚刚涉猎这一领域之时并未有丝毫的衰减。尽管在蜜罐的定义上还存在一定的分歧,但是为了方便讨论,我们还是统合各种意见,对蜜罐下一个相对通用的定义:蜜罐是一种供***者***从而产生价值的安全设施。与用户通常使用的安全防御设施不同,蜜罐只有在受到***的情况下才能展现出价值,而不是在避开或挡下那些***的时候。一直以来,***者通过什么方法、使用什么工具展开***以及他们***的出发点都很少为人所知。但是蜜罐系统的出现使安全领域的专家及用户不但可以了解到这些信息,甚至能够从中发现规律和趋势,从而提供具有统计学意义的结论。蜜罐技术带给我们最大的变革在于防御的一方第一次具有了掌控局势的能力。使用者可以利用蜜罐系统开展主动的研究活动,也可以通过蜜罐系统对***者进行控制和引导。安全防御一方有了主动还击的手段,套用一句名言来说,尽管目前还只是很小的一步,但是对于整个安全领域来说,这是非常重要的一步。
蜜罐,是HoneyPot的中文译名。这是一种颇具神秘感的安全技术,既使对阅历丰富的安全专家来说。因为尽管很多年前蜜罐技术就已经出现,但是至今对其在安全领域的意义、价值、地位都未有一个公认的结论。蜜罐同时也是一种极具吸引力的技术,虽然我已经对这一技术有了多年的接触,但是蜜罐带给我的激动人心的感觉相比刚刚涉猎这一领域之时并未有丝毫的衰减。尽管在蜜罐的定义上还存在一定的分歧,但是为了方便讨论,我们还是统合各种意见,对蜜罐下一个相对通用的定义:蜜罐是一种供***者***从而产生价值的安全设施。与用户通常使用的安全防御设施不同,蜜罐只有在受到***的情况下才能展现出价值,而不是在避开或挡下那些***的时候。一直以来,***者通过什么方法、使用什么工具展开***以及他们***的出发点都很少为人所知。但是蜜罐系统的出现使安全领域的专家及用户不但可以了解到这些信息,甚至能够从中发现规律和趋势,从而提供具有统计学意义的结论。蜜罐技术带给我们最大的变革在于防御的一方第一次具有了掌控局势的能力。使用者可以利用蜜罐系统开展主动的研究活动,也可以通过蜜罐系统对***者进行控制和引导。安全防御一方有了主动还击的手段,套用一句名言来说,尽管目前还只是很小的一步,但是对于整个安全领域来说,这是非常重要的一步。
引言
做为已经出现了很久的一项技术,蜜罐已经获得了相当广泛的应用。不同形式的蜜罐可以发挥不同的作用,为了更好的认识哪种蜜罐系统更适合自己的需要,在这里有必要对不同种类的蜜罐进行一些说明。
做为已经出现了很久的一项技术,蜜罐已经获得了相当广泛的应用。不同形式的蜜罐可以发挥不同的作用,为了更好的认识哪种蜜罐系统更适合自己的需要,在这里有必要对不同种类的蜜罐进行一些说明。
欺骗型蜜罐
欺骗性可以说本身就是蜜罐系统最核心的本质之一,一个蜜罐系统产生作用的前提就是使***者认为这是一个正常的系统。纯粹的以欺骗性目的存在的蜜罐系统,则是通过伪装成***目标,从而转移***者的注意力,同时通过报警等各种附加机制对***的发生进行响应。例如可以搭建一个伪装成文件服务器的蜜罐系统,在其中存放一些虚假的产品开发成果、机密性资料等等,从而达到吸引和蒙蔽***者的作用。欺骗型蜜罐往往要使***者可以较为容易的了解到蜜罐系统上的资源,同时又不能留下特别高危的入口使恶意行为生效。通常这种欺骗型蜜罐系统都是应用于商业环境,特别是那些拥有高度敏感信息的企业和组织。瞄准这类设施的***者往往是具有高端技术的***者,他们开发自己的漏洞,编写自己的工具。基于此类***者,常规的防御措施在不少时候根本无法发现他们的行踪。欺骗型蜜罐可以增强防御方的力量,使用户有更多的手段应对这些高阶的***。之所以提到不能在欺骗型蜜罐系统中保留高危漏洞,一方面是因为一个具有很明显漏洞的系统非常容易引起***者的警觉(一个存储了重要资料的计算机按照常理来说是不应该有特别明显的漏洞),另一方面是因为互联网环境的一个重要事实,那就是大部分的***流量来自那些初阶***者们发动的“自动化***”。这些***赖以成功的基础是互联网上海量的计算机目标,通过自动化的工具不停的尝试每台机器可以使这些***者发现大量的具有特定安全漏洞的系统。这些***者的***方式与针对特定目标展开手术刀般精巧***的***者完全不同,是不折不扣的机会主义者。所以欺骗型蜜罐通常用于防御和处理高级***,对以上被戏称为脚本小子(Script Kiddie)的***群体来说欺骗型蜜罐并不非常高效。
欺骗性可以说本身就是蜜罐系统最核心的本质之一,一个蜜罐系统产生作用的前提就是使***者认为这是一个正常的系统。纯粹的以欺骗性目的存在的蜜罐系统,则是通过伪装成***目标,从而转移***者的注意力,同时通过报警等各种附加机制对***的发生进行响应。例如可以搭建一个伪装成文件服务器的蜜罐系统,在其中存放一些虚假的产品开发成果、机密性资料等等,从而达到吸引和蒙蔽***者的作用。欺骗型蜜罐往往要使***者可以较为容易的了解到蜜罐系统上的资源,同时又不能留下特别高危的入口使恶意行为生效。通常这种欺骗型蜜罐系统都是应用于商业环境,特别是那些拥有高度敏感信息的企业和组织。瞄准这类设施的***者往往是具有高端技术的***者,他们开发自己的漏洞,编写自己的工具。基于此类***者,常规的防御措施在不少时候根本无法发现他们的行踪。欺骗型蜜罐可以增强防御方的力量,使用户有更多的手段应对这些高阶的***。之所以提到不能在欺骗型蜜罐系统中保留高危漏洞,一方面是因为一个具有很明显漏洞的系统非常容易引起***者的警觉(一个存储了重要资料的计算机按照常理来说是不应该有特别明显的漏洞),另一方面是因为互联网环境的一个重要事实,那就是大部分的***流量来自那些初阶***者们发动的“自动化***”。这些***赖以成功的基础是互联网上海量的计算机目标,通过自动化的工具不停的尝试每台机器可以使这些***者发现大量的具有特定安全漏洞的系统。这些***者的***方式与针对特定目标展开手术刀般精巧***的***者完全不同,是不折不扣的机会主义者。所以欺骗型蜜罐通常用于防御和处理高级***,对以上被戏称为脚本小子(Script Kiddie)的***群体来说欺骗型蜜罐并不非常高效。
威慑型蜜罐
这种蜜罐系统与欺骗型蜜罐的模式相当类似,只不过欺骗型蜜罐是以诱骗为主,而威慑型蜜罐则主要是对***者产生心理上的威吓及迷惑作用。威慑型蜜罐的主要职责就是告诉***者自己是个蜜罐系统,这样可以形成一定的阻吓作用,减弱***者的***意图。当然,不排除在一些情况下引起适得其反的效果,***者可能会因为发现了蜜罐系统而被激怒或引起更高的兴趣。不过既使如此,威慑型蜜罐还是有助于防御一方将主动权控制在自己手中。威慑型蜜罐的另外一个方面的作用就是对***者产生心理迷惑,***者将开始怀疑所有系统的真实性,并因为发现蜜罐系统这一事实开始改变***的方法和节奏。一旦***者在***过程中采取一些错误的、不必要的、违反习惯的手段,就会降低效率并提高防御成功的可能性。与欺骗型蜜罐相同,威慑型蜜罐通常无法应对“自动化***”,因为***工具并不具有人性的弱点。而且威慑型蜜罐能够作用的***群体要更小一些,非常高阶的***者往往较少受到威慑型蜜罐的影响。在实际的应用当中,将威慑型蜜罐和欺骗型蜜罐结合起来应用是相当容易和有效的。
这种蜜罐系统与欺骗型蜜罐的模式相当类似,只不过欺骗型蜜罐是以诱骗为主,而威慑型蜜罐则主要是对***者产生心理上的威吓及迷惑作用。威慑型蜜罐的主要职责就是告诉***者自己是个蜜罐系统,这样可以形成一定的阻吓作用,减弱***者的***意图。当然,不排除在一些情况下引起适得其反的效果,***者可能会因为发现了蜜罐系统而被激怒或引起更高的兴趣。不过既使如此,威慑型蜜罐还是有助于防御一方将主动权控制在自己手中。威慑型蜜罐的另外一个方面的作用就是对***者产生心理迷惑,***者将开始怀疑所有系统的真实性,并因为发现蜜罐系统这一事实开始改变***的方法和节奏。一旦***者在***过程中采取一些错误的、不必要的、违反习惯的手段,就会降低效率并提高防御成功的可能性。与欺骗型蜜罐相同,威慑型蜜罐通常无法应对“自动化***”,因为***工具并不具有人性的弱点。而且威慑型蜜罐能够作用的***群体要更小一些,非常高阶的***者往往较少受到威慑型蜜罐的影响。在实际的应用当中,将威慑型蜜罐和欺骗型蜜罐结合起来应用是相当容易和有效的。
检测型蜜罐
就像防火墙和***检测系统等防御手段一样,也可以搭建侧重于检测和发现***行为的蜜罐系统。通过提高蜜罐系统的检测能力,用户不只可以通过蜜罐系统的活动情况判断***行为的发生,还可以更加广泛和细致的监测***活动。在检测技术领域,两个最重要的困扰就是误报和漏报问题。过多的报警可能会使安全检测机制无法产出可用的信息,而过少的报警又无法保证安全设施提供足够的保护。以***检测系统为例,如何识别更多的***一直是制约***检测技术取得更大成就的阻碍,而如何调整规则才能有效的去除无用的告警也一直是在应用***检测系统过程中令人困扰的问题。对于蜜罐系统来说,问题则简单得多。引起蜜罐系统告警的行为不是***就是误用,不然则是某些配置错误引起的,所以蜜罐系统基本上不会产生误报。而密罐同样可以解决漏报问题,因为蜜罐系统并不通过***行为特征而是通过流量产生来判断***的发生。一个专门用于检测***的蜜罐系统通常被部署在类似防火墙的DMZ区域这样较多为外网访问的区域,因为这些区域往往是首先被***者探测的区域。建立起模拟用户系统情况的检测型蜜罐,有助于发现整个网络中易受***的部分,可以为修补系统缺陷和限制***行为提供时间缓冲。值得一提的是,检测型密罐不仅仅可以用于检测来自外网的***,如果接受到内部网络的连接,有可能发现已经被攻破的系统。
就像防火墙和***检测系统等防御手段一样,也可以搭建侧重于检测和发现***行为的蜜罐系统。通过提高蜜罐系统的检测能力,用户不只可以通过蜜罐系统的活动情况判断***行为的发生,还可以更加广泛和细致的监测***活动。在检测技术领域,两个最重要的困扰就是误报和漏报问题。过多的报警可能会使安全检测机制无法产出可用的信息,而过少的报警又无法保证安全设施提供足够的保护。以***检测系统为例,如何识别更多的***一直是制约***检测技术取得更大成就的阻碍,而如何调整规则才能有效的去除无用的告警也一直是在应用***检测系统过程中令人困扰的问题。对于蜜罐系统来说,问题则简单得多。引起蜜罐系统告警的行为不是***就是误用,不然则是某些配置错误引起的,所以蜜罐系统基本上不会产生误报。而密罐同样可以解决漏报问题,因为蜜罐系统并不通过***行为特征而是通过流量产生来判断***的发生。一个专门用于检测***的蜜罐系统通常被部署在类似防火墙的DMZ区域这样较多为外网访问的区域,因为这些区域往往是首先被***者探测的区域。建立起模拟用户系统情况的检测型蜜罐,有助于发现整个网络中易受***的部分,可以为修补系统缺陷和限制***行为提供时间缓冲。值得一提的是,检测型密罐不仅仅可以用于检测来自外网的***,如果接受到内部网络的连接,有可能发现已经被攻破的系统。
研究型蜜罐
以上谈到的蜜罐系统的几种应用更多的集中于产生安全防御实效,而一个与安全实效同样重要甚至说更具价值的应用就是对***行为的研究。在安全领域当中,防守方最大的弱势之一就是对***者的情报不足。***者可以很容易的获取各种系统的问题以及有针对性的方法和工具,而防守方所获得的资讯总是显得滞后和不充分。以研究为目的的蜜罐系统可以提供一个非常强大的用于了解***者和安全威胁的机制。现在很多安全组织和厂商都在利用研究型蜜罐对互联网上的安全问题进行研究,例如通过模拟某些安全缺陷来分析蠕虫病毒的感染行为、收集***者所使用的工具、了解流行的***手法等等。而且非常重要的是,研究型蜜罐可以让使用者获悉很多未知的安全隐患和***方法,这可以做为一种预警机制来提前发现将要造成破坏的***行为。研究型蜜罐除了用于研究和学习目的之外,同样可以为阻止***行为做出贡献,只不过这种作用要间接一些。
以上谈到的蜜罐系统的几种应用更多的集中于产生安全防御实效,而一个与安全实效同样重要甚至说更具价值的应用就是对***行为的研究。在安全领域当中,防守方最大的弱势之一就是对***者的情报不足。***者可以很容易的获取各种系统的问题以及有针对性的方法和工具,而防守方所获得的资讯总是显得滞后和不充分。以研究为目的的蜜罐系统可以提供一个非常强大的用于了解***者和安全威胁的机制。现在很多安全组织和厂商都在利用研究型蜜罐对互联网上的安全问题进行研究,例如通过模拟某些安全缺陷来分析蠕虫病毒的感染行为、收集***者所使用的工具、了解流行的***手法等等。而且非常重要的是,研究型蜜罐可以让使用者获悉很多未知的安全隐患和***方法,这可以做为一种预警机制来提前发现将要造成破坏的***行为。研究型蜜罐除了用于研究和学习目的之外,同样可以为阻止***行为做出贡献,只不过这种作用要间接一些。
总结
事实上,尽管蜜罐系统可以提供给我们很多有用的信息,但是在阻止***方面都无法与防火墙等安全设备相比。所以在实际的安全应用过程中不能仅仅依赖蜜罐系统,蜜罐并不能替代其它安全系统,而是整个安全体系的一个增强和补充,一个完善的安全基础设施是充分发挥蜜罐系统威力的前提和基础。
事实上,尽管蜜罐系统可以提供给我们很多有用的信息,但是在阻止***方面都无法与防火墙等安全设备相比。所以在实际的安全应用过程中不能仅仅依赖蜜罐系统,蜜罐并不能替代其它安全系统,而是整个安全体系的一个增强和补充,一个完善的安全基础设施是充分发挥蜜罐系统威力的前提和基础。
转载于:https://blog.51cto.com/ionwing/56925
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
