蜜罐技术的本质在于网络欺骗技术的使用,通过设置“蜜罐”诱骗陷阱的方式,实现对真实系统的保护,其目的在于引诱入侵者对其进行攻击,从而应对、监测、分析入侵者攻击行为和采集相关数据信息,以保护真实系统的完整性,确保真实系统的安全性。
蜜罐技术是在传统被动防御技术的基础上衍生出的新型主动防御技术,随着网络安全问题不断凸显,各领域对网络安全日益重视,蜜罐技术逐渐成为网络安全领域的重要研究和发展方向,并且持续发挥着重要作用。
蜜罐的基本概念
传统被动防御技术如防火墙、入侵检测技术等是现今网络安全工作必备的防护手段。而作为一种新型主动防御技术,蜜罐技术在网络安全工作中日益发挥着显著作用。蜜罐技术区别于传统防御技术之处,在于它是主动引诱入侵者对其发动攻击行为,而不是守株待兔等待入侵攻击。蜜罐技术是一种安全资源,它存在的价值就是通过利用预先设置好的“安全漏洞”将入侵者的目标从真实系统转移,主动将攻击目标和安全风险转至自身,诱导入侵者攻击直至攻陷,并在此过程中采集攻击行为相关数据进行研究,分析入侵者的攻击方式、手段工具、攻击思路等。
因此,蜜罐技术也属于情报搜集系统的范畴,可为网络安全工作开展提供指导,推动网络安全技术升级以搭建更为严密、精准的网络安全体系,提升网络安全防护能力。
1. 蜜罐的部署及结构
蜜罐的部署操作程序简单 :将单台未安装系统补丁的主机连接至互联网,即可完成蜜罐的部署工作。根据蜜罐拓扑位置的不同,可将其分为两类 :蜜罐部署在防火墙之前或之后。
将蜜罐部署在防火墙之前,会在一定程度上消除安全威胁和隐患,由于蜜罐本身对入侵者具有吸引力,将与之带来大量的入侵攻击行为。入侵者的攻击行为通过蜜罐时,蜜罐会进行及时处理、记录和报警,因此后方的防火墙、入侵检测系统不会再次进行记录和报警,从而省去了防火墙、入侵检测系统配置再调整程序,起到保护其他系统设备的功能。但若入侵行为发生在系统内部,则无法起到相应保护作用。
若将蜜罐部署在防火墙之后,则可能产生安全和网络部署相关问题。一方面是蜜罐系统若被外部入侵者成功入侵将造成整个系统的安全风险,另一方面是需多次调整防火墙、入侵检测系统配置增加工作复杂度,但通过此方式能够检测到网络内部攻击行为,并且能够再次收集处理已通过防火墙的入侵攻击行为数据,以研究分析网络安全最新情况。
从蜜罐技术到蜜网技术,从第一代蜜网再到第三代蜜网,当代新型主动防御技术逐步发展与成熟。蜜罐属于单诱饵节点,即通过单个设备实现蜜罐功能。按照各部分具体功能的不同,可将蜜罐的结构划分为4个部分:一是“诱骗”模块,由漏洞伪装、入侵重定向组成,其中漏洞伪装的主要功能是预设安全漏洞、伪装成“黑匣子”,入侵重定向则通过增加对入侵者的吸引力,引诱入侵者进行攻击;二是数据采集和分析模块,其作用是为了监测和记录入侵者攻击行为产生的各类数据,并对数据进行分析,识别安全风险和危害;三是数据控制模块,通过对数据的管控、监测和追踪,防止入侵者将蜜罐系统作为跳板而攻击其他系统或第三方主机。相较于蜜罐,蜜网属于多诱饵节点,即通过多台设备实现其功能,现已发展到第三代蜜网(如图所示)。它在蜜罐的基础上组建,包括防火墙、路由器、入侵检测系统等传统被动防御工具,以及虚拟技术和数据捕获、控制、分析工具,功能更为强大,对入侵者的引诱力更强,可对各种安全威胁进行研究分析。
2. 蜜罐的特点
蜜罐技术在网络安全领域的运用特点有如下几个方面:
(1)主动防御性同时也引入安全风险
蜜罐技术化被动防御技术为主动,变事后防御为事前防御,利用自身特点引诱入侵者展开攻击,同时采集各类信息进行研究,为后续网络安全防护提供技术支撑和理论基础。
………………
蜜罐技术在网络安全领域的应用与研究 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/qxni6BASxYj 提取码: uf19