? ? 蜜罐只有虛假的敏感數(shù)據(jù)艳悔,可以是一個網(wǎng)絡(luò)、一臺主機(jī)萝挤、一項(xiàng)服務(wù)、也可以是數(shù)據(jù)庫中無用的數(shù)據(jù)項(xiàng)以及偽裝的用戶名 弱口令等根欧。
? ? 蜜網(wǎng)=蜜罐+數(shù)據(jù)控制+數(shù)據(jù)捕獲+數(shù)據(jù)采集等元素
蜜罐與蜜網(wǎng)的研究主要涉及五類關(guān)鍵技術(shù):
網(wǎng)絡(luò)欺騙:
1怜珍、真實(shí)蜜罐或蜜網(wǎng)
2、虛擬蜜罐或蜜網(wǎng)
攻擊捕獲技術(shù):
三個層次:
1凤粗、訪問控制層次:在路由器 網(wǎng)關(guān) 防火墻捕獲黑客的連接和數(shù)據(jù)酥泛。
2、網(wǎng)絡(luò)層次:網(wǎng)絡(luò)上捕獲黑客對蜜罐和蜜網(wǎng)的攻擊
3嫌拣、系統(tǒng)層次:主機(jī)上捕獲攻擊者的行為
數(shù)據(jù)控制技術(shù):
? ? 控制攻擊者出入蜜罐的活動柔袁,避免成為跳板。不限制蜜罐的數(shù)據(jù)流入异逐,限制蜜罐的數(shù)據(jù)流出捶索。通常是采用多層次的數(shù)據(jù)控制機(jī)制。防火墻+IDS? ?
攻擊分析與特征提取?
? ? 對捕獲的攻擊數(shù)據(jù)進(jìn)行融合灰瞻、挖掘腥例,分析黑客的工具、策略以及動機(jī)酝润,提取未知攻擊的特征燎竖。
基于蜜罐和蜜網(wǎng)自動提取攻擊特征:
1、LCS算法袍祖,提取質(zhì)量較差底瓣。
2谢揪、可視化蕉陋、統(tǒng)計(jì)分析輔助人工篩選出可以數(shù)據(jù)+LCS
3捐凭、利用協(xié)議語義
預(yù)警防御技術(shù):
1、檢測內(nèi)部攻擊:Honeytoken凳鬓、非正常使用信息做誘餌茁肠,追蹤攻擊活動
2、檢測緩沖區(qū)溢出攻擊:shadow honeypot 檢測運(yùn)行狀態(tài)
3缩举、防御DoS攻擊:honeypot back-propagation 通過偽裝技術(shù)來欺騙和阻止DoS攻擊
4垦梆、檢測惡意代碼的攻擊:HoneyStat 蜜罐技術(shù)和Logistic回歸理論
5、檢測對無線網(wǎng)絡(luò)的攻擊:
6仅孩、檢測惡意網(wǎng)站對瀏覽器的攻擊
7托猩、檢測垃圾郵件的攻擊
8、檢測Web應(yīng)用攻擊:GHH
主要挑戰(zhàn)和發(fā)展趨勢:
? ? 系統(tǒng)偽裝:需要增強(qiáng)系統(tǒng)偽裝的智能性辽慕,感知和學(xué)習(xí)實(shí)時的網(wǎng)絡(luò)環(huán)境京腥,動態(tài)、自動進(jìn)行配置溅蛉;提高服務(wù)的質(zhì)量和被攻擊公浪、探測的概率,確保蜜罐的高度的真實(shí)真實(shí)性和迷惑性
? ? 體系結(jié)構(gòu):針對于大型分布式網(wǎng)絡(luò)船侧,難以適應(yīng)大型的分布式網(wǎng)絡(luò)環(huán)境欠气,攻擊分析、特征提取和安全響應(yīng)沒有加入到體系結(jié)構(gòu)中镜撩,缺乏與其他系統(tǒng)的協(xié)作與聯(lián)動预柒。
? ? 多源信息融合:對多源信息統(tǒng)一數(shù)據(jù)的表示和存儲,進(jìn)行精化處理與數(shù)據(jù)挖掘琐鲁,選擇最優(yōu)的融合算法卫旱,提高融合分析的快速性與準(zhǔn)確性。
? ? 攻擊分析與特征提任Ф巍:借鑒其他領(lǐng)域中處理數(shù)據(jù)信息的一些成熟的理論:機(jī)器學(xué)習(xí)顾翼、人工智能、數(shù)據(jù)挖掘等奈泪,以加強(qiáng)基于數(shù)據(jù)可視化适贸、協(xié)議還原、攻擊工具自動識別涝桅、入侵場景自動分析拜姿、攻擊特征自動提取等技術(shù)。
? ? 計(jì)算機(jī)取證和法律問題:避免蜜罐被作為跳板冯遂。
