【精品】蜜罐及蜜网技术简介.pdfVIP

INFOSEC @ ICST.PKU 蜜罐及蜜网技术简介 Introduction to Honeypot and Honeynet 北大计算机科学技术研究所 信息安全工程研究中心 诸葛建伟，2004-10-15 Abstract The purpose of this paper is to overview the honeypot and honeynet technologies, including the concept, history, present and future. The most well known and applicable honeynet – Gen2 honeynet framework developed by The Honeynet Project is introduced. Furthermore, the emerging research directions in this area are presented. 摘要 本文给出了对蜜罐及蜜网技术的综述报告，包括蜜罐和蜜网的基本概念、发 展历程、核心功能，并介绍了目前最为成熟的“蜜网项目组”推出的第二代蜜网 架构。此外本文还给出了蜜罐及蜜网技术的进一步研究方向。 关键字 网络攻击；蜜罐；蜜网；诱捕网络 1 问题的提出 众所周知，目前的互联网安全面临着巨大的考验。美国CERT （计算机应急 Page 1 INFOSEC @ ICST.PKU 响应组）统计的安全事件数量以每年翻番的惊人指数级增长，在2003 年已经达 到了137,529 次。 导致互联网目前如此糟糕的安全状况的原因有很多，一方面是由于互联网的 开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷，同时， 大部分的网络使用者还未真正拥有安全意识，也还很少进行安全加强工作，如及 时打补丁、安装防火墙和其他安全工具等，从而导致了目前的互联网具有巨大的 安全隐患。另一方面，随着网络攻击技术的发展，特别是分布式拒绝服务攻击、 跳板（Step-stone ）攻击及互联网蠕虫的盛行，互联网上的每一台主机都已经成 为攻击的目标。此外，黑客社团也不像互联网早期那么纯洁，不再仅仅为了兴趣 和炫耀能力而出动，而更多的由于国家利益、商业利益及黑暗心理等因素促使其 对互联网安全构成危害。同时攻击者也不再需要很多的专业技术和技巧，他们可 以很方便地从互联网上找到所需的必威体育精装版攻击脚本和工具（如PacketStorm 网站）。 而这些由高级黑客们开发的攻击脚本和工具越来越容易使用，功能也越来越强， 能够造成的破坏也越来越大。特别值得注意的一个趋势是多种攻击脚本和工具的 融合，如大量的内核后门工具包（Rootkit ），及能够集成多种攻击脚本并提供易 用接口的攻击框架（如在 2004 年 DEFCON 黑客大会中引起广泛关注的 Metasploit ）的出现。 针对如此严重的安全威胁，而我们却仍然对黑客社团所知甚少。当网络被攻 陷破坏后，我们甚至还不知道对手是谁（黑客、脚本小子还是蠕虫？），对他们 使用了哪些工具、以何种方式达成攻击目标，以及为什么进行攻击更是一无所知。 “知己知彼，百战不殆”，安全防护工作者，无论是安全研究人员、安全产 品研发人员、安全管理人员和安全响应服务人员，都需要首先对黑客社团有深入 的了解，包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。只有在 充分了解对手的前提下，我们才能更有效地维护互联网安全。而蜜罐和蜜网技术 为捕获黑客的攻击行为，并深入分析黑客提供了基础。 Page 2 INFOSEC