蜜罐技术的工作原理

蜜罐的主要原理包括以下几个方面:

cmaedu.com第一,网络欺骗。

使入侵者相信存在有价值的、可利用的安全弱点,蜜罐的价值就是在其被探测、攻击或者攻陷的时候得以体现,网络欺骗技术是蜜罐技术体系中最为关键的核心技术,常见的有模拟服务端口、模拟系统漏洞和应用服务、流量仿真等。

cmaedu.com第二,数据捕获。

一般分三层实现:最外层由防火墙来对出入蜜罐系统的网络连接进行日志记录;中间层由入侵检测系统(IDS)来完成,抓取蜜罐系统内所有的网络包;最里层的由蜜罐主机来完成,捕获蜜罐主机的所有系统日志、用户击键序列和屏幕显示。

cmaedu.com第三,数据分析。

cmaedu.com要从大量的网络数据中提取出攻击行为的特征和模型是相当困难的,数据分析是蜜罐技术中的难点,主要包括网络协议分析、网络行为分析、攻击特征分析和入侵报警等。数据分析对捕获的各种攻击数据进行融合与挖掘,分析黑客的工具、策略及动机,提取未知攻击的特征,或为研究或管理人员提供实时信息。

cmaedu.com第四,数据控制。

数据控制是蜜罐的核心功能之一,用于保障蜜罐自身的安全。蜜罐作为网络攻击者的攻击目标,若被攻破将得不到任何有价值的信息,还可能被入侵者利用作为攻击其他系统的跳板。虽然允许所有对蜜罐的访问,但却要对从蜜罐外出的网络连接进行控制,使其不会成为入侵者的跳板危害其他系统。

cmaedu.com首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别，虽然这两者都有可能被入侵破坏，但是本质却完全不同，蜜罐是网络管理员经过周密布置而设下的“黑匣子”，看似漏洞百出却尽在掌握之中，它收集的入侵数据十分有价值;而后者，根本就是送给入侵者的礼物，即使被入侵也不一定查得到痕迹……因此，蜜罐的定义是:“蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。”

cmaedu.com设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。

关于网络中所说的密罐是什么意思?

1．蜜罐的定义。关于蜜罐，到目前为止还没有一个完整的定义。“蜜网项目组”的创始人Lance Spitzner对蜜罐给出了一个比较权威的定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并没有其他的实际作用，所有流人和流出蜜罐的网络流量都可能预示着扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。实际上，蜜罐中只有一些虚假的敏感数据，不用于对外的正常服务。所以，它可以是一个网络、一台主机、一项服务，也可以是数据库中的某些无用的数据或者伪装的用户名及其弱口令等，因此任何与它交互的行为都可以被认为是攻击行为，这样就简化了检测过程，它可以部署在各个内部子网或关键主机上，检测来自网络系统外部和内部的各种攻击，用一种以检测、监视和捕获攻击行为和保护真实主机为目标的诱骗技术。

2．蜜罐的基本原理。蜜罐系统是一个陷阱系统，它通过设置一个具有很多漏洞的系统吸引黑客入侵，收集入侵者信息，为其他安全技术提供更多的知识。蜜罐采用监视器和事件日志两个工具对访问蜜罐系统的行为进行监控。由于蜜罐是一个很具有诱惑力的系统，能够分散黑客的注意力和精力，所以对真正的网络资源起到保护作用。

cmaedu.com 3．蜜罐的主要技术。蜜罐系统主要涉及网络欺骗技术、数据捕获技术、数据控制技术p湍1：3重定向)、攻击分析与特征提取等主要技术。(1)网络欺骗技术：是蜜罐的核心技术，利用各种欺骗手段和安全弱点和系统漏洞，引诱黑客的攻击。(2)数据捕获技术：主要目的是尽可能多的捕获攻击信息，而不被黑客发现，包括输入、输出及键盘和屏幕的捕获。(3)数据控制技术：主要目的是防止黑客将蜜罐作为跳板去攻击其他系统或危害别的主机，因此必须控制进出系统的数据流量而不被黑客怀疑。(4)攻击分析与特征提取：蜜罐系统设置一个数据分析模块，在同一控制台对收集到的所有信息进行分析、综合和关联，完成对蜜罐攻击信息的分析。

cmaedu.com

【网络安全】蜜罐技术是什么？有哪些作用？

cmaedu.com在学习网络安全过程中，大家肯定接触过很多既陌生又熟悉的词汇，比如蜜罐。蜜罐是学习网络安全不可不知的一个词，那么网络安全中蜜罐是什么意思?我通过这篇文章为大家详细介绍一下。

cmaedu.com 蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

cmaedu.com 蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

蜜罐的一大优点就是设置简单，只需在因特网上有一台没有打补丁的计算机就可以，黑客在入侵计算机获取日志和审查功能时，通过在网络和计算机之间安置的网络监控系统就能以合理的方式记录下黑客的行动，同时尽量减小和排除对其它系统造成风险，如：建立在反向防火墙后面的蜜罐，其目的不是防止入站连接，而是防止蜜罐建立的出站连接。虽然这种方法使蜜罐不会破坏其它系统，但同时很容易被黑客发现。

实际应用中，可以把蜜罐设置在与公司Web或邮件服务器相邻的IP地址上，就可以了解到所遭受到的攻击。

cmaedu.com 要注意的是，如果攻击者辨别出用户设置了蜜罐，就有可能在不被发觉的情况下，潜入用户所在的系统，一旦被攻陷，就会攻击、潜入或危害其它关联系统。

不过，现在蜜罐也可以使用虚拟系统设置，一台主机上可以运行4-10台虚拟计算机，此举可以大大降低蜜罐的设置成本，机器占用及管理难度。而且虚拟系统还支持悬挂和恢复功能，这样就可以在发现攻击时冻结计算机，分析其攻击方法，然后打开TCP/IP连接及系统上面的其它服务。