本文目录一览:
蜜罐的发展历程和目前的主流分类有哪些?
蜜罐技术的发展历程
从九十年代初蜜罐概念的提出直到1998 年左右,“蜜罐”还仅仅限于一种思想,通常由 *** 管理人员应用,通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。从1998 年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开源工具,如Fred Cohen 所开发的DTK(欺骗工具包)、Niels Provos 开发的Honeyd 等,同时也出现了像KFSensor、Specter 等一些商业蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和 *** 服务,并对黑客的攻击行为做出回应,从而欺骗黑客。
虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客识别等问题,从2000年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐,但与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的工具,并且将蜜罐纳入到一个完整的蜜网体系中,使得研究人员能够更方便地追踪侵入到蜜网中的黑客,并对他们的攻击行为进行分析。
、蜜罐的分类
世界上不会有非常全面的事物,蜜罐也一样。根据管理员的需要,蜜罐的系统和漏洞设置要求也不尽相同,蜜罐是有针对性的,而不是盲目设置的,因此,就产生了多种多样的蜜罐……根据蜜罐与攻击者的交互程度,可以分为三类:低交互蜜罐、中交互蜜罐及高交互蜜罐。
1、低交互蜜罐
低交互蜜罐更大的特点是模拟(设计简单且功能有限,安装配置和维护都很容易)。蜜罐为攻击者展示的所有攻击弱点和攻击对象都不是真正的产品系统,而是对各种系统及其提供的服务的模拟。由于它的服务都是模拟的行为,所以蜜罐可以获得的信息非常有限,只能对攻击者进行简单的应答,它是最安全的蜜罐类型。
这种蜜罐没有真实的操作系统,它的价值主要在于检测,也就是对未授权扫描或者未授权连接尝试的检测。他只提供了有限的功能,因此大部分可以用一个程序来模拟。只需将该程序安装在一台主机系统中,配置管理希望提供的服务就可以了,管理员所要做的工作就是维护程序的补丁并监视所有的预警机制。这种蜜罐所提供的功能少,出错少,风险低,同时它能够为我们提供的关于攻击者的信息量也有限,只能捕获已知的攻击行为,并且以一种预定的方式进行响应,这样容易被攻击者识破,不管模拟服务做得多好,技术高明的黑客最终都能检测到他的存在。
2、中交互蜜罐
中交互蜜罐是对真正的操作系统的各种行为的模拟,它提供了更多的交互信息,同时也可以从攻击者的行为中获得更多的信息,与低交互蜜罐相比,它的部署和维护更为复杂。在这个模拟行为的系统中,蜜罐可以看起来和一个真正的操作系统没有区别,攻击者可以得到更多的交互。它们是比真正系统还要诱人的攻击目标,因此必须要以一个安全的方式来部署这种交互。必须开发相应的机制以确保攻击者不会危害其他系统,并且这种增加的功能不会成为攻击者进行攻击的易受攻击环节。攻击者可能会访问到实际操作系统,但他们的能力是受限的,这种类型的蜜罐必须要进行日常维护,以应对新的攻击。由于它具有较大的复杂度,所以出错的风险也相应的增大,另一方面他可以收集到更多攻击者的信息。
3、高交互蜜罐
高交互蜜罐具有一个真实的操作系统,它的优点体现在对攻击者提供真实的系统,当攻击者获得ROOT权限后,受系统数据真实性的迷惑,他的更多活动和行为将被记录下来。缺点是被攻击的可能性很高,如果整个高交互蜜罐被攻击,那么它就会成为攻击者下一步攻击的跳板,构建和维护它们是极为耗时的。目前在国内外的主要蜜罐产品有DTK,空系统,BOF,SPECTER,HOME-MADE蜜罐,HONEYD, *** OKEDETECTOR,BIGEYE,LABREA TARPIT,NETFACADE,KFSENSOR,TINY蜜罐,MANTRAP,HONEYNET十四种。
最为常见的高交互蜜罐往往被放置在一种受控环境中,如防火墙之后。借助于这些访问控制设备来控制攻击者使用该蜜罐启动对外的攻击。这种架构的部署和维护十分的复杂,而且这种类型的蜜罐还要求对防火墙有一个恰当的过滤规则库。同时还要求配合IDS的功能,要求IDS的签名数据库进行更新,且要不停监视蜜罐的活动。它为攻击提供的交互越多出错的地方就越多。一旦进行了正确的实现,高交互度的蜜罐就能够更大程度的洞察攻击者。例如想在一个Linux蜜罐上运行一个FTP服务器,那么你见里一个真正的Linux系统来运行FTP服务。这种解决方案优势是双重的,首先,你能够捕获大量信息。这可以通过给攻击者提供真实的系统与之交互来实现,你能够了解到攻击者的整个攻击行为,从新的工具包到IRC的会话的整个过程。高交互的第二个优势是对攻击者如何攻击不是假设,它们提供一个能够捕获行为的开放的环境,高交互度解决 *** 将使得我们能学到以外的攻击行为,例如:一个蜜罐在一个非标准的IP协议上捕获密码后门命令。然而,这也增加了蜜罐的风险,因为攻击者能够用这些真实的操作系统来攻击非蜜罐系统。结果,要采用附加技术来组织对非蜜罐系统的攻击。高交互蜜罐虽然优于前两种交互蜜罐,但是开发和维护过于复杂。
一共有哪些开源的杀毒软件
都在回答些什么啊,一个回答开源是什么一个连开源是什么都不知道 - -
开源?!杀软开源的貌似很少,不然怎么获取利益
我知道的有ClamWin Free Antivirus,WinPooch这两个
但是楼主要注意,更好别用开源的,既然开源了,那么就意味着透明度高,漏洞容易被做病毒的找到,相对来说安全性没有不开源的高,建议还是用非开源软件吧.
蜜罐技术的工作原理
蜜罐的主要原理包括以下几个方面:
之一, *** 欺骗。
使入侵者相信存在有价值的、可利用的安全弱点,蜜罐的价值就是在其被探测、攻击或者攻陷的时候得以体现, *** 欺骗技术是蜜罐技术体系中最为关键的核心技术,常见的有模拟服务端口、模拟系统漏洞和应用服务、流量仿真等。
第二,数据捕获。
一般分三层实现:最外层由防火墙来对出入蜜罐系统的 *** 连接进行日志记录;中间层由入侵检测系统(IDS)来完成,抓取蜜罐系统内所有的 *** 包;最里层的由蜜罐主机来完成,捕获蜜罐主机的所有系统日志、用户击键序列和屏幕显示。
第三,数据分析。
要从大量的 *** 数据中提取出攻击行为的特征和模型是相当困难的,数据分析是蜜罐技术中的难点,主要包括 *** 协议分析、 *** 行为分析、攻击特征分析和入侵报警等。数据分析对捕获的各种攻击数据进行融合与挖掘,分析黑客的工具、策略及动机,提取未知攻击的特征,或为研究或管理人员提供实时信息。
第四,数据控制。
数据控制是蜜罐的核心功能之一,用于保障蜜罐自身的安全。蜜罐作为 *** 攻击者的攻击目标,若被攻破将得不到任何有价值的信息,还可能被入侵者利用作为攻击其他系统的跳板。虽然允许所有对蜜罐的访问,但却要对从蜜罐外出的 *** 连接进行控制,使其不会成为入侵者的跳板危害其他系统。
首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是 *** 管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一定查得到痕迹……因此,蜜罐的定义是:“蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。”
设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。