網(wǎng)絡(luò)安全原理與應(yīng)用（第三版）課件 第8章 入侵檢測技術(shù)

1網(wǎng)絡(luò)安全原理與應(yīng)用(第三版)第9章

入侵檢測技術(shù)

9.1入侵檢測概述9.2入侵檢測系統(tǒng)9.3Snort入侵檢測系統(tǒng)9.4蜜罐技術(shù)9.1入侵檢測概述9.1.1概念9.1.2IDS的任務(wù)和作用9.1.3入侵檢測過程9.1.1概念入侵檢測技術(shù)：在計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，通過對這些信息的分析來發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統(tǒng)（IntrusionDetectionSystem，簡稱IDS）：進(jìn)行入侵檢測的軟件與硬件的組合。入侵檢測系統(tǒng)需要更多的智能，它必須能將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。IDS模型設(shè)計：基于主機(jī)的入侵檢測系統(tǒng)；基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)9.1.2.IDS的任務(wù)和作用

u

監(jiān)視、分析用戶及系統(tǒng)活動；u

對系統(tǒng)構(gòu)造和弱點(diǎn)的審計；u

識別和反應(yīng)已知進(jìn)攻的活動模式并向相關(guān)人士報警；u

異常行為模式的統(tǒng)計分析；u

評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；u

操作系統(tǒng)的審計跟蹤管理，識別用戶違反安全策略的行為。防火墻之后的第二道安全閘門1、信息收集

(1)系統(tǒng)和網(wǎng)絡(luò)日志文件

記錄用戶行為：重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的用戶企圖訪問重要文件等。(2)目錄和文件中的不期望的改變包括修改、創(chuàng)建和刪除，特別是那些正常情況下限制訪問的，很可能就是入侵發(fā)生的指示和信號(3)程序執(zhí)行中的不期望行為

如越權(quán)訪問、非法讀寫等

(4)物理形式的入侵信息

一是未授權(quán)的對網(wǎng)絡(luò)硬件的連接；二是對物理資源的未授權(quán)訪問。9.1.3入侵檢測過程2、

信號分析

(1)模式匹配將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。(2)統(tǒng)計分析首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時，就認(rèn)為有入侵發(fā)生。(3)完整性分析關(guān)注某個文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性的變化9.1.3入侵檢測過程模式匹配方法也稱為誤用檢測。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化）。一種進(jìn)攻模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。優(yōu)點(diǎn)：是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)成熟。弱點(diǎn)：是需要不斷的升級模式庫以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。9.1.3入侵檢測過程—信號分析統(tǒng)計分析方法建立系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）的正常行為統(tǒng)計模型(如訪問次數(shù)、操作失敗次數(shù)和延時等）,網(wǎng)絡(luò)、系統(tǒng)的行為與正常模型進(jìn)行比較來檢測入侵。也稱為異常檢測。例如，統(tǒng)計分析時發(fā)現(xiàn)一個在晚八點(diǎn)至早六點(diǎn)從不登錄的賬戶卻在凌晨兩點(diǎn)突然試圖登錄，系統(tǒng)認(rèn)為該行為是異常行為。優(yōu)點(diǎn)：可檢測到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報、漏報率高，且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計分析方法有：基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法。9.1.3入侵檢測過程—統(tǒng)計分析完整性分析方法：完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性的變化。完整性分析在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制（如：消息摘要函數(shù)），能識別哪怕是微小的變化。優(yōu)點(diǎn):不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對象的任何改變，它都能夠發(fā)現(xiàn)。缺點(diǎn):是一般以批處理方式實現(xiàn)，不用于實時響應(yīng)。盡管如此，完整性檢測方法還是網(wǎng)絡(luò)安全產(chǎn)品的重要組成部分。可以在每一天的某個特定時間內(nèi)開啟完整性分析模塊，對網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面地掃描檢查。9.1.3入侵檢測過程—完整性分析9.2入侵檢測系統(tǒng)9.2.1入侵檢測系統(tǒng)的分類9.2.2基于主機(jī)的入侵檢測系統(tǒng)9.2.3基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)9.2.4分布式入侵檢測系統(tǒng)

9.2.1入侵檢測系統(tǒng)的分類按照入侵檢測系統(tǒng)的數(shù)據(jù)來源劃分（1）基于主機(jī)的入侵檢測系統(tǒng)：主要使用操作系統(tǒng)的審計跟蹤日志作為輸入，信息集中在系統(tǒng)調(diào)用和應(yīng)用層審計上，試圖從日志判斷濫用和入侵事件的線索。（2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)：在計算機(jī)網(wǎng)絡(luò)中的某些點(diǎn)被動地監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)脑剂髁?，對獲取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理提取有用的信息。（3）分布式的入侵檢測系統(tǒng)：采用上述兩種數(shù)據(jù)來源的2．按照入侵檢測系統(tǒng)采用的檢測方法來分類（1）基于規(guī)則的入侵檢測：系統(tǒng)需要動態(tài)建立和維護(hù)一個規(guī)則庫，利用規(guī)則對發(fā)生的事件進(jìn)行判斷?；谝?guī)則的方法對于已知的攻擊或入侵有很高的檢測率，但是難以發(fā)現(xiàn)未知攻擊。規(guī)則例如：alerttcp02/32any->/32443(logto:“task1”;msg:“test

rule";sid:1000001)（2）基于行為的入侵檢測?；谛袨榈臋z測也稱為異常檢測，是指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵。使用系統(tǒng)或用戶的活動畫像（profile）來檢測入侵活動。系統(tǒng)要根據(jù)每個用戶以前的歷史行為，生成每個用戶的歷史行為記錄庫，當(dāng)用戶改變他們的行為習(xí)慣時，這種異常就會被檢測出來。這種方法可以檢測未知的攻擊，但也容易產(chǎn)生誤警。（3）基于神經(jīng)網(wǎng)絡(luò)的入侵檢測。通過已知數(shù)據(jù)訓(xùn)練神經(jīng)網(wǎng)絡(luò)分類器，然后以待分類的數(shù)據(jù)作為神經(jīng)網(wǎng)絡(luò)的輸入，通過隱層的計算，最終輸出層的結(jié)果即為分類結(jié)果。優(yōu)勢是能夠處理大規(guī)模、高維度的數(shù)據(jù)，缺點(diǎn)是所構(gòu)建的神經(jīng)網(wǎng)絡(luò)隱層拓?fù)湟约拜敵鼋Y(jié)果等，通常難以控制和解釋。（4）基于數(shù)據(jù)挖掘的入侵檢測。采用數(shù)據(jù)挖掘方法從數(shù)據(jù)中發(fā)現(xiàn)知識，區(qū)分?jǐn)?shù)據(jù)中的正常與異常。數(shù)據(jù)挖掘中的分類和聚類分析通常用于攻擊的識別，而關(guān)聯(lián)規(guī)則分析等技術(shù)適用于多階段網(wǎng)絡(luò)攻擊或復(fù)雜網(wǎng)絡(luò)攻擊的研究。（5）基于免疫學(xué)的入侵檢測。利用生物體的免疫機(jī)理進(jìn)行入侵行為的分析，區(qū)分自我和非我，并消除異常模式，建立系統(tǒng)正常行為的特征庫。定義屬于“自我”的體系結(jié)構(gòu)、管理策略與使用模式等，監(jiān)視系統(tǒng)的行為，識別“非我”的行為。3．按照入侵檢測的時間的分類（1）實時入侵檢測系統(tǒng)。檢測在網(wǎng)絡(luò)連接過程中進(jìn)行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲在計算機(jī)中的專家知識以及神經(jīng)網(wǎng)絡(luò)模型對用戶當(dāng)前的操作進(jìn)行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機(jī)的連接，并收集證據(jù)和實施數(shù)據(jù)恢復(fù)。這個檢測過程是自動的、不斷循環(huán)進(jìn)行的。（2）事后入侵檢測系統(tǒng)。事后入侵檢測由網(wǎng)絡(luò)管理人員進(jìn)行，他們具有網(wǎng)絡(luò)安全的專業(yè)知識，根據(jù)計算機(jī)系統(tǒng)對用戶操作所做的歷史審計記錄判斷用戶是否具有入侵行為，如果有就斷開連接，并記錄入侵證據(jù)和進(jìn)行數(shù)據(jù)恢復(fù)。事后入侵檢測是管理員定期或不定期進(jìn)行的，不具有實時性，因此防御入侵的能力不如實時入侵檢測系統(tǒng)。9.2.2基于主機(jī)的入侵檢測系統(tǒng)檢測原理是根據(jù)主機(jī)的審計數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件，檢測系統(tǒng)可以運(yùn)行在被檢測的主機(jī)或單獨(dú)的主機(jī)上。依賴于審計數(shù)據(jù)或系統(tǒng)日志的準(zhǔn)確性、完整性以及安全事件的定義。若入侵者設(shè)法逃避審計或進(jìn)行合作入侵，則基于主機(jī)的檢測系統(tǒng)的弱點(diǎn)就暴露出來了。網(wǎng)絡(luò)環(huán)境下，單獨(dú)地依靠主機(jī)審計信息進(jìn)行入侵檢測難以適應(yīng)網(wǎng)絡(luò)安全的需求。這主要表現(xiàn)在以下四個方面：

（1）主機(jī)的審計信息弱點(diǎn)，如易受攻擊，入侵者可通過使用某些系統(tǒng)特權(quán)或調(diào)用比審計本身更低級的操作來逃避審計。（2）不能通過分析主機(jī)審計記錄來檢測網(wǎng)絡(luò)攻擊。（3）IDS的運(yùn)行或多或少影響服務(wù)器性能。（4）基于主機(jī)的IDS只能對服務(wù)器的特定用戶、應(yīng)用程序執(zhí)行動作、日志進(jìn)行檢測，所能檢測到的攻擊類型受到限制。基于主機(jī)的入侵檢測系統(tǒng)9.2.3基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)探測器按一定的規(guī)則從網(wǎng)絡(luò)上獲取與安全事件相關(guān)的數(shù)據(jù)包，然后傳遞給分析引擎進(jìn)行安全分析判斷。分析引擎結(jié)合網(wǎng)絡(luò)安全數(shù)據(jù)庫進(jìn)行分析接收到的數(shù)據(jù)包，把分析的結(jié)果傳遞給安全配置構(gòu)造器。安全配置構(gòu)造器按分析引擎的結(jié)果構(gòu)造出探測器所需要的配置規(guī)則。基于網(wǎng)絡(luò)的IDS的優(yōu)點(diǎn)（1）服務(wù)器平臺獨(dú)立：基于網(wǎng)絡(luò)的IDS監(jiān)視通信流量而不影響服務(wù)器平臺的變化和更新。（2）配置簡單：基于網(wǎng)絡(luò)的IDS環(huán)境只需要一個普通的網(wǎng)絡(luò)訪問接口。（3）檢測多種攻擊：基于網(wǎng)絡(luò)的IDS探測器可以監(jiān)視多種多樣的攻擊包括協(xié)議攻擊和特定環(huán)境的攻擊，長于識別與網(wǎng)絡(luò)低層操作有關(guān)的攻擊。9.2.4分布式入侵檢測系統(tǒng)采用相互獨(dú)立并獨(dú)立于系統(tǒng)運(yùn)行的進(jìn)程組，這些進(jìn)程組稱為自治主體通過訓(xùn)練這些主體并觀察系統(tǒng)行為，然后將這些主體認(rèn)為是異常的行為標(biāo)記出來。關(guān)鍵的思想是主體協(xié)作。每個主體監(jiān)控整個網(wǎng)絡(luò)信息流的一個小的方面，然后由多個主體協(xié)同工作。例如：一個主體監(jiān)控UDP包，另一個主體監(jiān)視這些包的目的端口，第三個主體檢查包的來源。這些主體之間必須能夠相互交流它們發(fā)現(xiàn)的可疑點(diǎn)。當(dāng)一個主體認(rèn)為可能有可疑的活動發(fā)生時，能提醒其他主體注意，后續(xù)的主體分析包數(shù)據(jù)時，也可以做可疑廣播。最終，整個可疑級別若超過預(yù)先設(shè)定的閾值，系統(tǒng)就向操作員報告可能發(fā)生入侵。9.2.4分布式入侵檢測系統(tǒng)通過原始網(wǎng)絡(luò)接口（DLPI可以傳輸和接收數(shù)據(jù)鏈路層數(shù)據(jù)包。網(wǎng)絡(luò)原語層可以使用原語從DLPI接口獲得原始網(wǎng)絡(luò)數(shù)據(jù)，并把它封裝成主體可以處理的方式。主體接收到網(wǎng)絡(luò)數(shù)據(jù)訓(xùn)練模塊負(fù)責(zé)訓(xùn)練主體，使之可以正確地對入侵做出反應(yīng)。訓(xùn)練通過一種反饋機(jī)制實現(xiàn)，由操作員輸入主體的訓(xùn)練要求，給出訓(xùn)練數(shù)據(jù)，與神經(jīng)網(wǎng)絡(luò)的訓(xùn)練相似。9.3Snort入侵檢測系統(tǒng)Snort是一個開源的輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)和入侵防御系統(tǒng)。它由MartinRoesch（Sourcefire公司的前創(chuàng)始人和CTO）于1988年開發(fā)2009年snort作為“有史以來最偉大的開源軟件”進(jìn)入InfoWorld的開源名人堂2013年Sourcefire被Cisco公屬收購，snort目前由Cisco公司支持和維護(hù)。9.3.1Snort簡介1.Snort的工作模式和組成結(jié)構(gòu)Snort有三種工作模式。嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并連續(xù)不斷地顯示在終端上。數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。網(wǎng)絡(luò)入侵檢測模式是最復(fù)雜的，snort可以分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測結(jié)果采取一定的動作。9.3.1Snort簡介1.Snort的工作模式和組成結(jié)構(gòu)Snort由四大功能模塊組成：（1）數(shù)據(jù)包捕獲模塊：負(fù)責(zé)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包（2）預(yù)處理模塊：檢查原始數(shù)據(jù)包，從中發(fā)現(xiàn)原始數(shù)據(jù)的“行為”，如端口掃描、IP碎片等，數(shù)據(jù)包經(jīng)過預(yù)處理后才傳到檢測引擎。（3）檢測模塊：核心模塊，檢測引擎依據(jù)預(yù)先設(shè)置的規(guī)則檢查數(shù)據(jù)包，一旦發(fā)現(xiàn)數(shù)據(jù)包中的內(nèi)容和某條規(guī)則匹配，就通知報警模塊。（4）報警/日志模塊：如果檢測引擎中的某條規(guī)則被匹配，則會觸發(fā)一條報警。這條報警信息會傳送給日志文件，甚至可以將報警傳送給第三方插件。9.3.2Snort安裝下載安裝文件/downloads安裝snort下載和安裝Npcap運(yùn)行snort-V命令檢查snort是否正常工作9.3.3Snort配置下載最新的snort規(guī)則文件snortrules-snapshot-將下載的壓縮文件解壓到snort的安裝目錄XXX.tar.gzrules文件夾包含所有的規(guī)則文件和最重要的local.rules文件。etc文件夾包含所有的配置文件，最重要的是snort.conf文件配置：見教材測試配置：snort-i5-cD:\Snort\etc\snort.conf-T9.3.4Snort使用snort-W，可以查看當(dāng)前計算機(jī)上的網(wǎng)絡(luò)接口的狀態(tài)“snort-?”命令來查看你所用的Snort版本的命令行參數(shù)。9.3.4Snort使用-嗅探器模式snort-v-i59.3.4Snort使用-數(shù)據(jù)包記錄模式命令：snort-dev-i5-h/24-ld:\snort\log-Kascii參數(shù)：-dev表示詳細(xì)記錄模式-i5表示監(jiān)聽的網(wǎng)卡-h表示監(jiān)聽的網(wǎng)段，缺省表示當(dāng)前主機(jī)-l表示log文件的位置-K表示文件的編碼方式運(yùn)行該命令將，snort會將定義的網(wǎng)段中的數(shù)據(jù)包記錄下來保存到文件里。不同連接上數(shù)據(jù)包的信息放到一個文件里，并放到按數(shù)據(jù)包的地址命名文件夾，保存到\snort\log目錄9.3.4Snort使用-數(shù)據(jù)包記錄模式9.3.4Snort使用-入侵檢測模式（1）Snort規(guī)則定義的一般結(jié)構(gòu)：<動作><協(xié)議><IP地址><端口><方向><IP地址><端口>[規(guī)則選項]（2）Snort有5個預(yù)定義動作：Pass動作指不理會這個數(shù)據(jù)包log動作用來記錄數(shù)據(jù)包alert動作用來在一個數(shù)據(jù)包符合規(guī)則條件時發(fā)送告警信息dynamic動作由其他activate動作的規(guī)則調(diào)用activate動作功能強(qiáng)大，當(dāng)被規(guī)則觸發(fā)時生成報警，并啟動相關(guān)的dynamic類型規(guī)則。（3）以入侵檢測模式運(yùn)行snort命令：snort-i5-ld:\snort\log-Kascii-cd:\snort\etc\snort.conf參數(shù)：-c表示使用規(guī)則文件9.3.4Snort使用-入侵檢測模式9.4密罐技術(shù)

蜜罐是一種安全威脅的主動防御技術(shù)，它的目標(biāo)是吸引惡意活動，以便監(jiān)測攻擊行為、研究攻擊技術(shù)，更好地為系統(tǒng)提供安全防御服務(wù)。9.4.1密罐的定義9.4.2蜜罐的分類9.4.3蜜罐系統(tǒng)的結(jié)構(gòu)9.4.4密罐的搭建實例9.4.5蜜罐的優(yōu)缺點(diǎn)9.4.1密罐的定義蜜罐表面上看起來像真實的系統(tǒng)或網(wǎng)絡(luò)服務(wù)，但實際上是一個虛構(gòu)的環(huán)境，它通過模擬一個或多個易受攻擊的主機(jī)或服務(wù)來吸引攻擊者，捕獲攻擊流量與樣本，發(fā)現(xiàn)網(wǎng)絡(luò)威脅、提取威脅特征，是一種對網(wǎng)絡(luò)攻擊和威脅進(jìn)行捕獲和研究手段。第一個公開可用的蜜罐是1998年FredCohen的DeceptionToolKit（DTK）2000年開始，隨著蠕蟲開始激增，蜜罐被證明在捕獲和分析蠕蟲方面具有很大的優(yōu)勢。2004年引入了虛擬蜜罐，允許多個蜜罐在單個服務(wù)器上運(yùn)行。蜜罐的權(quán)威定義：蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷。蜜罐并不向外界用戶提供任何服務(wù)，所有進(jìn)出蜜罐的網(wǎng)絡(luò)流量都是非法的，都可能預(yù)示著一次掃描和攻擊，蜜罐的核心價值在于對這些非法活動進(jìn)行監(jiān)視、檢測和分析。9.4.1密罐的定義作用包括：監(jiān)測攻擊行為：蜜罐記錄攻擊者與虛假系統(tǒng)的交互，捕獲攻擊的技術(shù)和模式。研究攻擊技術(shù)：在與黑客的交互過程中，蜜罐能夠記錄黑客的所有操作，分析蜜罐的日志可以幫助安全專業(yè)人員了解最新的攻擊技術(shù)和威脅趨勢，推測攻擊者的意圖和動機(jī)欺騙攻擊者：通過布置誘餌，提供似是而非的業(yè)務(wù)服務(wù)，吸引攻擊者到虛假系統(tǒng)，可以減輕真實系統(tǒng)和網(wǎng)絡(luò)的風(fēng)險，更有效地對抗?jié)撛诘陌踩{。幫助人們更好地理解攻擊手段,提高安全意識。9.4.1密罐的定義9.4.2蜜罐的分類1.根據(jù)交互程度分類（1）低交互蜜罐：（Low-InteractionHoneypot）與外部系統(tǒng)的交互范圍有限，只模擬有限的服務(wù)或服務(wù)的一部分，如HTTP、FTP、SMTP等，只模擬基本的網(wǎng)絡(luò)協(xié)議交互，而不運(yùn)行完整的應(yīng)用程序或操作系統(tǒng)，減輕資源消耗和簡化部署過程。這類蜜罐的主要優(yōu)點(diǎn)是相對容易部署和維護(hù)，攻擊者與蜜罐的互動有限，因此風(fēng)險較小。但低交互蜜罐提供的信息有限，不能模擬真實系統(tǒng)的所有方面，不能捕獲高度復(fù)雜的攻擊行為。交互、部署、目的、規(guī)模9.4.2蜜罐的分類1.根據(jù)交互程度分類（1）低交互蜜罐——ThugThug專注于模擬和記錄Web瀏覽器的行為，旨在分析和檢測惡意網(wǎng)站。Thug夠模擬用戶使用Web瀏覽器的方式與惡意網(wǎng)站進(jìn)行互動能。Thug能夠檢測和記錄惡意JavaScript代碼的行為。Thug可以提取關(guān)鍵的特征，包括檢測惡意代碼、惡意域名和可能的攻擊向量.Thug通常在沙盒環(huán)境中運(yùn)行，確保與真實系統(tǒng)的隔離。9.4.2蜜罐的分類1.根據(jù)交互程度分類（2）中交互蜜罐（Medium-InteractionHoneypot）模擬更多的服務(wù)和系統(tǒng)特性，提供比低交互蜜罐更真實的環(huán)境，同時限制攻擊者的互動程度，以減少對實際系統(tǒng)的風(fēng)險。中交互蜜罐容易部署和維護(hù)，并提供了一定程度的真實性。仍然有一些限制，例如，不能提供完整的系統(tǒng)環(huán)境，而且對于某些攻擊手法的檢測可能相對有限。Honeytrap

是一個開源的中交互蜜罐系統(tǒng)，設(shè)計目標(biāo)是吸引攻擊者并記錄他們與蜜罐之間的互動，以便分析攻擊行為和收集情報。9.4.2蜜罐的分類1.根據(jù)交互程度分類（3）高交互蜜罐（high-InteractionHoneypot）高交互蜜罐模擬完整的操作系統(tǒng)和應(yīng)用程序，提供一個更真實的環(huán)境，包括真實的服務(wù)和服務(wù)端口。允許攻擊者與蜜罐進(jìn)行深度的互動，包括潛在的漏洞利用、文件上傳、命令執(zhí)行等。高交互蜜罐通常包含已知的漏洞，模擬實際系統(tǒng)中可能存在的安全問題；提供完整的文件系統(tǒng)，允許攻擊者在虛擬環(huán)境中執(zhí)行更復(fù)雜的操作，例如文件創(chuàng)建、刪除和編輯。高交互蜜罐還模擬各種網(wǎng)絡(luò)服務(wù)，包括Web服務(wù)、數(shù)據(jù)庫服務(wù)、郵件服務(wù)等，以吸引更廣泛的攻擊。9.4.2蜜罐的分類1.根據(jù)交互程度分類（3）高交互蜜罐（high-InteractionHoneypot）高交互蜜罐可以記錄更多的攻擊者行為，提供更詳細(xì)和復(fù)雜的行為分析，有助于深入分析攻擊手法和策略，提高對新型威脅的認(rèn)識。但它也存在資源消耗較大、管理和維護(hù)復(fù)雜、潛在風(fēng)險高、可能引發(fā)誤報等問題。在資源受限或需要低干預(yù)的場景中，可能更適合使用低交互或中交互蜜罐。9.4.2蜜罐的分類2．按部署位置分類外部蜜罐：放置在組織的外部網(wǎng)絡(luò)，暴露給公共Internet，用于吸引和檢測來自互聯(lián)網(wǎng)的攻擊。蜜罐與真實業(yè)務(wù)系統(tǒng)處于空間隔離狀態(tài)，降低將蜜罐作為攻擊跳板的風(fēng)險，但誘騙性能較低。內(nèi)部蜜罐：部署在組織內(nèi)部網(wǎng)絡(luò)中，用于檢測內(nèi)部威脅或惡意內(nèi)部行為。蜜罐部署于真實業(yè)務(wù)系統(tǒng)內(nèi)，從而提高蜜罐的甜度和交互度。但入侵者可以利用蜜罐作為跳板轉(zhuǎn)向攻擊真實系統(tǒng)，因而需要嚴(yán)格監(jiān)控和數(shù)據(jù)通信隔離。9.4.2蜜罐的分類3．按目的分類（1）研究蜜罐主要目的是為了研究新的攻擊行為和攻擊工具。一般比較復(fù)雜，部署和管理比較困難，通常是由大學(xué)、政府、軍隊等組織使用來發(fā)現(xiàn)威脅。一些比較有名的研究型蜜罐包括：Honeyd（用于模擬虛擬網(wǎng)絡(luò)服務(wù)）、Glastopf（Web蜜罐）、ModernHoneyNetwork(多種蜜罐類型)、Dionaea蜜罐（研究蠕蟲攻擊和惡意軟件的行為）、Thug（研究對Web應(yīng)用程序的攻擊）。幫助研究者更深入地了解威脅和攻擊技術(shù)，從而改進(jìn)網(wǎng)絡(luò)安全防御策略。9.4.2蜜罐的分類3．按目的分類（2）生產(chǎn)蜜罐部署在生產(chǎn)環(huán)境中，旨在吸引和識別實際的攻擊，用于主動監(jiān)測和防范真實世界的威脅，以提高組織的安全性。通常具有的功能少些，比較容易搭建和布部署。這些蜜罐系統(tǒng)需要高度的穩(wěn)定性、性能和可擴(kuò)展性，以適應(yīng)大規(guī)模和復(fù)雜的網(wǎng)絡(luò)環(huán)境。利用Snort和Cowrie等組件集成，組織可以建立一個強(qiáng)大的生產(chǎn)級蜜罐系統(tǒng)，實現(xiàn)對網(wǎng)絡(luò)威脅的主動監(jiān)測和響應(yīng)。SymantecDeception是Symantec公司的一種威脅欺騙解決方案，用于提高威脅檢測和響應(yīng)的效果。通過部署虛假資源，9.4.2蜜罐的分類4．按部署規(guī)模分類單蜜罐系統(tǒng)：由單獨(dú)的蜜罐或蜜罐集群組成的系統(tǒng)，通常用于小規(guī)模的網(wǎng)絡(luò)或獨(dú)立系統(tǒng)的監(jiān)測，或者作為組織安全實驗室的一部分。蜜網(wǎng)（Honeynet）：蜜網(wǎng)由多個蜜罐組成，這些蜜罐可能模擬各種不同的服務(wù)、協(xié)議或操作系統(tǒng)，以增加吸引攻擊者的可能性。蜜網(wǎng)不僅僅是用于欺騙攻擊者的工具，還包括監(jiān)控和記錄攻擊者與蜜罐系統(tǒng)交互的全過程，生成有關(guān)新威脅和攻擊趨勢的威脅情報，改進(jìn)網(wǎng)絡(luò)安全策略和提升威脅情報能力。蜜網(wǎng)被廣泛用于網(wǎng)絡(luò)安全研究、威脅情報收集和網(wǎng)絡(luò)安全教育培訓(xùn)等領(lǐng)域。9.4.2蜜罐的分類5．按威脅類型分類不同類型的蜜罐可用于識別不同類型的威脅。電子郵件陷阱（E-mailTrap）：將一個假的電子郵件地址放置在一個隱藏的位置，只有自動地址收集器能夠找到它。誘餌數(shù)據(jù)庫（decoydatabase）：用來監(jiān)控軟件漏洞和發(fā)現(xiàn)那些利用不安全的系統(tǒng)體系結(jié)構(gòu)、使用SQL注入、利用SQL服務(wù)或濫用特權(quán)進(jìn)行的攻擊。惡意軟件蜜罐（malwarehoneypot）：模仿軟件應(yīng)用程序和API發(fā)起的惡意軟件攻擊。爬蟲蜜罐（spiderhoneypot）：通過創(chuàng)建只有爬蟲才能訪問的網(wǎng)頁和鏈接來誘捕網(wǎng)絡(luò)爬蟲。9.4.3蜜罐系統(tǒng)的結(jié)構(gòu)1．蜜罐的邏輯結(jié)構(gòu)“兩部分”分別指面向攻擊者設(shè)計的、攻擊者可見的“攻擊面”部分和面向研究人員設(shè)計的、攻擊者不可見的“管理面”部分,“三模塊”分別指交互仿真、數(shù)據(jù)捕獲和安全控制三個功能模塊。9.4.3蜜罐系統(tǒng)的結(jié)構(gòu)1．蜜罐的邏輯結(jié)構(gòu)交互仿真模塊：構(gòu)建用于欺騙攻擊者和收集攻擊信息的虛擬環(huán)境，包括蜜罐主機(jī)、虛擬機(jī)、網(wǎng)絡(luò)設(shè)備等。通過在網(wǎng)絡(luò)中暴露自身的虛假服務(wù)或資源，誘導(dǎo)攻擊者進(jìn)行網(wǎng)絡(luò)探測、漏洞利用等惡意行為。數(shù)據(jù)捕獲模塊：捕獲網(wǎng)絡(luò)連接記錄、原始數(shù)據(jù)包、系統(tǒng)行為數(shù)據(jù)、惡意代碼樣本等高價值的威脅數(shù)據(jù)。檢測與正常行為不符的活動。安全控制模塊：負(fù)責(zé)配置和管理蜜罐系統(tǒng)的各個組件,管理蜜罐系統(tǒng)生成的日志和報告，以便后續(xù)分析和審計。通過阻斷、隔離和轉(zhuǎn)移攻擊等手段,確保蜜罐系統(tǒng)不被攻擊方惡意利用,防止引發(fā)蜜罐系統(tǒng)對外發(fā)起的惡意攻擊。9.4.3蜜罐系統(tǒng)的結(jié)構(gòu)2．不同形態(tài)的蜜罐系統(tǒng)（1）蜜餌蜜餌一般是一個文件，工作原理和蜜罐類似，也是誘使攻擊者打開或下載。當(dāng)黑客看到“2024年工作計劃.docx”、“員工績效考核結(jié)果.pdf”、“員工薪酬名單20210630.xslx”這種文件時，往往難以忍住下載的欲望，這樣就落入了防守方的陷阱。當(dāng)防守方發(fā)現(xiàn)這里的文件有被打開過的痕跡或攻擊者跟隨蜜餌文件內(nèi)容進(jìn)行某種操作時，就可以追溯來源，發(fā)現(xiàn)被攻陷的設(shè)備。9.4.3蜜罐系統(tǒng)的結(jié)構(gòu)2．不同形態(tài)的蜜罐系統(tǒng)（2）蜜標(biāo)蜜標(biāo)是一種特殊的蜜罐誘餌，它不是任何的主機(jī)節(jié)點(diǎn)，而是一