明月最早知道蜜网,还是研究上海云盾的时候(如下图),当时只知道蜜网(honey net)是一个网路系统,而并非某台单一主机,这一网路系统是隐藏在防火墙后面的,所有进出的资料都受到监控、捕获及控制。是需要单独的架设后使用的,因为当时没有那个条件和需要也就仅仅是了解一下而已。
其实蜜网是在蜜罐技术上逐步发展起来的一个新的概念,又称为诱捕网络。蜜网技术实质上还是一类研究型的蜜罐技术,其主要目的仍是收集各种攻击信息。与传统蜜罐技术的差异在于,蜜网构成了一个黑客诱捕网络体系架构,在这个架构中,我们可以包含一个或多个蜜罐,同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息进行采集和分析。
蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流入和流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。由于与网络隔绝并有所保护,因此闯入蜜罐电脑的入侵者无法触及网络的其他部分。通过蜜罐技术可以诱敌深入,并且不用冒着暴露生产网络的风险就能追踪入侵者的行为。
蜜罐系统的设计原理可归纳为“两部分三模块”, “两部分”指面向攻击者设计的攻击者可见部分和面向研究人员设计的攻击者不可见部分, “三模块”指交互仿真、数据捕获和安全控制三个模块。交互仿真模块属于攻击者可见的部分, 数据捕获和安全控制模块属于攻击者不可见部分。
交互仿真模块
通过在网络中暴露自身的虚假服务或资源,诱导攻击者进行网络探测、漏洞利用等恶意行为。
据捕获模块
则通过对网络、系统和应用业务等方面的监测, 捕获网络连接记录、原始数据包、系统行为数据、恶意代码样本等高价值的威胁数据。
安全控制模块
通过阻断、隔离和转移攻击等手段, 确保蜜罐系统不被攻击方恶意利用, 防止引发蜜罐系统对外发起的恶意攻击。
当一个攻击者试图侵入蜜网时,入侵检测系统会触发一个报警,一个隐藏的记录器会记录下入侵者一切活动,当入侵者试图从蜜网中转向真实主机时,一个单独的防火墙会随时把主机从Internet上断开。
对蜜罐与蜜网的所有流量都要进行分析与质疑,因为蜜罐与蜜网毕竟是一种设计出来的虚拟网络,从中收集到信息是为了分析与修补真实网络中存在的漏洞。蜜罐与蜜网技术将成为网络安全的重要组成部分。
通俗点儿来解释的话,蜜网和蜜罐其实就是网络安全里用来招蜂引蝶的,对于网络安全运维人员来说助力很大,至于站长们其实没有多大用处的,只需要了解知道即可。
有关蜜网和蜜罐的介绍今天就到这里了,目前明月自己的蜜网系统因为刚搭建完成,所以还有很多分析研究的工作要做,近期会定期给大家分享相关知识普及的,有兴趣的朋友也可以扫一扫本文侧边栏的微信群二维码入群一起交流学习了!
