蜜罐系统是应用于计算机网络安全领域的信息系统资源,它的价值体现在被扫描、攻击和攻陷,通过蜜罐可以获取攻击者和攻击技术的相关信息,也可以用来吸引和分散攻击者的注意力,以保护真实的网络系统。目前蜜罐以及蜜罐延伸技术已被广泛关注,它已不仅仅是一种新的技术,可以说是网络安全体系的重要补充和完善,它增强了动态防御体系的检测和响应能力。 蜜罐技术用于构建一个严格控制的网络诱骗环境,这个诱骗环境可以是真实的网络,主机或者使用虚拟软件模拟的网络或主机。按照与入侵者交互的级别可划分为低、中、高三种蜜罐;根据蜜罐的部署目的可划分为研究型和商业型蜜罐。蜜罐系统的实现技术包括蜜罐的伪装、信息采集、风险控制、数据分析四个部分。 搭建自定义的蜜罐系统能够较好的满足不同的需求。Linux系统本身有良好的日志记录功能,又因为它的开源性方便我们获取免费的应用软件或对它进行扩展,因而Linux系统是作为蜜罐平台的一个较佳选择。结合Honeynet架构与虚拟蜜罐技术,基于Netfilter/Iptables防火墙、入侵检测软件Snort、信息收集软件Sebek的实现技术,给出了一个改进的蜜罐解决方案。利用虚拟操作系统技术将数个蜜罐主机整合在一台物理主机上,对网桥、防火墙、入侵检测系统、数据收集软件集成,实现了基于Linux的虚拟蜜网,并对蜜网的部分功能进行了测试。该系统部署方便,提供给黑客更多的交互空间,从多个方面进行信息的收集,包括系统日志、防火墙和入侵检测。另外,在系统中采用网桥较好地隐藏了数据收集和信息控制功能,并使用防火墙对第三方进行了保护。 蜜罐技术还处于不断的发展过程中,但是有一点可以肯定,它是网络安全体系统中重要的组成部分。随着对蜜罐技术的深入研究,蜜罐的作用也会更为突出。
NETL
