1、北京大学计算机科学技术研究所蜜罐与蜜网技术介绍诸葛建伟狩猎女神项目 /The Artemis Project2005-4-27 presented at CCERT北京大学计算机科学技术研究所1北京大学计算机科学技术研究所内容n 蜜罐技术的提出n 蜜罐技术l 蜜罐概念l 实例工具: DTK, honeydn 蜜网技术l 蜜网概念、蜜网项目组l 实例工具: Gen II 蜜网n 蜜罐 /蜜网技术的应用n 新概念和新方向n 狩猎女神项目2北京大学计算机科学技术研究所蜜罐技术的提出要解决什么问题?3北京大学计算机科学技术研究所互联网安全状况n 安全基础薄弱l 操作系统 /软件存在大量漏洞l 安全意识
2、弱、安全加强 rarely donen 任何主机都是攻击目标!l DDoS、跳板攻击需要大量傀儡主机l 蠕虫、病毒的泛滥l 并不再仅仅为了炫耀4北京大学计算机科学技术研究所互联网安全状况 (2)n 攻击者不需要太多技术l 攻击工具的不断完善n 更多的目标: Linux、 Windowsn 更容易使用,工具整合Metasploit: 30+ Exploitsn 更强力l 攻击脚本和工具可以很容易得到和使用n0-day exploits: packetstorml 团队协作5北京大学计算机科学技术研究所网络攻防的不对称博弈n 工作量不对称l 攻击方:夜深人静 , 攻其弱点l 防守方: 24*7,
3、全面防护n 信息不对称l 攻击方:通过网络扫描、探测、踩点对攻击目标全面了解l 防守方:对攻击方一无所知n 后果不对称l 攻击方:任务失败,极少受到损失l 防守方:安全策略被破坏,利益受损6北京大学计算机科学技术研究所蜜罐技术的提出n 扭转工作量不对称l 增加攻击代价假目标n 扭转信息不对称了解你的敌人!l 他们是谁?l 他们使用什么工具?如何操作?l 为什么攻击你?n 扭转后果不对称l 防守方不受影响损失l 计算机取证对攻击方的威慑7北京大学计算机科学技术研究所蜜罐技术什么是蜜罐?蜜罐的发展历史Fred Cohen DTKHoneyd8北京大学计算机科学技术研究所蜜罐的概念n Honeypo
4、t: 首次出现在 Cliff Stoll的小说 “The Cuckoos Egg”(1990)n 蜜网项目组给出如下定义:l “A security resource whos value lies in being probed, attacked or compromised”l 没有业务上的用途,因此所有流入 /流出蜜罐的流量都预示着扫描、攻击及攻陷l 用以监视、检测和分析攻击9北京大学计算机科学技术研究所蜜罐技术的发展历史n 被攻陷的真实主机 (1990 )l l An Evening with Berferdn 虚拟蜜罐工具 (1997 )l 模拟网络服务,虚拟系统l Fred Cohen: DTKn 被监控的真实系统 (2000 )l 更多的数据捕获、分析、控制工具l 在一个蜜网的框架中l 蜜网项目组 : Gen II蜜网10
