① 關於網路中所說的密罐是什麼意思
1.蜜罐的定義。關於蜜罐,到目前為止還沒有一個完整的定義。「蜜網項目組」的創始人Lance Spitzner對蜜罐給出了一個比較權威的定義:蜜罐是一種安全資源,其價值在於被掃描、攻擊和攻陷。這個定義表明蜜罐並沒有其他的實際作用,所有流人和流出蜜罐的網路流量都可能預示著掃描、攻擊和攻陷。而蜜罐的核心價值就在於對這些攻擊活動進行監視、檢測和分析。實際上,蜜罐中只有一些虛假的敏感數據,不用於對外的正常服務。所以,它可以是一個網路、一台主機、一項服務,也可以是資料庫中的某些無用的數據或者偽裝的用戶名及其弱口令等,因此任何與它交互的行為都可以被認為是攻擊行為,這樣就簡化了檢測過程,它可以部署在各個內部子網或關鍵主機上,檢測來自網路系統外部和內部的各種攻擊,用一種以檢測、監視和捕獲攻擊行為和保護真實主機為目標的誘騙技術。
2.蜜罐的基本原理。蜜罐系統是一個陷阱系統,它通過設置一個具有很多漏洞的系統吸引黑客入侵,收集入侵者信息,為其他安全技術提供更多的知識。蜜罐採用監視器和事件日誌兩個工具對訪問蜜罐系統的行為進行監控。由於蜜罐是一個很具有誘惑力的系統,能夠分散黑客的注意力和精力,所以對真正的網路資源起到保護作用。
3.蜜罐的主要技術。蜜罐系統主要涉及網路欺騙技術、數據捕獲技術、數據控制技術p湍1:3重定向)、攻擊分析與特徵提取等主要技術。(1)網路欺騙技術:是蜜罐的核心技術,利用各種欺騙手段和安全弱點和系統漏洞,引誘黑客的攻擊。(2)數據捕獲技術:主要目的是盡可能多的捕獲攻擊信息,而不被黑客發現,包括輸入、輸出及鍵盤和屏幕的捕獲。(3)數據控制技術:主要目的是防止黑客將蜜罐作為跳板去攻擊其他系統或危害別的主機,因此必須控制進出系統的數據流量而不被黑客懷疑。(4)攻擊分析與特徵提取:蜜罐系統設置一個數據分析模塊,在同一控制台對收集到的所有信息進行分析、綜合和關聯,完成對蜜罐攻擊信息的分析。
② 蜜罐技術的工作原理
蜜罐的主要原理包括以下幾個方面:
第一,網路欺騙。
使入侵者相信存在有價值的、可利用的安全弱點,蜜罐的價值就是在其被探測、攻擊或者攻陷的時候得以體現,網路欺騙技術是蜜罐技術體系中最為關鍵的核心技術,常見的有模擬服務埠、模擬系統漏洞和應用服務、流量模擬等。
第二,數據捕獲。
一般分三層實現:最外層由防火牆來對出入蜜罐系統的網路連接進行日誌記錄;中間層由入侵檢測系統(IDS)來完成,抓取蜜罐系統內所有的網路包;最里層的由蜜罐主機來完成,捕獲蜜罐主機的所有系統日誌、用戶擊鍵序列和屏幕顯示。
第三,數據分析。
要從大量的網路數據中提取出攻擊行為的特徵和模型是相當困難的,數據分析是蜜罐技術中的難點,主要包括網路協議分析、網路行為分析、攻擊特徵分析和入侵報警等。數據分析對捕獲的各種攻擊數據進行融合與挖掘,分析黑客的工具、策略及動機,提取未知攻擊的特徵,或為研究或管理人員提供實時信息。
第四,數據控制。
數據控制是蜜罐的核心功能之一,用於保障蜜罐自身的安全。蜜罐作為網路攻擊者的攻擊目標,若被攻破將得不到任何有價值的信息,還可能被入侵者利用作為攻擊其他系統的跳板。雖然允許所有對蜜罐的訪問,但卻要對從蜜罐外出的網路連接進行控制,使其不會成為入侵者的跳板危害其他系統。
首先我們要弄清楚一台蜜罐和一台沒有任何防範措施的計算機的區別,雖然這兩者都有可能被入侵破壞,但是本質卻完全不同,蜜罐是網路管理員經過周密布置而設下的「黑匣子」,看似漏洞百出卻盡在掌握之中,它收集的入侵數據十分有價值;而後者,根本就是送給入侵者的禮物,即使被入侵也不一定查得到痕跡……因此,蜜罐的定義是:「蜜罐是一個安全資源,它的價值在於被探測、攻擊和損害。」
設計蜜罐的初衷就是讓黑客入侵,藉此收集證據,同時隱藏真實的伺服器地址,因此我們要求一台合格的蜜罐擁有這些功能:發現攻擊、產生警告、強大的記錄能力、欺騙、協助調查。另外一個功能由管理員去完成,那就是在必要時候根據蜜罐收集的證據來起訴入侵者。
③ 如何檢測惡意腳本
本質上說,網頁惡意腳本依賴於瀏覽器,利用漏洞下載木馬,並向用戶傳播。因此傳統的反木馬檢測方法在檢測網頁惡意腳本時存在比較大的缺陷。那麼,如何檢測惡意腳本呢
小編了解到,常見的網頁惡意腳本的檢測技術包括客戶端蜜罐技術,靜態代碼檢測和動態行為檢測。
1) 客戶端蜜罐技術。客戶端蜜罐主要是針對客戶端軟體存在的漏洞,主動尋找可能的攻擊行為。在與伺服器的交互過程中,客戶端蜜罐時刻監測系統的變化,引入各種檢測方法來判定是否有惡意攻擊行為的發生。這種方法的缺陷是需要花大量時間,分析性能的提升也比較困難。北大的張慧琳等提出基於網頁動態視圖的網頁惡意腳本檢測方法,主要是重構網頁動態視圖,檢測方法基於客戶端蜜罐技術,模擬存在漏洞的插件被攻擊,從而通過捕獲這些攻擊行為達到檢測的目的。
2) 靜態代碼檢測。靜態代碼檢測技術是根據已知網頁惡意腳本樣本庫程序代碼本身的特點來檢測未知網頁程序是否為網頁惡意腳本程序,主要是對網頁進行解析,提取網頁中的靜態內嵌鏈接和本地腳本,再通過一定的技術篩選特徵集,構建相應的模型,檢測未知網頁程序的代碼特徵,並將這些特徵和篩選出的特徵集進行比較,若代碼特徵相匹配則將網頁程序定義為網頁惡意腳本,反之,則為普通網頁程序。
另外,裕祥安全網溫馨提示:防治惡意腳本,應該採取以下措施 :
第一,上網時開啟殺毒軟體的八大監控。
第二,不要輕易瀏覽不良網站。
第三,如果懷疑自己感染了惡意腳本,可以登陸免費查毒網站,對自己的電腦進行全面掃描。
更多網路病毒小知識,比如怎樣檢測清除腳本病毒,請繼續關注裕祥安全網。