本篇文章主要探討j蜜罐這個主動防御技術(shù)。內(nèi)容較為全面，有一定的參考價值，有需要的朋友可以參考一下，希望對大家有所幫助。

目前創(chuàng)新互聯(lián)建站已為上千余家的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)站空間、網(wǎng)站托管、服務(wù)器租用、企業(yè)網(wǎng)站設(shè)計(jì)、桂東網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

持續(xù)3周的HW總算是結(jié)束了，HW行動中紅藍(lán)雙方使出渾身解數(shù)，開展***與反***的終極大戰(zhàn)。作為一名藍(lán)方人員，不僅看到了傳統(tǒng)防御技術(shù)在這次HW中的精彩表現(xiàn)，更感受到了主動防御技術(shù)在HW中發(fā)揮的巨大作用，在我看來最典型的莫過于蜜罐了，紅方人員誤入蜜罐，被藍(lán)方人員捕捉到并進(jìn)行身份畫像，那我們就來聊聊蜜罐為何這么diao。

                                                            從被動防御到主動防御
    一直以來，被動防御是通過面向已知特征的威脅，基于特征庫精確匹配來發(fā)現(xiàn)可疑行為，將目標(biāo)程序與特征庫進(jìn)行逐一比對，實(shí)現(xiàn)對異常行為進(jìn)行監(jiān)控和阻斷，這些特征庫是建立在已經(jīng)發(fā)生的基礎(chǔ)之上，這就很好的解釋了為什么被動防御是一種“事后”的行為。典型的技術(shù)有防火墻、***檢測等。但是對于未知的***如0day，依賴于特征庫匹配的防御是無法有效應(yīng)對的，為了應(yīng)對這種***不對等的格局，主動防御技術(shù)出現(xiàn)了，典型的技術(shù)有網(wǎng)絡(luò)空間擬態(tài)防御等。
                                                            引入主動防御策略
    隨著***技術(shù)的進(jìn)一步提高，越來越多的方法可以繞過傳統(tǒng)的被動防御技術(shù)來對目標(biāo)系統(tǒng)發(fā)動***，傳統(tǒng)的被動防御技術(shù)也引進(jìn)了主動防御策略，如各大廠商推出的智能防火墻，思科的下一代防火墻、山石網(wǎng)科的智能防火墻，將人工智能技術(shù)引入防火墻來主動發(fā)現(xiàn)惡意行為。除此之外，也有新型的主動防御技術(shù)如沙箱、蜜罐等相繼出現(xiàn)，進(jìn)一步彌補(bǔ)了***不對稱的局面。這類技術(shù)主要解決“已知的未知威脅”，例如，蜜罐通過構(gòu)建偽裝的業(yè)務(wù)主動引誘***者，從而捕獲行為。在HW期間，就存在將蜜罐偽裝成某服的×××映射在外網(wǎng)引誘***者***，從而迷惑***者，通過捕獲IP進(jìn)行封堵來提高***者的時間成本，也可對***者進(jìn)行溯源，但是蜜罐技術(shù)還是無法應(yīng)對0day。

                                                沙箱技術(shù)
    沙箱技術(shù)源于軟件錯誤隔離技術(shù)（software-based fault isolation,SFI）。SFI主要思想是隔離。沙箱通過采用虛擬化等技術(shù)構(gòu)造一個隔離的運(yùn)行環(huán)境，并且為其中運(yùn)行的程序提供基本的計(jì)算資源抽象，通過對目標(biāo)程序進(jìn)行檢測分析，準(zhǔn)確發(fā)現(xiàn)程序中的惡意代碼等，進(jìn)而達(dá)到保護(hù)宿主機(jī)的目的。如默安的架構(gòu)采用kvm，長亭采用的是docker。

    由于沙箱具有隔離性，惡意程序不會影響到沙箱隔離外的系統(tǒng)，而且沙箱還具有檢測分析的功能，來分析程序是否為惡意程序。但是還存在隱患，沙箱只監(jiān)控常見的操作系統(tǒng)應(yīng)用接口程序，使得一些惡意代碼能夠輕松繞過從而***宿主外的環(huán)境。基于虛擬機(jī)的沙箱為不可信資源提供了虛擬化的運(yùn)行環(huán)境，保證原功能的同時提供了相應(yīng)的安全防護(hù)，對宿主機(jī)不會造成影響?；谔摂M機(jī)的沙箱采用虛擬化和惡意行為檢測兩種技術(shù)，惡意行為檢測技術(shù)方法采用了特征碼檢測法和行為檢測法來進(jìn)行檢測，特征碼檢測對檢測0day無能為力，行為檢測可以檢測0day，但誤報(bào)率高。

蜜罐技術(shù)
    蜜罐技術(shù)起源于20世紀(jì)90年代，它通過部署一套模擬真實(shí)的網(wǎng)絡(luò)系統(tǒng)來引誘***者***，進(jìn)而在預(yù)設(shè)的環(huán)境中對***行為進(jìn)行檢測、分析，還原***者的***途徑、方法、過程等，并將獲取的信息用于保護(hù)真實(shí)的系統(tǒng)。廣泛應(yīng)用于惡意代碼檢測與樣本捕獲、***檢測與***特征提取、網(wǎng)絡(luò)***取證、僵尸網(wǎng)絡(luò)追蹤等。
    蜜罐之所以稱為蜜罐，是因?yàn)樵O(shè)計(jì)之初就是為了***者量身定做包含大量漏洞的系統(tǒng)，是用于誘捕***者的一個陷阱，本質(zhì)上一種對***者的一種欺騙技術(shù)，只有蜜罐在處于不斷被掃描、***甚至被攻破的時候，才能體現(xiàn)蜜罐的價值。蜜罐實(shí)際不包含任何敏感數(shù)據(jù)?？梢赃@么說，能夠訪問蜜罐的，都是可疑行為，都可以確認(rèn)為***，從而采取下一步動作。
    通過以上的分析，推出蜜罐具有三種能力：

    偽裝，通過模擬各種含有漏洞的應(yīng)用系統(tǒng)來引誘***者***以減少對實(shí)際系統(tǒng)的威脅。

    數(shù)據(jù)誘捕，***者如果攻入蜜罐，那么可以通過蜜罐日志記錄來還原***者從進(jìn)入到離開蜜罐期內(nèi)的所有活動過程及其他信息。

    威脅數(shù)據(jù)分析，對***者的數(shù)據(jù)進(jìn)行分析，還原***者的***手法，并對此進(jìn)行溯源等。

    但同時，蜜罐也具有局限性，他只有***者***時才能發(fā)揮它自身的作用，如果***者沒有觸發(fā)蜜罐，那么蜜罐將毫無意義，所以現(xiàn)在我們更要關(guān)注如何讓***者能有效的觸碰到蜜罐，然后利用相關(guān)技術(shù)對此展開溯源。同樣，如果***者識別了該蜜罐，并且成功進(jìn)入，利用相關(guān)逃逸0day對蜜罐展開***（蜜罐記錄不到），那么蜜罐將會被當(dāng)成跳板機(jī)對其他真實(shí)業(yè)務(wù)展開***，危害巨大。

                                                                                    蜜罐分類
    蜜罐可以分為三類，低交互式蜜罐，中交互式蜜罐，高交互式蜜罐。
    低交互式蜜罐：通常是指與操作系統(tǒng)交互程度較低的蜜罐系統(tǒng)，僅開放一些簡單的服務(wù)或端口，用來檢測掃描和連接，這種容易被識別。
    中交互式蜜罐：介于低交互式和高交互式之間，能夠模擬操作系統(tǒng)更多的服務(wù)，讓***者看起來更像一個真實(shí)的業(yè)務(wù)，從而對它發(fā)動***，這樣蜜罐就能獲取到更多有價值的信息。
    高交互式：指的是與操作系統(tǒng)交互很高的蜜罐，它會提供一個更真實(shí)的環(huán)境，這樣更容易吸引***者，有利于掌握新的***手法和類型，但同樣也會存在隱患，會對真實(shí)網(wǎng)絡(luò)造成***。
    在這次HW中，相當(dāng)大一部分蜜罐都部署在內(nèi)網(wǎng)當(dāng)中，部署在外網(wǎng)的蜜罐只有極少數(shù)，部署在外網(wǎng)的蜜罐可以檢測到的東西就多了，尤其綁定域名后，把***者迷惑的分不清東西南北。某廠商的蜜罐可以說在HW中大放光彩，只要***者對該蜜罐進(jìn)行訪問，在很大程度上就能夠獲取你的社交賬號ID，然后根據(jù)指紋信息還原***者身份畫像，這點(diǎn)我相信很多紅方?jīng)]有料到，從而被社工的很慘。至于用了什么技術(shù)我就不寫了，怕見不到第二天的太陽。蜜罐不僅能檢測***者的***手法，也能夠檢測到僵尸網(wǎng)絡(luò)，比如說這次HW中，有很多肉雞利用weblogic的漏洞自動對外網(wǎng)發(fā)起***，然后植入***病毒等。公網(wǎng)蜜罐可以很好的檢測這種行為，進(jìn)而進(jìn)行信息收集或追蹤。

   以上就是蜜罐主動防御技術(shù)的詳細(xì)內(nèi)容了，看完之后是否有所收獲呢？如果想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

分享名稱：蜜罐主動防御技術(shù)詳細(xì)介紹-創(chuàng)新互聯(lián)
鏈接分享：http://aaarwkj.com/article34/dddise.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供云服務(wù)器、品牌網(wǎng)站制作、網(wǎng)站改版、營銷型網(wǎng)站建設(shè)、網(wǎng)站排名、網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)