蜜罐(Honeypot)这一概念最初出现在1990年出版的一本小说《The Cuckoo's Egg》中,这本小说描述了主人公作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。蜜网项目组(The Honeynet Project)的创始人兰斯给出了蜜罐的定义:蜜罐是一种安全资源,其价值在于被扫描和攻击。这个定义表明蜜罐并无其他实际作用,因此所有流入和流出蜜罐的网络流量都可能预示了扫描和攻击。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。
蜜罐技术的发展历程可以分为以下3个阶段。
从20世纪90年代初蜜罐概念的提出到1998年左右,蜜罐还仅限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。
从1998年开始,蜜罐技术开始引起了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开源工具,如FredCo-hen所开发的DTK(欺骗工具包)、NielsProvos开发的Honeyd等,同时也出现了如KFSensor、Specter等一些商业蜜罐产品。这一阶段的蜜罐可以称为虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为作出回应,从而欺骗黑客。
虚拟蜜罐工具的出现使得部署蜜罐变得比较方便。但是由于虚拟蜜罐工具存在着交互程度低、较容易被黑客识别等问题,从2000年开始,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐。但与之前不同的是,研究人员采用了更强大的数据捕获、数据分析和数据控制的工具,并且将蜜罐纳入一个完整的蜜网体系中,使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。(人民邮电报)
新闻热点
疑难解答