主动防御技术

主动防御技术之蜜罐总结传统防御技术在在攻防演练中仍然有精彩的表现，同时也能感受到主动防御技术发挥的巨大作用，最典型的莫过于蜜罐了，红方人员误入蜜罐，被蓝方人员捕捉到并进行身份画像，从而实现追踪溯源。下面我们来聊聊蜜罐技术。动防御到主动一直以来，被动防御是通过面向已知特征的威胁，基于特征库精确匹配来发现可疑行为，将目标程序与特征库进行逐一比对，实现对异常行为进行监控和阻断，这些特征库是建立在已经发生的基础之上，这就很好的解释了为什么被动防御是一种“事后”的行为。典型的技术有防火墙、入侵检测等。但是对于未知的攻击如Oday，依赖于特征库匹配的防御是无法有效应对的，为了应对这种攻防不对等的格局，主动防御技术出现了，典型的技术有网络空间拟态防御等。二、引入主动防御策略随着攻击技术的进一步提高，越来越多的方法可以绕过传统的被动防御技术来对目标系统发动攻击，传统的被动防御技术也引进了主动防御策略，除此之外，也有新型的主动防御技术如沙箱、蜜罐等相继出现，进一步弥补了攻防不对称的局面。这类技术主要解决“已知的未知威胁”，例如，蜜罐通过构建伪装的业务主动引诱攻击者，从而捕获行为。在攻防演练期间，就存在将蜜罐伪装成某服的VPN映射在外网引诱攻击者攻击，从而迷惑攻击者，通过捕获IP进行封堵来提高攻击者的时间成本也可对攻击者进行溯源，旦是蜜罐技术还是无法应对0day。三、沙箱技术沙箱技术源于软件错误隔离技术(software-basedfaultisolation,SFI)。SFI主要思想是隔离。沙箱通过采用虚拟化等技术构造一个隔离的运行环境，并且为其中运行的程序提供基本的计算资源抽象，通过对目标程序进行检测分析，准确发现程序中的恶意代码等谜而达到保护宿主机的目的。如默安的架构采用kvm，长亭采用的是docker。由于沙箱具有隔离性，恶意程序不会影响到沙箱隔离外的系统，而且沙箱还具有检测分析的功能，来分析程序是否为恶意程序。但是还存在隐患，沙箱只监控常见的操作系统应用接口程序，使得一些恶意代码能够轻松绕过从而攻击宿主外的环境。基于虚拟机的沙箱为不可信资源提供了虚拟化的运行环境，保证原功能的同时提供了相应的安全防护，对宿主机不会造成影响。基于虚拟机的沙箱采用虚拟化和恶意行为检测两种技术，恶意行为检测技术方法采用了特征码检测法和行为检测法来进行检测特征码检测对检测Oday无能为力彳亍为检测可以检测Oday，但误报率高。节点扌關董转岌至宣务鲨捲建宙慣忸咋为潢稠节点扌關董转岌至宣务鲨捲建宙慣忸咋为潢稠节点帝宜戎社瘵加事张冈卡营.盂汪司病有甬“0盍罐匪务蛊所在報理机Hindoo克玄老託荔亩耶緒上谢褂口扫描礫宦確医芳器安枭kippnC.tutDB诵订比“踹口映射，把就tt级射至躍I岸A将黔四蜜罐技术起源于20世纪90年代，它通过部署一套模拟真实的网络系统来引诱攻击者攻击，进而在预设的环境中对入侵行为进行检测、分析，还原攻击者的攻击途径、方法、过程等，并将获取的信息用于保护真实的系统。广泛应用于恶意代码检测与样本捕获、入侵检测与攻击特征提取、网络攻击取证、僵尸网络追踪等。蜜罐之所以称为蜜罐，是因为设计之初就是为了攻击者量身定做包含大量漏洞的系统，是用于诱捕攻击者的一个陷阱，本质上一种对攻击者的一种欺骗技术，只有蜜罐在处于不断被扫描、攻击甚至被攻破的时候，才能体现蜜罐的价值。蜜罐实际不包含任何敏感数据。可以这么说，能够访问蜜罐的，都是可疑行为，都可以确认为黑客，从而采取下一步动作。通过以上的分析，推出蜜罐具有三种能力：伪装，通过模拟各种含有漏洞的应用系统来引诱攻击者入侵以减少对实际系统的威胁。数据诱捕，攻击者如果攻入蜜罐，那么可以通过蜜罐日志记录来还原攻击者从进入到离开蜜罐期内的所有活动过程及其他信息。威胁数据分析，对攻击者的数据进行分析，还原攻击者的攻击手法，并对此进行溯源等。但同时，蜜罐也具有局限性，他只有攻击者攻击时才能发挥它自身的作用，如果攻击者没有触发蜜罐，那么蜜罐将毫无意义，所以现在我们更要关注如何让攻击者能有效的触碰到蜜罐，然后利用相关技术对此展开溯源。同样，如果攻击者识别了该蜜罐，并且成功进入，利用相关逃逸 Oday对蜜罐展开攻击（蜜罐记录不到），那么蜜罐将会被当成跳板机对其他真实业务展开攻击，危害巨大。五、蜜罐分类蜜罐可以分为三类，低交互式蜜罐，中交互式蜜罐，高交互式蜜罐。低交互式蜜罐:通常是指与操作系统交互程度较低的蜜罐系统，仅开放—些简单的服务或端口，用来检测扫描和连接，这种容易被识别。中交互式蜜罐：介于低交互式和高交互式之间，能够模拟操作系统更多的服务，让攻击者看起来更像一个真实的业务，从而对它发动攻击，这样蜜罐就能获取到更多有价值的信息。高交互式:指的是与操作系统交互很高的蜜罐，它会提供一个更真实的环境，这样更容易吸引入侵者，有利于掌握新的攻击手法和类型，但同样也会存在隐患，会对真实网络造成攻击。相当大一部分蜜罐都部署在内网当中，部署在外网的蜜罐只有极少数，部署在外网的蜜罐可以检测到的东西就多了，尤其绑定域名后，把攻击者迷惑的分不清东西南北。蜜罐可以说在攻防演练中大放光彩，只要攻击者对该蜜罐进行访问，在很大程度上就能够获取你的社交账号 ID，