如何分析从蜜罐软件收集的数据？

Question

所以你成功地建立了一个蜜罐。太棒了！这次又是什么？!我有这么多惊人的数据，但是；

• 如何分析从蜜罐软件中收集到的所有数据？
• 你应该找什么？(IP地址、恶意软件、IRC连接、使用0天等)

这是“如何设置蜜罐”系列的第4部分；

• 第一部分：如何为蜜罐建立虚拟机？
• 第2部分：如何为蜜罐建立网络？
• 第3部分：https://security.stackexchange.com/questions/21531/how-to-do-you-setup-the-software-used-to-run-a-honeypot

Answer 1

所以你可以做很多事情。就像AviD说的，你真的需要知道你的目标是什么与蜜罐之前，你甚至设置它。

1. 注意行为。根据你拥有的蜜罐类型，你可能会看到某些类型的行为，你可以用它来描述攻击你的人。对于example...If，攻击者总是发送一个ICMP数据包，就好像他们运行命令ping -c 1 x.x.x.x一样。或者，如果您有一个更高的交互蜜罐，如果他们经常这样运行ls command...quirks。如果攻击者返回，您可能会基于这些信息来识别他。
2. 处理大量攻击(以及成功的攻击)的大型组织有时会建立蜜罐网络，将受损的计算机放入其中。他们观察攻击者，找出他们可能追求的目标，他们的目标是什么，以及他们可能是谁。这可能有助于您决定是否需要对您的安全策略进行更改。
3. 如果他们真的很差劲，你可能会弄清楚他们是谁(我见过这种情况经常发生在僵尸网络中)。用这个信息处理你的like...Build案件或者你想要的任何东西.

如果您需要更多的技术知识来筛选日志，那么您将需要标准的linux命令行功夫。Grep和awk是你们的朋友。或者你可以使用一个工具来构建一个时间线，比如Zeitline或者其他的。

你的行动过程真的取决于你收集到的数据。如果有IRC流量，那么你当然想调查它。如果您发现下载的可执行文件，则需要对此进行调查。从字面上说，你想调查的一切都是不寻常的。tcprelay和安全洋葱可能真的非常有助于理解发生了什么，因为它将帮助您创建一个时间线，并查看您询问的所有内容。

希望我能帮上忙。