入侵检测技术与蜜罐技术在业务网中的应用
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
统 自身 的安全 问题 .人 侵检 测 系统 自身及 安装 的操 作 系统也 存 在漏洞 威胁 。 ) 在 大量 的误 报 和漏报 。 f存
蜜 罐 的实 现主要 依赖 于低 层 网络技 术 的支持 和 运 用 , 个特 点决 定 了它 的部署 非 常方便 . 这 简单 的蜜 罐 只需 要一 台操 作 系统 没有 打补 丁 的主机 就可 以做
到 。 是蜜 罐技 术 同其 他 技术 一样 都有 利有 弊 , 优 但 其
点 是 :) 报 率低 。 a误 因为 任何 到蜜 罐 的连接 都应 该是
21 技 术 Байду номын сангаас 理 .
侦 听或 攻击 的一 种 , 这样 就大 大简 化 了检测 过程 , 从
蜜 罐通 常是指 一个 受 到严 密监 控和 监 听的 网络 诱骗 系统 ,攻 击者 往往 会被 这个 真 实或模 拟 的 网络 和 服务所 诱 惑 。安全 专家 和防 护人 员可 以在 攻击 者 攻击蜜 罐期 间对其 行为和 过程进行 分析 , 集所需 要 搜
网络 的 防护 系统 , 有 逐渐加 强 的趋 势 。 并
入侵 检测 系统存 在 很 多不 足 ,有 些 问题很 难解
决 。例如 : ) a 攻击 者 知识不 断 完善 , 入侵 工 具 日趋 成
熟、 多样化 、 自动化 , 入侵 攻击 手 段越来 越 复杂 。 侵 入 检测 系统 必须 不断 跟踪 最新 的 安全技 术 ,才 不会 被
务 端 口、 模拟 系统漏 洞 和应用 服 务 、P空 间欺 骗 、 I 流
蜜罐 技术 防攻 击功 能 的实现 主要 依赖 于低 层 网
蜜罐
图 1 蜜罐 系统 简 单 部 署 图
1 1
l 'n al ” f r ll 】 ( (
..
21 0 2年 第 4期
络 技 术 的支持 和运用 , 罐成 本很 低 , 且 对业务 网 蜜 并 络 的正常 通信 不会 有任 何影 响 ,目前 阶段 运 营商若 想在 其 网络 中充分 发挥 蜜罐 的作 用 ,必须 采用 大量 部署 的方 法 。DS系统 应该 部署 在 防火墙 之后 , I 蜜罐 可 以部署 在 防火墙 之前 。基于蜜 罐 可 以记 录可疑攻 击 I P地址 和方 式并 传 导 给 I 。 为 防御参 考 数据 DS 做 的重要 技术 联合 优势 .我 们提 出一 种入 侵检 测系 统 与蜜罐 联合 部署 .提 高运 营商 基 于互联 网业 务 的网
要 使蜜 罐能 充分 发挥 作用 . 就必 须 大量 部署 . 并且 蜜
罐 使 用 的 I 址要 与 现 网运 营设 备 的 I 址在 一 P地 P地 个 号段 内 , 好 是连续 的 , 到迷 惑攻击 者 的 目的 。 最 起
22 蜜 罐技 术的 优势 和缺 点 .
付, 使入 侵检 测系 统面 I 大 的挑 战。 ) 临更 e 入侵 检测 系
21 0 2年 第 4期
入 侵 与攻 击 的主体 的 隐蔽化 。c 入 侵检 测 技术 多 样 ) 化 。d 入侵 技 术 由以往 的用 单机 执行 向分 布式 拒 绝 ) 服务 攻击 ( Do ) 展 . D S发 它可 在很 短时 问 内使被 攻 击 主机 瘫痪 。e 过 去入 侵与 攻击 常 以网络 为 侵犯 的 主 ) 体. 现在 发生 了策 略性 的改 变 . 由攻击 网络改 为攻击
能被 破坏 。 为恶 意攻 击者 的跳 板 。 成
能力 , 才能更 好地 捕获 攻击 者或 黑 客 的行 踪 和信息 。 网络欺 骗技 术是 蜜罐 技术 体 系 中最 为关 键 的核
心 技术 和难 题 ,它 的强弱 从一 个侧 面反 映 了蜜罐 本
身 的价 值 。 目前 蜜罐 主要 的 网络欺 骗技 术有 : 拟服 模
蜜 罐 系统还 会被 入侵 者利 用作 为攻 击其 他 系统 的跳 板 。 据控 制是 蜜罐 系统 必需 的核 心功 能 之一 。 数 用于 保 障蜜 罐系 统 自身 的安全 。 蜜 罐 系统 简单部 署 如 图 l 所示 。 在 实 际部署 中 , 据 蜜罐要 防范 的攻 击 范 围 . 根 蜜 罐 系 统 既可 部 署在 防 火墙 外 也 可 部署 在 防火 墙 内 。
而 极 大降低 误 报率 和漏 报率 。b 可 以做 到 对未 知攻 ) 击 的检 测 。使用 蜜罐 技术 能 收集 到新 的攻击 工具 和
攻 击方 法 。它 不用像 入 侵检测 系统 一样 只 能根 据特 征 适 配 的方 法 检测 已经 知道 的攻 击工 具 和方 法 。c ) 成 本非 常低 。 蜜罐也 存 在着 不足 之处 :) a 有被 识破 的风 险 。 ) b
的 信息 。 蜜罐 这 时可 以对新 攻击 发 出预警 , 同时还 可
以延缓 攻击 , 诱骗 攻击 者转 移攻 击 目标 , 而保护 网 从
络 和信 息 的安全 。蜜 罐系 统 的核心 价值 就是 对攻 击
活 动进 行监 视 、 测 和分 析 。 检 只有具 备 了强 大 的监 视
局 限性 。蜜 罐 技术 只能 对针对 蜜 罐 的攻 击 行为 进行 检 测 和分 析 ,不像 入侵 检测 系统 那样 通过 旁路 侦 听 等 技 术对 整个 网络进 行 监控 。 ) 险性 。 罐 系统可 c风 蜜
超 越 。 ) 意 信息采 用 加密 的方 法传输 , 侵检 测 系 b恶 入
统往 往假 设攻 击信 息是 通过 明文传输 的 ,因此对 信 息稍 加改 变便 可能 骗过 入侵 检 测系统 的检测 。c 网 ) 络及 其 中的设 备越 来越 多样 化 ,入侵 检测 系统需 要 能满 足 多样 的环境 要求 。 ) d 随着 网络 流量 增大 , 其 尤 是对 百兆 以上的流 量 ,单一 的 入侵检 测 系统很 难 应
量仿真 、 网络动 态 配 置 、 织 信 息 欺 骗及 网络 服 务 。 组
数 据捕 获是 蜜罐 的核 心 功能模 块 .它 的 目标 是捕 获
攻 击者 的每 一 步动作 。 据分 析包 括 网络协 议分 析 、 数 网络行 为分 析 和攻击 特征 分析 等 。蜜罐 系 统作 为 网
络 攻击 者 的攻击 目标 。 自身 的安 全尤 为重 要 . 其 如果 蜜 罐 系统被 攻破 , 将得 不 到任何 有 价值 的信 息 , 同时
蜜 罐 的实 现主要 依赖 于低 层 网络技 术 的支持 和 运 用 , 个特 点决 定 了它 的部署 非 常方便 . 这 简单 的蜜 罐 只需 要一 台操 作 系统 没有 打补 丁 的主机 就可 以做
到 。 是蜜 罐技 术 同其 他 技术 一样 都有 利有 弊 , 优 但 其
点 是 :) 报 率低 。 a误 因为 任何 到蜜 罐 的连接 都应 该是
21 技 术 Байду номын сангаас 理 .
侦 听或 攻击 的一 种 , 这样 就大 大简 化 了检测 过程 , 从
蜜 罐通 常是指 一个 受 到严 密监 控和 监 听的 网络 诱骗 系统 ,攻 击者 往往 会被 这个 真 实或模 拟 的 网络 和 服务所 诱 惑 。安全 专家 和防 护人 员可 以在 攻击 者 攻击蜜 罐期 间对其 行为和 过程进行 分析 , 集所需 要 搜
网络 的 防护 系统 , 有 逐渐加 强 的趋 势 。 并
入侵 检测 系统存 在 很 多不 足 ,有 些 问题很 难解
决 。例如 : ) a 攻击 者 知识不 断 完善 , 入侵 工 具 日趋 成
熟、 多样化 、 自动化 , 入侵 攻击 手 段越来 越 复杂 。 侵 入 检测 系统 必须 不断 跟踪 最新 的 安全技 术 ,才 不会 被
务 端 口、 模拟 系统漏 洞 和应用 服 务 、P空 间欺 骗 、 I 流
蜜罐 技术 防攻 击功 能 的实现 主要 依赖 于低 层 网
蜜罐
图 1 蜜罐 系统 简 单 部 署 图
1 1
l 'n al ” f r ll 】 ( (
..
21 0 2年 第 4期
络 技 术 的支持 和运用 , 罐成 本很 低 , 且 对业务 网 蜜 并 络 的正常 通信 不会 有任 何影 响 ,目前 阶段 运 营商若 想在 其 网络 中充分 发挥 蜜罐 的作 用 ,必须 采用 大量 部署 的方 法 。DS系统 应该 部署 在 防火墙 之后 , I 蜜罐 可 以部署 在 防火墙 之前 。基于蜜 罐 可 以记 录可疑攻 击 I P地址 和方 式并 传 导 给 I 。 为 防御参 考 数据 DS 做 的重要 技术 联合 优势 .我 们提 出一 种入 侵检 测系 统 与蜜罐 联合 部署 .提 高运 营商 基 于互联 网业 务 的网
要 使蜜 罐能 充分 发挥 作用 . 就必 须 大量 部署 . 并且 蜜
罐 使 用 的 I 址要 与 现 网运 营设 备 的 I 址在 一 P地 P地 个 号段 内 , 好 是连续 的 , 到迷 惑攻击 者 的 目的 。 最 起
22 蜜 罐技 术的 优势 和缺 点 .
付, 使入 侵检 测系 统面 I 大 的挑 战。 ) 临更 e 入侵 检测 系
21 0 2年 第 4期
入 侵 与攻 击 的主体 的 隐蔽化 。c 入 侵检 测 技术 多 样 ) 化 。d 入侵 技 术 由以往 的用 单机 执行 向分 布式 拒 绝 ) 服务 攻击 ( Do ) 展 . D S发 它可 在很 短时 问 内使被 攻 击 主机 瘫痪 。e 过 去入 侵与 攻击 常 以网络 为 侵犯 的 主 ) 体. 现在 发生 了策 略性 的改 变 . 由攻击 网络改 为攻击
能被 破坏 。 为恶 意攻 击者 的跳 板 。 成
能力 , 才能更 好地 捕获 攻击 者或 黑 客 的行 踪 和信息 。 网络欺 骗技 术是 蜜罐 技术 体 系 中最 为关 键 的核
心 技术 和难 题 ,它 的强弱 从一 个侧 面反 映 了蜜罐 本
身 的价 值 。 目前 蜜罐 主要 的 网络欺 骗技 术有 : 拟服 模
蜜 罐 系统还 会被 入侵 者利 用作 为攻 击其 他 系统 的跳 板 。 据控 制是 蜜罐 系统 必需 的核 心功 能 之一 。 数 用于 保 障蜜 罐系 统 自身 的安全 。 蜜 罐 系统 简单部 署 如 图 l 所示 。 在 实 际部署 中 , 据 蜜罐要 防范 的攻 击 范 围 . 根 蜜 罐 系 统 既可 部 署在 防 火墙 外 也 可 部署 在 防火 墙 内 。
而 极 大降低 误 报率 和漏 报率 。b 可 以做 到 对未 知攻 ) 击 的检 测 。使用 蜜罐 技术 能 收集 到新 的攻击 工具 和
攻 击方 法 。它 不用像 入 侵检测 系统 一样 只 能根 据特 征 适 配 的方 法 检测 已经 知道 的攻 击工 具 和方 法 。c ) 成 本非 常低 。 蜜罐也 存 在着 不足 之处 :) a 有被 识破 的风 险 。 ) b
的 信息 。 蜜罐 这 时可 以对新 攻击 发 出预警 , 同时还 可
以延缓 攻击 , 诱骗 攻击 者转 移攻 击 目标 , 而保护 网 从
络 和信 息 的安全 。蜜 罐系 统 的核心 价值 就是 对攻 击
活 动进 行监 视 、 测 和分 析 。 检 只有具 备 了强 大 的监 视
局 限性 。蜜 罐 技术 只能 对针对 蜜 罐 的攻 击 行为 进行 检 测 和分 析 ,不像 入侵 检测 系统 那样 通过 旁路 侦 听 等 技 术对 整个 网络进 行 监控 。 ) 险性 。 罐 系统可 c风 蜜
超 越 。 ) 意 信息采 用 加密 的方 法传输 , 侵检 测 系 b恶 入
统往 往假 设攻 击信 息是 通过 明文传输 的 ,因此对 信 息稍 加改 变便 可能 骗过 入侵 检 测系统 的检测 。c 网 ) 络及 其 中的设 备越 来越 多样 化 ,入侵 检测 系统需 要 能满 足 多样 的环境 要求 。 ) d 随着 网络 流量 增大 , 其 尤 是对 百兆 以上的流 量 ,单一 的 入侵检 测 系统很 难 应
量仿真 、 网络动 态 配 置 、 织 信 息 欺 骗及 网络 服 务 。 组
数 据捕 获是 蜜罐 的核 心 功能模 块 .它 的 目标 是捕 获
攻 击者 的每 一 步动作 。 据分 析包 括 网络协 议分 析 、 数 网络行 为分 析 和攻击 特征 分析 等 。蜜罐 系 统作 为 网
络 攻击 者 的攻击 目标 。 自身 的安 全尤 为重 要 . 其 如果 蜜 罐 系统被 攻破 , 将得 不 到任何 有 价值 的信 息 , 同时