• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看

      ?

      基于蜜罐技術(shù)的網(wǎng)絡(luò)安全防御方案研究

      2014-09-17 02:08:08羅江洲王朝輝
      電腦知識與技術(shù) 2014年22期
      關(guān)鍵詞:入侵檢測蜜罐防火墻

      羅江洲 王朝輝

      摘要:蜜罐技術(shù)是一種主動防御網(wǎng)絡(luò)攻擊的技術(shù),通過真實的網(wǎng)絡(luò)系統(tǒng)或模擬真實網(wǎng)絡(luò)環(huán)境的方式為攻擊者提供一個網(wǎng)絡(luò)陷阱,收集和分析流入該系統(tǒng)中數(shù)據(jù),從而發(fā)現(xiàn)攻擊,并保護(hù)網(wǎng)絡(luò)或計算機(jī)。但由于蜜罐系統(tǒng)更為顯著的作用是檢測功能,并不能實現(xiàn)完全防御。該文在簡要介紹蜜罐技術(shù)的定義、分類和關(guān)鍵技術(shù)之后,設(shè)計了一種將蜜罐系統(tǒng)與防火墻、入侵檢測系統(tǒng)相結(jié)合的聯(lián)動模型。

      關(guān)鍵詞:蜜罐;防火墻;入侵檢測;網(wǎng)絡(luò)安全

      中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2014)22-5206-03

      隨著網(wǎng)絡(luò)的普及與發(fā)展,已經(jīng)而且正在改變著人們的工作和生活方式,網(wǎng)絡(luò)帶給人們方便的同時,網(wǎng)絡(luò)安全問題也越來越引起了人們的關(guān)注。傳統(tǒng)的防御技術(shù)大多為被動防御,如入侵檢測、防火墻等,這些防御手段只能根據(jù)現(xiàn)有的攻擊方式被動進(jìn)行防御,存在著很大的局限性和脆弱性,往往對新的攻擊方式根本起不到防御的目的。蜜罐(Honeypot)是基于主動防御理論提出的一種網(wǎng)絡(luò)誘捕技術(shù),其主要功能是對攻擊活動進(jìn)行監(jiān)視、檢測和分析,但其通常只是作為一種檢測方法來檢測攻擊。結(jié)合兩種策略的優(yōu)缺點(diǎn),將當(dāng)前最為常用的防火墻、入侵檢測系統(tǒng)與蜜罐技術(shù)相結(jié)合,設(shè)計了一種防火墻、入侵檢測系統(tǒng)和蜜罐系統(tǒng)聯(lián)動協(xié)作的防御模型。通過聯(lián)動控制系統(tǒng),將防火墻、入侵檢測系統(tǒng)與蜜罐系統(tǒng)的檢測與響應(yīng)互動,從而最大程度地保護(hù)網(wǎng)絡(luò)或計算機(jī)的安全。

      1 蜜罐的定義

      蜜網(wǎng)項目組的創(chuàng)始人Lance Spitzner對蜜罐的定義[1]是:“蜜罐是一個資源,它的價值在于它會受到攻擊或威脅。這意味著一個蜜罐希望受到探測、攻擊和潛在地被利用。蜜罐并不修正任何問題,它們僅為我們提供額外的、有價值的信息。”蜜罐是一種計算機(jī)和網(wǎng)絡(luò)安全資源,可以是真實的網(wǎng)絡(luò)系統(tǒng)或是真實網(wǎng)絡(luò)環(huán)境的模擬,作為蜜網(wǎng)技術(shù)的低級形式,物理上通常是一臺運(yùn)行單個操作系統(tǒng)或者借助于虛擬化軟件運(yùn)行多個虛擬操作系統(tǒng)的“牢籠”主機(jī)。蜜罐系統(tǒng)所收集的信息可以作為跟蹤、研究黑客現(xiàn)有技術(shù)的重要資料。

      2 蜜罐的分類

      隨著多年的研究,蜜罐技術(shù)已經(jīng)越來越成熟,按照部署目的主要分為產(chǎn)品型蜜罐和研究型蜜罐[2],按照交互性等級蜜罐可以分為低交互型蜜罐、中交互型蜜罐和高交互型蜜罐[3]。

      1) 產(chǎn)品型蜜罐具有事件檢測和欺騙功能,主要目的是減輕部署組織受到的攻擊威脅,檢測并對付攻擊者,一般用在商業(yè)組織中,用來提高商業(yè)組織的安全性能,增強(qiáng)受保護(hù)組織的安全性。研究型蜜網(wǎng)的主要目的是用于獲取黑客的信息,研究型蜜罐也是觀察、記錄、學(xué)習(xí)攻擊者及其攻擊行為的最好工具,而且還能學(xué)習(xí)到攻擊者在攻陷一個系統(tǒng)后如何與其它黑客通信或者上載新的工具包等更高價值的信息。

      2) 低交互型蜜罐主要是用于協(xié)助保護(hù)特定組織的產(chǎn)品型蜜罐。它的主要目的在于檢測,具體說來就是對未授權(quán)掃描或者未授權(quán)連接嘗試的檢測,沒有提供真實的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù),所允許的交互是有限的,通常只對某些網(wǎng)絡(luò)服務(wù)或操作系統(tǒng)進(jìn)行簡單的模擬,風(fēng)險小的同時收集的信息也少,并且存在著易被黑客識別的指紋信息。典型的低交互型蜜罐有BOF、Speeter、Honeyd等。中交互型蜜罐仍然沒有提供真實的操作系統(tǒng)與攻擊者交互,但為攻擊者提供了更多復(fù)雜的誘捕進(jìn)程,模擬了更多更復(fù)雜的特定服務(wù)。高交互型蜜罐給入侵者提供了一個真實的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù),在這種環(huán)境下一切都不是模擬的或者受限的,可以收集到更加豐富有用的信息,包括完全不了解的網(wǎng)絡(luò)攻擊方式。然而與此同時,操作系統(tǒng)的介入將會大大增加系統(tǒng)的復(fù)雜度,相應(yīng)地系統(tǒng)所面臨的威脅也就更大,部署和維護(hù)更加復(fù)雜。

      3 蜜罐的關(guān)鍵技術(shù)

      1) 網(wǎng)絡(luò)欺騙技術(shù)。沒有網(wǎng)絡(luò)欺騙功能的蜜罐是沒有價值的,因為蜜罐的價值體現(xiàn)是在其被探測、攻擊或者攻陷的時候。網(wǎng)絡(luò)欺騙技術(shù)因此也認(rèn)為是蜜罐技術(shù)體系中最關(guān)鍵和最核心的技術(shù)和難題。

      2) 數(shù)據(jù)捕獲技術(shù)。蜜罐必須有強(qiáng)大的信息捕獲功能,在不被入侵者發(fā)現(xiàn)的情況下,捕獲盡可能多的信息。蜜罐的主要目的之一就是獲取有關(guān)攻擊和攻擊者的所有信息,捕捉入侵者從掃描、探測、攻擊、攻陷蜜罐主機(jī)到最后離開蜜罐的每一步動作。

      3) 數(shù)據(jù)控制技術(shù)。數(shù)據(jù)控制用于保障蜜罐系統(tǒng)自身的安全。為了使其更像一個真實的網(wǎng)絡(luò)或系統(tǒng),通常數(shù)據(jù)控制必須在不被入侵者察覺的情形下對流入、流出的通信進(jìn)行監(jiān)聽和控制。

      4) 數(shù)據(jù)分析技術(shù)。數(shù)據(jù)分析是包括網(wǎng)絡(luò)協(xié)議分析、網(wǎng)絡(luò)行為分析和攻擊特征分析等。蜜罐系統(tǒng)收集信息格式也不相同,應(yīng)該有一個統(tǒng)一的數(shù)據(jù)分析模塊,在同一控制臺對收集的所有信息進(jìn)行分析、綜合和關(guān)聯(lián),這樣有助于更好地分析攻擊者的入侵過程及其在系統(tǒng)中的活動。

      4 蜜罐系統(tǒng)與防火墻、入侵檢測系統(tǒng)聯(lián)動模型

      入侵檢測系統(tǒng)和防火墻采用的是被動的網(wǎng)絡(luò)檢測和防御技術(shù),它們一般對網(wǎng)絡(luò)入侵行為發(fā)生時和發(fā)生后入侵檢測才能起到作用。而蜜罐技術(shù)是基于主動防御理論提出的,在某些情況下,蜜罐收集用于跟蹤攻擊者的有用信息。由于通向蜜罐的流量都是高度可疑的,同時系統(tǒng)也可以把可疑流量導(dǎo)入蜜罐,把蜜罐作為暫時的訪問替身,但由于其主要是發(fā)現(xiàn)攻擊,防御方面有所欠缺。因此,將蜜罐技術(shù)與入侵檢測系統(tǒng)、防火墻這三個當(dāng)前最常用的防御方法相結(jié)合,實現(xiàn)聯(lián)動防御,可以最大程度實現(xiàn)網(wǎng)絡(luò)攻擊的防御目的。其設(shè)計思想為在入侵檢測系統(tǒng)和防火墻的功能基礎(chǔ)上增加了蜜罐系統(tǒng)主動防御功能和聯(lián)動功能。蜜罐系統(tǒng)與防火墻、入侵檢測系統(tǒng)聯(lián)動模型如圖1。

      4.1 工作方式

      通過開放接口實現(xiàn)互動。即防火墻、入侵檢測系統(tǒng)或者蜜罐系統(tǒng)開放一個接口供彼此調(diào)用。按照一定的協(xié)議進(jìn)行通信、傳輸警報。這種方式比較靈活,系統(tǒng)啟動后偽裝成有漏洞的蜜罐系統(tǒng)。防火墻可以行使訪問控制的防御功能,入侵檢測系統(tǒng)可以實現(xiàn)數(shù)據(jù)采集和檢測入侵的功能,丟棄惡意通信,確保這個通信不能到達(dá)目的地,并通知防火墻進(jìn)行阻斷,將可疑的網(wǎng)絡(luò)流引入到蜜罐系統(tǒng)中,蜜罐系統(tǒng)主動誘捕通信信息,對通信信息進(jìn)行分析,發(fā)現(xiàn)攻擊,將攻擊信息存放在日志服務(wù)器中。通過開放接口實現(xiàn)互動不影響防火墻、IDS產(chǎn)品和蜜罐系統(tǒng)的性能,但由于是三個系統(tǒng)的配合,所以要重點(diǎn)考慮到三者聯(lián)動時的開銷問題。

      4.2 模型功能系統(tǒng)劃分

      該模型中分為四個部分:防火墻、入侵檢測系統(tǒng)、蜜罐系統(tǒng)、聯(lián)動控制系統(tǒng)。其各部分的主要作用為:

      1) 防火墻。防火墻作為安全的第一道防線,可以配置在主機(jī)外或內(nèi)部網(wǎng)絡(luò)外,根據(jù)其機(jī)制從各種端口中辨別判斷從外部不安全網(wǎng)絡(luò)發(fā)送到內(nèi)部安全網(wǎng)絡(luò)中具體的計算機(jī)的數(shù)據(jù)是否有害,盡可能地將有害數(shù)據(jù)丟棄,達(dá)到初步的網(wǎng)絡(luò)系統(tǒng)安全保障。同時,根據(jù)入侵檢測系統(tǒng)和蜜罐系統(tǒng)所提供的攻擊信息進(jìn)行相應(yīng)防御。

      2) 入侵檢測系統(tǒng)。該模塊主要實現(xiàn)數(shù)據(jù)采集、數(shù)據(jù)分析和響應(yīng)三個功能。該系統(tǒng)首先要對所有經(jīng)防火墻過濾后流入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)和事件進(jìn)行數(shù)據(jù)采集,對數(shù)據(jù)和各事件進(jìn)行分析,根據(jù)數(shù)據(jù)流特征信息從中發(fā)現(xiàn)違反安全策略的行為。當(dāng)確定發(fā)生了入侵行為,將確定的入侵行為特征上傳到聯(lián)動控制系統(tǒng)并報警,由聯(lián)動控制系統(tǒng)來控制防火墻和入侵檢測系統(tǒng)本身的防御響應(yīng)機(jī)制進(jìn)行防御;當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)出現(xiàn)異常行為,但確定不了是否真的為入侵行為,則上傳到聯(lián)動控制系統(tǒng)并報警,由聯(lián)動控制系統(tǒng)發(fā)出控制指令,采用地址或端口重定向機(jī)制將網(wǎng)絡(luò)流導(dǎo)入到已設(shè)置好的蜜罐作進(jìn)一步的研究,避免像單一的入侵檢測系統(tǒng)那樣出現(xiàn)誤報或漏報的情況,直接攻擊到了主機(jī)。

      3) 蜜罐系統(tǒng)。該模塊主要在受保護(hù)的主機(jī)或系統(tǒng)上配置蜜罐系統(tǒng),該系統(tǒng)實際上是一個網(wǎng)絡(luò)陷阱,網(wǎng)絡(luò)中的異常行為經(jīng)過聯(lián)動控制系統(tǒng)重定向到該模塊后,一方面可以通過精心設(shè)置蜜罐系統(tǒng),使其盡可能的像一個真實的系統(tǒng),從而吸引并迷惑入侵者,掩蓋蜜罐的欺騙性,使入侵者相信其入侵的是一個真實的系統(tǒng),起到欺騙入侵者的作用;另一方面進(jìn)行數(shù)據(jù)捕獲及日志記錄,將捕獲的內(nèi)容進(jìn)行分析,如果發(fā)現(xiàn)了入侵檢測系統(tǒng)漏報的和新出現(xiàn)的攻擊方式,則上傳至聯(lián)動控制系統(tǒng)發(fā)出報警,由防火墻和入侵檢測系統(tǒng)的響應(yīng)機(jī)制進(jìn)行防御,并進(jìn)行反跟蹤信息采集和分析,在保護(hù)主機(jī)的同時進(jìn)行反攻擊。

      4) 聯(lián)動控制系統(tǒng)。該模塊主要負(fù)責(zé)協(xié)調(diào)各部分之間工作,及時上報各種信息,根據(jù)入侵檢測系統(tǒng)和蜜罐系統(tǒng)發(fā)現(xiàn)的攻擊進(jìn)行報警響應(yīng),而且可以各種情況協(xié)同控制,給系統(tǒng)的各個部分下達(dá)相應(yīng)的響應(yīng)指令。

      5 總結(jié)

      蜜罐技術(shù)作為一種主動防御網(wǎng)絡(luò)安全的方法,已經(jīng)成為安全專家所青睞的對付黑客的有效工具之一,它既可作為獨(dú)立的安全工具,還可以與其他的安全機(jī)制聯(lián)合使用。蜜罐技術(shù)本身并不能完全解決安全問題,但在與防火墻和入侵檢測系統(tǒng)的配合下,能夠彌補(bǔ)原有網(wǎng)絡(luò)安全防御系統(tǒng)的不足,構(gòu)成更加安全的網(wǎng)絡(luò)防御體系。

      參考文獻(xiàn):

      [1] (美)Lance Spitzner著. honeypot: 追蹤黑客[M].鄧云佳,譯.北京:清華大學(xué)出版社, 2004:9-10.

      [2] 熊華, 郭世澤, 慧勤. 網(wǎng)絡(luò)安全——取證與蜜罐[M].北京:人民郵電出版社, 2003:97-13.

      [3] Baumann, Reto, Plattner, Christian.蜜罐S[C]. March 14 2003. Pages 3-40.

      [4] 連紅, 胡谷雨. 網(wǎng)絡(luò)防御中的蜜罐技術(shù)研究[J]. 軍事通信技術(shù), 2005(2): 57-61.

      [5] Lance Spitzner. Honeypots: Definitions and Value of Honeypots[EB/OL]. http://www.tracking- hackers.com, 2003,5.29.

      [6] 裴建. 防火墻的局限性和脆弱性及蜜罐技術(shù)的研究[J]. 科技情報開發(fā)與經(jīng)濟(jì).2005(5):251-252.

      [7] 馮嵩, 張潔等. 構(gòu)建基于蜜罐技術(shù)的入侵檢測系統(tǒng)[J]. 計算機(jī)系統(tǒng)應(yīng)用, 2006(7):31-34.

      [8] 張興東, 胡華平, 況曉輝, 陳輝忠. 防火墻與入侵檢測系統(tǒng)聯(lián)動的研究與實現(xiàn)[J]. 計算機(jī)工程與科學(xué), 2004,26(4):22-26.

      猜你喜歡
      入侵檢測蜜罐防火墻
      蜜罐蟻
      中外文摘(2019年20期)2019-11-13 02:57:53
      構(gòu)建防控金融風(fēng)險“防火墻”
      被自己撐死的蜜罐蟻
      知識窗(2019年6期)2019-06-26 04:27:09
      基于博弈的蜜罐和入侵檢測系統(tǒng)最優(yōu)配置策略
      哈密瓜:鄉(xiāng)間蜜罐
      中國三峽(2017年4期)2017-06-06 10:44:22
      基于入侵檢測的數(shù)據(jù)流挖掘和識別技術(shù)應(yīng)用
      藝術(shù)類院校高效存儲系統(tǒng)的設(shè)計
      基于網(wǎng)絡(luò)規(guī)劃識別的入侵檢測結(jié)構(gòu)
      基于關(guān)聯(lián)規(guī)則的計算機(jī)入侵檢測方法
      下一代防火墻要做的十件事
      自動化博覽(2014年6期)2014-02-28 22:32:13
      龙陵县| 峨眉山市| 监利县| 嘉善县| 司法| 洛南县| 全椒县| 屏山县| 长子县| 沅江市| 中西区| 宝坻区| 黔南| 平乡县| 海宁市| 万荣县| 庆云县| 榕江县| 紫阳县| 木里| 鄂温| 台中市| 高尔夫| 揭西县| 安西县| 易门县| 北碚区| 涟源市| 阳朔县| 济源市| 定南县| 嵊泗县| 乌拉特后旗| 庄河市| 平定县| 眉山市| 聊城市| 嘉义县| 霍州市| 宜州市| 拜城县|