诱捕式网络防御技术研究
网络安全攻防技术研究及应用
网络安全攻防技术研究及应用随着信息技术的快速发展,网络安全已经成为我们生活中不可或缺的一部分。
无论是个人或企业,都需要掌握网络安全攻防技术,以保障在线信息的安全。
本文将从技术层面出发,探究网络安全攻防技术研究及应用。
一、网络安全攻防技术1.防御技术网络安全防御技术是保障网络系统和数据安全的重要手段,它涉及网络安全的各个方面。
防火墙技术是网络系统安全的第一道防线,通过对网络流量的检查和过滤,防火墙可以起到防御攻击的作用。
此外,入侵检测与防御系统(IDS/IPS)也是防御技术的重要一环。
IDS/IPS通过对网络流量的监测和分析,可以及时发现和防御攻击威胁,使网络系统得到加强保护。
2.渗透技术渗透测试是一种安全检测手段,它可以检测网络系统的安全性,并找出其中的安全漏洞,从而及时加以修补。
渗透技术涉及利用漏洞进行攻击、破解密码以及绕过认证等技术,通过模拟黑客攻击行为,找出网络系统中的漏洞和弱点,为企业提供强有力的安全保障。
3.加密技术加密技术是网络安全中不可或缺的一部分。
它通过对数据进行加密,保障了数据的机密性,从而防止数据在传输过程中被窃取或篡改。
加密技术的应用范围广泛,涉及网络传输加密、文件加密,甚至是对整个存储设备进行加密等。
二、网络安全攻防技术研究1.大数据分析大数据分析已成为网络安全攻防技术中不可或缺的一部分。
通过对数据进行挖掘和分析,可以及时发现和防范网络攻击,从而有效保障网络安全。
大数据分析技术涉及机器学习、数据挖掘和数据分析等技术,可以对海量的数据进行实时处理,从而及时发现和预测网络攻击。
2.安全运维安全运维是企业保障网络安全的重要一环,它涉及到企业网络系统的设计、实施、管理和维护等方面。
安全运维通过对网络系统进行全面维护和管理,实时跟踪网络攻击和漏洞,从而及时发现和应对网络攻击威胁。
三、网络安全攻防技术的应用1.金融行业金融行业是一个重要的网络安全应用领域,它涉及到人们的财产安全。
金融行业需要对各种支付、转账等网络功能进行安全保护,以保障客户的信息安全和财产安全。
基于深度学习的网络入侵检测与防御技术研究
基于深度学习的网络入侵检测与防御技术研究引言:网络安全问题一直是互联网发展中不可忽视的方面之一。
随着信息技术的迅猛发展,网络入侵事件也日益增多,给社会带来了巨大的损失。
传统的网络入侵检测与防御方法往往局限于规则匹配和特征提取,无法适应新型入侵行为的变化。
基于深度学习的网络入侵检测与防御技术的出现,为网络安全提供了创新的解决方案。
本文旨在探讨基于深度学习的网络入侵检测与防御技术的研究现状和应用前景。
一、基于深度学习的网络入侵检测技术原理1. 传统网络入侵检测方法的局限性传统网络入侵检测方法主要基于规则匹配和特征提取,但这些方法无法应对新型入侵行为的变化,且存在较高的误报率和漏报率。
2. 深度学习在网络入侵检测中的应用深度学习作为一种强大的机器学习技术,通过构建多层神经网络模型,能够自动从原始数据中学习和提取特征,从而实现对网络入侵行为的准确检测。
3. 基于深度学习的网络入侵检测技术原理基于深度学习的网络入侵检测技术主要分为数据预处理、特征提取和分类预测三个步骤。
其中,数据预处理主要包括数据清洗和归一化;特征提取通过设计合适的神经网络结构,实现对网络数据的特征学习;分类预测则利用已训练好的模型对新的网络数据进行入侵判断。
二、基于深度学习的网络入侵检测技术的优势1. 高准确率基于深度学习的网络入侵检测技术能够自动从原始数据中学习和提取特征,相较于传统方法,其分类准确率更高,对新型入侵行为有更好的应对能力。
2. 自适应性基于深度学习的网络入侵检测技术具有较强的自适应性,能够自动学习和适应网络环境的变化,对网络入侵行为的检测能力更加稳定。
3. 抗干扰能力基于深度学习的网络入侵检测技术对于网络噪声和干扰具有较好的抑制能力,降低了误报率和漏报率。
三、基于深度学习的网络入侵防御技术研究现状1. 基于深度学习的入侵防御系统基于深度学习的入侵防御系统主要通过分析网络数据流量和行为模式,检测出隐藏在数据中的入侵行为,并及时采取相应的防御措施。
基于诱骗技术的网络安全系统应用规划
基于诱骗技术的网络安全系统应用规划摘要Honeypot“蜜罐”技术主要是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个诱饵。
运用此技术可以引诱攻击者掉入布好的陷阱,来保护真正的系统。
:近年来,honeypot技术的研究引起了人们很大的关注,它是一种应用欺骗思想的主动防御技术。
Honeypot技术已经在安全领域得到了大量的应用,体现了其独得的价值和优势。
本文分析了honeypot技术在网络安全中的主动防御特性,将其应用部署到校园网络中,提出一种新型的主动式校园网安全模型,并给出了其主要功能模块的具体实现。
分析表明该模型能够在校园网络中检测出未知的攻击,详细收集攻击者的信息,进一步提高校园网络的主动防御性能。
关键词:honeypot、网络安全、校园网、主动防御AbstractHoneypot technology is mainly one of the leak into the system. it was through one or more vulnerable to attacks of the host, and to provide a bait. use the technology can lure the cloth off into the trap, to protect the system. in recent years, honeypot technology research caused great concern, it is a kind of application of the initiative on the defensive. honeypot technology has in the safe areas, a large number of applications,Embodies the independence of the value and advantage. this paper analysed honeypot technology in the network security initiative within the defensive nature and apply it to deploy to the network, a new kind of active cn campus network security model, and gives its main function of the realization of the modules. the analysis shows that the models can in the detection of the unknown network attack and collect the information, further enhance the active network of the defensive .Keywords :honeypot, network security,cn campus network,proactive detection.目录摘要 (1)Abstract (1)1前言 (3)1.1蜜罐的起源 (3)1.2蜜罐的定义 (3)1.3蜜罐的价值 (3)2蜜罐的分类方式 (4)2.1基于产品的设计目的 (4)2.2基于交互方式的程度 (4)2.3基于配置的方式 (5)2.4基于蜜罐的位置 (5)3 Honeypot的产品 (6)3.1 BoF(BackOflicer Friendly) (6)3.2 Specter (6)3.3 Homemade Honeypots (6)3.4 Honeyd (6)3.5 Mantrap (6)3.6 Honeynets (6)4蜜罐中的主要技术 (7)4.1网络欺骗技术 (7)4.2端口重定向技术 (7)4.3报警技术 (7)4.4数据控制技术 (7)4.5数据捕获技术 (7)5系统设计 (8)5.1 Honeypot系统总体设计 (8)5.2数据捕获模块设计 (9)5.3协议解码模块的设计 (10)5.4分析模块设计 (11)6蜜罐在校园网中的应用 (12)6.1校园网安全现状分析 (12)6.2传统与主动防御技术 (14)6.2.1传统防护技术 (14)6.2.2主动防御技术 (14)6.3校园网安全模型的设计 (15)6.3.1设计目标 (15)6.3.2系统模型及结构 (15)6.3.3主要模块及其实现 (16)6.3.4系统组成与网络结构 (18)6.4 总结 (19)7结语 (19)致谢 (19)1前言1.1蜜罐的起源蜜罐的思想最早可追溯到1988年5月,加州大学伯克利分校的Clifford Stoll 博士在Communications of the ACM杂志上发表的一篇题为“Stalking the Wily Hacker”的论文。
网络攻击防御与入侵检测技术研究
网络攻击防御与入侵检测技术研究引言:随着互联网的飞速发展,网络攻击日益增多,对个人和组织的信息安全造成了巨大威胁。
网络攻击形式多样,从个人电脑到大型企业服务器都可能成为攻击目标。
为了保护网络安全,网络防御技术和入侵检测系统不断发展和完善。
本文将重点探讨网络攻击防御和入侵检测技术的研究进展和发展趋势。
一、网络攻击类型分析网络攻击可以分为主动攻击和被动攻击两大类。
主动攻击包括计算机病毒、木马、蠕虫等破坏性攻击,它们通过操纵或破坏目标系统的功能来获取或修改信息。
被动攻击则是通过监听、窃取或篡改网络通信来获取目标信息,如黑客通过网络监听来窃取密码等。
二、网络攻击防御技术2.1 防火墙技术防火墙是网络攻击防御的基本工具,可以通过限制不安全的网络活动来保护计算机和网络资源。
防火墙可根据预先设定的规则来过滤进出网络的数据包,通过允许或阻止流量来防止攻击者进入目标系统。
2.2 入侵检测系统入侵检测系统(IDS)可以监视网络流量并尝试识别恶意活动。
IDS分为主机IDS和网络IDS两种类型。
主机IDS通过监视主机上的文件和系统调用来检测潜在的攻击。
网络IDS则通过监听网络流量来发现和阻止攻击者。
三、入侵检测技术的发展趋势3.1 基于深度学习的入侵检测随着人工智能和深度学习的进步,许多新的入侵检测技术正在应用和发展。
传统的IDS主要依赖规则和特征来检测攻击,但是这些方法往往不能准确地捕捉到新出现的攻击。
基于深度学习的入侵检测技术可以通过学习大量数据来发现隐藏的攻击特征,从而提高检测准确性。
3.2 入侵检测系统的自适应能力入侵检测系统应具备自适应能力,即能够根据网络环境和攻击形态的变化自动调整参数和策略。
自适应入侵检测系统可以根据实时情况调整阈值和规则,提高检测的精度和性能。
3.3 多种检测方法的结合为了提高入侵检测的准确性和可靠性,研究人员将多种检测方法进行结合。
例如,结合基于签名的检测方法和基于异常行为的检测方法,可以有效地捕捉到不同类型的攻击。
网络攻击检测与防御技术研究
网络攻击检测与防御技术研究摘要:随着互联网的快速发展,网络攻击的威胁日益严重。
网络攻击检测与防御技术的研究对于保护网络安全至关重要。
本文将深入探讨网络攻击检测与防御技术的研究现状和挑战,并介绍一些常见的网络攻击检测与防御技术,如入侵检测系统(IDS)、入侵预防系统(IPS)等。
此外,我们还将分析一些网络攻击的实例和发现网络攻击的方法,进一步说明网络攻击检测与防御技术的重要性。
1. 引言随着信息技术的高速发展,网络攻击已经成为对网络安全构成威胁的重要因素之一。
网络攻击的方式多种多样,包括端口扫描、DDoS攻击、恶意软件等。
尽管网络管理员部署了各种防御措施,但网络攻击依然是一个持续不断的威胁。
因此,研究网络攻击检测与防御技术成为至关重要的任务。
2. 网络攻击检测技术网络攻击检测是指通过监控网络流量和系统活动来发现潜在的网络攻击。
常见的网络攻击检测技术包括入侵检测系统(IDS)、入侵预防系统(IPS)等。
IDS通过对网络流量和系统日志的实时监测,识别和报告潜在的入侵行为。
而IPS不仅可以检测到入侵行为,还可以采取自动防御措施,如封堵攻击源IP地址。
传统的IDS和IPS主要基于特征检测和模式匹配算法,但这种方法容易受到零日攻击等新型攻击的绕过。
3. 异常检测技术为了解决传统网络攻击检测技术的缺陷,研究者们开始关注基于机器学习和数据挖掘的异常检测技术。
异常检测技术通过学习网络流量和系统行为的正常模式,然后检测出与正常模式不一致的异常行为。
这种方法不依赖于特定的攻击特征,可以更好地应对未知的攻击类型。
常见的异常检测技术包括基于统计的方法、基于聚类的方法、基于关联规则的方法等。
4. 网络攻击防御技术网络攻击防御技术主要包括网络边界防御和主机防御。
网络边界防御主要通过防火墙、入侵防御系统等技术来防止未经授权的访问和恶意流量的进入。
而主机防御则通过安全补丁、防病毒软件等技术来保护主机免受攻击。
此外,安全意识教育也是防御网络攻击的重要环节,用户在使用网络时需要保持警惕,并且了解识别网络攻击的常见方法。
工业控制系统网络安全的主动防御技术研究与实践
工业控制系统网络安全的主动防御技术研究与实践摘要:目前国际网络空间日益复杂。
分析伊朗核电站、2019年委内瑞拉电瘫痪等网络安全事件,从“网络利用”到“网络攻击”,对目标工控网络进行破坏和摧毁的威胁越来越严重,网络攻击频次逐年增加,网络威胁程序长久潜在目标系统。
鉴于此,本文对工业控制系统网络安全的主动防御技术进行分析,以供参考。
关键词:工业控制系统;网络安全;主动防御;工控诱捕系统引言工业控制系统安全防护的重点需要以其业务运行安全为中心,以保障其可用性为前提,其主动安全防御能力需要与物理、网络、系统、应用、数据与用户等各个层级深度结合,并将网络安全防御能力部署到信息化基础设施和信息系统的每一个业务环节,建设以态势感知为核心的威胁情报驱动的动态主动防御能力体系,将安全管理与防护措施落实到其全生命周期的每一个阶段,并将态势感知驱动的实时防护机制与系统运行维护过程深度融合,实现主动协同联动的实战化运行和现常态化的威胁主动发现与自适应智能响应处置,渐进提升整个工控网络安全主动防御水平。
1新的网络空间时期的网络定向攻击的特点(1)定向网络攻击的监测越来越高随着有组织攻击技术手段不断提升、对社会工程学的利用以及攻击者的身份越来越隐蔽,使得网络攻击的实时监测与溯源变得越来越难。
(2)网络攻击的范围与涉及的领域越来越广随着大规模定向网络攻击倾向越来越明显,涉及民生市政、核心工业生产、能源与军工,甚至太空领域的网络攻击屡见不鲜。
美国国家基础设施咨询委员会(NIAC)多次公开强调“国家(美国)不足以抵抗敌对组织的针对关键基础设施等敏感网络系统的攻击性策略”已充分说明这一特性。
2工业控制系统网络安全现状分析工厂控制系统如图1用于生产操作、监控,同时系统通过交换机、OPC服务器与MES、MIS系统进行连接,现场生产数据和报警信息可实时上传,管理层可以通过外网或手持移动设备直接查看生产的实时数据,为生产决策的执行提供了便利,然而在便捷的同时,现有系统网络安全存在的一些隐患,操作站和服务器之间没有病毒防护措施,但操作站经常出现盘插入带来病毒、员工值班期间看视频、玩游戏、进行与工作无关事情等行为,这些危险行为一旦影响生产将给企业带来巨额损失。
网络安全攻防技术研究综述
网络安全攻防技术研究综述摘要:网络安全攻防技术是现代社会中不可或缺的重要领域。
本文通过研究和总结现有的网络安全攻防技术,对其进行了综述和分析。
文章从网络攻击的类型、攻击者和目标、常见的网络安全威胁、网络安全防御技术等多个方面进行了详细介绍。
最后,本文对未来的网络安全攻防技术发展趋势进行了展望。
1. 引言随着互联网的快速发展,我们的社会变得越来越依赖于网络。
然而,互联网的广泛应用也带来了许多安全隐患和威胁。
网络安全攻防技术的研究和应用成为了保护网络安全的关键。
本文旨在总结和分析现有的网络安全攻防技术,以期为今后的网络安全研究和实践提供参考。
2. 网络攻击类型网络攻击是指以非法手段侵犯网络系统的安全,目的是获取或破坏数据、信息和资源。
常见的网络攻击类型包括:计算机病毒、木马、网络钓鱼、拒绝服务攻击(DDoS)等。
这些攻击手段多种多样,攻击者可以通过利用系统漏洞和社会工程学手段来实施攻击。
3. 攻击者和目标网络攻击者可以是个人、组织或国家,他们有不同的动机和目标。
个人黑客可能是为了满足自己的好奇心或获取不正当利益,而组织和国家可能是出于商业或政治目的进行攻击。
网络攻击的目标也多种多样,包括企业的商业机密、个人的隐私信息和政府的重要网络系统等。
4. 常见的网络安全威胁为了更好地理解网络安全威胁,我们需要了解常见的网络安全威胁类型。
恶意软件是指通过植入病毒、蠕虫或木马等恶意代码来感染计算机系统的软件。
网络钓鱼是指攻击者假冒合法的机构或个人,诱骗用户泄露个人敏感信息。
拒绝服务攻击(DDoS)是指攻击者通过使网络或系统过载,使正常用户无法访问服务。
5. 网络安全防御技术网络安全攻防技术包括各种方法和手段来预防、检测和应对网络攻击。
其中,防火墙是最常见和基本的网络防御工具,它可以监控和控制网络流量。
入侵检测系统(IDS)和入侵防御系统(IPS)是用于监测和阻止恶意网络流量的技术。
网络加密技术可以保护数据的机密性和完整性。
基于人工智能的网络入侵检测与防御研究
基于人工智能的网络入侵检测与防御研究简介随着互联网的不断发展和普及,网络安全问题也日益凸显,网络入侵成为现代社会中常见的威胁之一。
传统的网络安全防御手段已经无法满足对于不断进化和变化的网络攻击的需求。
因此,基于人工智能的网络入侵检测与防御技术应运而生。
本文旨在探讨并研究基于人工智能的网络入侵检测与防御技术的原理、方法以及其在网络安全领域中的应用。
一、网络入侵检测与防御技术概述网络入侵检测与防御技术是指通过对网络流量和系统行为进行实时监测与分析,识别潜在的网络入侵行为并及时采取相应的防御措施。
传统的网络入侵检测与防御技术主要基于规则匹配和特征库的方式,但由于网络攻击手段的日益复杂和多样化,传统方法已经不足以应对这些威胁。
基于人工智能的网络入侵检测与防御技术通过机器学习、深度学习和自然语言处理等技术手段,具备更强大的智能化和自适应性,能够实现对网络攻击的实时检测和防御。
二、基于人工智能的网络入侵检测技术1. 机器学习方法基于机器学习的网络入侵检测技术通过构建合适的特征向量和选择适当的算法模型,实现对网络数据流量的分类和识别。
其中,监督学习和无监督学习是常用的机器学习方法。
监督学习根据已标记的样本数据训练模型,再对未知样本进行分类,而无监督学习则通过分析样本数据的相似性和异常性,实现对网络入侵的检测。
2. 深度学习方法深度学习技术是人工智能领域的热点研究方向,也被广泛应用于网络入侵检测。
深度学习通过构建深层神经网络结构,实现对网络数据的高层次抽象和特征学习。
卷积神经网络(CNN)和递归神经网络(RNN)是常用的深度学习模型,在网络入侵检测领域取得了一定的成果。
三、基于人工智能的网络入侵防御技术1. 强化学习方法强化学习是一种通过试错和奖励机制来训练智能体的机器学习方法。
在网络入侵防御中,强化学习可以用于构建网络入侵防御策略和动态调整系统参数。
智能体通过与环境的交互和学习,逐渐提高对网络攻击的应对能力,并实现自适应的网络入侵防御。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
诱捕式网络防御技术之研究前言网络共享计算机资源,方便之余,也给有心人士一个最佳入侵途径,不管其入侵目的为何,每个人所业管的机密数据是保护重点。
现行国军网络环境在安全实体隔离的政策执行下,似乎保有了一块网络净土。
但资安泄密事件仍频传,木马攻击事件仍发生,就表示系统漏洞、人员管制、信息贮存媒体携出入管理都出现了严重的问题。
根据CERT/CC在1995年至2006年第一季的统计资料,现行操作系统厂商所发现的系统漏洞共有24,313项系统弱点报告[1],这是官方的统计数据。
从黑客社群、黑帽黑客(Black Hat)社群等非官方网站中,则流传许多未公开的系统漏洞,根本无法统计,因此,面对尚未发现的漏洞要如何防范,不明的入侵行为模式如何察觉,是信息防护需要努力的课题。
从趋势科技全球病毒实验室TrendLabs发表的2005年上半年度病毒报告[2]中可得知,蠕虫、特洛依木马、手机病毒、混合式攻击( Malware Tandem)等四大病毒威胁性为全部病毒之冠。
主要的病毒型态仍以特洛依木马病毒为主,共侦测到2,997只的木马程序,占所有病毒的39%;其中高达2,292只为新产生的特洛伊木马,高居所有新型病毒型态的47%。
特洛依木马程序的隐匿入侵功能、蠕虫的迅速散播能力、再加上间谍程序高超的混合式攻击愈来愈普及,而目的意在窃取系统与使用者的相关信息、机密文件、网络银行账户与密码。
间谍软件会突破反间谍软件的侦测,进而终止程序并删除之,轻易地窃取机密档案。
而在2005年2月9日现身的间谍软件TSPY_ASH.A造成反间谍软件(Microsoft Antispyware)程序被终止,并且删除其相关档案,然后潜入网络银行窃取受害者重要数据。
而变种的间谍软件TSPY_ASH.B会修改IE首页设定,甚至具备远程下载自我更新的能力。
针对以上系统漏洞的程序缺陷,再加以病毒、木马、蠕虫混合式攻击的不断变化,假设不知情的人员将来路不明的软件在国军「封闭式网络」中执行,计算机发生中毒现象,可以想象其所面临的危机是何等巨大。
综合上论,虽然信息安全的范畴虽不断的推展,但是良好的信息基础是永久不变的,其包含着所谓的安全三D:防御(Defense)、遏阻(Deterrence)、侦察(Detection),并藉以订定适用的资安政策。
因此传统的信息安全技巧,主要是在阻挡攻击(防火墙)或实时侦测攻击(IDS入侵侦测系统)。
这两种技术都非常重要,但也有其限制。
只要有足够的时间和信息,攻击者就可以得知防火墙允许外界存取哪些服务。
一旦攻击者可通过防火墙存取内部服务器,防火墙就无法提供进一步的防护。
IDS只有在攻击开始时才会提供信息。
但这却无法为您争取足够的时间,以适度的保护所有易被攻击的系统。
此外,IDS 无法判断新的攻击是否成功,或者被入侵系统是否成为跳板,成功攻击其它系统。
而网络诱捕系统便是一个成功的反制措施,可以实质上拖延攻击者,同时能提供防御者足够的信息来了解敌人,避免攻击造成的损失。
若能成功使用,就可以达到上述目标。
藉由欺骗攻击者,防卫者透过提供错误信息,迫使对方浪费时间做无益的进攻,以减弱后续的攻击力量。
此外,良好的诱捕机制让企业无须付出被成功入侵的代价,即可为防卫者提供攻击者手法和动机的相关信息。
这项信息日后可以用来强化现有的安全措施,例如防火墙规则和IDS 配置等。
本文一、诱捕式网络防御技术之研究目的「兵者,诡道也。
故能而示之不能,用而示之不用,近而示之远,远而示之近;……攻其无备,出其不意。
此兵家之胜,不可先传也。
」──《孙子兵法》数千年来,军事领袖为了战胜,都曾经欺骗过敌人。
第二次世界大战期间,盟军诱使德国人相信,真正的攻击会发生在加来(Pas de Calais)而不是诺曼底;甚至在诺曼底登陆之后,希特勒还确信这是佯攻,因此未能及时响应。
在「沙漠风暴」军事行动时,美国使用假士兵、军营,甚至战车来分散伊拉克军队的注意力,而真正的士兵却从别处攻进伊拉克,几乎如入无人之境。
在战场上运用的技巧,同样也可以用来防御网络上的资产不受今日狡狯的攻击者破坏。
因特网为攻击者提供了一个自动化的公共知识库,可以用来向企业发动新型态的战争。
例如,攻击者可以使用因特网,沉着地研究新的弱点。
或者,只要下载一个自动化的黑客工具(exploit),一个新手也可能看似拥有专家的技能。
在网络上甚至可以轻松的搜寻到如何绕过防火墙及「入侵侦测系统」(IDS)的相关信息。
此外,自动化技术意味着攻击者可以花费几个月的时间找寻防御漏洞,而不必采取可能引人注意的互动方式。
最后,由于网络的互连特性,来自各地的攻击者可对他们选定的任何系统发动攻击。
因此诱捕式(decoy-based)网络防御系统技术或所谓的“Honeypot”便在此扮演一重要的角色。
所谓「诱捕」有隐藏本体、布置陷阱、放入诱饵、吸引猎物这四层涵意,引申其意,在信息安全领域中,诱捕式网络防御技术的目的便是让重要的主机或设备被隐藏保护起来,在可能被攻击的前线布置陷阱等,例如防火墙的非军事区(DMZ)建置虚拟诱捕系统,或是在企业网络内部(Intrant)混合建置虚拟诱捕系统。
同时,在诱捕系统中放入让黑客心动的假情报或假数据(诱饵),当黑客或有心人士采取行动的时候,除了目标错误而误中副车外,其具备的监控机制回报机制也能让管理人员立即处理、管制与预警和收集电子证物等。
二、网络诱捕系统的演进Honeypot其实并不是一个新的概念。
自从计算机开始互连以来,信息安全研究人员与专家就使用过不同形式的Honeypot。
计算机的诱捕系统会被部署成吸引攻击者的目标,如一罐用来吸引并会困住昆虫的蜂蜜。
使用Honeypot可以获得许多的好处。
第一,它会消耗攻击者的时间。
看诱敌深入到什么程度,攻击者可能耗费大量时间尝试刺探及研究诱捕系统─因此用在攻击Honeypot的时间,就不会用来攻击真实主机。
第二,这会让攻击者对于现有的安全措施产生错误的印象,对方可能会花很多时间寻找工具攻击Honeypot,但这些工具在真实系统上可能无法运作。
第三,有Honeypot的存在,可降低真实系统受到随机攻击或刺探的可能性。
许多攻击者会大规模扫描计算机,来找寻受害者。
即使是针对特定机构的攻击,也会扫描该机构所拥有的公众系统,寻找一台计算机来入侵,做为攻击的起点。
使用Honeypot会降低攻击者选择一台重要计算机作为目标的机率,而诱补系统也会侦测并记录最初的扫描,以及任何后续的攻击。
不像其它的入侵侦测机制,Honeypot不会有任何误报(false positive)。
IDS 产品大都会产生不同程度的误报,这是因为正常的通讯总是有可能刚好符合IDS用来侦测攻击的特征。
但Honeypot 就不会有这种情形。
任何连往Honeypot 的通讯都是可疑的,因为这个装置除了侦测攻击之外并没有任何其它的用途。
换句话说,没有任何合法的通讯会产生误报。
如此一来,Honeypot可以比其它任何IDS 解决方案侦测到更多攻击。
Honeypot可以发现和分析新的弱点,因为攻击者采取的所有行动都会被记录下来。
通往Honeypot的所有通讯都是可疑的,所以新的攻击工具可根据其与系统的互动被侦测出来─即使是所谓的「第八层」攻击,如针对信息流而不是针对程序或通讯协议等OSI七层架构下的攻击,亦可被侦测出来。
例如将假信息输入某个服务或数据库,或使用已被破解的凭证来取得未经授权的存取。
最后,Honeypot能侦测和记录可能持续数月的资安事端(incident)。
这些所谓的「慢速扫描」(slow scan)很难透过IDS侦测到,因为它所用的时间很长,让它看起来像正常的通讯内容。
Honeypot可以分为三大类:待宰羔羊(sacrificial lamb)、伪装系统(facade)以及傀儡系统(instrumented system)。
第一代发展出来的Honeypot是「待宰羔羊」,由数台设定为攻击目标的计算机所组成。
待宰羔羊通常是由一个「现成」或「现有」的系统所构成,它会放在某个易被攻击的位置,留在那里当牺牲品。
它是攻击者最显著的目标─但遗憾的是,分析攻击数据非常耗时,而且待宰羔羊本身也可能被攻击者用来作为攻击其它计算机的跳板。
第二代的Honeypot,因为它只有仿真网络服务,而不会让真正的计算机受到攻击,排除了遭入侵的诱捕系统所造成的信息安全威胁。
这些「伪装系统」通常具有待宰羔羊的弱点,但不会提供这么丰富的数据。
伪装系统提供的攻击数据记录更容易存取,因此让攻击者更难躲避侦测。
伪装系统是最轻量级的Honeypot形式,通常是由某种仿真的服务应用程序所构成,目的是要提供受害系统的假象。
新一代的「傀儡系统」则兼具了待宰羔羊和伪装系统的优点。
类似待宰羔羊,它们也提供非常可信的系统,让攻击者进行破坏。
也就像伪装系统那样,这些系统很容易存取却很难回避,因为它们会记录攻击信息。
此外,进阶的傀儡系统提供了预防攻击者使用这台系统作为进一步攻击的基地防御机制。
傀儡系统型的Honeypot是一种现有的系统,但做了额外的修改,因此可提供更多信息、牵制或控制。
三、网络诱捕系统之建置架构本系统建置的架构图如下:图一网络诱捕系统架构图(一)平台建构基于成本考虑及系统便利性、安全性,本文选用Vmware[3]这套软件来构建网络仿真系统,Vmware可以仿真任何操作系统的运作环境,假若计算机的设备等级较高的条件下,亦可仿真多台计算机,也就是建立多台虚拟操作系统。
所以,不论你的主机操作系统为何,都可以跑另一个不同或相同的操作系统。
例如:在Linux 的操作系统跑一个Windows系统仿真环境,或是在Windows的操作系统跑一个Linux系统仿真环境。
Vmware不同于多重开机系统,它算是在主机操作系统中跑的一个程序,而这个程序在仿真另一个操作系统,以致于在感受上像是兩个操作系统同时在一台计算机启动运作。
为了明确区别操作系统的主副关系,将安装执行VMware软件的操作系统称为「主机操作系统」,而VMware虚拟机器下所安装的操作系统称为「虚拟操作系统」;假若,同时启动许多虚拟机器,每一台机器都拥有自己的网路地址,再加上主机操作系统的数量,在网路上便形成一个诱捕系统网(Honey Net)。
VMware 在主机操作系统与虚拟操作系统间有一层虚拟层(VMware Virtualization Layer),虚拟层的功能是把实际的硬件资源对映到虚拟机器上的硬件资源,因此每一个虚拟机器都有它自己独立的CPU、内存、硬盘及各项I/O 设备,同时,VMware使用了X86的保护模式,让各操作系统是独立运作的,不会互相影响,因此在一台X86计算机上同时仿真多个不同的操作系统是可行的。
VMware的虚拟网路功能提供了三种网络模式:Bridged模式、NAT模式与Host-only模式。