蜜罐技术及在电子文件中心网络系统的规划
|
一、蜜罐技术
1.蜜罐的定义。关于蜜罐,到目前为止还没有一个完整的定义。“蜜网项目组”的创始人Lance Spitzner对蜜罐给出了一个比较权威的定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并没有其他的实际作用,所有流人和流出蜜罐的网络流量都可能预示着扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。实际上,蜜罐中只有一些虚假的敏感数据,不用于对外的正常服务。所以,它可以是一个网络、一台主机、一项服务,也可以是数据库中的某些无用的数据或者伪装的用户名及其弱口令等,因此任何与它交互的行为都可以被认为是攻击行为,这样就简化了检测过程,它可以部署在各个内部子网或关键主机上,检测来自网络系统外部和内部的各种攻击,用一种以检测、监视和捕获攻击行为和保护真实主机为目标的诱骗技术。
2.蜜罐的基本原理。蜜罐系统是一个陷阱系统,它通过设置一个具有很多漏洞的系统吸引黑客入侵,收集入侵者信息,为其他安全技术提供更多的知识。蜜罐采用监视器和事件日志两个工具对访问蜜罐系统的行为进行监控。由于蜜罐是一个很具有诱惑力的系统,能够分散黑客的注意力和精力,所以对真正的网络资源起到保护作用。
3.蜜罐的主要技术。蜜罐系统主要涉及网络欺骗技术、数据捕获技术、数据控制技术p湍1:3重定向)、攻击分析与特征提取等主要技术。(1)网络欺骗技术:是蜜罐的核心技术,利用各种欺骗手段和安全弱点和系统漏洞,引诱黑客的攻击。(2)数据捕获技术:主要目的是尽可能多的捕获攻击信息,而不被黑客发现,包括输入、输出及键盘和屏幕的捕获。(3)数据控制技术:主要目的是防止黑客将蜜罐作为跳板去攻击其他系统或危害别的主机,因此必须控制进出系统的数据流量而不被黑客怀疑。(4)攻击分析与特征提取:蜜罐系统设置一个数据分析模块,在同一控制台对收集到的所有信息进行分析、综合和关联,完成对蜜罐攻击信息的分析。
二、电子文件中心网络系统蜜罐技术的部署
1.如何部署蜜罐。蜜罐的部署十分简单,不需要特殊的环境,可以根据需要的服务来定。只要在外部因特网上安装一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux系统就可以。放置位置同服务器的放置位置相同。可以用在防火墙之内,确保网络内部主机的安全性。也可以安置在防火墙之外,确保WEB、FTP、DNS等服务器的信息安全。将蜜罐设置在防火墙之内的一个优点是它可以探测出来自组织内部的攻击和未授权活动,但这可能会对内部网络产生新危险。防火墙必须能够区分来自互联网的信息,并且决定哪些信息进入蜜罐,哪些信息要被阻拦。如要允许来自互联网的访问,需要调整防火墙的设置规则。蜜罐放置在防火墙之外的优点是很容易被攻击者识别,被攻破的风险很大。防火墙、人侵检测系统等设备不需要作任何调整就能监视外部的网络攻击。防火墙之后的系统被攻陷的危害也大为减少。蜜罐还会产生大量的信息,由于数据量过大,有时会难以处理。
2.电子文件中心使用蜜罐后的技术优势。当电子文件中心的网络系统建立起蜜罐后,蜜罐会悄悄记录进出计算机的所有流量,电子文件中心网络系统管理人员就可以等待攻击者自投罗网。相对于其他的网络安全机制,蜜罐使用简单,配置灵活,占用资源少,可以在复杂的环境下有效地工作,并且所收集到的数据和信息都有很好的针对性和研究价值,因此大大减少了电子文件中心网络系统管理人员所要分析的数据和f苦息。另外,蜜罐系统具有分析电子文件运刮轨迹的功能,保证电子文件从创建、使用到销毁的整个文件生命周期处于安全状态,保证电子文件的机密、完整和真实。蜜罐技术是一种新型的针对网络安全的主动防御技术,是对现有的安全体系的重要补充。它可以作为独立的安全信息工具,也可以和其他类型的安全机制协作使用,取长补短地对入侵进行检测,查找并发现新型的攻击工具。 (编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
