《网络信息安全》第25-26讲(8.1-8.6).ppt

8.6 蜜 罐 技 术 　2．蜜罐的特点与分类 　　1) 蜜罐的特点 　　(1) 收集数据的保真度，由于蜜罐不提供任何实际的作用，因此其收集到的数据很少，同时收集到的数据很大可能就是由于黑客攻击造成的。蜜罐不依赖于任何复杂的检测技术，因此减少了漏报率和误报率。 　　(2) 使用蜜罐技术能够收集到新的攻击工具和攻击方法，而不像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。 　 8.6 蜜 罐 技 术 　2．蜜罐的特点与分类 　　1) 蜜罐的特点 　　(3) 蜜罐技术不需要强大的资源支持，可以使用一些低成本的设备构建蜜罐，不需要大量的资金投入。 　　(4) 相对入侵检测等其他技术，蜜罐技术比较简单，使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。 　　(5) 一般它不是一个单一的系统，而是一个网络，是一种高度相互作用提供各种虚拟服务功能的多个系统和应用软件的组合。 　　(6) 目前放置在Honeynet内的系统都倾向实际的产品系统，即真实的系统和应用软件，而不是仿效的。 8.6 蜜 罐 技 术 　2．蜜罐的特点与分类 　　1) 蜜罐的特点 　　蜜罐技术也存在着一些缺陷，主要有: 　　(1) 需要较多的时间和精力投入。 　　(2) 蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析，其视图较为有限， 　　(3) 不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。 　　(4) 蜜罐技术不能直接防护有漏洞的信息系统。 　　(5) 部署蜜罐会带来一定的安全风险。 8.6 蜜 罐 技 术 　2．蜜罐的特点与分类 　　2) 蜜罐的分类 　　蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类。 产品型蜜罐的目的在于为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时且正确的响应等功能。 研究型蜜罐则是专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐，对黑客攻击进行追踪和分析，能够捕获黑客的键击记录，了解到黑客所使用的攻击工具及攻击方法，甚至能够监听到黑客之间的交谈，从而掌握他们的心理状态等信息。 8.6 蜜 罐 技 术 　2．蜜罐的特点与分类 　　2) 蜜罐的分类 　　蜜罐还可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐。 低交互蜜罐一般仅仅模拟操作系统和网络服务，较容易部署且风险较小，但黑客在低交互蜜罐中能够进行的攻击活动有限，因此通过低交互蜜罐能够收集的信息也有限。同时由于低交互蜜罐通常是模拟的虚拟蜜罐，或多或少存在着一些容易被黑客所识别的指纹信息。 高交互蜜罐则完全提供真实的操作系统和网络服务，没有任何的模拟，从黑客角度上看，高交互蜜罐完全是其垂涎已久的“活靶子”，因此在高交互蜜罐中，我们能够获得许多黑客攻击的信息。高交互蜜罐在提升黑客活动自由度的同时，自然地加大了部署和维护的复杂度及风险。 8.6 蜜 罐 技 术 　3．蜜罐的主要技术 　　(1) 网络欺骗技术：为了使蜜罐对入侵者更有吸引力，就要采用各种欺骗手段。例如在欺骗主机上模拟一些操作系统，一些网络攻击者最“喜欢”的端口和各种认为有入侵可能的漏洞。 　　(2) 端口重定向技术：端口重定向技术，可以在工作系统中模拟一个非工作服务。例如我们正常使用Web服务端口80，而用TELNET端口为23和FTP端口21重定向到蜜罐系统中，而实际上这两个服务是没有开启的，攻击者扫描时则发现这两个端口是开放的，而实际上两个端口是Honeypot虚拟出来的，对其服务器不产生危害性。 8.6 蜜 罐 技 术 　3．蜜罐的主要技术 　　(3) 攻击(入侵)报警和数据控制：蜜罐系统本身就可以模拟成一个操作系统，我们可以把其本身设定成为易被攻破的一台主机，也就是开放一些端口和弱口令之类的，并设定出相应的回应程序。如在Linux中的SHELL和FTP程序，当攻击者“入侵”进入系统(这里所指是Honeypot虚拟出来的系统)后，就相当于攻击者进入一个设定的“陷阱”，那么攻击者所做的一切都在其监视之中，如TELNET密码暴力破解、添加新用户、权限提升和删除(添加)文件，还可以给入侵者一个网络连接，让其进行网络传输，并作为跳板。 　 8.6 蜜 罐 技 术 　3．蜜罐的主要技术 　　(4) 数据的捕获技术：在攻击者入侵的同时，蜜罐系统将记录攻击者输入输出信息、键盘记录信息、屏幕信息，以及攻击者曾使用过的工具，并分析攻击者所要进行的下一步。捕获的数据不能放在加有Honeypot的主机上，因为有可能被攻击者发现，从而使其觉察到这是一个“陷阱”而提早退出。 习 题 8.1 入侵检测系统有哪些功能？ 8.2 基于网络的和基于主机的IDS各有什么优点？ 8.3 IDS常用的检测引擎技术有哪