视频1 视频21 视频41 视频61 视频文章1 视频文章21 视频文章41 视频文章61 推荐1 推荐3 推荐5 推荐7 推荐9 推荐11 推荐13 推荐15 推荐17 推荐19 推荐21 推荐23 推荐25 推荐27 推荐29 推荐31 推荐33 推荐35 推荐37 推荐39 推荐41 推荐43 推荐45 推荐47 推荐49 关键词1 关键词101 关键词201 关键词301 关键词401 关键词501 关键词601 关键词701 关键词801 关键词901 关键词1001 关键词1101 关键词1201 关键词1301 关键词1401 关键词1501 关键词1601 关键词1701 关键词1801 关键词1901 视频扩展1 视频扩展6 视频扩展11 视频扩展16 文章1 文章201 文章401 文章601 文章801 文章1001 资讯1 资讯501 资讯1001 资讯1501 标签1 标签501 标签1001 关键词1 关键词501 关键词1001 关键词1501 专题2001
网络攻击陷阱技术与应用网络攻击陷阱技术与应用书
2024-12-23 15:17:33 责编:小OO
文档
点击下载本文 文档为doc格式


网络攻击陷阱技术与应用(网络攻击陷阱技术与应用书)
网络攻击陷阱技术拟通过改变保护目标对象的信息,欺骗网络攻击者,从而改变网络安全防守方的被动性,提升网络安全防护能力。
网络攻击陷阱技术原理
网络诱骗技术就是一种主动的防御方法,作为网络安全的重要策略和技术方法,它有利于网络安全管理者获得信息优势。
网络攻击诱骗网络攻击陷阱可以消耗攻击者所拥有的资源,加重攻击者的工作量,迷惑攻击者,甚至可以事先掌握攻击者的行为,跟踪攻击者,并有效地制止攻击者的破坏行为,形成威慑攻击者的力量。
目前,网络攻击诱骗技术有蜜罐主机技术和陷阱网络技术。
1.蜜罐主机技术
蜜罐主机技术包括空系统、镜像系统、虚拟系统等。
空系统。空系统是标准的机器,上面运行着真实完整的操作系统及应用程序。在空系统中可以找到真实系统中存在的各种漏洞,与真实系统没有实质区别,没有刻意地模拟某种环境或者故意地使系统不安全。任何欺骗系统做得再逼真,也绝不可能与原系统完全一样,利用空系统做蜜罐是一种简单的选择。
镜像系统。攻击者要攻击的往往是那些对外提供服务的主机,当攻击者被诱导到空系统或模拟系统的时候,会很快发现这些系统并不是他们期望攻击的目标。因此,更有效的做法是,建立一些提供敌手感兴趣的服务的服务器镜像系统,这些系统上安装的操作系统、应用软件以及具体的配置与真实的服务器基本一致。镜像系统对攻击者有较强的欺骗性,并且,通过分析攻击者对镜像系统所采用的攻击方法,有利于我们加强真实系统的安全。
虚拟系统。虚拟系统是指在一台真实的物理机上运行一些仿真软件,通过仿真软件对计算机硬件进行模拟,使得在仿真平台上可以运行多个不同的操作系统,这样一台真实的机器就变成了多台主机(称为虚拟机)。通常将在真实的机器上安装的操作系统称为宿主操作系统,将在仿真平台上安装的操作系统称为客户操作系统,仿真软件在宿主操作系统上安装。VMware是典型的仿真软件,它在宿主操作系统和客户操作系统之间建立了一个虚拟的硬件仿真平台,客户操作系统可以基于相同的硬件平台模拟多台虚拟主机。另外,在因特网上,还有一个专用的虚拟蜜罐系统构建软件Honcyd,它可以用来虚拟构造出多种主机,并且在虚拟主机上,还可以配置运行不同的服务和操作系统,模拟多种系统脆弱性。Honcyd的应用环境如图所示。
2.陷阱网络技术
陷阱网络由多个蜜罐主机、路由器、防火墙、IDS、审计系统共同组成,为攻击者制造一个攻击环境,供防御者研究攻击者的攻击行为。
陷阱网络一般需要实现蜜罐系统、数据控制系统、数据捕获系统、数据记录、数据分析、数据管理等功能。
第一代陷阱网络,出入陷阱网络的数据包都经过防火墙和路由器,防火墙的功能是控制内络之间的通信连接,防止陷阱网络被作为攻击其他系统的跳板,其规则一般配置成不外部网对陷阱网络的访问,但需要对陷阱网络中的蜜罐主机对外的连接加强控制,包括:对外连接的目的地、主动对外发起连接、对外连接的协议类型等,路由器安放在防火墙和陷阱网络之间,路由器可以隐藏防火墙,即使攻击者控制着网络中的蜜罐主机,发现路由器与外部网相连接,也能被防火墙发现。同时,路由器具有访问控制功能,可以弥补防火墙的不足,例如用于防止地址欺骗攻击、DoS、基于ICMP的攻击等。陷阱网络的数据捕获设备是IDS,它监测和记录网络中的通信连接并报警可疑的网络活动。此外,为掌握攻击者在蜜罐主机中的行为,必须设法获取系统活动记录,方法有两种:一是让所有的系统日志不但在本地记录,同时也传送到一个远程的日志服务器上;二是安放监控软件,进行击键记录、屏幕拷贝、系统调用记录等,然后传送到远程主机
第二代陷阱网络技术实现了数据控制系统、数据捕获系统的集成系统,这样就更便于安装与管理,如图所示。它的优点包括:一是可以监控非授权的活动;二是隐蔽性强;三是可以采用积极的响应方法非法活动的效果,如修改攻击代码字节,使攻击失效。
研究人员正在开发虚拟陷阱网络(VirtualHoncynets),它将陷阱网络所需要的功能集中到一个物理设备中运行,实现蜜罐系统、数据控制系统、数据捕获系统、数据记录等功能,我们把它称作第三代陷阱网络技术,如图所示。
网络攻击陷阱技术应用
网络攻击陷阱技术是一种主动性网络安全技术,已经逐步取得了用户的认可,其主要应用场景为恶意代码监测、增强抗攻击能力和网络态势感知。
1.恶意代码监测
对蜜罐节点的网络流量和系统数据进行恶意代码分析,监测异常、隐蔽的网络通信,从而发现高级的恶意代码。
2.增强抗攻击能力
利用网络攻击陷阱改变网络攻防不对称状况,以虚假目标和信息干扰网络攻击活动,延缓网络攻击,便于防守者采取网络安全应急响应。
3.网络态势感知
利用网络攻击陷阱和大数据分析技术,获取网络威胁者情报,掌握其攻击方法、攻击行为特征和攻击来源,从而有效地进行网络态势感知。
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天

下载本文
显示全文
专题
动视 51dongshi.net 版权所有
Copyright © 2019-2025