使用darknets建立网络预警系统

随着互联网应用和重要性的增加，如何在全球范围内快速识别威胁变得更为重要。更为高级的报警系统对整个互联网都有好处，于是darknets（黑网）应运而生。以下将介绍darknets如何进行大范围互联网威胁的早期报告，以及darknets与入侵检测系统的比较。

在自然界，任何物种的生存之道都是警惕和明智。进化和灭绝之间的差别就在于信息交流的快速和统一。

幸存者还要依赖对所发现的威胁的快速反应。越早发现可能发生威胁的位置和目的，进行反应的速度就越快。入侵检测系统(IDSs)就是一种网络“雷达”，但是往往只对特定网络生效。

随着互联网应用和重要性的增加，如何在全球范围内快速识别威胁变得更为重要。更为高级的报警系统对整个互联网都有好处，于是darknets和网络望远镜应运而生。

这些术语描绘了互联网威胁早期预警的概念和实际工具。通过探测端口扫描早期活动，就有可能在威胁发生之前发现有价值的情报。

Darknets基本上就是一个“黑色”的网络，是一个实际没有应用或服务器使用的IP地址。默认情况下，可以将任何进入darknets的数据视为威胁（当然，不包括那些已经知道确切来历的网络传输）。

IP地址空间越大，darknets监控可能存在的恶意网络传输的能力越大。如果将darknets配置为公用互联网地址空间，就可以用来检测互联网上的恶意活动。然而，由于公用网络地址空间的限制，只有CAIDA这样的组织，或者进行互联网研究的大学才能将darknets设为公用网络空间。

不过还是可以在专用IP网络上使用darknets追踪可能危及内部主机安全或者可能是蠕虫的内网活动。Darknets设置并不困难，只要收集那些网络上没有被占用的IP地址并将其通过路由器分配到指定IP地址即可。

Darknets与传统入侵检测系统有所不同。他们的检测方法相同，但是使用darknets的情况下，由于darknets内没有任何服务，所以一旦有网络传输进入darknets，马上就知道这是恶意的。这样就解决了传统入侵检测系统的两个问题。

第一，无需为数据源分类。Darknets只监控网络传输和服务器而没有其他用途，所以任何进入darknets的数据都是恶意的。

第二，不用对数据进行调查就能判断数据是恶意的。只有到处寻找某个东西的人才会去翻看全空的网络空间。

所以这就足以确定来源，目标IP地址以及协议端口。然后，如果需要确定是哪种蠕虫或者需要了解与恶意网络传输有关的情报，还可以使用Snort这样的IDS工具对数据包进行快速采样。

Darknets在企业网络环境中是否适用取决于安全的定义。Darknets不能象防火墙那样阻止恶意网络传输，也不能屏蔽病毒或者过滤内容。但是darknets专为监控不该发生的网络传输而设计，是保护网络安全的又一有利武器。

Darknets可以对很大范围内网络威胁提前发出警告，在互联网安全中发挥一定的作用。例如，可以在企业内网使用darknets来快速发现已经感染蠕虫但还没有传播到整个内部网络的主机，有时可能比防病毒软件发现的还早。

（责任编辑：陈毅东）

查看本文的国际来源