扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
|
随着互联网应用和重要性的增加,如何在全球范围内快速识别威胁变得更为重要。更为高级的报警系统对整个互联网都有好处,于是darknets(黑网)应运而生。以下将介绍darknets如何进行大范围互联网威胁的早期报告,以及darknets与入侵检测系统的比较。
在自然界,任何物种的生存之道都是警惕和明智。进化和灭绝之间的差别就在于信息交流的快速和统一。
幸存者还要依赖对所发现的威胁的快速反应。越早发现可能发生威胁的位置和目的,进行反应的速度就越快。入侵检测系统(IDSs)就是一种网络“雷达”,但是往往只对特定网络生效。
随着互联网应用和重要性的增加,如何在全球范围内快速识别威胁变得更为重要。更为高级的报警系统对整个互联网都有好处,于是darknets和网络望远镜应运而生。
这些术语描绘了互联网威胁早期预警的概念和实际工具。通过探测端口扫描早期活动,就有可能在威胁发生之前发现有价值的情报。
Darknets基本上就是一个“黑色”的网络,是一个实际没有应用或服务器使用的IP地址。默认情况下,可以将任何进入darknets的数据视为威胁(当然,不包括那些已经知道确切来历的网络传输)。
IP地址空间越大,darknets监控可能存在的恶意网络传输的能力越大。如果将darknets配置为公用互联网地址空间,就可以用来检测互联网上的恶意活动。然而,由于公用网络地址空间的限制,只有CAIDA这样的组织,或者进行互联网研究的大学才能将darknets设为公用网络空间。
不过还是可以在专用IP网络上使用darknets追踪可能危及内部主机安全或者可能是蠕虫的内网活动。Darknets设置并不困难,只要收集那些网络上没有被占用的IP地址并将其通过路由器分配到指定IP地址即可。
Darknets与传统入侵检测系统有所不同。他们的检测方法相同,但是使用darknets的情况下,由于darknets内没有任何服务,所以一旦有网络传输进入darknets,马上就知道这是恶意的。这样就解决了传统入侵检测系统的两个问题。
第一,无需为数据源分类。Darknets只监控网络传输和服务器而没有其他用途,所以任何进入darknets的数据都是恶意的。
第二,不用对数据进行调查就能判断数据是恶意的。只有到处寻找某个东西的人才会去翻看全空的网络空间。
所以这就足以确定来源,目标IP地址以及协议端口。然后,如果需要确定是哪种蠕虫或者需要了解与恶意网络传输有关的情报,还可以使用Snort这样的IDS工具对数据包进行快速采样。
Darknets在企业网络环境中是否适用取决于安全的定义。Darknets不能象防火墙那样阻止恶意网络传输,也不能屏蔽病毒或者过滤内容。但是darknets专为监控不该发生的网络传输而设计,是保护网络安全的又一有利武器。
Darknets可以对很大范围内网络威胁提前发出警告,在互联网安全中发挥一定的作用。例如,可以在企业内网使用darknets来快速发现已经感染蠕虫但还没有传播到整个内部网络的主机,有时可能比防病毒软件发现的还早。
(责任编辑:陈毅东)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。