扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:51CTO.COM 2007年10月18日
关键字:
在本页阅读全文(共4页)
4 防御系统实现的主要问题的分析
在防御系统中设置蜜网的目的就是要诱人攻击,以便了解和研究黑客所采用的技术,提升网络防御能力。所以系统务必提供真实有效的服务,以便迷惑入侵者,而且要能对所有进出的数据能够进行监控,以避免无法控制局面的出现。
在防御系统中我们主要针对3个方面的问题:
(1)如何诱惑入侵。为了吸引入侵者,需要构建一个具有网络流量仿真能力的模拟网作为Honeynet,然后利用端口映射和重定向技术,将它转向到一个Honeynet的lP地址中,对其行为进行监控。得到入侵者使用的主要技术,同时牵制他们的主要攻击精力,保证正常网络的安全。
(2)如何控制信息。信息控制是一种规则。必须保证一旦Honeynet被攻陷,不会出现无法控制的局面,避免对所保护网络的安全造成危害。难点在于如何在控制住数据流量的同时又不引起入侵者的怀疑。当入侵者突破Honeynet后,他们将进行网络连接,以便从网络上获取攻击力量等,我们必须允许他们做大部分的“合法”事情。但应防止对其他系统的攻击,可以使用多层次控制避免单点失效,同时使用人工实时监控,一旦入侵者的活跃范围超越了受控制的范围,马上终止所有连接。
(3)如何实现数据捕获。数据捕获主要是指IDS日志和蜜网中主机的系统日志,即“多重捕获”。对于高明入侵者在攻入系统后,会试图更改甚至销毁目标主机上易于暴露入侵行为的各种记录。蜜网的“多重捕获”措施就是在确保不被入侵者发现的前提下捕获攻击行为信息,IDS在数据链路层对蜜网中的网络数据流进行监控!分析和抓取以便将来能够重现攻击行为。蜜网中主机除了使用操作系统自身提供的日志功能外,还可以利用第三方软件加强日志功能,并且传输到安全级别更高的服务器上进行备份。
5 结束语
蜜网是一个很有价值的资源,通过研究运用蜜网技术深入了解已知攻击!发现未知攻击,进而根据攻击深度更新完善网络防御系统。随着各种新的观点和技术还在不断出现,相信它会开辟出网络安全主动防御领域的一个新方向,并具有广阔的应用前景。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。