返回
入侵检测蜜罐系统设计与实现

入侵检测蜜罐系统设计与实现

ID:33507943

大小:1.59 MB

页数:47页

时间:2019-02-26

入侵检测蜜罐系统设计与实现_第1页
入侵检测蜜罐系统设计与实现_第2页
入侵检测蜜罐系统设计与实现_第3页
入侵检测蜜罐系统设计与实现_第4页
入侵检测蜜罐系统设计与实现_第5页
资源描述:

《入侵检测蜜罐系统设计与实现》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、入侵检测蜜罐系统的设计与实现研究型蜜罐被设计用来获取黑客界的信息。这些蜜罐并没有为特定的组织带来直接性的价值。它们的主要使命在于研究组织所面临的威胁,比如说:这些攻击者是谁,他们是怎样组织起来的,他们攻击其它系统所使用的工具是什么,以及他们是从哪里获得这些工具的。研究型蜜罐比产品型蜜罐要复杂得多,但同时能够提供的信息也多得多。从黑客可以与之交户程度的高低,可以把蜜罐分为低交互型(Low.interaction)的和高交互型(Hi曲.interaction)的[8]:低交互型的蜜罐主要针对一些特定类型的攻击

2、,来模拟一些常用的服务,或者是模拟操作系统,来诱使黑客攻击,而黑客在这些蜜罐上所能做的事都被局限在蜜罐本身所模拟的环境里。这种蜜罐的优点是它的简单性,以及低风险性。正是由于这两个特点,大多数的初学者都会选择使用低交互型的蜜罐。例如,前面所提到的BackOfficerFriendly、Specter以及Honeyd和KFSensor都是低交互型的。但是由于攻击者的行为受到了限制,因此这种类型的缺点是,它只能搜集到一些与它所模拟的服务或者操作系统相关的信息;与之相反,高交互型的蜜罐通常是比较复杂的。他们一般都

3、是一些真实的系统,或者实际的一些应用服务。例如,要想实现一个在Linux上运行FTPServer的蜜罐,就要构建一个真实的Linux系统,并在其上运行FTPServer,一切都是真实的。在这种环境下,攻击者的行为基本上不会受到任何的限制,因此这种类型的蜜罐可以最大限度的搜集到相关的信息,这是它的一个突出的优点。其次,由于没有针对一些特定的攻击,相反是提供给黑客一个基本开放的环境,这样我们就会得到一些我们意料之外的信息,捕捉到一些未知类型的攻击。例如,前面提到的Honeynct就是典型的高交互型的蜜罐。当然

4、,提供给黑客一个足够宽松的空间的同时,也意味着比较高的风险性,这也是高交互型的蜜罐的一个缺点。1.2.4蜜罐的优势作为一种新兴的安全策略,蜜罐具有几个独有的优势。(1)数据价值:安全界所面临的难题之一就是从数据中获取有价值的信息。一个安全组织每天都会收集到大量的数据,包括防火墙日志、系统日志以及入侵预警等。这些信息的数据量非常庞大,从而使得从数据中提取有价值的信息变得极为困难。但是蜜罐不具有这样的问题。蜜罐通常只会收集少量的数据,但它们所收集的数据却有很高的价值。蜜罐这种没有任何预期产品活动的理念大大降低

5、了噪声级别。大部分蜜罐每天只会收集到几兆字节的数据,甚至比这还要少,而不是GB字节的数据。而它们所载入日志的任何数据都很有可能是一次扫描、探测或者攻击一极具价值的信息。(2)资源:大连理工大学专业学位硕士学位论文大多数安全机制所面临的另一个难题是资源限制,甚至是资源枯竭。资源枯竭指的是由于安全资源的过度使用而导致无法起作用的情况。例如,一个防火墙可能会因为其连接表已经满了,其资源已经耗尽或者它不能在监视连接而失效。这就会导致防火墙阻断所有连接,而不是仅仅阻断那些未授权的活动。相对来说蜜罐由于只会对少量活动

6、进行监视和捕获,所以在它们身上通常不会发生资源枯竭问题。因此蜜罐通常不需要太多的资源也不必为一个蜜罐在硬件上投入大量资金。较低的资源消耗与处理机的内部操作有关。在IDS(/x,侵检测系统)方法中,系统中信息包的处理是被监控和分析的。因此,IDS方法要求系统具有高运算能力。对系统数据传输也是如此。由于系统中信息包传送的容量,数据传输将占据整个处理时间的很大一部分。除了处理时间,数据传输还会消耗系统中不同的与数据传输有关的资源。只有当被蜜罐监控的系统资源在使用的时候,才会给蜜罐处理提供处理时间。这样,在蜜罐空

7、闲时间在主机系统上进行的蜜罐操作可以忽略不计。这与计算机硬件设计中基于中断和基于查询的I/O处理方法之间的差别很相似。(3)简洁性:使用蜜罐无需开发奇异的算法,无需维护签名数据库,不会出现错误配置的规则库。只要把蜜罐拿过来放到网络中的某个地方,然后就可以静观其变了。尽管有些蜜罐特别是一些研究型蜜罐可能会很复杂,但是它们都运作在相同的简单前提下:如果有人连接到了蜜罐,就将它检测出来。1.2.5蜜罐的缺点蜜罐本身也存在着一些固有的缺点,也因此蜜罐并不能取代任何安全机制,而只是在与整体安全构架协作并进行强化。(

8、1)视野有限:蜜罐最大的缺点是视野的有限性:它们只能看到那些针对它们自身的活动。如果某个攻击者闯入了网络中并攻击了很多系统,蜜罐会检测不到这些活动正在进行,除非它本身受到了直接攻击。如果攻击者识别出蜜罐的本质所在,就会避开该系统并渗入所在地组织,而蜜罐却永远不知道他们已经进来了。因此,蜜罐对所收集数据的价值具有一种显微效应,可以帮助大家密切关注于价值明了的数据,同时也会忽略掉一些发生在周围的事件。(2)指纹识别:“指纹识别”是

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。