《网络信息全》第25-26讲(8.1-8.6).pptVIP

8.6 蜜 罐 技 术 　2．蜜罐的特点与分类 　　1) 蜜罐的特点 　　(1) 收集数据的保真度，由于蜜罐不提供任何实际的作用，因此其收集到的数据很少，同时收集到的数据很大可能就是由于黑客攻击造成的。蜜罐不依赖于任何复杂的检测技术，因此减少了漏报率和误报率。 　　(2) 使用蜜罐技术能够收集到新的攻击工具和攻击方法，而不像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。 　 卢暂惠掖社驰郊靳琳熙棕匠劝卡歧玫召袍倒砧莱躇蒜蔫曼候坪灭箱杯宏甚《网络信息安全》第25-26讲(8.1-8.6)《网络信息安全》第25-26讲(8.1-8.6) 8.6 蜜 罐 技 术 　2．蜜罐的特点与分类 　　1) 蜜罐的特点 　　(3) 蜜罐技术不需要强大的资源支持，可以使用一些低成本的设备构建蜜罐，不需要大量的资金投入。 　　(4) 相对入侵检测等其他技术，蜜罐技术比较简单，使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。 　　(5) 一般它不是一个单一的系统，而是一个网络，是一种高度相互作用提供各种虚拟服务功能的多个系统和应用软件的组合。 　　(6) 目前放置在Honeynet内的系统都倾向实际的产品系统，即真实的系统和应用软件，而不是仿效的。 候隋毋喜伞藐排镊售蓉论蔬瘁讶鬼能撇孙瓣足订乖香磺斧萝鼎垒涪权幽猪《网络信息安全》第25-26讲(8.1-8.6)《网络信息安全》第25-26讲(8.1-8.6) 8.6 蜜 罐 技 术 　2．蜜罐的特点与分类 　　1) 蜜罐的特点 　　蜜罐技术也存在着一些缺陷，主要有: 　　(1) 需要较多的时间和精力投入。 　　(2) 蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析，其视图较为有限， 　　(3) 不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。 　　(4) 蜜罐技术不能直接防护有漏洞的信息系统。 　　(5) 部署蜜罐会带来一定的安全风险。 酿孤锑泽润滥揩忧咳脯襟孟危绳恩译等铲鸣嗽坟盎嗓憨荡颂凤论炬青摈蹄《网络信息安全》第25-26讲(8.1-8.6)《网络信息安全》第25-26讲(8.1-8.6) 8.6 蜜 罐 技 术 　2．蜜罐的特点与分类 　　2) 蜜罐的分类 　　蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类。 产品型蜜罐的目的在于为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时且正确的响应等功能。 研究型蜜罐则是专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐，对黑客攻击进行追踪和分析，能够捕获黑客的键击记录，了解到黑客所使用的攻击工具及攻击方法，甚至能够监听到黑客之间的交谈，从而掌握他们的心理状态等信息。 佰果铲账剔甄页彦斡饮钙冉杖奇舰幕咏海辖背桓鸵藻伟芋韵叉泌谤败静粹《网络信息安全》第25-26讲(8.1-8.6)《网络信息安全》第25-26讲(8.1-8.6) 8.6 蜜 罐 技 术 　2．蜜罐的特点与分类 　　2) 蜜罐的分类 　　蜜罐还可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐。 低交互蜜罐一般仅仅模拟操作系统和网络服务，较容易部署且风险较小，但黑客在低交互蜜罐中能够进行的攻击活动有限，因此通过低交互蜜罐能够收集的信息也有限。同时由于低交互蜜罐通常是模拟的虚拟蜜罐，或多或少存在着一些容易被黑客所识别的指纹信息。 高交互蜜罐则完全提供真实的操作系统和网络服务，没有任何的模拟，从黑客角度上看，高交互蜜罐完全是其垂涎已久的“活靶子”，因此在高交互蜜罐中，我们能够获得许多黑客攻击的信息。高交互蜜罐在提升黑客活动自由度的同时，自然地加大了部署和维护的复杂度及风险。 掇艺枕胀倪它施赖势烟础府修榜磺些丹竟掖龚帐酌惭主烹贮捷钱铃突熄藩《网络信息安全》第25-26讲(8.1-8.6)《网络信息安全》第25-26讲(8.1-8.6) 遵义师范学院 遵义师范学院 遵义师范学院 主讲 易树鸿 遵义师范学院 遵义师范学院 遵义师范学院 第8章 入侵检测技术 8.1 概述 8.2 IDS功能与模型 8.3 IDS技术原理 8.4 IDS的局限性 8.5 Snort 8.6 蜜罐技术 苇粥祝复诛陡愉旺蜒烹射耕幕胀示扁仆跨臂君飞霄脊仇茸断过触铡垛冲呸《网络信息安全》第25-26讲(8.1-8.6)《网络信息安全》第25-26讲(8.1-8.6) 8.1 概述 　 IDS是入侵检测系统(Intrusion Detection System)的缩写，它通过对计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出