- 1、本文档共6页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
蜜网核心技术及发展趋势
蜜网核心技术及发展趋势
摘要:虚拟蜜网的三大核心技术数据控制、数据捕获、数据分析介绍及对蜜网发展的展望。
关键词:数据控制;数据捕获;数据分析
一、蜜网的介绍
当前网络技术突飞猛进,随着虚拟技术的发展,蜜网技术也得到了长足的发展。蜜网简单的说就是由若干个蜜罐组成的网络,蜜网的概念由蜜网项目组(Honeynet Project)提出,前身是1999年Lance Spitzer等人发起制作的蜜网技术邮件列表。
蜜网是从蜜罐技术基础上发展起来的,蜜罐技术侧重于使用单个系统进行引诱攻击,蜜网侧重于在整个内部网络形成一个诱捕框架,在内部网络各个子网设置虚拟蜜罐,实现对整个网络的高度监控。另外,蜜网架构注重整合资源,将真实的系统、蜜罐系统、各种服务、防火墙及入侵检测等资源有机结合在一起,具有多层次的数据控制机制,全面的数据捕获机制,并能够辅助研究人员对捕获的数据进行深入分析。因此蜜网也可以理解为一个集防火墙、入侵检测、数据分析软件、各类蜜罐等于一体的综合体。
二、蜜网的三大核心技术
整个蜜网体系主要由蜜网网关、虚拟蜜罐、物理蜜罐和监控机组成。蜜网体系结构解决了三大核心功能:数据控制、数据捕获和数据分析[1]。主要涉及到的软件是Iptables、Snort_inline、Sebek等。
2.1 数据控制
当攻击者攻陷蜜罐后,一般不会满足于在所攻陷的主机上进行操作,往往会以此主机为跳板对其他网络进行攻击。数据控制的目的就是阻止攻击者的这种行为,但如果完全禁止,攻击者可能会意识到进入防御者的圈套,从而得不到攻击者真实的操作意图。蜜罐的作用是引诱攻击者攻击,记录攻击者行为,一旦蜜罐被攻陷,就可能成为攻击者攻击整个网络的跳板。因此既要通过蜜罐来引诱攻击,分析攻击者的行为,又要防止蜜罐被攻击者作为跳板来攻击整个网络这样的情况发生。数据控制就是通过设置策略限制攻击者的活动进行网络防护。如果攻击者进入蜜网,既要给攻击者一定的活动自由,也要对攻击者的活动进行限制,不能让攻击者危害蜜网之外的系统,更不能让攻击者发现数据控制的活动。一般通过两种方式来进行数据控制。
(1) 对外连接数限制
Netfilter/iptables是Linux平台下的免费包过滤防火墙,其中netfilter称为内核空间,iptables称为用户空间。通过添加、修改和删除规则进行配置防火墙。
通过防火墙iptables设置规则,严格控制单位时间内向外连接数量。在rc.firewall脚本中设定对外连接数。在无人值守的情况下,可以设置向外连接数量的上限,超出这个上限的连接由防火墙进行阻塞,并生成警告通知管理员。一般向外连接数设置在五个到十个之间。在全天候值守的前提下,也可以不设定上限,由专人观察。
(2) 攻击包抑制:网络信息防御系统Snort_inline[2]
Snort_inline是通过对snort修改而产生的,由iptables获取数据包并对数据包进行检测。如果检测出从蜜网向外发出的数据包中含有异常特征,则丢弃此数据包并对管理员发出报警信息。在Snort_inline中由queue选项来决定对数据包的丢弃、修改或回拒。由于是通过iptables进行检测,检测过程依赖于iptables的规则库。
第三代蜜网对数据控制又增加了内容。在防火墙规则上添加了黑名单、白名单、防护名单等功能。
2.2 数据捕获
数据捕获是蜜网的重要功能,只有捕获了攻击者的入侵数据,才能对其进行分析整理,才能对防火墙和入侵检测等系统进行规则调整。捕获的数据需要传输到另外的主机上,保证所捕获数据的安全性。
蜜网通过三重捕获手段对数据进行捕获:一是防火墙日志;二是网络流;三是系统活动。
第一重捕获手段是防火墙,防火墙记录数据包的一些简单信息。防火墙记录多种数据包类型:TCP、UDP、ICMP及其他数据包。记录的内容主要有:包协议类型、源地址、目的地址、源端口、目的端口、进出的网络接口、包长度、数据包通过时间等。但是防火墙日志记录的内容不够全面,主要是防火墙对数据包的内容不进行记录,因此对攻击行为不能做全面分析。
第二层捕获手段是网络入侵检测系统snort[3]。
Snort是一个轻量级的入侵检测系统,Snort有三种工作模式,分别为:嗅探器、数据包记录器和网络入侵检测系统。
Snort以嗅探器模式来完成对数据的捕获。通过tcpdump实现嗅探功能。
第三重捕获手段是Sebek。
Sebek开发于Linux上,现在WIN,SOLARIS,OPENBSD也有相应的sebek版本。目前sebek已经升级到qebek版本。
2.3 数据分析
当混合蜜网捕获到攻击者数
1亿VIP精品文档
相关文档
最近下载
- 基于matlab、simulink通信系统建模与仿真.pdf
- 《吉林省建筑工程计价定额》(JLJD-JZ-2019).doc
- 基于PLC全自动洗衣机控制系统设计毕业论文.doc VIP
- 2021年全国新高考II卷数学试题解析.pdf VIP
- 1课前学习材料下载fib机经固定搭配.pdf
- 基于plc全自动洗衣机设计毕业论文.doc VIP
- 高中语文_经典人物齐登场,观澜书院添新“廊”——部编版选择性必修上册第三单元设计"西方文学经典人物”长廊活动教学设计学情分析教材分析课后反思.doc
- 中型皮卡车后驱动桥设计.docx
- 心理弹性量表(CD-RISC).doc VIP
- 学贵有疑-好习惯-主题班会.ppt VIP
文档评论(0)