网络安全原理与应用（第三版）课件 第8章 入侵检测技术.ppt

9.4.5蜜罐的优缺点2．使用蜜罐的风险蜜罐仅能捕获针对自身的攻击，如果攻击者所攻击的应用或服务不在蜜罐系统中，那么蜜罐将没有作用。对于未知漏洞或协议缺陷等实施的未知攻击，将会存在大量的漏报、误报一旦蜜罐被识别了，攻击者就可以创建针对蜜罐的欺骗性攻击，以转移人们对真实系统攻击的注意力，他们还会投放坏的信息来迷惑蜜罐。可能会使用蜜罐作为进入实际系统的途径“蜜罐防火墙（honeywall）”可以提供基本的蜜罐安全，并阻止那些希望通过蜜罐进入实现系统攻击行为。。。***国际蜜罐技术研究组织HoneynetProject的创始人LanceSpitzner给出了蜜罐的权威定义*Cowrie是一个开源的安全审计系统,基于KaliLinux和Honeypot技术。它专注于模拟SSH服务器,用于记录潜在攻击者的尝试行为,提供深入的交互式会话日志,并可作为研究网络威胁的重要工具。ntecDeception吸引攻击者，同时监测和记录他们的行为，以加强对新威胁的防御。SymantecDeception吸引攻击者，同时监测和记录他们的行为，以加强对新威胁的防御。**SymantecDeception吸引攻击者，同时监测和记录他们的行为，以加强对新威胁的防御。***9.3.4Snort使用snort-W，可以查看当前计算机上的网络接口的状态“snort-?”命令来查看你所用的Snort版本的命令行参数。9.3.4Snort使用-嗅探器模式snort-v-i59.3.4Snort使用-数据包记录模式命令：snort-dev-i5-h/24-ld:\snort\log-Kascii参数：-dev表示详细记录模式-i5表示监听的网卡-h表示监听的网段，缺省表示当前主机-l表示log文件的位置-K表示文件的编码方式运行该命令将，snort会将定义的网段中的数据包记录下来保存到文件里。不同连接上数据包的信息放到一个文件里，并放到按数据包的地址命名文件夹，保存到\snort\log目录9.3.4Snort使用-数据包记录模式9.3.4Snort使用-入侵检测模式（1）Snort规则定义的一般结构：动作协议IP地址端口方向IP地址端口[规则选项]（2）Snort有5个预定义动作：Pass动作指不理会这个数据包log动作用来记录数据包alert动作用来在一个数据包符合规则条件时发送告警信息dynamic动作由其他activate动作的规则调用activate动作功能强大，当被规则触发时生成报警，并启动相关的dynamic类型规则。（3）以入侵检测模式运行snort命令：snort-i5-ld:\snort\log-Kascii-cd:\snort\etc\snort.conf参数：-c表示使用规则文件9.3.4Snort使用-入侵检测模式9.4密罐技术蜜罐是一种安全威胁的主动防御技术，它的目标是吸引恶意活动，以便监测攻击行为、研究攻击技术，更好地为系统提供安全防御服务。9.4.1密罐的定义9.4.2蜜罐的分类9.4.3蜜罐系统的结构9.4.4密罐的搭建实例9.4.5蜜罐的优缺点9.4.1密罐的定义蜜罐表面上看起来像真实的系统或网络服务，但实际上是一个虚构的环境，它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者，捕获攻击流量与样本，发现网络威胁、提取威胁特征，是一种对网络攻击和威胁进行捕获和研究手段。第一个公开可用的蜜罐是1998年FredCohen的DeceptionToolKit（DTK）2000年开始，随着蠕虫开始激增，蜜罐被证明在捕获和分析蠕虫方面具有很大的优势。2004年引入了虚拟蜜罐，允许多个蜜罐在单个服务器上运行。蜜罐的权威定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。蜜罐并不向外界用户提供任何服务，所有进出蜜罐的网络流量都是非法的，都可能预示着一次扫描和攻击，蜜罐的核心价值在于对这些非法活动进行监视、检测和分析。9.4.1密罐的定义9.4.1密罐的定义9.4.2蜜罐的分类1.根据交互程度分类（1）低交互蜜罐：（Low-InteractionHoneypot）与外部系统的交互范围有限，只模拟有限的服务或服务的一部分，如HTTP、FTP、SMTP等，只模拟基本的网络协议交互，而不运行完整的应用程序或操作系统，减轻资源消耗和简化部署过程。这类蜜罐的主要优点是相对容易部署和维护，攻击者与蜜罐的互动有限，因此风险较小。但低交互蜜罐提供的信息有限，不能模