一種基于蜜罐技術(shù)的入侵誘騙系統(tǒng).pdf

1、隨著Internet的發(fā)展，傳統(tǒng)的安全防護(hù)手段防火墻、入侵檢測(cè)、虛擬專用網(wǎng)等在同黑客的斗爭中發(fā)揮了巨大作用，但是卻普遍缺乏網(wǎng)絡(luò)防御的主動(dòng)性和時(shí)效性。如何使網(wǎng)絡(luò)安全防御體系由靜態(tài)轉(zhuǎn)為動(dòng)態(tài)，防御措施從被動(dòng)變?yōu)橹鲃?dòng)是我們要研究的問題。 在詳細(xì)分析防火墻、IDS與蜜罐的原理、結(jié)構(gòu)和特點(diǎn)的基礎(chǔ)上，設(shè)計(jì)了以蜜罐為主、入侵防御為輔的安全防御框架，實(shí)現(xiàn)了一種基于入侵誘騙的主動(dòng)防御系統(tǒng)。 系統(tǒng)采用兩層防火墻設(shè)計(jì)，外防火墻的特點(diǎn)是“嚴(yán)進(jìn)寬出

2、”，內(nèi)防火墻的特點(diǎn)是“寬進(jìn)嚴(yán)出”，IDS放在防火墻之后，用于監(jiān)視系統(tǒng)的異常，當(dāng)發(fā)現(xiàn)可疑行為或入侵行為時(shí)，立刻將檢測(cè)結(jié)果通知入侵行為重定向子系統(tǒng)。入侵行為重定向子系統(tǒng)根據(jù)檢測(cè)結(jié)果，通知受可疑攻擊的服務(wù)器系統(tǒng)，向誘騙主機(jī)進(jìn)行必要的數(shù)據(jù)反饋，使誘騙主機(jī)模擬該受攻擊的服務(wù)器的狀態(tài)。 由于防火墻能夠完成數(shù)據(jù)控制，限制數(shù)據(jù)包的外出流量，保證蜜罐系統(tǒng)在被攻破后，不會(huì)被當(dāng)作跳板攻擊其他機(jī)器。入侵檢測(cè)系統(tǒng)具有分析入侵行為，對(duì)攻擊數(shù)據(jù)進(jìn)行收集、分析