返回
黑客:入侵检测蜜罐技术简化网络安全

黑客:入侵检测蜜罐技术简化网络安全

ID:36463812

大小:54.16 KB

页数:5页

时间:2019-05-10

黑客:入侵检测蜜罐技术简化网络安全_第1页
黑客:入侵检测蜜罐技术简化网络安全_第2页
黑客:入侵检测蜜罐技术简化网络安全_第3页
黑客:入侵检测蜜罐技术简化网络安全_第4页
黑客:入侵检测蜜罐技术简化网络安全_第5页
资源描述:

《黑客:入侵检测蜜罐技术简化网络安全》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、黑客:入侵检测蜜罐技术简化网络安全【文章摘要】入侵检测是一个复杂的业务,无论你是部署一套入侵检测系统(IDS),还是在你的网络上收集和分析计算机及设备日志,识别合法活动中的恶意流量总是既困难又费时。  入侵检测是一个复杂的业务,无论你是部署一套入侵检测系统(IDS),还是在你的网络上收集和分析计算机及设备日志,识别合法活动中的恶意流量总是既困难又费时。  概述  所幸还有蜜罐技术,通过蜜罐识别恶意流量非常简单,因为任何经过蜜罐的流量,首先要清洗一遍消除误报,当触发蜜罐设置的预警行为时,蜜罐自动向设定的

2、支持人员发出警报,蜜罐是一个经过周密配置的伪装计算机设备,任何人都不应该接触它或尝试登录,因为所有活动都是非法的,不需要从恶意流量中分析善意的行为,唯一的问题是,入侵者有多危险?  作为一个长期从事安全的专业人士,我们在互联网上创建了八个蜜罐跟踪黑客和恶意软件行为,我可以观察到从脚本小子到职业犯罪团伙的一切活动,我可以看到和了解银行账户窃取木马的一举一动,可以第一时间看到许多新奇的黑客活动。  更重要的是,我已经认识到蜜罐在企业环境中的影响,它们作为早期预警系统而星光灿烂,我曾经看到过蜜罐在企业LAN

3、上捕获到外国工业间谍的踪影,他们诱惑受企业信任人员帮助他们窃取机密,并以看不见的恶意软件为幌子转移安全团队的注意力,在近10年的蜜罐维护生涯中,我发现刚安装好的蜜罐一般很难立即发现恶意软件。  简而言之,作为早期预警系统,蜜罐是低成本的,低干扰和低维护的,但能在网络环境中有效地提醒威胁,可以给防御纵深方案增加一道防线。  三个常见的蜜罐解决方案  我考查了三个常见的蜜罐软件解决方案:KeyiKeyfocus的KFSensor,MicroSolved的HoneyPointSecurityServer和免

4、费开源的Honeyd。我在一个封闭的实验环境中测试了这三个蜜罐,在WindowsServer2008R2的Hyper-V托管的虚拟机上运行,KFSensor和HoneyPoint运行在Windows7企业版上,Honeyd运行在Ubuntu9.10上,使用Nessus4.2.2和BackTrack4,从相同私有LAN上的远程物理机手动建立连接,模拟攻击探测,所有基于主机的防火墙和Windows上的用户账号控制(UAC)都被禁用了,因为它们可能会干扰各种本可以成功的攻击和探测。  为什么要使用专业的蜜罐

5、软件?你不需要KFSensor,Honeyd或HoneyPointSecurityServer建立蜜罐,我经常建议读者使用准备丢掉的旧电脑作为早期预警蜜罐系统,你已经为硬件和软件支付了费用,为什么不好好利用一下呢?  专用蜜罐软件在旧电脑上有许多优势,首先,蜜罐软件通常会为你努力工作,它们创建服务,提供大量的虚假功能,并简化了日志和报警,大多数蜜罐软件伴随低或中等交互服务,允许用户进行定制。  其次,蜜罐软件通常擅长数据捕捉,有时提供入侵检测签名,数据包捕捉和网络协议分析,并提供过滤和微调功能,例如,

6、有些基于GUI的蜜罐允许你点击一个事件消息,创建一个"忽略规则"过滤掉合法的流量,相对于将一台旧电脑配置为蜜罐,专用蜜罐软件可以把可能需要两天的过程压缩到10或15分钟内完成。  当人们想到蜜罐时,总会不经意地比较高交互性蜜罐和低交互性蜜罐,他们通常认为复杂的,高逼真的陷阱(功能齐全的服务,好像一个真实的网站,一个电子邮件服务器等)更容易迷惑黑客,他们的一举一动都可跟踪,这种类型的高交互性蜜罐提供逼真的网络环境,成熟的蜜罐可以更好地确定黑客的动机,并更好地记录黑客都做了些什么。例如,有一次,我在一家大

7、型国防工业承包商现场看到,新安装的蜜罐捕获到有人在探测SharePointWeb服务器,我们快速创建了三个站点区域,旨在帮助我们勾画出入侵者的轮廓,一部分是计算机游戏,一部分容纳了NASA航天飞机计划的密码,另一部分则好像是F17战斗机飞行员通信代码,秘密的航天飞机计划被来自NASA公共网站的简单页面重定向,黑客很快就进入到航天飞机计划,开始使用SharePoint的搜索功能寻找中东议题,这可不是闹着玩的,最后我们发现一名外国间谍以临时工作人员的身份隐藏在财务部门工作。因为高交互蜜罐需要做大量的工作以

8、增加风险,攻击者使用这些可利用的蜜罐实施伤害行为(如攻击其它公司,安装密码嗅探器等),我赞同大多数企业使用低或中等交互的蜜罐,中等交互的蜜罐伪装一些常见的任务,但不实现完整的服务,例如,一个伪装的FTP服务可能诱使探测者登录,或允许匿名登录,并提供虚假的文件供他们下载,一个伪装的电子邮件服务器甚至可以让攻击者读取和发送邮件,KFSensor允许在伪装的服务上发送邮件,使得潜在的垃圾邮件发送者以为他发现了一个真实的电子邮件服务器,这个想法提供了足够的功能确

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。