小研一种与入侵诱骗技术相结合的网络防护机制【摘要】: 近几年来,计算机技术和网络技术已深入到社会的各个领域,给人们的学习、工作和生活带来了极大的方便。与此相伴的是,网络安全问题却变得日益严重。传统的安全技术已经不能适应动态变化的、多维的网络空间。近年来,入侵检测系统和以 Honeypot 为代表的入侵诱骗技术发展迅速,初步改变了以往网络防护中的被动局面。本文结合入侵检测和入侵诱骗技术相结合的优势,并在此基础上引入入侵响应机制,使三者有机结合,形成一个完整的防御系统。【关键词】:入侵诱骗系统;Honeypot;入侵检测系统;入侵响应系统 一、入侵诱骗系统 入侵诱骗系统是基于“Honeypot”理论[1],该理论研究如何设计、建立一个跟实际系统类似的“欺骗网络”。该系统对外呈现出许多脆弱性,并很容易被访问,从而吸引入侵者对其进行攻击。其重点是诱骗、吸引、继而监视入侵者,并防止在实际运行的系统中出现这样的攻击。 通常的入侵检测系统能够实时地检测网络的信息,防止入侵者的恶意攻击,但是由于其在攻击未发生与发生时使用的是同样的数据采集机制,不能有效地平衡网络负载,因此为了节省不必要的系统资源浪费,在遭受攻击时又能强化入侵检测系统的功能,必须引入一种可根据网络安全状态,动态调整实时监控的技术。入侵诱骗系统就是一个分析、学习工具,是专门设计用来引诱入侵者的系统。它位于内部网内,模拟内部网的日常活动,进行常规工作,把入侵者的注意力吸引到自己身上,从而达到保护内部网其它主机的作用。1、Honeypot 的优点(1)轻巧灵活。资源占用率少,不会出现资源耗尽的情况。(2)使用简单。相对其他安全工具来说,Honeypot 不涉及复杂的计算,它所需要做的工作就是只要有人试图访问 Honeypot,就把他的行为记录下来。1(3)数据价值高。Honeypot 虽然收集的数据量不多,但这些数据都是具有很高价值的,因为任何对它的访问都是可疑的。 2、Honeypot 的缺点(1)能力较弱。Honeypot 仅仅可以检测到对它进行的攻击,如果没有人攻击它,它就变得毫无用处。一旦攻击者绕开了Honeypot,Honeypot 将无能为力。(2)风险性与交互性矛盾。不同级别的 Honeypot 会给所处的网络环境带来不同的风险,Honeypot 越简单,风险性越小,但交互性就降低了。设计 Honeypot 系统时,要根据实际网络环境的需要,充分考虑风险性和交互性的适配问题。(3)自身安全系数不高。Honeypot 一旦被攻击者攻破,...
