网络信息安全-网络安全响应技术

概述
在系统受到安全威胁时，根据威胁等级及时对系统采取修正防御策略，修复系统安全脆弱性，报警、记录甚至追踪等应急响应措施的技术

安全响应阶段

前期主要对事件进行确认、初步分析评估及相应的准备

中期主要对事件进行处理，包括抑制进一步扩散、根除事件的影响及恢复相关

后期主要包括进一步提供系统的安全性和对事件及其处理过程的分析总结

安全响应分类

被动响应
• 在检测到入侵行为时并不做过多的干预，仅简单的记录和向系统及用户报告所检测出的问题，由用户来决定下一步具体采取什么 措施
• 主要 有安全报警和远程通知两类

主动响应
• 在检测到入侵的时候，系统能自动、迅速地对攻击行为采取一定的措施，而不需要人为地 干预
• 主要有 入侵 者 响应 、 系统修正和详细信息收集三类

攻击溯源技术

入侵跟踪技术

• 入侵追踪是在入侵检测后对攻击源进行查找和定位的过程,同时也是对网络中的犯罪行为实施者进行追查
• 阻止其继续入侵
• 严重的可以进行取证以便采取法律手段对犯罪分子进行制裁

密网技术

蜜罐和蜜罐系统

一种安全资源，其价值在于被扫描、攻击和攻陷。

一个包含漏洞且运行于互联网上的 计算机系统
• 它 通过模拟一个或多个易受攻击的系统，给攻击者提供一个包含漏洞并容易被攻破的攻击 目标
• 吸引 攻击者对其发起攻击，同时完整地且不被察觉地将他们的活动记录下来。

蜜罐技术的发展历程

蜜罐分类

按照其部署目的

1. 产品型 蜜罐
   在于 为一个组织的网络提供安全 保护
2. 研究型 蜜罐
   • 对 黑客攻击进行追踪和分析，了解到黑客所使用的攻击工具及攻击方法

按照其交互度的等级

1. 低交互 蜜罐
   模拟 操作系统和网络 服务
2. 中交互 蜜罐
   模拟 真正操作系统 的各种 行为
3. 高 交互 蜜罐
   完全 向攻击者提供真实的操作系统和网络

蜜罐主要功能模块

蜜网技术

1. 蜜网技术建立了一个攻击诱捕的网络体系架构
2. 该体系结构可以包含一个或多个蜜罐，并提供多种工具以方便对攻击信息的采集和分析
3. 同时保证蜜网网络的高度可控性

密网拓扑结构

密网的应用

蜜网技术发展趋势

1. 提高蜜网的可移植性
2. 提高蜜网的交互性
3. 提高蜜网的信息控制和记录功能
4. 降低蜜网的风险
5. 与其他安全组件联动