《主动型安全防护措施--陷阱网络的研究与设计》论文笔记

2001年

蜜罐 蜜网;

陷阱网络的设计与实现

   多个陷阱机和一个远程管理控制台组成。

陷阱的种类:

1、系统级陷阱:真实的系统

2、 应用级陷阱:模拟或仿真的环境构建而成,针对具体网络环境和应用服务。

陷阱网络的设计与构造:

陷阱机通过创建一个内核套作为陷阱和系统内核的接口,使陷阱系统行为不能直接访问到内核,起到很好的隔离作用。陷阱机系统安装在主机的操作系统上,每个系统都有自己的网络接口。

//其实我认为这个是蜜罐+虚拟机的形式,或者就是蜜罐。

重点:可靠的日志保护机制/远程备份;监控程序的隐蔽性;稳定性;现场保护;保存工具副本

增加迷惑效果,吸引攻击者:

1、提供与真实系统类似的服务,但是采用假数据

2、选择陷阱机的安装位置,使其更易被发现,增强诱惑效果。

3、发送模拟流量,吸引攻击者

4、伪装漏洞

陷阱网络的应用:

通过重定向,将非法连接转接到陷阱机上面,进而进行监视。

一个陷阱网络环境的真实案例:

数据流程:正常服务区、陷阱区、IDS系统处于防火墙的内部,防火墙起动态分流的作用,收到IDS的反馈,并且将流量分流到陷阱机中,并且通过数据交互,使陷阱机模仿真实机器。

关键技术和难点:

1、如何模拟真实机器

2、陷阱机监控能力

3、自有日志的可靠性

4、(IDS)信息捕获手段:加密技术、包分片重组

5、各个组件之间的耦合

6、自身安全

你可能感兴趣的:(《主动型安全防护措施--陷阱网络的研究与设计》论文笔记)