《主动型安全防护措施--陷阱网络的研究与设计》论文笔记

2001年

蜜罐 蜜网；

陷阱网络的设计与实现

   多个陷阱机和一个远程管理控制台组成。

陷阱的种类：

1、系统级陷阱：真实的系统

2、 应用级陷阱：模拟或仿真的环境构建而成，针对具体网络环境和应用服务。

陷阱网络的设计与构造：

陷阱机通过创建一个内核套作为陷阱和系统内核的接口，使陷阱系统行为不能直接访问到内核，起到很好的隔离作用。陷阱机系统安装在主机的操作系统上，每个系统都有自己的网络接口。

//其实我认为这个是蜜罐+虚拟机的形式，或者就是蜜罐。

重点：可靠的日志保护机制/远程备份；监控程序的隐蔽性；稳定性；现场保护；保存工具副本

增加迷惑效果，吸引攻击者：

1、提供与真实系统类似的服务，但是采用假数据

2、选择陷阱机的安装位置，使其更易被发现，增强诱惑效果。

3、发送模拟流量，吸引攻击者

4、伪装漏洞

陷阱网络的应用：

通过重定向，将非法连接转接到陷阱机上面，进而进行监视。

一个陷阱网络环境的真实案例：

数据流程：正常服务区、陷阱区、IDS系统处于防火墙的内部，防火墙起动态分流的作用，收到IDS的反馈，并且将流量分流到陷阱机中，并且通过数据交互，使陷阱机模仿真实机器。

关键技术和难点：

1、如何模拟真实机器

2、陷阱机监控能力

3、自有日志的可靠性

4、（IDS）信息捕获手段：加密技术、包分片重组

5、各个组件之间的耦合

6、自身安全