《基于主动安全策略的蜜网系统的设计与实现》论文笔记

一种采用主动安全策略的蜜网系统示例：

监控主机和陷阱主机分离

分为三部分：系统管理模块+重定向程序+日志审计与查看模块。

系统管理模块：陷阱主机上开放的web站点，和ftp站点上放置带蜜文件，并对主机进行配置。

重定向程序：运行在服务器组上，将可疑的访问重定向到陷阱主机，发送日志到分析审计主机。

日志分析审计主机：对监控信息进行分析，获取黑客的行为。

系统管理模块设计：

1、陷阱主机的安全性配置：

更改所提供服务的默认主目录，设定对主目录的访问权限。保证：IIs日志文件不被黑客非法更改，提供了改动IIS日志默认存放路径和设置访问权限的功能。

2、IP地址的过滤

实现带蜜文件的定向传播，在确认有攻击行为之后，只允许来自这个源地址的连接访问陷阱主机。

3、当前连接查看

对连接行为进行动态监测，当有异常连接时，可以断开连接。

重定向程序模块：

将对服务器组的访问按照定义策略决定是否重定向到带蜜站点