《網(wǎng)絡(luò)信息安全》第25-26講

《《網(wǎng)絡(luò)信息安全》第25-26講》由會員分享，可在線閱讀，更多相關(guān)《《網(wǎng)絡(luò)信息安全》第25-26講（36頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、第8章 入侵檢測技術(shù),8.1 概述 8.2 IDS功能與模型 8.3 IDS技術(shù)原理 8.4 IDS的局限性 8.5 Snort 8.6 蜜罐技術(shù),8.1 概述,IDS是入侵檢測系統(tǒng)(Intrusion Detection System)的縮寫，它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點搜集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。與其他安全產(chǎn)品不同的是，入侵檢測系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進行分析，并得出有用的結(jié)果。一個合格的入侵檢測系統(tǒng)能大大簡化管理員的工作，保證網(wǎng)絡(luò)安全的運行。,8.1 概述,Anderson在1980年4月首次引入了

2、入侵檢測的概念。他定義入侵檢測就是發(fā)現(xiàn)入侵企圖或潛在的可能會導(dǎo)致非認證存取和操縱信息或?qū)е孪到y(tǒng)不可靠和不可用的技術(shù)。從這以后，檢測入侵的技術(shù)得到了廣泛的研究。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)(IDS)。IDS是一個識別認證用戶濫用和非認證用戶使用網(wǎng)絡(luò)或計算機資源行為的系統(tǒng)。入侵檢測技術(shù)是基于這樣一個假設(shè)：入侵行為與正常的行為相比有顯著的不同，因而是可以被偵測到的。,8.1 概述,在實際應(yīng)用環(huán)境中，入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力，包括安全審計監(jiān)視、入侵識別和響應(yīng)，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測被認為是防火墻之后的另一道安全

3、閘門。在不影響網(wǎng)絡(luò)性能的情況下，IDS能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作進行實時監(jiān)控。入侵檢測也是保障系統(tǒng)動態(tài)安全的核心技術(shù)之一。,8.2 IDS功能與模型,1入侵檢測系統(tǒng)的功能 入侵檢測系統(tǒng)作為一種積極的安全防護工具，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時防護，在計算機網(wǎng)絡(luò)和系統(tǒng)受到危害之前進行報警、攔截和響應(yīng)。它具有以下主要作用： (1) 通過檢測和記錄網(wǎng)絡(luò)中的安全違規(guī)行為，追蹤網(wǎng)絡(luò)犯罪，防止網(wǎng)絡(luò)入侵事件的發(fā)生。 (2) 檢測其他安全措施未能阻止的攻擊或安全違規(guī)行為。 (3) 檢測黑客在攻擊前的探測行為，預(yù)先給管理員發(fā)出警報。,8.2 IDS功能與模型,1入侵檢測系統(tǒng)

4、的功能 入侵檢測系統(tǒng)作為一種積極的安全防護工具，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時防護，在計算機網(wǎng)絡(luò)和系統(tǒng)受到危害之前進行報警、攔截和響應(yīng)。它具有以下主要作用： (4) 報告計算機系統(tǒng)或網(wǎng)絡(luò)中存在的安全威脅。 (5) 提供有關(guān)攻擊的信息，幫助管理員診斷網(wǎng)絡(luò)中存在的安全弱點，利于其進行修補。 (6) 在大型、復(fù)雜的計算機網(wǎng)絡(luò)中布置入侵檢測系統(tǒng)，可以顯著提高網(wǎng)絡(luò)安全管理的質(zhì)量。,8.2 IDS功能與模型,2IDS系統(tǒng)一般模型與框架 Denning于1987年提出經(jīng)典的入侵檢測一般模型，如圖8-1所示。,圖8-1 入侵檢測的通用模型,(1) 主體(Subjects)：如用戶 (2) 客體(Ob

5、jects)：系統(tǒng)資源 (3) 審計記錄(Audit records) （主體，動作，客體，異常條件，資源使用情況，時間戳）,主體活動,,8.2 IDS功能與模型,2IDS系統(tǒng)一般模型與框架 Denning于1987年提出經(jīng)典的入侵檢測一般模型，如圖8-1所示。,圖8-1 入侵檢測的通用模型,(4) 活動簡檔(Activity Profile) 主體正?；顒拥挠嘘P(guān)信息 (5) 異常記錄(Anomaly Record) （事件，時間戳，行為描述） (6) 活動規(guī)則：規(guī)則集 是檢查入侵是否發(fā)生的處理引擎,,,,8.2 IDS功能與模型,2IDS系統(tǒng)一般模型與框架 CIDF闡述了一個入侵檢測系統(tǒng)通用

6、框架。它將一個入侵檢測系統(tǒng)分為以下組件： (1) 事件產(chǎn)生器E(Event generators):從入侵檢測系統(tǒng)外的整個計算環(huán)境中獲得事件，并以CIDF gidos格式向系統(tǒng)的其他部分提供此事件。 (2) 事件分析器A(Event analyzers):從其他組件接收gidos，分析得到的數(shù)據(jù)，并產(chǎn)生新的gidos。 (3) 響應(yīng)單元R(Response unite):是對分析結(jié)果作出作出反應(yīng)的功能單元，它可以終止進程、重置連接、改變文件屬性等，也可以只是簡單的報警。 (4) 事件數(shù)據(jù)庫D(Event database):用以存放各種中間和最終數(shù)據(jù)。,8.3 IDS技術(shù)原理,1IDS分類 1

7、)按檢測方法有：異常檢測和濫用檢測 (1) 異常檢測：檢測與可接受行為之間的偏差。通過計算審計數(shù)據(jù)(audit trails)與一個期望的正常行為描述的模型之間的偏差來判斷入侵與否。異常審計數(shù)據(jù)可以包括用戶行為、特權(quán)程序的行為和網(wǎng)絡(luò)數(shù)據(jù)等。正常行為模型可以用統(tǒng)計方法、啟發(fā)式智能機器學習方法和神經(jīng)網(wǎng)絡(luò)等方法來生成。,8.3 IDS技術(shù)原理,1IDS分類 1)按檢測方法有：異常檢測和濫用檢測 (2)濫用檢測(特征匹配檢測)：檢測與已知的不可接受行為之間的匹配程度。通過掃描審計數(shù)據(jù)，看是否與已知攻擊特征匹配來判斷入侵與否。濫用檢測技術(shù)可以用專家系統(tǒng)和Petri網(wǎng)等方法來實現(xiàn)。一般地，濫用檢測的誤報警

8、率較低，但只能檢測出已知的攻擊。,8.3 IDS技術(shù)原理,1IDS分類 2)按使用的審計數(shù)據(jù)有：基于網(wǎng)絡(luò)的檢測和基于主機的檢測 (1) 基于網(wǎng)絡(luò)的檢測：系統(tǒng)分析的數(shù)據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包。IDS使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進行攻擊分析的數(shù)據(jù)源。一般利用一個網(wǎng)絡(luò)適配器來實時監(jiān)視和分析所有通過網(wǎng)絡(luò)進行傳輸?shù)耐ㄐ?。一旦檢測到攻擊，IDS應(yīng)答模塊通過通知報警以及中斷連接等方式來對攻擊做出反應(yīng)?；诰W(wǎng)絡(luò)的IDS的主要優(yōu)點有：, 低成本。 攻擊者轉(zhuǎn)移入侵證據(jù)很困難。 實時檢測和應(yīng)答。, 能夠檢測未成功的或試探性的攻擊企圖。 與操作系統(tǒng)獨立。,8.3 IDS技術(shù)原理,1IDS分類 2)按使用的審計數(shù)據(jù)有：基于網(wǎng)

9、絡(luò)的檢測和基于主機的檢測 (2) 基于主機的檢測：系統(tǒng)分析的數(shù)據(jù)是計算機操作系統(tǒng)的事件日志、應(yīng)用程序的事件日志、系統(tǒng)調(diào)用、端口調(diào)用和安全審計記錄。基于主機的IDS的主要優(yōu)勢有： 非常適用于加密和交換網(wǎng)絡(luò)環(huán)境。 接近實時的檢測和應(yīng)答。 不需要額外的硬件。 能實現(xiàn)應(yīng)用級的入侵檢測。,8.3 IDS技術(shù)原理,2檢測引擎常用技術(shù) 1) 統(tǒng)計方法 基于統(tǒng)計的IDS是利用統(tǒng)計模型、概率模型和隨機過程等來識別入侵行為，也稱為SBIDS(statistical-based intrusion detection systems)。SBIDS利用分析審計數(shù)據(jù)，比較與典型輪廓或預(yù)測輪廓的偏離程度來發(fā)現(xiàn)違反安全規(guī)則

10、的行為。SBIDS最大的優(yōu)點可以在沒有系統(tǒng)缺陷和攻擊手段的先驗知識的情況下檢測出攻擊行為來。SBIDS典型情況被應(yīng)用于基于統(tǒng)計異常檢測中。統(tǒng)計檢測算法至少在1988年前就出現(xiàn)了。幾個原型系統(tǒng)包括Haystack、IDES和MIDAS。SBIDS的不足之處是正常行為輪廓必須經(jīng)常更新，而且統(tǒng)計模型的門限值的確定一般來講比較困難。,8.3 IDS技術(shù)原理,2檢測引擎常用技術(shù) 2) 專家系統(tǒng) 專家系統(tǒng)用于入侵檢測，首先要對已知入侵特征進行抽取與表達，并建立一個完備的專家?guī)煜到y(tǒng)，然后利用專家?guī)炫袛喈斍暗男袨槭欠駥儆谡Ｐ袨?。NIDES（下一代入侵檢測專家系統(tǒng)）就是一個具有專家系統(tǒng)模塊的IDS?；趯＜蚁?/p>

11、統(tǒng)的IDS的缺點是要建立一個完備的專家?guī)焓呛芾щy的，而且只能由專家才能完成正確的入侵特征抽取與表達。另外基于專家系統(tǒng)的IDS一般只能對已知的入侵方法才有效。,8.3 IDS技術(shù)原理,2檢測引擎常用技術(shù) 3) 神經(jīng)網(wǎng)絡(luò) 用于入侵檢測的神經(jīng)網(wǎng)絡(luò)，首先搜集一定量的入侵信號數(shù)據(jù)集來訓練固定結(jié)構(gòu)的神經(jīng)網(wǎng)絡(luò)，然后對入侵信號序列進行預(yù)測。神經(jīng)網(wǎng)絡(luò)在經(jīng)過一定數(shù)量的已知信號序列訓練后，能夠預(yù)報出下一時刻的信號。神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)是決定神經(jīng)網(wǎng)絡(luò)的非線性映射(包括動態(tài)與靜態(tài))的關(guān)鍵，如果應(yīng)用具有自動結(jié)構(gòu)調(diào)整的神經(jīng)網(wǎng)絡(luò)進行入侵檢測，將會大大提高入侵檢測的效率及準確性。但神經(jīng)網(wǎng)絡(luò)的連接權(quán)系數(shù)難以確定，其輸出準確性往往依賴于

12、已知入侵信號集合的大小。,8.3 IDS技術(shù)原理,2檢測引擎常用技術(shù) 4) 狀態(tài)轉(zhuǎn)移分析 狀態(tài)轉(zhuǎn)移分析方法是將入侵方法轉(zhuǎn)化成一系列從初始化的安全狀態(tài)到危險狀態(tài)的模型。用狀態(tài)轉(zhuǎn)移圖來代表入侵行為，而每一個狀態(tài)則代表入侵過程中必須完成的關(guān)鍵事件。狀態(tài)轉(zhuǎn)移分析檢測入侵的關(guān)鍵是要建立精確的狀態(tài)轉(zhuǎn)移模型和正確識別關(guān)鍵事件。,8.3 IDS技術(shù)原理,2檢測引擎常用技術(shù) 5) Petri網(wǎng) Petri網(wǎng)模型能直觀和簡潔地表達出具有存在、順序和偏序特征的攻擊，并能在此基礎(chǔ)上推理識別出攻擊等。使用Petri網(wǎng)來發(fā)現(xiàn)一個攻擊意味著將攻擊用Petri網(wǎng)來描述，并要求對于給定的每個事件按照Petri網(wǎng)的變遷來確定它的

13、輸出，若在最終位置上得到一個Token，我們就說發(fā)現(xiàn)了一個攻擊。但由于Petri網(wǎng)模型用于入侵檢測時要對大量的歷史數(shù)據(jù)進行記錄和分析，因而不可避免地存在著空間復(fù)雜度高和推理時間長等問題。,8.3 IDS技術(shù)原理,2檢測引擎常用技術(shù) 6) 計算機免疫 生物免疫系統(tǒng)的自我保護機制對設(shè)計入侵檢測系統(tǒng)具有很好的借鑒意義。通過抽取生物免疫系統(tǒng)中所蘊涵的各種信息處理機制，將系統(tǒng)的行為分為正常和異常行為，分別對應(yīng)為系統(tǒng)的自我與非我。系統(tǒng)中蘊涵的生物免疫機制主要有非我識別機制和免疫進化機制等。生物免疫的自我保護機制在入侵檢測系統(tǒng)方面具有很好的應(yīng)用前景。,8.3 IDS技術(shù)原理,2檢測引擎常用技術(shù) 7) Age

14、nt技術(shù) 為了IDS能在分布式環(huán)境中更好地工作，要解決好傳統(tǒng)IDS在分布環(huán)境中的配置性、擴展性、協(xié)調(diào)性和效率性等問題。用Agent來解決分布式IDS的問題，主要思想是利用相對獨立自治的實體Agent來完成審計數(shù)據(jù)收集或數(shù)據(jù)分析工作，從而完成IDS在分布環(huán)境中的協(xié)同工作，消除不同系統(tǒng)的差別因素。,8.3 IDS技術(shù)原理,2檢測引擎常用技術(shù) 8) 其他檢測技術(shù) 近年來，還有在IDS中應(yīng)用人工智能及其他技術(shù)的研究，如遺傳算法、數(shù)據(jù)挖掘和粗糙集理論等。,8.4 IDS的局限性,根據(jù)國外權(quán)威機構(gòu)近來發(fā)布的入侵檢測產(chǎn)品評測報告，目前主流的入侵檢測系統(tǒng)大都存在三個問題： 1、存在過多的報警信息，即使在沒有

15、惡意攻擊時，入侵檢測系統(tǒng)也會發(fā)出大量報警。 2、入侵檢測系統(tǒng)自身的抗攻擊能力差。我們知道，入侵檢測系統(tǒng)的智能分析能力越強，處理越復(fù)雜，抗攻擊的能力就越差。目前入侵檢測系統(tǒng)的設(shè)計趨勢是，越來越多地追蹤和分析網(wǎng)絡(luò)數(shù)據(jù)流狀態(tài)，使系統(tǒng)的智能分析能力得到提高，但由此引起的弊端是系統(tǒng)的健壯性被削弱，并且，對高帶寬網(wǎng)絡(luò)的適應(yīng)能力有所下降。 3、缺乏檢測高水平攻擊者的有效手段?，F(xiàn)有的入侵檢測系統(tǒng)一般都設(shè)置了閾值，但攻擊者如果將網(wǎng)絡(luò)探測、攻擊速度和頻率控制在閾值之下，入侵檢測系統(tǒng)就不會報警。,8.5 Snort,1概述 Snort是美國Sourcefire公司開發(fā)的發(fā)布在GPL v2（General Pu

16、blic License，通用性公開許可證）下的IDS軟件。 Snort有 三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測系統(tǒng)模式。 嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。 數(shù)據(jù)包記錄器模式把數(shù) 據(jù)包記錄到硬盤上。 網(wǎng)路入侵檢測模式分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測結(jié)果采取一定的動作。網(wǎng)絡(luò)入侵檢測系統(tǒng)模式是最復(fù)雜的，而且是可配置的。 Snort除了可以用來監(jiān)測各種數(shù)據(jù)包如端口掃描等之外，還提供了以XML形式或數(shù)據(jù)庫形式記錄日志的各種插件。,8.5 Snort,2下載地址 Snort是由Martin Roesch編寫的，可以從ht

17、tp://www.snort.org/下載。該網(wǎng)站除了提供源碼下載外還提供適用于常用平臺的二進制版本。但在下載和安裝Snort之前，請先在UNIX平臺安裝捕獲數(shù)據(jù)包libpcap，而在Win平臺需要先安裝winpcap。,8.5 Snort,3Windows平臺下安裝Snort 1）安裝數(shù)據(jù)包捕獲軟件 先到網(wǎng)站http://www.winpcap.org/ 下載Winpcap，由于Snort本身沒有數(shù)據(jù)包捕獲功能，因此需要用其他軟件來捕獲數(shù)據(jù)包。Winpcap是libpcap抓包庫的Windows版本，它同libpcap具有相同的功能，可以捕獲原始形式的包。,8.5 Snort,3Windo

18、ws平臺下安裝Snort 2）安裝Snort軟件 再到網(wǎng)站http://www.snort.org/下載Snort_2_9_5_6_Installer.exe ，完成后開始安裝： (1)雙擊Snort_2_9_5_6_Installer.exe ，啟動安裝程序； (2)啟動安裝以后，會看到關(guān)于Snort的一篇文獻，閱讀并單擊“IAgree”按鈕； (3)出現(xiàn)的是安裝選項對話框，單擊“Next”按鈕； (4)將選擇安裝部件，選擇完畢后單擊“Next”按鈕； (5)現(xiàn)在提示安裝位置，使用默認的，并單擊“Install”按鈕； (6)安裝完成，單擊“Close”按鈕。,8.6 蜜 罐 技 術(shù),1蜜

19、罐技術(shù)簡介 蜜罐(Honeypot)是誘捕攻擊者的一個陷阱。專門為吸引并誘騙那些試圖非法闖入他人計算機系統(tǒng)的人(如電腦黑客)而設(shè)計的。蜜罐系統(tǒng)是一個包含漏洞的誘騙系統(tǒng)，它通過模擬一個或多個易受攻擊的主機，給攻擊者提供一個容易攻擊的目標。由于蜜罐并沒有向外界提供真正有價值的服務(wù)，因此所有對蜜罐的嘗試都被視為可疑的。蜜罐的另一個用途是拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。,8.6 蜜 罐 技 術(shù),2蜜罐的特點與分類 1) 蜜罐的特點 (1) 收集數(shù)據(jù)的保真度，由于蜜罐不提供任何實際的作用，因此其收集到的數(shù)據(jù)很少，同時收集到的數(shù)據(jù)很大可能就是由于黑客攻擊造成的。蜜罐不依賴于任何復(fù)雜的

20、檢測技術(shù)，因此減少了漏報率和誤報率。 (2) 使用蜜罐技術(shù)能夠收集到新的攻擊工具和攻擊方法，而不像目前的大部分入侵檢測系統(tǒng)只能根據(jù)特征匹配的方法檢測到已知的攻擊。,8.6 蜜 罐 技 術(shù),2蜜罐的特點與分類 1) 蜜罐的特點 (3) 蜜罐技術(shù)不需要強大的資源支持，可以使用一些低成本的設(shè)備構(gòu)建蜜罐，不需要大量的資金投入。 (4) 相對入侵檢測等其他技術(shù)，蜜罐技術(shù)比較簡單，使得網(wǎng)絡(luò)管理人員能夠比較容易地掌握黑客攻擊的一些知識。 (5) 一般它不是一個單一的系統(tǒng)，而是一個網(wǎng)絡(luò)，是一種高度相互作用提供各種虛擬服務(wù)功能的多個系統(tǒng)和應(yīng)用軟件的組合。 (6) 目前放置在Honeynet內(nèi)的系統(tǒng)都傾向?qū)嶋H的產(chǎn)

21、品系統(tǒng)，即真實的系統(tǒng)和應(yīng)用軟件，而不是仿效的。,8.6 蜜 罐 技 術(shù),2蜜罐的特點與分類 1) 蜜罐的特點 蜜罐技術(shù)也存在著一些缺陷，主要有: (1) 需要較多的時間和精力投入。 (2) 蜜罐技術(shù)只能對針對蜜罐的攻擊行為進行監(jiān)視和分析，其視圖較為有限， (3) 不像入侵檢測系統(tǒng)能夠通過旁路偵聽等技術(shù)對整個網(wǎng)絡(luò)進行監(jiān)控。 (4) 蜜罐技術(shù)不能直接防護有漏洞的信息系統(tǒng)。 (5) 部署蜜罐會帶來一定的安全風險。,8.6 蜜 罐 技 術(shù),2蜜罐的特點與分類 2) 蜜罐的分類 蜜罐可以按照其部署目的分為產(chǎn)品型蜜罐和研究型蜜罐兩類。 產(chǎn)品型蜜罐的目的在于為一個組織的網(wǎng)絡(luò)提供安全保護，包括檢測攻擊、防止

22、攻擊造成破壞及幫助管理員對攻擊做出及時且正確的響應(yīng)等功能。 研究型蜜罐則是專門用于對黑客攻擊的捕獲和分析，通過部署研究型蜜罐，對黑客攻擊進行追蹤和分析，能夠捕獲黑客的鍵擊記錄，了解到黑客所使用的攻擊工具及攻擊方法，甚至能夠監(jiān)聽到黑客之間的交談，從而掌握他們的心理狀態(tài)等信息。,8.6 蜜 罐 技 術(shù),2蜜罐的特點與分類 2) 蜜罐的分類 蜜罐還可以按照其交互度的等級劃分為低交互蜜罐和高交互蜜罐。 低交互蜜罐一般僅僅模擬操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，較容易部署且風險較小，但黑客在低交互蜜罐中能夠進行的攻擊活動有限，因此通過低交互蜜罐能夠收集的信息也有限。同時由于低交互蜜罐通常是模擬的虛擬蜜罐，或多或少存

23、在著一些容易被黑客所識別的指紋信息。 高交互蜜罐則完全提供真實的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，沒有任何的模擬，從黑客角度上看，高交互蜜罐完全是其垂涎已久的“活靶子”，因此在高交互蜜罐中，我們能夠獲得許多黑客攻擊的信息。高交互蜜罐在提升黑客活動自由度的同時，自然地加大了部署和維護的復(fù)雜度及風險。,8.6 蜜 罐 技 術(shù),3蜜罐的主要技術(shù) (1) 網(wǎng)絡(luò)欺騙技術(shù)：為了使蜜罐對入侵者更有吸引力，就要采用各種欺騙手段。例如在欺騙主機上模擬一些操作系統(tǒng)，一些網(wǎng)絡(luò)攻擊者最“喜歡”的端口和各種認為有入侵可能的漏洞。 (2) 端口重定向技術(shù)：端口重定向技術(shù)，可以在工作系統(tǒng)中模擬一個非工作服務(wù)。例如我們正常使用Web服務(wù)

24、端口80，而用TELNET端口為23和FTP端口21重定向到蜜罐系統(tǒng)中，而實際上這兩個服務(wù)是沒有開啟的，攻擊者掃描時則發(fā)現(xiàn)這兩個端口是開放的，而實際上兩個端口是Honeypot虛擬出來的，對其服務(wù)器不產(chǎn)生危害性。,8.6 蜜 罐 技 術(shù),3蜜罐的主要技術(shù) (3) 攻擊(入侵)報警和數(shù)據(jù)控制：蜜罐系統(tǒng)本身就可以模擬成一個操作系統(tǒng)，我們可以把其本身設(shè)定成為易被攻破的一臺主機，也就是開放一些端口和弱口令之類的，并設(shè)定出相應(yīng)的回應(yīng)程序。如在Linux中的SHELL和FTP程序，當攻擊者“入侵”進入系統(tǒng)(這里所指是Honeypot虛擬出來的系統(tǒng))后，就相當于攻擊者進入一個設(shè)定的“陷阱”，那么攻擊者所做的

25、一切都在其監(jiān)視之中，如TELNET密碼暴力破解、添加新用戶、權(quán)限提升和刪除(添加)文件，還可以給入侵者一個網(wǎng)絡(luò)連接，讓其進行網(wǎng)絡(luò)傳輸，并作為跳板。,8.6 蜜 罐 技 術(shù),3蜜罐的主要技術(shù) (4) 數(shù)據(jù)的捕獲技術(shù)：在攻擊者入侵的同時，蜜罐系統(tǒng)將記錄攻擊者輸入輸出信息、鍵盤記錄信息、屏幕信息，以及攻擊者曾使用過的工具，并分析攻擊者所要進行的下一步。捕獲的數(shù)據(jù)不能放在加有Honeypot的主機上，因為有可能被攻擊者發(fā)現(xiàn)，從而使其覺察到這是一個“陷阱”而提早退出。,習 題,8.1 入侵檢測系統(tǒng)有哪些功能？ 8.2 基于網(wǎng)絡(luò)的和基于主機的IDS各有什么優(yōu)點？ 8.3 IDS常用的檢測引擎技術(shù)有哪些？ 8.4 IDS有哪些局限性？,