一个成功的防护措施,可以拖延攻击者,同时能给防御者提供足够的信息来了解黑客,将攻击造成的损失降至最低。网络安全防御者通过提供虚假信息,迫使攻击者浪费时间做无益的进攻,以减弱后续的入侵力量;同时,还可获得攻击者手法和动机等相关信息,这些信息日后可用来强化现有的安全措施,例如防火墙规则和配置等。网络陷阱技术就是基于这一思路设计和开发的。
设置陷阱
网络陷阱技术主要包括:伪装技术(系统伪装、服务伪装等)、诱骗技术、引入技术、信息控制技术(防止攻击者通过陷阱实现跳转攻击)、数据捕获技术(用于获取并记录相关攻击信息)及数据统计和分析技术等。
网络陷阱和诱骗系统是一个主动防御体系。它是由放置在网络中的若干陷阱机、主动引入模块(完成与防火墙、入侵检测系统的联动功能)以及一个远程管理控制台组成。这些分布在网络中的陷阱机与防火墙、IDS等安全产品联动,可以形成一个联合的安全防御体系,实现提高网络安全性的目的,如附图所示。其中,每个陷阱机就是一台欺骗主机,它能够对受保护机进行模拟,包括操作系统类型、系统和应用服务等。另外它还具有强大的日志记录功能,能够对入侵过程进行详细的记录和监视,在必要的情况下,对入侵者进行跟踪。
管理控制台是一台远程主机,可以对网络中所有的陷阱机进行远程控制和监视,能够接收从陷阱机发送过来的入侵日志并根据入侵的不同程度提出警报。同时具有强大的分析功能,根据接收到的入侵日志对黑客的行为、特点等进行详细分析。同时,由于黑客进入的是陷阱机,不会对网络造成威胁。
在陷阱网络诱骗机制和主动引入的作用下,黑客的入侵行为被引入到一个安全、可控的模拟环境,消耗黑客的时间,了解其使用的技术和攻击方法,记录黑客来源和犯罪证据,从而有效地防范黑客入侵,打击计算机犯罪。
网络陷阱与诱骗系统适用于各种规格的局域网,在网络防火墙、入侵检测系统等其他安全措施的配合下,能弥补原有安全防御的不足,大大地提升网络安全防护性能。
| 
