设置陷阱
网络陷阱技术主要包括: 伪装技术(系统伪装、服务伪装等)、诱骗技术、引入技术、信息控制技术(防止攻击者通过陷阱实现跳转攻击)、数据捕获技术(用于获取并记录相关攻击信息)及数据统计和分析技术等。
网络陷阱和诱骗系统是一个主动防御体系。它是由放置在网络中的若干陷阱机、主动引入模块(完成与放火墙、入侵检测系统的联动功能)以及一个远程管理控制台组成。这些分布在网络中的陷阱机与防火墙、IDS等安全产品联动,可以形成一个联合的安全防御体系,实现提高网络安全性的目的,如附图所示。其中,每个陷阱机就是一台欺骗主机,它能够对受保护机进行模拟,包括操作系统类型、系统和应用服务等。另外它还具有强大的日志记录功能,能够对入侵过程进行详细的记录和监视,在必要的情况下,对入侵者进行跟踪。
管理控制台是一台远程主机,可以对网络中所有的陷阱机进行远程控制和监视,能够接收从陷阱机发送过来的入侵日志并根据入侵的不同程度提出警报。同时具有强大的分析功能,根据接收到的入侵日志对黑客的行为、特点等进行详细分析。同时,由于黑客进入的是陷阱机,不会对网络造成威胁。
在陷阱网络诱骗机制和主动引入的作用下,黑客的入侵行为被引入到一个安全、可控的模拟环境,消耗黑客的时间,了解其使用的技术和攻击方法,记录黑客来源和犯罪证据,从而有效地防范黑客入侵,打击计算机犯罪。
网络陷阱与诱骗系统适用于各种规格的局域网,在网络防火墙、入侵检测系统等其他安全措施的配合下,能弥补原有安全防御的不足,大大地提升网络安全防护性能。
一个成熟的网络陷阱一般要求能满足以下功能:
■ 能检测攻击类型: ICMP(控制报文协议)、CGI(通用网关接口)、FTP、Telnet、端口扫描、用户账号、服务扫描、操作系统扫描、清除日志等;
■ 具备IP空间欺骗技术: 能够实现IP空间欺骗;
■ 包含网络流量仿真软件: 能够模拟正常服务的网络流量;
■ 自动阻断功能: 外出连接数目达到设定阀值后,连接控制能够自动阻断连接;