網(wǎng)絡(luò)攻防原理與技術(shù) 第3版 教案 第13講 入侵檢測(cè)與網(wǎng)絡(luò)欺騙

內(nèi)容備注《網(wǎng)絡(luò)攻防原理與技術(shù)》課程教案講課題目：第十三講入侵檢測(cè)與網(wǎng)絡(luò)欺騙目的要求：入侵檢測(cè)的基本概念；了解基本的入侵檢測(cè)模型；掌握主要的入侵檢測(cè)方法；了解入侵檢測(cè)技術(shù)存在的問(wèn)題；了解網(wǎng)絡(luò)欺騙的基本概念；掌握網(wǎng)絡(luò)欺騙的主要技術(shù)。重點(diǎn)難點(diǎn)：主要的入侵檢測(cè)方法；網(wǎng)絡(luò)欺騙的主要技術(shù)。方法步驟：理論講授。器材保障：電腦、投影儀。主要教學(xué)內(nèi)容:一、入侵檢測(cè)概述(一)入侵檢測(cè)的相關(guān)概念美國(guó)國(guó)家安全通信委員會(huì)下屬的入侵檢測(cè)小組給出的定義：入侵是對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)以及未經(jīng)許可在信息系統(tǒng)中進(jìn)行的操作。如果從信息系統(tǒng)安全屬性的角度看，入侵可以概括為試圖破壞信息系統(tǒng)保密性、完整性、可用性、可控性的各類活動(dòng)。入侵檢測(cè)指的是從計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)中是否有違反安全策略的行為和被攻擊跡象的安全技術(shù)。實(shí)施入侵檢測(cè)的是入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）。除了檢測(cè)入侵外，一些入侵檢測(cè)系統(tǒng)還具備自動(dòng)響應(yīng)的功能。這些入侵檢測(cè)系統(tǒng)往往與防火墻、事件處理與應(yīng)急響應(yīng)系統(tǒng)等安全產(chǎn)品聯(lián)動(dòng)，在檢測(cè)到入侵活動(dòng)時(shí)采取措施。入侵檢測(cè)系統(tǒng)對(duì)防火墻的安全彌補(bǔ)作用主要體現(xiàn)在以下幾方面。1）入侵檢測(cè)可以發(fā)現(xiàn)內(nèi)部的攻擊事件以及合法用戶的越權(quán)訪問(wèn)行為，而位于網(wǎng)絡(luò)邊界的防火墻對(duì)于這些類型的攻擊活動(dòng)無(wú)能為力。2）如果防火墻開放的網(wǎng)絡(luò)服務(wù)存在安全漏洞，那么入侵檢測(cè)系統(tǒng)可以在網(wǎng)絡(luò)攻擊發(fā)生時(shí)及時(shí)發(fā)現(xiàn)并進(jìn)行告警。3）在防火墻配置不完善的條件下，攻擊者可能利用配置漏洞穿越防火墻，入侵檢測(cè)系統(tǒng)能夠發(fā)現(xiàn)此類攻擊行為。4）對(duì)于加密的網(wǎng)絡(luò)通信，防火墻無(wú)法檢測(cè)，但是監(jiān)視主機(jī)活動(dòng)的入侵檢測(cè)系統(tǒng)能夠發(fā)現(xiàn)入侵。5）入侵檢測(cè)系統(tǒng)能夠有效發(fā)現(xiàn)入侵企圖。6）入侵檢測(cè)系統(tǒng)可以提供豐富的審計(jì)信息，詳細(xì)記錄網(wǎng)絡(luò)攻擊過(guò)程，幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)中的脆弱點(diǎn)。(二)通用入侵檢測(cè)模型1987年，Denning在其經(jīng)典論文《入侵檢測(cè)模型（AnIntrusion-DetectionModel）》中提出了一種通用的入侵檢測(cè)模型IDES(IntrusionDetectionExpertSystem)。IDES由6部分組成：主體（Subjects）、客體（Objects）、審計(jì)記錄（AuditRecords）、活動(dòng)概圖（ActivityProfile）、異常記錄（AnomalyRecords）和規(guī)則集（RuleSets）。其中，主體是指活動(dòng)的發(fā)起者，如用戶、進(jìn)程等；客體是指系統(tǒng)中管理的資源，如文件、設(shè)備、命令等；審計(jì)記錄是指系統(tǒng)記錄的主體對(duì)客體的訪問(wèn)信息，如用戶登錄、執(zhí)行命令、訪問(wèn)文件等；活動(dòng)概圖描述主體訪問(wèn)客體時(shí)的行為特點(diǎn)，可用作活動(dòng)的簽名（signature）或正常行為的描述；異常記錄是指當(dāng)系統(tǒng)檢測(cè)到異?；顒?dòng)時(shí)產(chǎn)生的日志記錄；規(guī)則集中的活動(dòng)規(guī)則定義了審計(jì)記錄產(chǎn)生或異常記錄產(chǎn)生或超時(shí)發(fā)生時(shí)系統(tǒng)所應(yīng)執(zhí)行的操作，包括審計(jì)記錄規(guī)則、異常記錄規(guī)則、定期異常分析規(guī)則三類。模型中的規(guī)則集處理引擎相當(dāng)于入侵檢測(cè)引擎，它根據(jù)定義的活動(dòng)規(guī)則和活動(dòng)概圖對(duì)收到的審計(jì)記錄進(jìn)行處理，發(fā)現(xiàn)可能的入侵行為，或定期對(duì)指定的活動(dòng)概圖進(jìn)行更新、對(duì)一段時(shí)間內(nèi)的異常記錄進(jìn)行綜合分析等。另一個(gè)著名的通用入侵檢測(cè)模型是由美國(guó)加州大學(xué)戴維斯分校（UniversityofCaliforniaatDavis）的安全實(shí)驗(yàn)室于1998年提出的通用入侵檢測(cè)框架（CommonIntrusionDetectionFramework，CIDF）。CIDF定義了入侵檢測(cè)系統(tǒng)邏輯組成，表達(dá)檢測(cè)信息的標(biāo)準(zhǔn)語(yǔ)言以及入侵檢測(cè)系統(tǒng)組件之間的通信協(xié)議。CIDF將IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件（Events），定義了四類入侵檢測(cè)系統(tǒng)組件：事件產(chǎn)生器（EventGenerators）、事件分析器（EventAnalyzers）、事件數(shù)據(jù)庫(kù)（EventDatabase）和響應(yīng)單元（ResponseUnits），組件之間通過(guò)通用入侵檢測(cè)對(duì)象（GeneralizedIntrusionDetectionObjects，GIDO）的形式交換數(shù)據(jù)，而GIDO由CIDF定義的公共入侵規(guī)范語(yǔ)言(CommonIntrusionSpecificationLanguage,CISL)來(lái)描述。所有符合CIDF規(guī)范的入侵檢測(cè)系統(tǒng)都可以共享信息，相互通信，協(xié)同工作。這些入侵檢測(cè)系統(tǒng)還可以與其他安全系統(tǒng)相互配合，實(shí)施統(tǒng)一的響應(yīng)和恢復(fù)策略。二、入侵檢測(cè)系統(tǒng)的信息源對(duì)于入侵檢測(cè)系統(tǒng)而言，信息源的選擇非常關(guān)鍵。信息源提供的數(shù)據(jù)必須具有較好的區(qū)分度，在系統(tǒng)正常運(yùn)作和系統(tǒng)遭受入侵時(shí)存在明顯差異，從而確保入侵檢測(cè)系統(tǒng)可以依據(jù)收集到的信息準(zhǔn)確判斷入侵活動(dòng)。（一）以主機(jī)數(shù)據(jù)作為信息源主機(jī)數(shù)據(jù)主要指操作系統(tǒng)級(jí)別的審計(jì)信息，由操作系統(tǒng)中專門的子系統(tǒng)維護(hù)，或者入侵檢測(cè)系統(tǒng)監(jiān)視操作系統(tǒng)的運(yùn)行獲取。主機(jī)數(shù)據(jù)是最早被入侵檢測(cè)系統(tǒng)使用的信息源。Anderson在提出入侵檢測(cè)這個(gè)概念時(shí)，由于計(jì)算資源昂貴，信息系統(tǒng)大多是以單臺(tái)主機(jī)、多個(gè)終端的形式出現(xiàn)，一臺(tái)主機(jī)的計(jì)算和存儲(chǔ)資源由多個(gè)終端共享。在這種環(huán)境下，用戶對(duì)于系統(tǒng)而言都是本地的。攻擊主要表現(xiàn)為攻擊者偽造身份登陸、合法用戶越權(quán)操作等形式。因此，需要通過(guò)收集主機(jī)的一些數(shù)據(jù)信息進(jìn)行入侵判定。操作系統(tǒng)的審計(jì)記錄是經(jīng)常被用于入侵檢測(cè)的一類主機(jī)數(shù)據(jù)。審計(jì)記錄由操作系統(tǒng)的審計(jì)子系統(tǒng)產(chǎn)生，按照時(shí)間順序記錄系統(tǒng)中發(fā)生的各類事件。大部分操作系統(tǒng)都有審計(jì)記錄子系統(tǒng)。以操作系統(tǒng)的審計(jì)記錄作為入侵檢測(cè)的依據(jù)主要具有兩方面的突出優(yōu)點(diǎn)。首先，操作系統(tǒng)往往使用了一些安全機(jī)制對(duì)審計(jì)記錄進(jìn)行保護(hù)，用戶難以篡改。其次，審計(jì)記錄可以反映系統(tǒng)內(nèi)核級(jí)的運(yùn)行信息，使得入侵檢測(cè)系統(tǒng)能夠精確發(fā)現(xiàn)系統(tǒng)中的各類異常。從信息源的角度看，采用操作系統(tǒng)的審計(jì)記錄作為信息源也存在一些缺陷。1）不同操作系統(tǒng)在審計(jì)的事件類型、內(nèi)容組織、存儲(chǔ)格式等方面都存在差異，必須考慮各種操作系統(tǒng)審計(jì)機(jī)制的差異。2）操作系統(tǒng)的審計(jì)記錄主要是方便日常管理維護(hù)，同時(shí)記錄一些系統(tǒng)中的違規(guī)操作，其設(shè)計(jì)并不是為入侵檢測(cè)系統(tǒng)提供檢測(cè)依據(jù)。審計(jì)記錄對(duì)于入侵檢測(cè)系統(tǒng)而言包含的冗余信息過(guò)多，分析處理的負(fù)擔(dān)較重。3）入侵檢測(cè)系統(tǒng)所需要的一些判定入侵的事件信息，可能操作系統(tǒng)的審計(jì)記錄中沒(méi)有提供，由于信息的缺失，入侵檢測(cè)系統(tǒng)還必須通過(guò)其他渠道獲取?？紤]到這些原因，一些入侵檢測(cè)系統(tǒng)直接進(jìn)入操作系統(tǒng)底層，截獲自己感興趣的系統(tǒng)信息，并以這些信息作為檢測(cè)入侵的依據(jù)。以應(yīng)用數(shù)據(jù)作為信息源目前很多攻擊針對(duì)具體的網(wǎng)絡(luò)服務(wù)進(jìn)行，如Web服務(wù)、SQLServer服務(wù)等。這些網(wǎng)絡(luò)服務(wù)大多較為復(fù)雜，試圖依據(jù)操作系統(tǒng)級(jí)別的審計(jì)信息判斷某一個(gè)網(wǎng)絡(luò)服務(wù)的運(yùn)行情況，異常困難。特別是在主機(jī)上有多個(gè)網(wǎng)絡(luò)應(yīng)用需要監(jiān)控時(shí)，需要收集的審計(jì)信息迅速增長(zhǎng)，處理和分析的難度大大增加。以應(yīng)用程序日志或者應(yīng)用程序的運(yùn)行記錄作為入侵檢測(cè)系統(tǒng)的信息源，對(duì)于檢測(cè)針對(duì)應(yīng)用的攻擊活動(dòng)存在三方面的優(yōu)勢(shì)。1）精確度高。直接利用應(yīng)用數(shù)據(jù)，可以在最大程度上保證入侵檢測(cè)系統(tǒng)所獲得信息的精確度。2）完整性強(qiáng)。應(yīng)用數(shù)據(jù)能夠最全面地反映應(yīng)用的運(yùn)行狀態(tài)信息。3）采用應(yīng)用數(shù)據(jù)作為入侵檢測(cè)的信息源具有處理開銷低的優(yōu)勢(shì)。應(yīng)用程序日志本身就是應(yīng)用層次的活動(dòng)記錄，可以直接向入侵檢測(cè)系統(tǒng)提供其所關(guān)注的應(yīng)用的運(yùn)行狀況。使用應(yīng)用數(shù)據(jù)作為信息源也存在一些缺陷，主要表現(xiàn)在以下四個(gè)方面。1）應(yīng)用程序日志等數(shù)據(jù)往往缺乏保護(hù)機(jī)制，容易遭受篡改和刪除等破壞。要以此類數(shù)據(jù)作為信息源，必須首先對(duì)數(shù)據(jù)進(jìn)行必要的保護(hù)。2）一些應(yīng)用程序沒(méi)有日志功能，或者日志提供的信息不夠詳盡。如果需要監(jiān)視此類應(yīng)用，入侵檢測(cè)系統(tǒng)必須自主對(duì)應(yīng)用進(jìn)行監(jiān)視，獲取信息以掌握應(yīng)用的運(yùn)行情況。3）在遭受拒絕服務(wù)攻擊時(shí)，很多系統(tǒng)由于資源限制會(huì)停止寫應(yīng)用程序日志，造成信息缺失。4）應(yīng)用程序日志等數(shù)據(jù)適合檢測(cè)針對(duì)應(yīng)用的攻擊。如果攻擊針對(duì)的是操作系統(tǒng)的漏洞或者是網(wǎng)絡(luò)協(xié)議的漏洞，由于攻擊不涉及具體應(yīng)用，往往從應(yīng)用程序日志中無(wú)法看出異常。（三）以網(wǎng)絡(luò)流量作為信息源攻擊者實(shí)施網(wǎng)絡(luò)攻擊時(shí)，如果能夠捕獲攻擊者發(fā)往攻擊目標(biāo)的通信數(shù)據(jù)（網(wǎng)絡(luò)流量），可以從中分析出攻擊者的攻擊意圖和攻擊方法。一些入侵檢測(cè)系統(tǒng)以網(wǎng)絡(luò)流量作為信息源，通過(guò)直接監(jiān)視網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包發(fā)現(xiàn)入侵。也有一些入侵檢測(cè)系統(tǒng)利用各類網(wǎng)絡(luò)統(tǒng)計(jì)數(shù)據(jù)發(fā)現(xiàn)入侵活動(dòng)，這些信息都可以用于入侵檢測(cè)。以網(wǎng)絡(luò)流量作為信息源的入侵檢測(cè)系統(tǒng)常常直接從網(wǎng)絡(luò)獲取數(shù)據(jù)包。因?yàn)槿绻蕾囉诘谌皆O(shè)備的日志或者統(tǒng)計(jì)信息，往往信息不夠全面，存在局限性。另外，如果要求實(shí)時(shí)地發(fā)現(xiàn)入侵活動(dòng)，入侵檢測(cè)系統(tǒng)在其他設(shè)備處理結(jié)果的基礎(chǔ)上再次加工，必然存在時(shí)間差，而且這種從入侵發(fā)生到入侵活動(dòng)被檢測(cè)的時(shí)間差在很大程度取決于第三方設(shè)備的處理能力和分析速度。因此，入侵檢測(cè)系統(tǒng)往往采用網(wǎng)絡(luò)監(jiān)聽的方式直接獲取網(wǎng)絡(luò)流量數(shù)據(jù)包，以便更高效地進(jìn)行入侵分析。入侵檢測(cè)系統(tǒng)采用網(wǎng)絡(luò)流量作為信息源有很多突出優(yōu)勢(shì)，主要表現(xiàn)在以下幾個(gè)方面。1）可以以獨(dú)立的主機(jī)進(jìn)行檢測(cè)，網(wǎng)絡(luò)流量的收集和分析不會(huì)影響業(yè)務(wù)主機(jī)的運(yùn)作性能。2）以被動(dòng)監(jiān)聽的方式獲取網(wǎng)絡(luò)數(shù)據(jù)包，不降低網(wǎng)絡(luò)性能。3）這種入侵檢測(cè)系統(tǒng)本身不容易遭受攻擊，因?yàn)槠鋵?duì)于網(wǎng)絡(luò)用戶而言完全透明，攻擊者難以判斷網(wǎng)絡(luò)中是否存在入侵檢測(cè)系統(tǒng)，入侵檢測(cè)系統(tǒng)位于何處。4），相對(duì)于以主機(jī)數(shù)據(jù)作為信息源的入侵檢測(cè)系統(tǒng)，以網(wǎng)絡(luò)流量作為信息源的入侵檢測(cè)系統(tǒng)可以更快速、有效地檢測(cè)很多類型的網(wǎng)絡(luò)攻擊活動(dòng)。5）網(wǎng)絡(luò)數(shù)據(jù)包遵循統(tǒng)一的通信協(xié)議，標(biāo)準(zhǔn)化程度高，可以便捷地將此類入侵檢測(cè)系統(tǒng)移植到不同系統(tǒng)平臺(tái)上。以網(wǎng)絡(luò)數(shù)據(jù)為基礎(chǔ)進(jìn)行入侵檢測(cè)也存在一些缺陷。首先，如果通信數(shù)據(jù)經(jīng)過(guò)了加密，那么入侵檢測(cè)系統(tǒng)將難以對(duì)數(shù)據(jù)包進(jìn)行分析。其次，目前大部分網(wǎng)絡(luò)都是寬帶網(wǎng)絡(luò)，入侵檢測(cè)系統(tǒng)對(duì)每個(gè)數(shù)據(jù)包進(jìn)行分析，處理開銷很高。再者，由于此類入侵檢測(cè)系統(tǒng)往往監(jiān)控整個(gè)網(wǎng)絡(luò)，保護(hù)網(wǎng)絡(luò)上的所有主機(jī)，從單臺(tái)主機(jī)保護(hù)的角度來(lái)看，粒度不像以主機(jī)數(shù)據(jù)作為信息源那么精細(xì)。三、入侵檢測(cè)系統(tǒng)的分類根據(jù)入侵檢測(cè)系統(tǒng)信息源的不同，可以將入侵檢測(cè)系統(tǒng)劃分為基于主機(jī)的入侵檢測(cè)系統(tǒng)（Host-basedIDS,HIDS）、基于應(yīng)用的入侵檢測(cè)系統(tǒng)（Application-basedIDS,AIDS）和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（Network-basedIDS,NIDS）三種類型。（一）基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)系統(tǒng)常常被簡(jiǎn)稱為主機(jī)入侵檢測(cè)系統(tǒng)，它們以主機(jī)數(shù)據(jù)作為信息源。此類系統(tǒng)安裝在被保護(hù)的主機(jī)上，綜合分析主機(jī)系統(tǒng)的日志記錄、目錄和文件的異常變化、程序執(zhí)行中的異常等信息來(lái)搜尋主機(jī)被入侵的跡象，為相應(yīng)的主機(jī)系統(tǒng)提供安全保護(hù)。此類入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)在于可以嚴(yán)密監(jiān)控系統(tǒng)中的各類信息，精準(zhǔn)掌握被保護(hù)主機(jī)的安全情況。其主要問(wèn)題是必須與主機(jī)上運(yùn)行的操作系統(tǒng)緊密結(jié)合，對(duì)操作系統(tǒng)有很強(qiáng)的依賴性。此外，入侵檢測(cè)系統(tǒng)安裝在被保護(hù)主機(jī)上會(huì)占用主機(jī)系統(tǒng)的資源，在一定程度上降低系統(tǒng)的性能。（二）基于應(yīng)用的入侵檢測(cè)系統(tǒng)基于應(yīng)用的入侵檢測(cè)系統(tǒng)以應(yīng)用數(shù)據(jù)作為信息源。此類入侵檢測(cè)系統(tǒng)監(jiān)視應(yīng)用程序在運(yùn)行過(guò)程中的各種活動(dòng)，監(jiān)視的內(nèi)容更為具體。如果要檢測(cè)針對(duì)特定應(yīng)用的網(wǎng)絡(luò)攻擊，基于應(yīng)用的入侵檢測(cè)系統(tǒng)最為合適。此類入侵檢測(cè)系統(tǒng)存在兩個(gè)明顯的局限。第一，應(yīng)用程序千差萬(wàn)別，基于應(yīng)用的入侵檢測(cè)系統(tǒng)要求與具體應(yīng)用緊密綁定，針對(duì)性強(qiáng)；第二，應(yīng)用本身會(huì)不斷更新升級(jí)，在升級(jí)的過(guò)程中應(yīng)用可能會(huì)發(fā)生很大的變化，基于應(yīng)用的入侵檢測(cè)系統(tǒng)必須伴隨應(yīng)用的升級(jí)而升級(jí)，這就導(dǎo)致此類入侵檢測(cè)系統(tǒng)研發(fā)和維護(hù)的成本都異常高昂。（三）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)常常被簡(jiǎn)稱為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，以網(wǎng)絡(luò)流量作為信息源。通常而言，此類入侵檢測(cè)系統(tǒng)安裝在需要保護(hù)的網(wǎng)段內(nèi)，采用網(wǎng)絡(luò)監(jiān)聽技術(shù)捕獲傳輸?shù)母黝悢?shù)據(jù)包，同時(shí)可以結(jié)合一些網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)信息統(tǒng)計(jì)數(shù)據(jù)，發(fā)現(xiàn)可疑的網(wǎng)絡(luò)攻擊行為?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)具有隱蔽性好、對(duì)被保護(hù)系統(tǒng)影響小等優(yōu)點(diǎn)，同時(shí)也存在粒度粗、難以處理加密數(shù)據(jù)等方面的缺陷。四、入侵檢測(cè)方法入侵檢測(cè)的關(guān)鍵是對(duì)收集到的各種安全事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為。入侵檢測(cè)的分析方法主要包括兩類，一類稱為基于特征的入侵檢測(cè)，簡(jiǎn)稱為特征檢測(cè)（SignatureDetection,SD）；另外一類稱為基于異常的入侵檢測(cè)，簡(jiǎn)稱為異常檢測(cè)（AnomalyDetection,AD），每一類分析方法又可細(xì)分出更多的子類。兩種檢測(cè)方法各有優(yōu)缺點(diǎn)，也都有多種具體的實(shí)現(xiàn)方式。（一）特征檢測(cè)特征檢測(cè)，也常常被稱為濫用檢測(cè)（misusedetection），這種檢測(cè)方法的基本思路是事先提取出描述各類攻擊活動(dòng)的特征信息，利用攻擊特征對(duì)指定的數(shù)據(jù)內(nèi)容進(jìn)行監(jiān)視，一旦發(fā)現(xiàn)攻擊特征在監(jiān)視的數(shù)據(jù)中出現(xiàn)，即判定系統(tǒng)內(nèi)發(fā)生了相應(yīng)的攻擊活動(dòng)。采用特征檢測(cè)方法，首先需要收集各種入侵活動(dòng)的行為特征。被用于入侵檢測(cè)的攻擊特征必須具有很好的區(qū)分度，即這種特征出現(xiàn)在攻擊活動(dòng)中，而在系統(tǒng)正常的運(yùn)行過(guò)程中通常不會(huì)發(fā)生。在收集到入侵特征以后，通常需要使用專門的語(yǔ)言對(duì)特征進(jìn)行描述。用語(yǔ)言描述攻擊特征可以看作對(duì)攻擊特征進(jìn)行標(biāo)準(zhǔn)化處理，在此基礎(chǔ)上攻擊特征才能夠加入特征庫(kù)。在特征庫(kù)建立完善以后，可以以特征庫(kù)為基礎(chǔ)，監(jiān)視收集到的數(shù)據(jù)。如果某段數(shù)據(jù)與特征庫(kù)中的某種攻擊特征匹配，則入侵檢測(cè)系統(tǒng)將發(fā)出攻擊告警，同時(shí)根據(jù)特征庫(kù)的信息，指明攻擊的具體類型。特征檢測(cè)這種分析方法，依賴攻擊特征判定入侵。由于攻擊特征是對(duì)已知攻擊活動(dòng)的總結(jié)，在攻擊特征區(qū)分度很好的情況下，匹配攻擊特征的活動(dòng)可以斷定為入侵。因此，特征檢測(cè)的誤報(bào)率較低，這是這種分析方法最突出的優(yōu)點(diǎn)。特征檢測(cè)的漏報(bào)率高低則取決于特征庫(kù)是否完備。采用特征檢測(cè)的入侵檢測(cè)系統(tǒng)只能發(fā)現(xiàn)在特征庫(kù)中保存了攻擊特征的攻擊方法。如果在特征庫(kù)中沒(méi)有攻擊活動(dòng)的攻擊特征，入侵檢測(cè)系統(tǒng)將無(wú)法發(fā)現(xiàn)相應(yīng)的攻擊，即出現(xiàn)了漏報(bào)。特征檢測(cè)還存在一個(gè)很大的局限，這種檢測(cè)方法只能發(fā)現(xiàn)已知的攻擊類型。因?yàn)橹挥幸呀?jīng)出現(xiàn)過(guò)的攻擊方法或者可以預(yù)見的攻擊方法才會(huì)被總結(jié)為特征，加入到特征庫(kù)當(dāng)中。模式匹配法是最基本的一種特征檢測(cè)方法。采用這種檢測(cè)方法，需要將收集到的入侵特征轉(zhuǎn)換成模式，存放在模式數(shù)據(jù)庫(kù)中。在檢測(cè)過(guò)程中將收集到的數(shù)據(jù)信息與模式數(shù)據(jù)庫(kù)進(jìn)行匹配，從而發(fā)現(xiàn)攻擊行為。（二）異常檢測(cè)異常檢測(cè)也是常用的一種入侵檢測(cè)分析方法。異常檢測(cè)基于這樣一種假設(shè)，即用戶行為、網(wǎng)絡(luò)行為或者系統(tǒng)行為通常有相對(duì)穩(wěn)定的模式，如果在監(jiān)視過(guò)程中發(fā)現(xiàn)行為明顯偏離了正常模式，則認(rèn)為出現(xiàn)了入侵。異常檢測(cè)這種分析方法首先總結(jié)出正常活動(dòng)的特征，建立相應(yīng)的行為模式。在入侵檢測(cè)的過(guò)程中，以正常的行為模式為基礎(chǔ)進(jìn)行判定，將當(dāng)前活動(dòng)與代表正常的行為模式進(jìn)行比較，如果當(dāng)前活動(dòng)與正常行為模式匹配，則認(rèn)為活動(dòng)正常；而如果兩者存在顯著偏差，則判定出現(xiàn)了攻擊。要實(shí)施異常檢測(cè)，通常需要一組能夠標(biāo)識(shí)用戶特征、網(wǎng)絡(luò)特征或者系統(tǒng)特征的測(cè)量參數(shù)?；谶@組測(cè)量參數(shù)建立被監(jiān)控對(duì)象的行為模式并檢測(cè)對(duì)象的行為變化。在此過(guò)程中，有兩個(gè)關(guān)鍵問(wèn)題需要考慮。首先，選擇的各項(xiàng)測(cè)量參數(shù)能否反映被監(jiān)控對(duì)象的行為模式。另外，如何界定正常和異常。異常檢測(cè)通常采用定量分析的方法，一般以閾來(lái)標(biāo)明正常和異常之間的臨界點(diǎn)，閾值指的就是閾所對(duì)應(yīng)的數(shù)值。在實(shí)現(xiàn)異常檢測(cè)時(shí)，可以為每個(gè)測(cè)量參數(shù)設(shè)置一個(gè)閾值，也可以對(duì)多個(gè)測(cè)量參數(shù)進(jìn)行計(jì)算，為計(jì)算結(jié)果設(shè)置閾值。閾值的設(shè)置非常重要，閾值設(shè)置不當(dāng)，將直接影響入侵檢測(cè)的準(zhǔn)確性，導(dǎo)致誤報(bào)或者漏報(bào)。Anderson在技術(shù)報(bào)告《計(jì)算機(jī)安全威脅的監(jiān)控》中提出的入侵檢測(cè)方法就是異常檢測(cè)的方法。Anderson利用異常檢測(cè)來(lái)發(fā)現(xiàn)偽裝者。檢測(cè)方法基于主機(jī)的審計(jì)記錄，為系統(tǒng)中的合法用戶建立正常行為模式，描述用戶的行為特征。在對(duì)審計(jì)記錄進(jìn)行監(jiān)視的過(guò)程中，如果發(fā)現(xiàn)用戶活動(dòng)與正常行為模式的差異超過(guò)了閾值，則進(jìn)行告警；如果兩者的差異在閾值范圍內(nèi)，則視為正常。異常檢測(cè)無(wú)需維護(hù)、更新特征庫(kù)，管理員在此方面的開銷較小。此外，異常檢測(cè)不依賴于具體的、已知的攻擊特征檢測(cè)攻擊，可以判別更廣泛、甚至從未出現(xiàn)過(guò)的攻擊形式。異常檢測(cè)也存在一些缺點(diǎn)。首先，異常檢測(cè)在發(fā)現(xiàn)攻擊時(shí)不能準(zhǔn)確報(bào)告出攻擊類型。此外，異常檢測(cè)的準(zhǔn)確度通常沒(méi)有特征檢測(cè)高。異常檢測(cè)所發(fā)現(xiàn)的異常未必是攻擊活動(dòng)，主要有兩方面的原因。第一，所選擇的測(cè)量參數(shù)是否有足夠強(qiáng)的區(qū)分度，能夠?qū)⒄：彤惓^(qū)分開來(lái)，第二，事先建立的正常模式是否足夠完備，因此，異常檢測(cè)的結(jié)果通常需要進(jìn)一步認(rèn)證。統(tǒng)計(jì)分析法、人工免疫法、機(jī)器學(xué)習(xí)法是異常檢測(cè)的三種典型方法。在實(shí)際應(yīng)用中，如何選擇哪種機(jī)器學(xué)習(xí)算法進(jìn)行異常檢測(cè)呢？一般來(lái)說(shuō)，當(dāng)已標(biāo)記數(shù)據(jù)量充足的情況下，例如具有海量真實(shí)樣本數(shù)據(jù)，此時(shí)優(yōu)先選用有監(jiān)督學(xué)習(xí)，效果一般不錯(cuò)；當(dāng)只有少數(shù)攻擊樣本的情況下，可以考慮用半監(jiān)督學(xué)習(xí)進(jìn)行異常檢測(cè)；當(dāng)遇到一個(gè)新的安全場(chǎng)景，沒(méi)有樣本數(shù)據(jù)或是以往積累的樣本失效的情況下，只有先采用無(wú)監(jiān)督學(xué)習(xí)來(lái)解決異常檢測(cè)問(wèn)題，當(dāng)捕獲到異常并人工審核積累樣本到一定量后，可以轉(zhuǎn)化為半監(jiān)督學(xué)習(xí)，之后就是有監(jiān)督學(xué)習(xí)。2022年底，基于大語(yǔ)言模型的ChatGPT推出后，很多攻擊者利用它來(lái)實(shí)施攻擊，例如快速生成惡意代碼、更具欺騙性的釣魚郵件、指導(dǎo)用戶進(jìn)行滲透攻擊等，對(duì)網(wǎng)絡(luò)入侵檢測(cè)檢測(cè)帶來(lái)了挑戰(zhàn)。（三）入侵檢測(cè)技術(shù)存在的問(wèn)題在實(shí)際應(yīng)用中，入侵檢測(cè)技術(shù)也暴露出了不少問(wèn)題，主要表現(xiàn)為以下四個(gè)方面。1）誤報(bào)率和漏報(bào)率需要進(jìn)一步降低。在實(shí)際應(yīng)用中，漏報(bào)和誤報(bào)是相互抵觸的評(píng)價(jià)標(biāo)準(zhǔn)。大量的誤報(bào)會(huì)分散管理員的精力，使管理員無(wú)法應(yīng)對(duì)真正的攻擊。漏報(bào)的頻繁發(fā)生將給管理員造成虛假的安全景象，網(wǎng)絡(luò)危機(jī)重重，管理員卻得不到必要的告警。2）入侵檢測(cè)技術(shù)不具備主動(dòng)發(fā)現(xiàn)安全漏洞的能力。入侵檢測(cè)技術(shù)屬于被動(dòng)的安全技術(shù)，即在攻擊發(fā)生以后才會(huì)進(jìn)行告警或者其他形式進(jìn)行響應(yīng)，本身不具備主動(dòng)發(fā)現(xiàn)漏洞、防患于未然的能力。3）不斷豐富的網(wǎng)絡(luò)應(yīng)用也對(duì)入侵檢測(cè)提出了挑戰(zhàn)。每種新型業(yè)務(wù)都可能為攻擊者實(shí)施網(wǎng)絡(luò)攻擊提供機(jī)會(huì)，而檢測(cè)針對(duì)不同應(yīng)用的入侵活動(dòng)往往需要采用不同的檢測(cè)方法，這增加了入侵檢測(cè)的復(fù)雜性和處理負(fù)擔(dān)。4）應(yīng)對(duì)復(fù)雜攻擊能力不足。隨著網(wǎng)絡(luò)戰(zhàn)這一新的戰(zhàn)爭(zhēng)形式的出現(xiàn)，以APT攻擊為代表的網(wǎng)絡(luò)攻擊技術(shù)向?qū)I(yè)化、復(fù)雜化、隱蔽化、長(zhǎng)期化方向發(fā)展，給現(xiàn)有的入侵檢測(cè)技術(shù)帶來(lái)了嚴(yán)峻的挑戰(zhàn)，特別是對(duì)一些新的、未知攻擊的檢測(cè)還存在較大差距。五、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)SnortSnort是采用C語(yǔ)言編寫的一款開源網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，最初由MartinRoesch開發(fā)。經(jīng)過(guò)多年的發(fā)展，Snort已由早期的入侵檢測(cè)系統(tǒng)發(fā)展到現(xiàn)在的入侵防御系統(tǒng)（IntrusionPreventionSystem，IPS），與IDS相比，IPS不僅具有IDS的入侵檢測(cè)功能，還具有阻止攻擊的功能。Snort主要由五個(gè)功能模塊組成：數(shù)據(jù)包捕獲、數(shù)據(jù)包解析、數(shù)據(jù)包預(yù)處理、檢測(cè)引擎、日志與報(bào)警輸出等。檢測(cè)引擎是Snort的核心部分，根據(jù)已經(jīng)定義好的規(guī)則文件對(duì)預(yù)處理好的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行規(guī)則匹配，若匹配成功，則通知報(bào)警。Snort的規(guī)則以一種簡(jiǎn)單Snort是一種基于規(guī)則的入侵檢測(cè)系統(tǒng)，用戶只要根據(jù)特征編寫檢測(cè)規(guī)則，并將規(guī)則加入到Snort中，Snort即能夠檢測(cè)相應(yīng)攻擊。Snort提供了一種簡(jiǎn)單但靈活高效的規(guī)則描述語(yǔ)言。Snort的規(guī)則包括兩部分：規(guī)則頭（RuleHeader）和規(guī)則選項(xiàng)（RuleOptions）。Snort規(guī)則的規(guī)則頭主要包括規(guī)則動(dòng)作、協(xié)議、源IP地址、源端口、通信方向、目的IP地址、目的端口等信息。規(guī)則選項(xiàng)是可選的，包含了需要檢查的數(shù)據(jù)內(nèi)容、標(biāo)識(shí)字段、匹配時(shí)的告警消息等內(nèi)容，主要作用是精確定義需要處理的數(shù)據(jù)包類型以及采取的動(dòng)作。為方便不同類型的用戶使用Snort，Snort官網(wǎng)提供了三套規(guī)則集：一套是提供給付費(fèi)用戶的（SubscriberRuleset），這套規(guī)則是最先進(jìn)和及時(shí)的規(guī)則，由CiscoTalos負(fù)責(zé)開發(fā)、測(cè)試、發(fā)布；一套是提供給注冊(cè)用戶的（registeredusersRuleset），這套規(guī)則比提供給付費(fèi)用戶的規(guī)則的延遲30天；還有一套是社區(qū)規(guī)則（CommunityRuleset），可供所有Snort用戶免費(fèi)使用，主要由Snort社區(qū)和CiscoTalos負(fù)責(zé)維護(hù)。用戶也可以根據(jù)自己的實(shí)際需要，依據(jù)Snort規(guī)則描述語(yǔ)言自己編寫規(guī)則，以更好滿足自身的安全需求，提高檢測(cè)效果。一般來(lái)說(shuō)，通過(guò)其他渠道獲得的規(guī)則通常是針對(duì)一些通用性的攻擊方式制訂，如檢查對(duì)某種緩沖區(qū)溢出漏洞的攻擊嘗試，或者檢查某種遠(yuǎn)程控制型木馬的遠(yuǎn)程連接操作。用戶要讓Snort系統(tǒng)真正發(fā)揮防護(hù)效用，必須根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境制訂安全策略，并將安全策略體現(xiàn)到Snort規(guī)則中。六、網(wǎng)絡(luò)欺騙技術(shù)（一）基本概念網(wǎng)絡(luò)欺騙（CyberDeception）最早由美國(guó)普渡大學(xué)的GeneSpafford于1989年提出，它的核心思想是：采用引誘或欺騙戰(zhàn)略，誘使入侵者相信網(wǎng)絡(luò)與信息系統(tǒng)中存在有價(jià)值的、可利用的安全弱點(diǎn)，并具有一些可攻擊竊取的資源，進(jìn)而將入侵者引向這些錯(cuò)誤的資源，同時(shí)安全可靠地記錄入侵者的所有行為，以便全面地了解攻擊者的攻擊過(guò)程和使用的攻擊技術(shù)。一個(gè)理想的網(wǎng)絡(luò)欺騙系統(tǒng)可以使入侵者不會(huì)感到自己很輕易地達(dá)到了期望的目標(biāo)，并使入侵者相信入侵取得了成功。它的作用主要體現(xiàn)現(xiàn)在以下四方面：1）吸引攻擊流量，影響入侵者使之按照防護(hù)方的意志進(jìn)行行動(dòng)；2）檢測(cè)入侵者的攻擊并獲知其攻擊技術(shù)和意圖，并對(duì)入侵行為進(jìn)行告警和取證，收集攻擊樣本；3）增加入侵者的工作量、入侵復(fù)雜度以及不確定性，拖延攻擊者攻擊真實(shí)目標(biāo)；4）為網(wǎng)絡(luò)防護(hù)提供足夠的信息來(lái)了解入侵者，這些信息可以用來(lái)強(qiáng)化現(xiàn)有的安全措施。網(wǎng)絡(luò)欺騙技術(shù)能夠彌補(bǔ)傳統(tǒng)網(wǎng)絡(luò)防御體系的不足，變被動(dòng)防御為主動(dòng)積極防御，與其他多種網(wǎng)絡(luò)安全防護(hù)技術(shù)相結(jié)合，互為補(bǔ)充，共同構(gòu)建多層次的信息安全保障體系。蜜罐蜜罐（Honeypot）是最早采用欺騙技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)。蜜網(wǎng)項(xiàng)目（TheHoneynetProject）創(chuàng)始人LanceSpitzner給出的蜜罐定義是：蜜罐是一種安全資源，其價(jià)值在于被探測(cè)、攻擊或突破。這種安全資源是什么并不重要，重要的是這種安全資源的價(jià)值在于受到攻擊。因此，設(shè)計(jì)一個(gè)蜜罐的目標(biāo)，就是使它被掃描探測(cè)、攻擊或被突破，同時(shí)能夠很好地進(jìn)行安全控制。1.分類依據(jù)不同的分類標(biāo)準(zhǔn)，可以將蜜罐分成多種類型。根據(jù)部署方式可以分為生產(chǎn)型蜜罐和研究型蜜罐。生產(chǎn)型蜜罐一般部署在組織的內(nèi)網(wǎng)中，主要由公司內(nèi)部用來(lái)改善組織網(wǎng)絡(luò)的整體安全狀態(tài)，僅捕獲有限的信息，低交互，易于部署，但提供的攻擊或攻擊者信息較少。研究型蜜罐則一般部署內(nèi)網(wǎng)的出口處或公網(wǎng)上，由某一研究團(tuán)隊(duì)或組織負(fù)責(zé)維護(hù)，主要目的是通過(guò)蜜罐來(lái)收集網(wǎng)絡(luò)攻擊行為和入侵模式信息，以便研究相應(yīng)的防御方法，了解網(wǎng)絡(luò)安全態(tài)勢(shì)。根據(jù)交互程度或逼真程度的高低可以分為低交互蜜罐、中交互蜜罐和高交互蜜罐。低交互蜜罐，提供的網(wǎng)絡(luò)服務(wù)只能與攻擊者進(jìn)行非常有限的交互，類似于按照寫好的劇本與攻擊者進(jìn)行相互，例如一個(gè)Telnet低交互蜜罐并不是完整地實(shí)現(xiàn)了Telnet服務(wù)器的全部協(xié)議功能，而只是“模擬Telnet服務(wù)器”對(duì)有限的幾個(gè)Telnet客戶端請(qǐng)求報(bào)文進(jìn)行響應(yīng)，響應(yīng)的結(jié)果也相對(duì)固定。部署低交互蜜罐的主要目的是為了減輕受保護(hù)網(wǎng)絡(luò)可能會(huì)受到的網(wǎng)絡(luò)安全威脅，捕獲一些簡(jiǎn)單的網(wǎng)絡(luò)攻擊行為。高交互蜜罐則不再是簡(jiǎn)單地模擬某些協(xié)議或服務(wù)，而是提供真實(shí)或接近真實(shí)的網(wǎng)絡(luò)服務(wù)，使得攻擊者很難判斷與其交互的是一個(gè)蜜罐還是一個(gè)真實(shí)的網(wǎng)絡(luò)服務(wù)器。與正常的網(wǎng)絡(luò)服務(wù)不同的是，高交互蜜罐除了提供正常的網(wǎng)絡(luò)服務(wù)功能外，還有一套安全監(jiān)控系統(tǒng)，隱蔽地記錄攻擊者的所有行為，并將這些行為保存到一個(gè)獨(dú)立的日志服務(wù)器中。高交互蜜罐的高成本和強(qiáng)能力，使得其主要用于研究分析網(wǎng)絡(luò)攻擊行為，特別是復(fù)雜的網(wǎng)絡(luò)攻擊。當(dāng)前，很多高級(jí)的網(wǎng)絡(luò)攻擊，如利用未公開的安全漏洞或攻擊手段實(shí)施的攻擊是通過(guò)高交互蜜罐發(fā)現(xiàn)的。介于低交互蜜罐與高交互蜜罐之間的是中交互蜜罐，它通常是模擬的，而不是真實(shí)實(shí)現(xiàn)一個(gè)網(wǎng)絡(luò)服務(wù)或設(shè)備的全部功能，漏洞也是模擬的，能與攻擊者進(jìn)行大部分交互。按照實(shí)現(xiàn)方式可將蜜罐分為物理蜜罐和虛擬蜜罐。物理蜜罐是安裝真實(shí)操作系統(tǒng)和應(yīng)用服務(wù)的計(jì)算機(jī)系統(tǒng)，通過(guò)開放容易受到攻擊的端口，留下可被利用的漏洞來(lái)誘惑攻擊者。物理蜜罐在日常的管理維護(hù)上比較煩瑣，特別是在被攻陷之后，回滾到原來(lái)的配置狀態(tài)需要大量的工作。與物理蜜罐不同的是，虛擬蜜罐是在物理主機(jī)上安裝蜜罐軟件使其可以模擬不同類型的系統(tǒng)和服務(wù)，而且可以在一臺(tái)物理主機(jī)上創(chuàng)建很多個(gè)虛擬蜜罐。虛擬蜜罐主要有兩種部署方式，一種是虛擬機(jī)蜜罐，它利用VMware虛擬機(jī)軟件或者其他虛擬化工具，創(chuàng)建虛擬操作系統(tǒng)，提供和真實(shí)主機(jī)一樣的服務(wù)。這種虛擬蜜罐真實(shí)性高，但是虛擬機(jī)蜜罐可能會(huì)由于占用太多系統(tǒng)資源而破壞了蜜罐正常運(yùn)行。另一種虛擬蜜罐，就是在物理主機(jī)上運(yùn)行的蜜罐，通過(guò)模擬服務(wù)來(lái)吸引攻擊者。但這種蜜罐由于自身程序只有用戶層權(quán)限，不能實(shí)現(xiàn)完整的交互，真實(shí)性較差。2.蜜罐功能和關(guān)鍵技術(shù)低交互蜜罐的功能相對(duì)簡(jiǎn)單，一般包括：①攻擊數(shù)據(jù)捕獲與處理，在一個(gè)或多個(gè)協(xié)議服務(wù)端口上監(jiān)聽，當(dāng)有攻擊數(shù)據(jù)到來(lái)時(shí)捕獲并處理這些攻擊數(shù)據(jù)，必要的時(shí)候還需給出響應(yīng)；②攻擊行為分析，對(duì)攻擊日志進(jìn)行多個(gè)維度的統(tǒng)計(jì)分析，發(fā)現(xiàn)攻擊行為規(guī)律，并用可視化方法展示分析結(jié)果。高交互蜜罐因?yàn)橐峁┍普娴?、有吸引力的目?biāo)，所以要實(shí)現(xiàn)的功能更多、更強(qiáng)，涉及的功能和關(guān)鍵技術(shù)包括：網(wǎng)絡(luò)欺騙、攻擊捕獲、數(shù)據(jù)控制和數(shù)據(jù)分析。網(wǎng)絡(luò)欺騙的目的是對(duì)蜜罐進(jìn)行偽裝，使它在被攻擊者掃描時(shí)表現(xiàn)為網(wǎng)絡(luò)上的真實(shí)主機(jī)。蜜罐的網(wǎng)絡(luò)欺騙技術(shù)根據(jù)物理主機(jī)系統(tǒng)和網(wǎng)絡(luò)的特點(diǎn)，模擬主機(jī)操作系統(tǒng)和網(wǎng)絡(luò)路由，并設(shè)置存在漏洞的服務(wù)，使攻擊者認(rèn)為網(wǎng)絡(luò)主機(jī)中存在能夠利用的漏洞，從而引誘攻擊者對(duì)蜜罐展開攻擊。常用的網(wǎng)絡(luò)欺騙方法主要有：模擬各種系統(tǒng)協(xié)議棧指紋，網(wǎng)絡(luò)流量仿真以及網(wǎng)絡(luò)地址轉(zhuǎn)換等。具體的實(shí)現(xiàn)技術(shù)包括：地址空間欺騙、網(wǎng)絡(luò)流量仿真、網(wǎng)絡(luò)動(dòng)態(tài)配置、多重地址轉(zhuǎn)換和組織信息欺騙等。1）空間欺騙技術(shù)。空間欺騙技術(shù)就是通過(guò)創(chuàng)建蜜罐來(lái)偽裝成實(shí)際不存在的主機(jī)，引誘攻擊者在這些蜜罐上花費(fèi)時(shí)間。利用計(jì)算機(jī)系統(tǒng)的多宿主能力，在單個(gè)物理主機(jī)的網(wǎng)卡上，就能模擬出IP地址和MAC地址均不相同的蜜罐主機(jī)。采用該技術(shù)可以創(chuàng)建整個(gè)內(nèi)網(wǎng)所需要的虛擬主機(jī)。進(jìn)行空間欺騙以后，攻擊者在探測(cè)網(wǎng)絡(luò)的時(shí)候工作量會(huì)極大增加。2）網(wǎng)絡(luò)流量仿真。需要為蜜罐生成仿真流量，來(lái)提高蜜罐的真實(shí)性，使其偽裝成正常主機(jī)。在內(nèi)部網(wǎng)絡(luò)中偽造仿真流量可以采用兩種措施：一是將內(nèi)網(wǎng)中的網(wǎng)絡(luò)流量復(fù)制進(jìn)來(lái)并重現(xiàn)，造成以假亂真的效果；二是依據(jù)一定規(guī)則自動(dòng)生成流量。3）網(wǎng)絡(luò)動(dòng)態(tài)配置。需要配置動(dòng)態(tài)的網(wǎng)絡(luò)路由信息，使整個(gè)網(wǎng)絡(luò)的行為隨時(shí)間發(fā)生改變。為增加欺騙的效果，蜜罐主機(jī)的偽造特征必須盡可能和真實(shí)物理主機(jī)的特征相同。4）多重地址轉(zhuǎn)換。多重地址轉(zhuǎn)換就是執(zhí)行重定向的代理服務(wù)，把蜜罐主機(jī)所在位置和內(nèi)部網(wǎng)絡(luò)的位置分離開來(lái)。主要由代理服務(wù)功能進(jìn)行地址轉(zhuǎn)換，這樣實(shí)際進(jìn)入蜜罐網(wǎng)絡(luò)的流量在外部看來(lái)就是進(jìn)入了內(nèi)部網(wǎng)絡(luò)，并且還可在真實(shí)物理上綁定虛擬的服務(wù)。5）創(chuàng)建組織信息欺騙。根據(jù)內(nèi)部網(wǎng)絡(luò)的實(shí)際情況，在蜜罐主機(jī)上放置相應(yīng)的虛假信息。攻擊者在攻擊蜜罐服務(wù)器獲取到這些數(shù)據(jù)后，就會(huì)相信自己攻擊的是預(yù)定的目標(biāo)主機(jī)。攻擊捕獲是指采集攻擊者對(duì)網(wǎng)絡(luò)實(shí)施攻擊的相關(guān)信息，通過(guò)分析捕獲的信息，可以研究攻擊者所利用的系統(tǒng)漏洞，獲取新的攻擊方式，甚至是零日攻擊。數(shù)據(jù)控制的目的是限制蜜罐向外發(fā)起的連接，確保蜜罐不會(huì)成為攻擊者的跳板。它通常遵循這樣的原則：對(duì)流出蜜罐的數(shù)據(jù)，限制連接的數(shù)量和速度。數(shù)據(jù)分析是指對(duì)蜜罐采集到的信息進(jìn)行多個(gè)維度的統(tǒng)計(jì)分析，發(fā)現(xiàn)攻擊行為規(guī)律，并用可視化方法展示分析結(jié)果。蜜網(wǎng)蜜網(wǎng)（Honeynet）是由多個(gè)蜜罐組成的欺騙網(wǎng)絡(luò)，蜜網(wǎng)中通常包含不同類型的蜜罐，可以在多個(gè)層面捕獲攻擊信息，以滿足不同的安全需求。蜜網(wǎng)既可以用多個(gè)物理蜜罐來(lái)構(gòu)建，也可以由多個(gè)虛擬蜜罐組成。目前，通過(guò)虛擬化技術(shù)（如VMware）可以方便地把多個(gè)虛擬蜜罐部署在單個(gè)服務(wù)器主機(jī)上。虛擬蜜網(wǎng)技術(shù)使得蜜網(wǎng)的建設(shè)非常方便，不用構(gòu)建煩瑣的物理網(wǎng)絡(luò)。但是這樣虛擬出的網(wǎng)絡(luò)，很有可能被攻擊者識(shí)別，也可能因?yàn)榧茉O(shè)蜜罐的服務(wù)器上存在漏洞而被攻破，從而導(dǎo)致虛擬蜜網(wǎng)的權(quán)限被攻擊者獲得。如果用物理蜜罐來(lái)構(gòu)建，則需要付出比較高的建設(shè)成本和維護(hù)成本。實(shí)際應(yīng)用中，多采用虛實(shí)結(jié)合的方法。最早的蜜網(wǎng)項(xiàng)目是德國(guó)曼海姆大學(xué)LanceSpitzner在1999年開始發(fā)起，并于2000年6月成立的蜜網(wǎng)項(xiàng)目（TheHoneynetProject）。2000年初，蜜網(wǎng)項(xiàng)目組提出了第一代蜜網(wǎng)的架構(gòu)，并進(jìn)行了實(shí)驗(yàn)驗(yàn)證。在第一代蜜網(wǎng)中，各項(xiàng)任務(wù)由不同的蜜罐主機(jī)執(zhí)行，這樣在記錄攻擊信息時(shí)就會(huì)出現(xiàn)不一致的情況。而且，由于攻擊者可以通過(guò)工具掃描整個(gè)網(wǎng)絡(luò)的路由拓?fù)?，這樣就增加了整個(gè)網(wǎng)絡(luò)被攻陷的可能。為了克服第一代蜜網(wǎng)技術(shù)的不足，蜜網(wǎng)項(xiàng)目組提出了第二代蜜網(wǎng)技術(shù)，并在2004年發(fā)布了一個(gè)集成工具包，其中包括部署第二代蜜網(wǎng)所需的所有工具，使得第二代蜜網(wǎng)技術(shù)在應(yīng)用上更加方便。此后，蜜網(wǎng)項(xiàng)目組的工作集中在中央管理服務(wù)器的開發(fā)，基于云思想，將各個(gè)蜜網(wǎng)項(xiàng)目組成員開發(fā)的蜜網(wǎng)捕獲的信息集中上傳到云服務(wù)器，并提供攻擊趨勢(shì)分析功能。隨后，蜜網(wǎng)項(xiàng)目組發(fā)布了最新的蜜網(wǎng)項(xiàng)目工具包，這就是第三代蜜網(wǎng)。在新的工具包中，蜜網(wǎng)的體系結(jié)構(gòu)和原來(lái)大致相同，但基于安全考慮，工具包對(duì)系統(tǒng)功能進(jìn)行了裁剪，刪掉了很多不需要或者可能被攻擊者利用的服務(wù)，只留了一些必要的服務(wù)，大大提高了蜜網(wǎng)整體的安全性。該工具包可以支持在線自動(dòng)化升級(jí)。網(wǎng)絡(luò)欺騙防御Garter對(duì)網(wǎng)絡(luò)欺騙防御的定義為：使用騙局或者假動(dòng)作來(lái)阻撓或者推翻攻擊者的認(rèn)知過(guò)程，擾亂攻擊者的自動(dòng)化工具，延遲或阻斷攻擊者的活動(dòng)，通過(guò)使用虛假的響應(yīng)、有意地混淆、假動(dòng)作、誤導(dǎo)等偽造信息達(dá)到“欺騙”的目的。網(wǎng)絡(luò)欺騙防御技術(shù)通過(guò)混淆的方法隱藏系統(tǒng)的外部特征，使系統(tǒng)展現(xiàn)給攻擊者的是一個(gè)有限甚至完全隱蔽或者錯(cuò)誤的攻擊面，降低暴露給攻擊者并被利用的資源，導(dǎo)致攻擊復(fù)雜度和攻擊者代價(jià)增長(zhǎng)。通過(guò)主動(dòng)暴露受保護(hù)網(wǎng)絡(luò)的真假情況來(lái)提供給攻擊者誤導(dǎo)性信息，讓攻擊者進(jìn)入防御的圈套，并通過(guò)影響攻擊者的行為使其向著有利于防御方的方向發(fā)展。通過(guò)在真實(shí)網(wǎng)絡(luò)系統(tǒng)中布置偽造的數(shù)據(jù)，即使攻擊者成功竊取了真實(shí)的數(shù)據(jù)，也會(huì)因?yàn)樘摷贁?shù)據(jù)的存在而降低了所竊取數(shù)據(jù)的總體價(jià)值。網(wǎng)絡(luò)欺騙防御是一種體系化的防御方法，它將蜜罐、蜜網(wǎng)、混淆等欺騙技術(shù)同防火墻、入侵檢測(cè)系統(tǒng)等傳統(tǒng)防護(hù)機(jī)制有機(jī)結(jié)合起來(lái)，構(gòu)建以欺騙為核心的網(wǎng)絡(luò)安全防御體系。根據(jù)網(wǎng)絡(luò)空間欺騙防御的作用位置不同，可以將其分為不同的層次，包括網(wǎng)絡(luò)層欺騙、終端層欺騙、應(yīng)用層欺騙、以及數(shù)據(jù)層欺騙等。1.網(wǎng)絡(luò)層欺騙網(wǎng)絡(luò)層的欺騙防御技術(shù)考慮的是如何在網(wǎng)絡(luò)中部署欺騙節(jié)點(diǎn)以及如何有效隱藏己方設(shè)備，目前主要用于應(yīng)對(duì)三類典型威脅：網(wǎng)絡(luò)指紋探測(cè)、網(wǎng)絡(luò)竊聽、網(wǎng)絡(luò)滲透。通常將在網(wǎng)絡(luò)層隱藏己方設(shè)備所采用的欺騙技術(shù)，稱為“混淆”。網(wǎng)絡(luò)指紋探測(cè)通常發(fā)生在攻擊的早期階段，在攻擊鏈的偵察階段，攻擊者通過(guò)指紋探測(cè)和掃描獲得網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和可用資產(chǎn)的信息。通過(guò)干擾偵察即可混淆偵查結(jié)果。另外一種欺騙防御方式就是通過(guò)給出錯(cuò)誤掃描結(jié)果來(lái)誤導(dǎo)攻擊者，通過(guò)不斷暴露錯(cuò)誤的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來(lái)誤導(dǎo)攻擊者；通過(guò)提供真假混合的應(yīng)答來(lái)響應(yīng)攻擊者的掃描；以限制攻擊者掃描、發(fā)現(xiàn)、識(shí)別和定位網(wǎng)絡(luò)目標(biāo)。防范操作系統(tǒng)指紋探測(cè)是另一種需要解決的問(wèn)題，目前在這一方面提出了多種欺騙技術(shù)，可以模擬操作系統(tǒng)的多種行為特征，并在此基礎(chǔ)上誤導(dǎo)潛在的攻擊者，達(dá)到迷惑攻擊者并延遲其工作進(jìn)展的目標(biāo)。為了防止網(wǎng)絡(luò)滲透，目前主要的欺騙方式是設(shè)置虛假資產(chǎn)來(lái)增大目標(biāo)空間，進(jìn)而分散攻擊者對(duì)真實(shí)目標(biāo)的注意力。2.系統(tǒng)層欺騙防御技術(shù)系統(tǒng)層的欺騙防御主要采用基于設(shè)備的