图片47

目前的入侵检测和入侵检测技术都存在着一定的缺陷。为解决这个问题，科技人员引进了一种网络欺骗技术，即蜜罐和蜜网技术。

（1）蜜罐（Honeypot）

蜜罐技术是一种全新的基于网络的入侵检测系统，它能让攻击者更好地识别预先安装好的Honeypot，从而更好地发现攻击和攻击者的行为，并减少攻击造成的破坏。

Honeypot有两个用途：一是监视Honeypot的活动，而不会被攻击者发现.收集所有与攻击者相关的信息；其二，牵制攻击者，让攻击者花费时间和资源来攻击Honeypot，使攻击者远离真实的工作网络。Honeypot要做到这两点，Honeypot必须以类似于实际系统的方式来设计，并且应该包含一系列的文件.目录和其他信息。通过这种方式，攻击者在入侵Honeypot时，会认为他们是控制着一个非常重要的系统，并将充分发挥“天赋”。Honeypot可以像监视器一样监控攻击者的所有行为：记录攻击者的存取权限，捕捉按键，识别存取、修改或删除的文件，指出被攻击者运行的程序，等等。Honeypot通过收集的数据了解攻击者的技术，分析系统存在的漏洞和被攻击的程序，从而作出准确的、快速的反应。

Honeypot可以是一种类似于模拟某些已知漏洞或服务的系统.仿真不同的操作系统.在某一系统中设置，使其成为“牢笼”环境，或者是一个标准的操作系统，在上面打开各种服务。

Honeypot相对于基于网络的入侵检测，有如下几个特点。

1)数据量较小。

Honeypot只收集这些可访问的数据。基于网络的入侵检测可以在相同条件下记录数以千计的报警信息，而Honeypot则只能记录数百条。这样，Honeypot就可以轻松地收集和分析信息。

2)降低错误报告。

Honeypot大大降低了虚警率。Honeypot的任何访问都是非法的，因此，Honeypot探测攻击将非常有效，这将极大地减少甚至避免错误的警报信息。其他安全措施包括增加软件补丁等，也可由网络安全人员集中处理。

3)捕捉漏报。

Honeypot能够轻易识别和捕捉到新的攻击行为。因为与Honeypot有关的任何动作都不正常，所以任何新的.之前未发生的攻击都很容易暴露。

4)减少资源消耗。

Honeypot对资源的需求非常小，即使在大型的网络环境下也是如此。普通的Pentium主机可以模拟C类网络，其中有多个IP地址。

(2)蜜网(Honeynet)

蜜网的概念是从Honeypot开发出来的。最初，人们为了研究黑客的入侵行为，在网络上设置了一些特殊的计算机，并在其上运行专用的模拟软件，这样外部世界看起来就像网络上运行某些操作系统的主机。将这些电脑安装到网络上，并对其进行低级别的安全保护，可以让入侵者更容易地进入系统。闯入者进入系统后，其所有行为将受到系统软件的监视和记录。通过收集关于入侵者行为的数据，系统软件可以分析入侵者的行为。现在Honeypot已经有很多软件可以模拟各种操作系统，比如Windows、RadHat、FreeBSD，即使是Cisco路由器的iOS系统，模拟软件无法完全反映网络的真实状态，也无法模拟真实网络中出现的各种情况。而Honeynet上收集的数据受到了极大的限制，于是就出现了Honeynet系统。