网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > IDS/IPS > 文章  
新型蜜罐提高入侵检测准确性
文章来源: techtarget 文章作者: Anne Saita 发布时间: 2006-02-14   字体: [ ]
 

  被人们称作“蜜罐”的诱骗服务器正在被用来研究新的威胁和诱骗攻击者离开真正的企业网络。现在,一种受欢迎的新型综合设备能够提高异常检测的准确性。

  宾夕法尼亚州大学和哥伦比亚大学的研究人员最近披露了一种新的架构。这种架构通过使用蜜罐技术验证被错误分类的信息从而扩充了传统的入侵检测系统和入侵防御系统的功能。

  哥伦比亚大学教授Stelirs Sidiroglou上个星期在巴尔的摩举行的Usenix安全论坛会议上对与会者说,这个机构把蜜罐功能与异常检测系统的功能结合在了一起。

  蜜罐一般是用来诱骗对服务器应用程序中的已知的安全漏洞实施的攻击,而不是诱骗对未知的安全漏洞的攻击或者零日攻击。在流行的入侵防御系统软件和设备中的异常检测系统提供了强大的扫描功能,可以检测出已知的攻击和未知的攻击。但是,也会产生一些虚假的信息。

  “影子蜜罐(Shadow honeypots)”与在网络的服务器和客户机两端运行的受到保护的应用程序的功能完全相同,并且与异常检测系统一起工作。当传感器检测到某些可疑的信息时,便把这些可疑的信息发给影子蜜罐进行进一步的分析。这样就减少了异常检测系统发出错误信息的数量。作为一种备份措施,影子蜜罐将对发送的数据再次进行随机的检查以提高准确性和防止真正的攻击进入网络。

  这两所大学的科学家已经使用Apache网络服务器和Mozilla Firefox网络浏览器对他们的防御缓存溢出等内存攻击的技术进行实验。科学家们在实验中还使用了诸如抽象负载执行(Abstract Payload Execution)和“晨鸟”算法等异常检测技术。最初的结果是很有希望的:影子蜜罐创造了比单独使用入侵检测系统和入侵防御系统更准确的检测结果。但是,这种准确性付出了巨大的处理能力的代价。依据使用情况,监视通向Apache服务器通信的影子蜜罐耗费的处理能力要高出20%至50%。

  学术专家认为,这个概念将推动传统蜜罐的应用,并且减少网络日志中的误报数量以及减少漏报可能被攻击的系统漏洞的次数。这个概念还能够更好地监视针对客户端计算机系统的应用程序的威胁。

--
原文链接: http://security.ccidnet.com/art/231/20060213/427445_1.html

 
推荐文章
·技术知识入门:反NIDS技术应用介
·入侵检测系统逃避技术和对策的介
·黑客经典之恶意SSH登录企图分析(
·虚拟攻防系统--HoneyPot
·用honeypot检测网络入侵
·网络安全新方案-密罐式虚拟主机
·安全防护 - 入侵检测实战之全面
·十大入侵检测系统高风险事件及其
·术语详解: IDS
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统面临的三大挑战
·入侵检测应该与操作系统绑定
 
 
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·IPS vs. IDS 势不两立还
·我们需要什么样的入侵检
·入侵检测系统逃避技术和
·技术知识入门:反NIDS技
·IDS逃避技术和对策
·网络安全新方案-密罐式
·黑客经典之恶意SSH登录
·理解IDS的主动响应机制
相关分类
相关文章
·四项下一代入侵检测关键
·有效使用IDS/IPS的最佳
·网络向导之IDS/IPS的购
·分析筛选IPS的八大定律
·IPS的快跑与慢走—简析I
·深度包检测技术的演进历
·警钟再鸣 防御在入侵的
·入侵检测系统逃避技术和
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $