新型蜜罐提高入侵檢測準確性
作者:Anne Saita 來源:techtarget 發佈時間:2006.02.14
被人們稱作“蜜罐”的誘騙伺服器正在被用來研究新的威脅和誘騙攻擊者離開真正的企業網路。現在,一種受歡迎的新型綜合設備能夠提高異常檢測的準確性。
賓夕法尼亞州大學和哥倫比亞大學的研究人員最近披露了一種新的架構。這種架構通過使用蜜罐技術驗證被錯誤分類的資訊從而擴充了傳統的入侵檢測系統和入侵防禦系統的功能。
哥倫比亞大學教授Stelirs Sidiroglou上個星期在巴爾的摩舉行的Usenix安全論壇會議上對與會者說,這個機構把蜜罐功能與異常檢測系統的功能結合在了一起。
蜜罐一般是用來誘騙對伺服器應用程式中的已知的安全漏洞實施的攻擊,而不是誘騙對未知的安全漏洞的攻擊或者零日攻擊。在流行的入侵防禦系統軟體和設備中的異常檢測系統提供了強大的掃描功能,可以檢測出已知的攻擊和未知的攻擊。但是,也會產生一些虛假的資訊。
“影子蜜罐(Shadow honeypots)”與在網路的伺服器和客戶機兩端運行的受到保護的應用程式的功能完全相同,並且與異常檢測系統一起工作。當感測器檢測到某些可疑的資訊時,便把這些可疑的資訊發給影子蜜罐進行進一步的分析。這樣就減少了異常檢測系統發出錯誤資訊的數量。作為一種備份措施,影子蜜罐將對發送的資料再次進行隨機的檢查以提高準確性和防止真正的攻擊進入網路。
這兩所大學的科學家已經使用Apache網路服務器和Mozilla Firefox網路流覽器對他們的防禦緩存溢出等記憶體攻擊的技術進行實驗。科學家們在實驗中還使用了諸如抽象負載執行(Abstract Payload Execution)和“晨鳥”演算法等異常檢測技術。最初的結果是很有希望的:影子蜜罐創造了比單獨使用入侵檢測系統和入侵防禦系統更準確的檢測結果。但是,這種準確性付出了巨大的處理能力的代價。依據使用情況,監視通向Apache伺服器通信的影子蜜罐耗費的處理能力要高出20%至50%。
學術專家認為,這個概念將推動傳統蜜罐的應用,並且減少網路日誌中的誤報數量以及減少漏報可能被攻擊的系統漏洞的次數。這個概念還能夠更好地監視針對用戶端電腦系統的應用程式的威脅。
http://tech.ccidnet.com/art/231/20060213/427445_1.html
登入
註冊
問答集
搜尋
