論文關(guān)鍵詞：檔案信息化 網(wǎng)絡(luò)欺騙 欺騙空間 協(xié)議欺騙

　　論文摘要：檔案信息化進(jìn)程的加快為檔案事業(yè)帶來了無限發(fā)展的空間，同時(shí)，檔案信息安全問題也遇到了前所未有的挑戰(zhàn)。本文對(duì)幾種常用的欺騙技術(shù)在檔案信息化工作中的應(yīng)用進(jìn)行了分析，對(duì)構(gòu)建檔案信息網(wǎng)絡(luò)安全系統(tǒng)有一定的參考作用。

　　網(wǎng)絡(luò)欺騙就是使網(wǎng)絡(luò)入侵者相信檔案信息系統(tǒng)存在有價(jià)值的、可利用的安全弱點(diǎn)，并具有一些值得攻擊竊取的資源，并將入侵者引向這些錯(cuò)誤的實(shí)際上是偽造的或不重要的資源。它能夠顯著地增加網(wǎng)絡(luò)入侵者的工作量、人侵難度以及不確定性，從而使網(wǎng)絡(luò)入侵者不知道其進(jìn)攻是否奏效或成功。它允許防護(hù)者跟蹤網(wǎng)絡(luò)入侵者的行為，在網(wǎng)絡(luò)入侵者之前修補(bǔ)系統(tǒng)可能存在的安全漏洞。理論上講，每個(gè)有價(jià)值的網(wǎng)絡(luò)系統(tǒng)都存在安全弱點(diǎn)，而且這些弱點(diǎn)都可能被網(wǎng)絡(luò)人侵者所利用。網(wǎng)絡(luò)欺騙的主要作用是：影響網(wǎng)絡(luò)入侵者使之遵照用戶的意志、迅速檢測到網(wǎng)絡(luò)入侵者的進(jìn)攻并獲知進(jìn)攻技術(shù)和意圖、消耗網(wǎng)絡(luò)入侵者的資源。下面將分析網(wǎng)絡(luò)欺騙的主要技術(shù)。

　　一、蜜罐技術(shù)和蜜網(wǎng)技術(shù)

　　1．蜜罐技術(shù)。網(wǎng)絡(luò)欺騙一般通過隱藏和安插錯(cuò)誤信息等技術(shù)手段實(shí)現(xiàn)，前者包括隱藏服務(wù)、多路徑和維護(hù)安全狀態(tài)信息機(jī)密件，后者包括重定向路由、偽造假信息和設(shè)置圈套等。綜合這些技術(shù)方法，最早采用的網(wǎng)絡(luò)欺騙是蜜罐技術(shù)，它將少量的有吸引力的目標(biāo)放置在網(wǎng)絡(luò)入侵者很容易發(fā)現(xiàn)的地方，以誘使入侵者上當(dāng)。這種技術(shù)目的是尋找一種有效的方法來影響網(wǎng)絡(luò)入侵者，使得網(wǎng)絡(luò)入侵者將攻擊力集中到蜜罐技術(shù)而不是其他真正有價(jià)值的正常系統(tǒng)和資源中。蜜罐技術(shù)還可以做到一旦入侵企圖被檢測到時(shí)，迅速地將其重定向。

　　盡管蜜罐技術(shù)可以迅速重定向，但對(duì)高級(jí)的網(wǎng)絡(luò)入侵行為，該技術(shù)就力不從心了。因此，分布式蜜罐技術(shù)便應(yīng)運(yùn)而生，它將欺騙散布在網(wǎng)絡(luò)的正常系統(tǒng)和資源中，利用閑置的服務(wù)端口來充當(dāng)欺騙通道，從而增大了網(wǎng)絡(luò)入侵者遭遇欺騙的可能性。分布式蜜罐技術(shù)有兩個(gè)直接的效果，首先是將欺騙分布到更廣范圍的lP地址和端口空間中，其次是增大了欺騙在整個(gè)網(wǎng)絡(luò)中的比例，使得欺騙比安全弱點(diǎn)被網(wǎng)絡(luò)入侵者發(fā)現(xiàn)的可能性增大。

　　分布式蜜罐技術(shù)也不是十全十美的，它的局限性體現(xiàn)在三個(gè)方面：一是它對(duì)整個(gè)空間搜索的網(wǎng)絡(luò)掃描無效；二是只提供了質(zhì)量較低的欺騙；三是只相對(duì)使整個(gè)搜索空間的安全弱點(diǎn)減少。而且，這種技術(shù)的一個(gè)更為嚴(yán)重的缺陷是它只對(duì)遠(yuǎn)程掃描有效。如果入侵已經(jīng)部分進(jìn)入到檔案信息網(wǎng)絡(luò)系統(tǒng)中，真正的網(wǎng)絡(luò)服務(wù)對(duì)網(wǎng)絡(luò)入侵者已經(jīng)透明，那么這種欺騙將失去作用。

　　蜜罐技術(shù)收集的資料可能是少量的，但往往都具有很高的價(jià)值，它免除了在大量的無關(guān)信息中尋找有價(jià)值信息的繁雜度，這在研究網(wǎng)絡(luò)安全時(shí)是一大優(yōu)勢?，F(xiàn)在互聯(lián)網(wǎng)應(yīng)用的發(fā)展速度很快，用戶每時(shí)每刻所面對(duì)的都是海量的垃圾信息。如何在大量的信息和資料中找到所需要的部分，越來越成為人們關(guān)注的問題。蜜罐技術(shù)的一個(gè)最大優(yōu)點(diǎn)，就是能使用戶簡單快速地收集到最關(guān)鍵的信息，并對(duì)問題進(jìn)行最直接的分析和理解。

　　許多安全工具在應(yīng)用時(shí)往往會(huì)受到網(wǎng)絡(luò)帶寬和存儲(chǔ)容量的限制。丑志服務(wù)器也很難收集所有的系統(tǒng)日志，而會(huì)流失一些有用的日志記錄。蜜罐技術(shù)則沒有這個(gè)問題，因?yàn)樗鼉H僅去截取與陷阱網(wǎng)絡(luò)和系統(tǒng)有密切關(guān)系的行為，并且可以自由設(shè)置檢測和記錄對(duì)象，所以更為靈活和易用。

　　但是蜜罐技術(shù)的一個(gè)缺點(diǎn)是消息收集點(diǎn)不能太多。如果蜜罐技術(shù)設(shè)置了一個(gè)很大的系統(tǒng)漏洞，但如果沒有黑客進(jìn)行攻擊，蜜罐技術(shù)一點(diǎn)價(jià)值都沒有了。另外，蜜罐技術(shù)也無法得知任何未授權(quán)的行為。再有，蜜罐技術(shù)也可能為用戶招致風(fēng)險(xiǎn)，可能被高明的黑客作為另外——次攻擊的平臺(tái)。所以在檔案系統(tǒng)網(wǎng)絡(luò)管理工作中合理設(shè)定和利用蜜罐技術(shù)也是至關(guān)重要的。

蜜網(wǎng)技術(shù)。蜜網(wǎng)技術(shù)是一個(gè)故意設(shè)計(jì)的存在缺陷的系統(tǒng)，可以用來對(duì)檔案信息網(wǎng)絡(luò)入侵者的行為進(jìn)行誘騙，以保護(hù)檔案信息的安全。傳統(tǒng)的蜜罐技術(shù)用來模擬系統(tǒng)一些常見漏洞，而蜜網(wǎng)技術(shù)則有所不同，它是一個(gè)學(xué)習(xí)的工具，是一個(gè)網(wǎng)絡(luò)系統(tǒng)，并非是一臺(tái)單一主機(jī)，這一網(wǎng)絡(luò)系統(tǒng)隱藏在防火墻的后面，所有進(jìn)出的資料都受到監(jiān)控、捕獲及控制。這些被捕獲的資料用于研究分析檔案網(wǎng)絡(luò)入侵者所使用的工具、方法及動(dòng)機(jī)。在蜜網(wǎng)技術(shù)中，一般都安裝使用了各種不同的操作系統(tǒng)，如Linux和windows NT等。這樣的網(wǎng)絡(luò)環(huán)境看上去更加真實(shí)可怕，不同的系統(tǒng)平臺(tái)運(yùn)行著不同的服務(wù)，如Linux運(yùn)行DNS服務(wù)，Windows NT上運(yùn)行WebServer，而Solaris運(yùn)行FTP Server,用戶可以學(xué)習(xí)不同的工具以及不同的安全策略。在蜜網(wǎng)技術(shù)中所有的系統(tǒng)都是標(biāo)準(zhǔn)的配置，上面運(yùn)行的都是完整的操作系統(tǒng)及應(yīng)用程序．并不去刻意地模仿某種環(huán)境或故意使系統(tǒng)不安全。蜜網(wǎng)技術(shù)是一個(gè)用來研究如何入侵系統(tǒng)的工具，是一個(gè)設(shè)計(jì)合理的實(shí)驗(yàn)網(wǎng)絡(luò)系統(tǒng)。蜜網(wǎng)技術(shù)第一個(gè)組成部分是防火墻，它記錄了所有與本地主機(jī)的聯(lián)接并且提供NAT服務(wù)和DOS保護(hù)、入侵偵測系統(tǒng)(IDS)。IDS和防火墻有時(shí)會(huì)放置在同一個(gè)位置，用來記錄網(wǎng)絡(luò)上的流量且尋找攻擊和入侵的線索。第二個(gè)組成部分是遠(yuǎn)程日志主機(jī)，所有的入侵指令能夠被監(jiān)控并且傳送到通常設(shè)定成遠(yuǎn)程的系統(tǒng)日志。這兩個(gè)部分為檔案系統(tǒng)安全的防護(hù)和治理都起著不可忽視的作用。

　　蜜網(wǎng)技術(shù)是一個(gè)很有價(jià)值的研究、學(xué)習(xí)和教育工具，借著這個(gè)工具，使人們能更好地理解入侵者的攻擊方式，以便準(zhǔn)確及時(shí)地檢測到入侵行為。分析從蜜網(wǎng)技術(shù)收集的信息，可以監(jiān)視并預(yù)測攻擊發(fā)生和發(fā)展的趨勢，從而可以早做預(yù)防，避免更大的損失。

　　二、空間欺騙技術(shù)

　　空問欺騙技術(shù)是通過增加搜索空間來顯著增加檔案系統(tǒng)網(wǎng)絡(luò)入侵者的工作量，從而達(dá)到安全防護(hù)的目的。該技術(shù)運(yùn)用的前提是計(jì)算機(jī)系統(tǒng)可以在一塊網(wǎng)卡上實(shí)現(xiàn)具有眾多IP地址，每個(gè)lP地址都具有自己的MAC地址。這項(xiàng)技術(shù)可用于建立填充一大段地址空間的欺騙，且花費(fèi)極低。這樣許許多多不同的欺騙，就可以在一臺(tái)計(jì)算機(jī)上實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)入侵者的掃描器訪問到網(wǎng)絡(luò)系統(tǒng)的外部路由器并探測到這一欺騙服務(wù)時(shí)，還可將掃描器所有的網(wǎng)絡(luò)流量重定向到欺騙上，使得接下來的遠(yuǎn)程訪問變成這個(gè)欺騙的繼續(xù)。當(dāng)然，采用這種欺騙時(shí)，網(wǎng)絡(luò)流量和服務(wù)的切換必須嚴(yán)格保密，因?yàn)橐坏┍┞毒蛯⒄兄氯肭?，從而?dǎo)致入侵者很容易將任一個(gè)已知有效的服務(wù)和這種用于測試網(wǎng)絡(luò)入侵者的掃描探測及其響應(yīng)的欺騙區(qū)分開來。

　　三、信息迷惑技術(shù)

　　1?。W(wǎng)絡(luò)信息迷惑技術(shù)：網(wǎng)絡(luò)動(dòng)態(tài)配置和網(wǎng)絡(luò)流量仿真。產(chǎn)生仿真流量的目的是使流量分析不能檢測到欺騙的存在。在欺騙系統(tǒng)中產(chǎn)生仿真流量有兩種方法。一種方法是采用實(shí)時(shí)方式或重現(xiàn)方式復(fù)制真正的網(wǎng)絡(luò)流量，這使得欺騙系統(tǒng)與真實(shí)系統(tǒng)十分相似，因?yàn)樗械脑L問鏈接都被復(fù)制。第二種方法是從遠(yuǎn)程產(chǎn)生偽造流量，使網(wǎng)絡(luò)入侵者可以發(fā)現(xiàn)和利用。面對(duì)網(wǎng)絡(luò)入侵技術(shù)的不斷提高，一種網(wǎng)絡(luò)欺騙技術(shù)肯定不能做到總是成功，必須不斷地提高欺騙質(zhì)量，才能使網(wǎng)絡(luò)入侵者難以將合法服務(wù)和欺騙服務(wù)進(jìn)行區(qū)分。

　　真實(shí)的檔案信息網(wǎng)絡(luò)是隨時(shí)間而改變的，是不斷地發(fā)生著信息接收和傳遞的，如果欺騙是靜態(tài)的，那么在入侵者長期監(jiān)視的情況下就會(huì)導(dǎo)致欺騙無效。因此，需要?jiǎng)討B(tài)配置欺騙網(wǎng)絡(luò)以模擬正常的網(wǎng)絡(luò)行為，使欺騙網(wǎng)絡(luò)也和真實(shí)網(wǎng)絡(luò)一樣隨時(shí)間而改變。為使之有效，欺騙特性也應(yīng)該盡可能地反映出真實(shí)系統(tǒng)的特性。例如，計(jì)算機(jī)在下班之后關(guān)機(jī)，那么欺騙計(jì)算機(jī)也應(yīng)該同時(shí)關(guān)機(jī)。其他如周末等特殊時(shí)刻也必須考慮，否則人侵者將很可能發(fā)現(xiàn)被欺騙。

　　2．用戶信息迷惑技術(shù)：組織信息欺騙。如果檔案機(jī)構(gòu)提供有關(guān)個(gè)人和系統(tǒng)信息而訪問，那么欺騙也必須以某種方式反映出這些信息。例如，如果檔案系統(tǒng)的DNS服務(wù)器包含了個(gè)人系統(tǒng)擁有者及其位置的詳細(xì)信息，那就需要在欺騙的DNS列表中具有偽造的擁有者及其位置，否則欺騙很容易被發(fā)現(xiàn)。偽造的人和位置也需要有偽造的信息，如薪酬、個(gè)人記錄等。地址的多次轉(zhuǎn)換能將欺騙網(wǎng)絡(luò)和真實(shí)網(wǎng)絡(luò)分離開來，這樣就能利用真實(shí)的計(jì)算機(jī)替換低可信度的欺騙，增加了間接性和隱蔽性。該技術(shù)出發(fā)點(diǎn)就是重定向代理服務(wù)(通過改寫代理服務(wù)器程序?qū)崿F(xiàn))，由代理服務(wù)進(jìn)行地址轉(zhuǎn)換，使相同的源和目的地址像真實(shí)系統(tǒng)那樣被維護(hù)在欺騙系統(tǒng)中。

　　高可信度的網(wǎng)絡(luò)欺騙，使系統(tǒng)存在的安全弱點(diǎn)有了很好的隱藏偽裝場所，真實(shí)服務(wù)與欺騙服務(wù)幾乎融為一體，使網(wǎng)絡(luò)入侵者難以區(qū)分。在網(wǎng)絡(luò)入侵和安全防護(hù)的相互促進(jìn)發(fā)展過程中，網(wǎng)絡(luò)欺騙技術(shù)將具有廣闊的發(fā)展前景。還可以利用前面介紹的網(wǎng)絡(luò)欺騙方法，結(jié)合網(wǎng)絡(luò)分析系統(tǒng)進(jìn)行分析，從而識(shí)別網(wǎng)絡(luò)攻擊特征，還可能在攻擊中挖掘出新的攻擊?？傊?，網(wǎng)絡(luò)欺騙技術(shù)將是未來檔案信息化網(wǎng)絡(luò)安全體系研究的主要方向，對(duì)新的網(wǎng)絡(luò)攻擊與防守策略將有很大的幫助，對(duì)實(shí)現(xiàn)檔案信息處理和傳輸過程中保密性、完整性、可利用性的有效保持有著重要的意義。

擴(kuò)展閱讀

版權(quán)聲明：