內容備注《網絡攻防原理與技術》課程教案講課題目：第十三講入侵檢測與網絡欺騙目的要求：入侵檢測的基本概念；了解基本的入侵檢測模型；掌握主要的入侵檢測方法；了解入侵檢測技術存在的問題；了解網絡欺騙的基本概念；掌握網絡欺騙的主要技術。重點難點：主要的入侵檢測方法；網絡欺騙的主要技術。方法步驟：理論講授。器材保障：電腦、投影儀。主要教學內容:一、入侵檢測概述(一)入侵檢測的相關概念美國國家安全通信委員會下屬的入侵檢測小組給出的定義：入侵是對信息系統的非授權訪問以及未經許可在信息系統中進行的操作。如果從信息系統安全屬性的角度看，入侵可以概括為試圖破壞信息系統保密性、完整性、可用性、可控性的各類活動。入侵檢測指的是從計算機系統或網絡的若干關鍵點收集信息并進行分析，從中發現系統或網絡中是否有違反安全策略的行為和被攻擊跡象的安全技術。實施入侵檢測的是入侵檢測系統（IntrusionDetectionSystem，IDS）。除了檢測入侵外，一些入侵檢測系統還具備自動響應的功能。這些入侵檢測系統往往與防火墻、事件處理與應急響應系統等安全產品聯動，在檢測到入侵活動時采取措施。入侵檢測系統對防火墻的安全彌補作用主要體現在以下幾方面。1）入侵檢測可以發現內部的攻擊事件以及合法用戶的越權訪問行為，而位于網絡邊界的防火墻對于這些類型的攻擊活動無能為力。2）如果防火墻開放的網絡服務存在安全漏洞，那么入侵檢測系統可以在網絡攻擊發生時及時發現并進行告警。3）在防火墻配置不完善的條件下，攻擊者可能利用配置漏洞穿越防火墻，入侵檢測系統能夠發現此類攻擊行為。4）對于加密的網絡通信，防火墻無法檢測，但是監視主機活動的入侵檢測系統能夠發現入侵。5）入侵檢測系統能夠有效發現入侵企圖。6）入侵檢測系統可以提供豐富的審計信息，詳細記錄網絡攻擊過程，幫助管理員發現網絡中的脆弱點。(二)通用入侵檢測模型1987年，Denning在其經典論文《入侵檢測模型（AnIntrusion-DetectionModel）》中提出了一種通用的入侵檢測模型IDES(IntrusionDetectionExpertSystem)。IDES由6部分組成：主體（Subjects）、客體（Objects）、審計記錄（AuditRecords）、活動概圖（ActivityProfile）、異常記錄（AnomalyRecords）和規則集（RuleSets）。其中，主體是指活動的發起者，如用戶、進程等；客體是指系統中管理的資源，如文件、設備、命令等；審計記錄是指系統記錄的主體對客體的訪問信息，如用戶登錄、執行命令、訪問文件等；活動概圖描述主體訪問客體時的行為特點，可用作活動的簽名（signature）或正常行為的描述；異常記錄是指當系統檢測到異常活動時產生的日志記錄；規則集中的活動規則定義了審計記錄產生或異常記錄產生或超時發生時系統所應執行的操作，包括審計記錄規則、異常記錄規則、定期異常分析規則三類。模型中的規則集處理引擎相當于入侵檢測引擎，它根據定義的活動規則和活動概圖對收到的審計記錄進行處理，發現可能的入侵行為，或定期對指定的活動概圖進行更新、對一段時間內的異常記錄進行綜合分析等。另一個著名的通用入侵檢測模型是由美國加州大學戴維斯分校（UniversityofCaliforniaatDavis）的安全實驗室于1998年提出的通用入侵檢測框架（CommonIntrusionDetectionFramework，CIDF）。CIDF定義了入侵檢測系統邏輯組成，表達檢測信息的標準語言以及入侵檢測系統組件之間的通信協議。CIDF將IDS需要分析的數據統稱為事件（Events），定義了四類入侵檢測系統組件：事件產生器（EventGenerators）、事件分析器（EventAnalyzers）、事件數據庫（EventDatabase）和響應單元（ResponseUnits），組件之間通過通用入侵檢測對象（GeneralizedIntrusionDetectionObjects，GIDO）的形式交換數據，而GIDO由CIDF定義的公共入侵規范語言(CommonIntrusionSpecificationLanguage,CISL)來描述。所有符合CIDF規范的入侵檢測系統都可以共享信息，相互通信，協同工作。這些入侵檢測系統還可以與其他安全系統相互配合，實施統一的響應和恢復策略。二、入侵檢測系統的信息源對于入侵檢測系統而言，信息源的選擇非常關鍵。信息源提供的數據必須具有較好的區分度，在系統正常運作和系統遭受入侵時存在明顯差異，從而確保入侵檢測系統可以依據收集到的信息準確判斷入侵活動。（一）以主機數據作為信息源主機數據主要指操作系統級別的審計信息，由操作系統中專門的子系統維護，或者入侵檢測系統監視操作系統的運行獲取。主機數據是最早被入侵檢測系統使用的信息源。Anderson在提出入侵檢測這個概念時，由于計算資源昂貴，信息系統大多是以單臺主機、多個終端的形式出現，一臺主機的計算和存儲資源由多個終端共享。在這種環境下，用戶對于系統而言都是本地的。攻擊主要表現為攻擊者偽造身份登陸、合法用戶越權操作等形式。因此，需要通過收集主機的一些數據信息進行入侵判定。操作系統的審計記錄是經常被用于入侵檢測的一類主機數據。審計記錄由操作系統的審計子系統產生，按照時間順序記錄系統中發生的各類事件。大部分操作系統都有審計記錄子系統。以操作系統的審計記錄作為入侵檢測的依據主要具有兩方面的突出優點。首先，操作系統往往使用了一些安全機制對審計記錄進行保護，用戶難以篡改。其次，審計記錄可以反映系統內核級的運行信息，使得入侵檢測系統能夠精確發現系統中的各類異常。從信息源的角度看，采用操作系統的審計記錄作為信息源也存在一些缺陷。1）不同操作系統在審計的事件類型、內容組織、存儲格式等方面都存在差異，必須考慮各種操作系統審計機制的差異。2）操作系統的審計記錄主要是方便日常管理維護，同時記錄一些系統中的違規操作，其設計并不是為入侵檢測系統提供檢測依據。審計記錄對于入侵檢測系統而言包含的冗余信息過多，分析處理的負擔較重。3）入侵檢測系統所需要的一些判定入侵的事件信息，可能操作系統的審計記錄中沒有提供，由于信息的缺失，入侵檢測系統還必須通過其他渠道獲取。考慮到這些原因，一些入侵檢測系統直接進入操作系統底層，截獲自己感興趣的系統信息，并以這些信息作為檢測入侵的依據。以應用數據作為信息源目前很多攻擊針對具體的網絡服務進行，如Web服務、SQLServer服務等。這些網絡服務大多較為復雜，試圖依據操作系統級別的審計信息判斷某一個網絡服務的運行情況，異常困難。特別是在主機上有多個網絡應用需要監控時，需要收集的審計信息迅速增長，處理和分析的難度大大增加。以應用程序日志或者應用程序的運行記錄作為入侵檢測系統的信息源，對于檢測針對應用的攻擊活動存在三方面的優勢。1）精確度高。直接利用應用數據，可以在最大程度上保證入侵檢測系統所獲得信息的精確度。2）完整性強。應用數據能夠最全面地反映應用的運行狀態信息。3）采用應用數據作為入侵檢測的信息源具有處理開銷低的優勢。應用程序日志本身就是應用層次的活動記錄，可以直接向入侵檢測系統提供其所關注的應用的運行狀況。使用應用數據作為信息源也存在一些缺陷，主要表現在以下四個方面。1）應用程序日志等數據往往缺乏保護機制，容易遭受篡改和刪除等破壞。要以此類數據作為信息源，必須首先對數據進行必要的保護。2）一些應用程序沒有日志功能，或者日志提供的信息不夠詳盡。如果需要監視此類應用，入侵檢測系統必須自主對應用進行監視，獲取信息以掌握應用的運行情況。3）在遭受拒絕服務攻擊時，很多系統由于資源限制會停止寫應用程序日志，造成信息缺失。4）應用程序日志等數據適合檢測針對應用的攻擊。如果攻擊針對的是操作系統的漏洞或者是網絡協議的漏洞，由于攻擊不涉及具體應用，往往從應用程序日志中無法看出異常。（三）以網絡流量作為信息源攻擊者實施網絡攻擊時，如果能夠捕獲攻擊者發往攻擊目標的通信數據（網絡流量），可以從中分析出攻擊者的攻擊意圖和攻擊方法。一些入侵檢測系統以網絡流量作為信息源，通過直接監視網絡上傳輸的數據包發現入侵。也有一些入侵檢測系統利用各類網絡統計數據發現入侵活動，這些信息都可以用于入侵檢測。以網絡流量作為信息源的入侵檢測系統常常直接從網絡獲取數據包。因為如果依賴于第三方設備的日志或者統計信息，往往信息不夠全面，存在局限性。另外，如果要求實時地發現入侵活動，入侵檢測系統在其他設備處理結果的基礎上再次加工，必然存在時間差，而且這種從入侵發生到入侵活動被檢測的時間差在很大程度取決于第三方設備的處理能力和分析速度。因此，入侵檢測系統往往采用網絡監聽的方式直接獲取網絡流量數據包，以便更高效地進行入侵分析。入侵檢測系統采用網絡流量作為信息源有很多突出優勢，主要表現在以下幾個方面。1）可以以獨立的主機進行檢測，網絡流量的收集和分析不會影響業務主機的運作性能。2）以被動監聽的方式獲取網絡數據包，不降低網絡性能。3）這種入侵檢測系統本身不容易遭受攻擊，因為其對于網絡用戶而言完全透明，攻擊者難以判斷網絡中是否存在入侵檢測系統，入侵檢測系統位于何處。4），相對于以主機數據作為信息源的入侵檢測系統，以網絡流量作為信息源的入侵檢測系統可以更快速、有效地檢測很多類型的網絡攻擊活動。5）網絡數據包遵循統一的通信協議，標準化程度高，可以便捷地將此類入侵檢測系統移植到不同系統平臺上。以網絡數據為基礎進行入侵檢測也存在一些缺陷。首先，如果通信數據經過了加密，那么入侵檢測系統將難以對數據包進行分析。其次，目前大部分網絡都是寬帶網絡，入侵檢測系統對每個數據包進行分析，處理開銷很高。再者，由于此類入侵檢測系統往往監控整個網絡，保護網絡上的所有主機，從單臺主機保護的角度來看，粒度不像以主機數據作為信息源那么精細。三、入侵檢測系統的分類根據入侵檢測系統信息源的不同，可以將入侵檢測系統劃分為基于主機的入侵檢測系統（Host-basedIDS,HIDS）、基于應用的入侵檢測系統（Application-basedIDS,AIDS）和基于網絡的入侵檢測系統（Network-basedIDS,NIDS）三種類型。（一）基于主機的入侵檢測系統基于主機的入侵檢測系統常常被簡稱為主機入侵檢測系統，它們以主機數據作為信息源。此類系統安裝在被保護的主機上，綜合分析主機系統的日志記錄、目錄和文件的異常變化、程序執行中的異常等信息來搜尋主機被入侵的跡象，為相應的主機系統提供安全保護。此類入侵檢測系統的優點在于可以嚴密監控系統中的各類信息，精準掌握被保護主機的安全情況。其主要問題是必須與主機上運行的操作系統緊密結合，對操作系統有很強的依賴性。此外，入侵檢測系統安裝在被保護主機上會占用主機系統的資源，在一定程度上降低系統的性能。（二）基于應用的入侵檢測系統基于應用的入侵檢測系統以應用數據作為信息源。此類入侵檢測系統監視應用程序在運行過程中的各種活動，監視的內容更為具體。如果要檢測針對特定應用的網絡攻擊，基于應用的入侵檢測系統最為合適。此類入侵檢測系統存在兩個明顯的局限。第一，應用程序千差萬別，基于應用的入侵檢測系統要求與具體應用緊密綁定，針對性強；第二，應用本身會不斷更新升級，在升級的過程中應用可能會發生很大的變化，基于應用的入侵檢測系統必須伴隨應用的升級而升級，這就導致此類入侵檢測系統研發和維護的成本都異常高昂。（三）基于網絡的入侵檢測系統基于網絡的入侵檢測系統常常被簡稱為網絡入侵檢測系統，以網絡流量作為信息源。通常而言，此類入侵檢測系統安裝在需要保護的網段內，采用網絡監聽技術捕獲傳輸的各類數據包，同時可以結合一些網絡設備的網絡信息統計數據，發現可疑的網絡攻擊行為。基于網絡的入侵檢測系統具有隱蔽性好、對被保護系統影響小等優點，同時也存在粒度粗、難以處理加密數據等方面的缺陷。四、入侵檢測方法入侵檢測的關鍵是對收集到的各種安全事件進行分析，從中發現違反安全策略的行為。入侵檢測的分析方法主要包括兩類，一類稱為基于特征的入侵檢測，簡稱為特征檢測（SignatureDetection,SD）；另外一類稱為基于異常的入侵檢測，簡稱為異常檢測（AnomalyDetection,AD），每一類分析方法又可細分出更多的子類。兩種檢測方法各有優缺點，也都有多種具體的實現方式。（一）特征檢測特征檢測，也常常被稱為濫用檢測（misusedetection），這種檢測方法的基本思路是事先提取出描述各類攻擊活動的特征信息，利用攻擊特征對指定的數據內容進行監視，一旦發現攻擊特征在監視的數據中出現，即判定系統內發生了相應的攻擊活動。采用特征檢測方法，首先需要收集各種入侵活動的行為特征。被用于入侵檢測的攻擊特征必須具有很好的區分度，即這種特征出現在攻擊活動中，而在系統正常的運行過程中通常不會發生。在收集到入侵特征以后，通常需要使用專門的語言對特征進行描述。用語言描述攻擊特征可以看作對攻擊特征進行標準化處理，在此基礎上攻擊特征才能夠加入特征庫。在特征庫建立完善以后，可以以特征庫為基礎，監視收集到的數據。如果某段數據與特征庫中的某種攻擊特征匹配，則入侵檢測系統將發出攻擊告警，同時根據特征庫的信息，指明攻擊的具體類型。特征檢測這種分析方法，依賴攻擊特征判定入侵。由于攻擊特征是對已知攻擊活動的總結，在攻擊特征區分度很好的情況下，匹配攻擊特征的活動可以斷定為入侵。因此，特征檢測的誤報率較低，這是這種分析方法最突出的優點。特征檢測的漏報率高低則取決于特征庫是否完備。采用特征檢測的入侵檢測系統只能發現在特征庫中保存了攻擊特征的攻擊方法。如果在特征庫中沒有攻擊活動的攻擊特征，入侵檢測系統將無法發現相應的攻擊，即出現了漏報。特征檢測還存在一個很大的局限，這種檢測方法只能發現已知的攻擊類型。因為只有已經出現過的攻擊方法或者可以預見的攻擊方法才會被總結為特征，加入到特征庫當中。模式匹配法是最基本的一種特征檢測方法。采用這種檢測方法，需要將收集到的入侵特征轉換成模式，存放在模式數據庫中。在檢測過程中將收集到的數據信息與模式數據庫進行匹配，從而發現攻擊行為。（二）異常檢測異常檢測也是常用的一種入侵檢測分析方法。異常檢測基于這樣一種假設，即用戶行為、網絡行為或者系統行為通常有相對穩定的模式，如果在監視過程中發現行為明顯偏離了正常模式，則認為出現了入侵。異常檢測這種分析方法首先總結出正常活動的特征，建立相應的行為模式。在入侵檢測的過程中，以正常的行為模式為基礎進行判定，將當前活動與代表正常的行為模式進行比較，如果當前活動與正常行為模式匹配，則認為活動正常；而如果兩者存在顯著偏差，則判定出現了攻擊。要實施異常檢測，通常需要一組能夠標識用戶特征、網絡特征或者系統特征的測量參數。基于這組測量參數建立被監控對象的行為模式并檢測對象的行為變化。在此過程中，有兩個關鍵問題需要考慮。首先，選擇的各項測量參數能否反映被監控對象的行為模式。另外，如何界定正常和異常。異常檢測通常采用定量分析的方法，一般以閾來標明正常和異常之間的臨界點，閾值指的就是閾所對應的數值。在實現異常檢測時，可以為每個測量參數設置一個閾值，也可以對多個測量參數進行計算，為計算結果設置閾值。閾值的設置非常重要，閾值設置不當，將直接影響入侵檢測的準確性，導致誤報或者漏報。Anderson在技術報告《計算機安全威脅的監控》中提出的入侵檢測方法就是異常檢測的方法。Anderson利用異常檢測來發現偽裝者。檢測方法基于主機的審計記錄，為系統中的合法用戶建立正常行為模式，描述用戶的行為特征。在對審計記錄進行監視的過程中，如果發現用戶活動與正常行為模式的差異超過了閾值，則進行告警；如果兩者的差異在閾值范圍內，則視為正常。異常檢測無需維護、更新特征庫，管理員在此方面的開銷較小。此外，異常檢測不依賴于具體的、已知的攻擊特征檢測攻擊，可以判別更廣泛、甚至從未出現過的攻擊形式。異常檢測也存在一些缺點。首先，異常檢測在發現攻擊時不能準確報告出攻擊類型。此外，異常檢測的準確度通常沒有特征檢測高。異常檢測所發現的異常未必是攻擊活動，主要有兩方面的原因。第一，所選擇的測量參數是否有足夠強的區分度，能夠將正常和異常區分開來，第二，事先建立的正常模式是否足夠完備，因此，異常檢測的結果通常需要進一步認證。統計分析法、人工免疫法、機器學習法是異常檢測的三種典型方法。在實際應用中，如何選擇哪種機器學習算法進行異常檢測呢？一般來說，當已標記數據量充足的情況下，例如具有海量真實樣本數據，此時優先選用有監督學習，效果一般不錯；當只有少數攻擊樣本的情況下，可以考慮用半監督學習進行異常檢測；當遇到一個新的安全場景，沒有樣本數據或是以往積累的樣本失效的情況下，只有先采用無監督學習來解決異常檢測問題，當捕獲到異常并人工審核積累樣本到一定量后，可以轉化為半監督學習，之后就是有監督學習。2022年底，基于大語言模型的ChatGPT推出后，很多攻擊者利用它來實施攻擊，例如快速生成惡意代碼、更具欺騙性的釣魚郵件、指導用戶進行滲透攻擊等，對網絡入侵檢測檢測帶來了挑戰。（三）入侵檢測技術存在的問題在實際應用中，入侵檢測技術也暴露出了不少問題，主要表現為以下四個方面。1）誤報率和漏報率需要進一步降低。在實際應用中，漏報和誤報是相互抵觸的評價標準。大量的誤報會分散管理員的精力，使管理員無法應對真正的攻擊。漏報的頻繁發生將給管理員造成虛假的安全景象，網絡危機重重，管理員卻得不到必要的告警。2）入侵檢測技術不具備主動發現安全漏洞的能力。入侵檢測技術屬于被動的安全技術，即在攻擊發生以后才會進行告警或者其他形式進行響應，本身不具備主動發現漏洞、防患于未然的能力。3）不斷豐富的網絡應用也對入侵檢測提出了挑戰。每種新型業務都可能為攻擊者實施網絡攻擊提供機會，而檢測針對不同應用的入侵活動往往需要采用不同的檢測方法，這增加了入侵檢測的復雜性和處理負擔。4）應對復雜攻擊能力不足。隨著網絡戰這一新的戰爭形式的出現，以APT攻擊為代表的網絡攻擊技術向專業化、復雜化、隱蔽化、長期化方向發展，給現有的入侵檢測技術帶來了嚴峻的挑戰，特別是對一些新的、未知攻擊的檢測還存在較大差距。五、網絡入侵檢測系統SnortSnort是采用C語言編寫的一款開源網絡入侵檢測系統，最初由MartinRoesch開發。經過多年的發展，Snort已由早期的入侵檢測系統發展到現在的入侵防御系統（IntrusionPreventionSystem，IPS），與IDS相比，IPS不僅具有IDS的入侵檢測功能，還具有阻止攻擊的功能。Snort主要由五個功能模塊組成：數據包捕獲、數據包解析、數據包預處理、檢測引擎、日志與報警輸出等。檢測引擎是Snort的核心部分，根據已經定義好的規則文件對預處理好的網絡數據包進行規則匹配，若匹配成功，則通知報警。Snort的規則以一種簡單Snort是一種基于規則的入侵檢測系統，用戶只要根據特征編寫檢測規則，并將規則加入到Snort中，Snort即能夠檢測相應攻擊。Snort提供了一種簡單但靈活高效的規則描述語言。Snort的規則包括兩部分：規則頭（RuleHeader）和規則選項（RuleOptions）。Snort規則的規則頭主要包括規則動作、協議、源IP地址、源端口、通信方向、目的IP地址、目的端口等信息。規則選項是可選的，包含了需要檢查的數據內容、標識字段、匹配時的告警消息等內容，主要作用是精確定義需要處理的數據包類型以及采取的動作。為方便不同類型的用戶使用Snort，Snort官網提供了三套規則集：一套是提供給付費用戶的（SubscriberRuleset），這套規則是最先進和及時的規則，由CiscoTalos負責開發、測試、發布；一套是提供給注冊用戶的（registeredusersRuleset），這套規則比提供給付費用戶的規則的延遲30天；還有一套是社區規則（CommunityRuleset），可供所有Snort用戶免費使用，主要由Snort社區和CiscoTalos負責維護。用戶也可以根據自己的實際需要，依據Snort規則描述語言自己編寫規則，以更好滿足自身的安全需求，提高檢測效果。一般來說，通過其他渠道獲得的規則通常是針對一些通用性的攻擊方式制訂，如檢查對某種緩沖區溢出漏洞的攻擊嘗試，或者檢查某種遠程控制型木馬的遠程連接操作。用戶要讓Snort系統真正發揮防護效用，必須根據實際網絡環境制訂安全策略，并將安全策略體現到Snort規則中。六、網絡欺騙技術（一）基本概念網絡欺騙（CyberDeception）最早由美國普渡大學的GeneSpafford于1989年提出，它的核心思想是：采用引誘或欺騙戰略，誘使入侵者相信網絡與信息系統中存在有價值的、可利用的安全弱點，并具有一些可攻擊竊取的資源，進而將入侵者引向這些錯誤的資源，同時安全可靠地記錄入侵者的所有行為，以便全面地了解攻擊者的攻擊過程和使用的攻擊技術。一個理想的網絡欺騙系統可以使入侵者不會感到自己很輕易地達到了期望的目標，并使入侵者相信入侵取得了成功。它的作用主要體現現在以下四方面：1）吸引攻擊流量，影響入侵者使之按照防護方的意志進行行動；2）檢測入侵者的攻擊并獲知其攻擊技術和意圖，并對入侵行為進行告警和取證，收集攻擊樣本；3）增加入侵者的工作量、入侵復雜度以及不確定性，拖延攻擊者攻擊真實目標；4）為網絡防護提供足夠的信息來了解入侵者，這些信息可以用來強化現有的安全措施。網絡欺騙技術能夠彌補傳統網絡防御體系的不足，變被動防御為主動積極防御，與其他多種網絡安全防護技術相結合，互為補充，共同構建多層次的信息安全保障體系。蜜罐蜜罐（Honeypot）是最早采用欺騙技術的網絡安全系統。蜜網項目（TheHoneynetProject）創始人LanceSpitzner給出的蜜罐定義是：蜜罐是一種安全資源，其價值在于被探測、攻擊或突破。這種安全資源是什么并不重要，重要的是這種安全資源的價值在于受到攻擊。因此，設計一個蜜罐的目標，就是使它被掃描探測、攻擊或被突破，同時能夠很好地進行安全控制。1.分類依據不同的分類標準，可以將蜜罐分成多種類型。根據部署方式可以分為生產型蜜罐和研究型蜜罐。生產型蜜罐一般部署在組織的內網中，主要由公司內部用來改善組織網絡的整體安全狀態，僅捕獲有限的信息，低交互，易于部署，但提供的攻擊或攻擊者信息較少。研究型蜜罐則一般部署內網的出口處或公網上，由某一研究團隊或組織負責維護，主要目的是通過蜜罐來收集網絡攻擊行為和入侵模式信息，以便研究相應的防御方法，了解網絡安全態勢。根據交互程度或逼真程度的高低可以分為低交互蜜罐、中交互蜜罐和高交互蜜罐。低交互蜜罐，提供的網絡服務只能與攻擊者進行非常有限的交互，類似于按照寫好的劇本與攻擊者進行相互，例如一個Telnet低交互蜜罐并不是完整地實現了Telnet服務器的全部協議功能，而只是“模擬Telnet服務器”對有限的幾個Telnet客戶端請求報文進行響應，響應的結果也相對固定。部署低交互蜜罐的主要目的是為了減輕受保護網絡可能會受到的網絡安全威脅，捕獲一些簡單的網絡攻擊行為。高交互蜜罐則不再是簡單地模擬某些協議或服務，而是提供真實或接近真實的網絡服務，使得攻擊者很難判斷與其交互的是一個蜜罐還是一個真實的網絡服務器。與正常的網絡服務不同的是，高交互蜜罐除了提供正常的網絡服務功能外，還有一套安全監控系統，隱蔽地記錄攻擊者的所有行為，并將這些行為保存到一個獨立的日志服務器中。高交互蜜罐的高成本和強能力，使得其主要用于研究分析網絡攻擊行為，特別是復雜的網絡攻擊。當前，很多高級的網絡攻擊，如利用未公開的安全漏洞或攻擊手段實施的攻擊是通過高交互蜜罐發現的。介于低交互蜜罐與高交互蜜罐之間的是中交互蜜罐，它通常是模擬的，而不是真實實現一個網絡服務或設備的全部功能，漏洞也是模擬的，能與攻擊者進行大部分交互。按照實現方式可將蜜罐分為物理蜜罐和虛擬蜜罐。物理蜜罐是安裝真實操作系統和應用服務的計算機系統，通過開放容易受到攻擊的端口，留下可被利用的漏洞來誘惑攻擊者。物理蜜罐在日常的管理維護上比較煩瑣，特別是在被攻陷之后，回滾到原來的配置狀態需要大量的工作。與物理蜜罐不同的是，虛擬蜜罐是在物理主機上安裝蜜罐軟件使其可以模擬不同類型的系統和服務，而且可以在一臺物理主機上創建很多個虛擬蜜罐。虛擬蜜罐主要有兩種部署方式，一種是虛擬機蜜罐，它利用VMware虛擬機軟件或者其他虛擬化工具，創建虛擬操作系統，提供和真實主機一樣的服務。這種虛擬蜜罐真實性高，但是虛擬機蜜罐可能會由于占用太多系統資源而破壞了蜜罐正常運行。另一種虛擬蜜罐，就是在物理主機上運行的蜜罐，通過模擬服務來吸引攻擊者。但這種蜜罐由于自身程序只有用戶層權限，不能實現完整的交互，真實性較差。2.蜜罐功能和關鍵技術低交互蜜罐的功能相對簡單，一般包括：①攻擊數據捕獲與處理，在一個或多個協議服務端口上監聽，當有攻擊數據到來時捕獲并處理這些攻擊數據，必要的時候還需給出響應；②攻擊行為分析，對攻擊日志進行多個維度的統計分析，發現攻擊行為規律，并用可視化方法展示分析結果。高交互蜜罐因為要提供逼真的、有吸引力的目標，所以要實現的功能更多、更強，涉及的功能和關鍵技術包括：網絡欺騙、攻擊捕獲、數據控制和數據分析。網絡欺騙的目的是對蜜罐進行偽裝，使它在被攻擊者掃描時表現為網絡上的真實主機。蜜罐的網絡欺騙技術根據物理主機系統和網絡的特點，模擬主機操作系統和網絡路由，并設置存在漏洞的服務，使攻擊者認為網絡主機中存在能夠利用的漏洞，從而引誘攻擊者對蜜罐展開攻擊。常用的網絡欺騙方法主要有：模擬各種系統協議棧指紋，網絡流量仿真以及網絡地址轉換等。具體的實現技術包括：地址空間欺騙、網絡流量仿真、網絡動態配置、多重地址轉換和組織信息欺騙等。1）空間欺騙技術。空間欺騙技術就是通過創建蜜罐來偽裝成實際不存在的主機，引誘攻擊者在這些蜜罐上花費時間。利用計算機系統的多宿主能力，在單個物理主機的網卡上，就能模擬出IP地址和MAC地址均不相同的蜜罐主機。采用該技術可以創建整個內網所需要的虛擬主機。進行空間欺騙以后，攻擊者在探測網絡的時候工作量會極大增加。2）網絡流量仿真。需要為蜜罐生成仿真流量，來提高蜜罐的真實性，使其偽裝成正常主機。在內部網絡中偽造仿真流量可以采用兩種措施：一是將內網中的網絡流量復制進來并重現，造成以假亂真的效果；二是依據一定規則自動生成流量。3）網絡動態配置。需要配置動態的網絡路由信息，使整個網絡的行為隨時間發生改變。為增加欺騙的效果，蜜罐主機的偽造特征必須盡可能和真實物理主機的特征相同。4）多重地址轉換。多重地址轉換就是執行重定向的代理服務，把蜜罐主機所在位置和內部網絡的位置分離開來。主要由代理服務功能進行地址轉換，這樣實際進入蜜罐網絡的流量在外部看來就是進入了內部網絡，并且還可在真實物理上綁定虛擬的服務。5）創建組織信息欺騙。根據內部網絡的實際情況，在蜜罐主機上放置相應的虛假信息。攻擊者在攻擊蜜罐服務器獲取到這些數據后，就會相信自己攻擊的是預定的目標主機。攻擊捕獲是指采集攻擊者對網絡實施攻擊的相關信息，通過分析捕獲的信息，可以研究攻擊者所利用的系統漏洞，獲取新的攻擊方式，甚至是零日攻擊。數據控制的目的是限制蜜罐向外發起的連接，確保蜜罐不會成為攻擊者的跳板。它通常遵循這樣的原則：對流出蜜罐的數據，限制連接的數量和速度。數據分析是指對蜜罐采集到的信息進行多個維度的統計分析，發現攻擊行為規律，并用可視化方法展示分析結果。蜜網蜜網（Honeynet）是由多個蜜罐組成的欺騙網絡，蜜網中通常包含不同類型的蜜罐，可以在多個層面捕獲攻擊信息，以滿足不同的安全需求。蜜網既可以用多個物理蜜罐來構建，也可以由多個虛擬蜜罐組成。目前，通過虛擬化技術（如VMware）可以方便地把多個虛擬蜜罐部署在單個服務器主機上。虛擬蜜網技術使得蜜網的建設非常方便，不用構建煩瑣的物理網絡。但是這樣虛擬出的網絡，很有可能被攻擊者識別，也可能因為架設蜜罐的服務器上存在漏洞而被攻破，從而導致虛擬蜜網的權限被攻擊者獲得。如果用物理蜜罐來構建，則需要付出比較高的建設成本和維護成本。實際應用中，多采用虛實結合的方法。最早的蜜網項目是德國曼海姆大學LanceSpitzner在1999年開始發起，并于2000年6月成立的蜜網項目（TheHoneynetProject）。2000年初，蜜網項目組提出了第一代蜜網的架構，并進行了實驗驗證。在第一代蜜網中，各項任務由不同的蜜罐主機執行，這樣在記錄攻擊信息時就會出現不一致的情況。而且，由于攻擊者可以通過工具掃描整個網絡的路由拓撲，這樣就增加了整個網絡被攻陷的可能。為了克服第一代蜜網技術的不足，蜜網項目組提出了第二代蜜網技術，并在2004年發布了一個集成工具包，其中包括部署第二代蜜網所需的所有工具，使得第二代蜜網技術在應用上更加方便。此后，蜜網項目組的工作集中在中央管理服務器的開發，基于云思想，將各個蜜網項目組成員開發的蜜網捕獲的信息集中上傳到云服務器，并提供攻擊趨勢分析功能。隨后，蜜網項目組發布了最新的蜜網項目工具包，這就是第三代蜜網。在新的工具包中，蜜網的體系結構和原來大致相同，但基于安全考慮，工具包對系統功能進行了裁剪，刪掉了很多不需要或者可能被攻擊者利用的服務，只留了一些必要的服務，大大提高了蜜網整體的安全性。該工具包可以支持在線自動化升級。網絡欺騙防御Garter對網絡欺騙防御的定義為：使用騙局或者假動作來阻撓或者推翻攻擊者的認知過程，擾亂攻擊者的自動化工具，延遲或阻斷攻擊者的活動，通過使用虛假的響應、有意地混淆、假動作、誤導等偽造信息達到“欺騙”的目的。網絡欺騙防御技術通過混淆的方法隱藏系統的外部特征，使系統展現給攻擊者的是一個有限甚至完全隱蔽或者錯誤的攻擊面，降低暴露給攻擊者并被利用的資源，導致攻擊復雜度和攻擊者代價增長。通過主動暴露受保護網絡的真假情況來提供給攻擊者誤導性信息，讓攻擊者進入防御的圈套，并通過影響攻擊者的行為使其向著有利于防御方的方向發展。通過在真實網絡系統中布置偽造的數據，即使攻擊者成功竊取了真實的數據，也會因為虛假數據的存在而降低了所竊取數據的總體價值。網絡欺騙防御是一種體系化的防御方法，它將蜜罐、蜜網、混淆等欺騙技術同防火墻、入侵檢測系統等傳統防護機制有機結合起來，構建以欺騙為核心的網絡安全防御體系。根據網絡空間欺騙防御的作用位置不同，可以將其分為不同的層次，包括網絡層欺騙、終端層欺騙、應用層欺騙、以及數據層欺騙等。1.網絡層欺騙網絡層的欺騙防御技術考慮的是如何在網絡中部署欺騙節點以及如何有效隱藏己方設備，目前主要用于應對三類典型威脅：網絡指紋探測、網絡竊聽、網絡滲透。通常將在網絡層隱藏己方設備所采用的欺騙技術，稱為“混淆”。網絡指紋探測通常發生在攻擊的早期階段，在攻擊鏈的偵察階段，攻擊者通過指紋探測和掃描獲得網絡拓撲結構和可用資產的信息。通過干擾偵察即可混淆偵查結果。另外一種欺騙防御方式就是通過給出錯誤掃描結果來誤導攻擊者，通過不斷暴露錯誤的網絡拓撲結構來誤導攻擊者；通過提供真假混合的應答來響應攻擊者的掃描；以限制攻擊者掃描、發現、識別和定位網絡目標。防范操作系統指紋探測是另一種需要解決的問題，目前在這一方面提出了多種欺騙技術，可以模擬操作系統的多種行為特征，并在此基礎上誤導潛在的攻擊者，達到迷惑攻擊者并延遲其工作進展的目標。為了防止網絡滲透，目前主要的欺騙方式是設置虛假資產來增大目標空間，進而分散攻擊者對真實目標的注意力。2.系統層欺騙防御技術系統層的欺騙防御主要采用基于設備的