論文關(guān)鍵詞：檔案信息化 網(wǎng)絡欺騙 欺騙空間 協(xié)議欺騙

　　論文摘要：檔案信息化進程的加快為檔案事業(yè)帶來了無限發(fā)展的空間，同時，檔案信息安全問題也遇到了前所未有的挑戰(zhàn)。本文對幾種常用的欺騙技術(shù)在檔案信息化工作中的應用進行了分析，對構(gòu)建檔案信息網(wǎng)絡安全系統(tǒng)有一定的參考作用。

　　網(wǎng)絡欺騙就是使網(wǎng)絡入侵者相信檔案信息系統(tǒng)存在有價值的、可利用的安全弱點，并具有一些值得攻擊竊取的資源，并將入侵者引向這些錯誤的實際上是偽造的或不重要的資源。它能夠顯著地增加網(wǎng)絡入侵者的工作量、人侵難度以及不確定性，從而使網(wǎng)絡入侵者不知道其進攻是否奏效或成功。它允許防護者跟蹤網(wǎng)絡入侵者的行為，在網(wǎng)絡入侵者之前修補系統(tǒng)可能存在的安全漏洞。理論上講，每個有價值的網(wǎng)絡系統(tǒng)都存在安全弱點，而且這些弱點都可能被網(wǎng)絡人侵者所利用。網(wǎng)絡欺騙的主要作用是：影響網(wǎng)絡入侵者使之遵照用戶的意志、迅速檢測到網(wǎng)絡入侵者的進攻并獲知進攻技術(shù)和意圖、消耗網(wǎng)絡入侵者的資源。下面將分析網(wǎng)絡欺騙的主要技術(shù)。

　　一、蜜罐技術(shù)和蜜網(wǎng)技術(shù)

　　1．蜜罐技術(shù)。網(wǎng)絡欺騙一般通過隱藏和安插錯誤信息等技術(shù)手段實現(xiàn)，前者包括隱藏服務、多路徑和維護安全狀態(tài)信息機密件，后者包括重定向路由、偽造假信息和設置圈套等。綜合這些技術(shù)方法，最早采用的網(wǎng)絡欺騙是蜜罐技術(shù)，它將少量的有吸引力的目標放置在網(wǎng)絡入侵者很容易發(fā)現(xiàn)的地方，以誘使入侵者上當。這種技術(shù)目的是尋找一種有效的方法來影響網(wǎng)絡入侵者，使得網(wǎng)絡入侵者將攻擊力集中到蜜罐技術(shù)而不是其他真正有價值的正常系統(tǒng)和資源中。蜜罐技術(shù)還可以做到一旦入侵企圖被檢測到時，迅速地將其重定向。

　　盡管蜜罐技術(shù)可以迅速重定向，但對高級的網(wǎng)絡入侵行為，該技術(shù)就力不從心了。因此，分布式蜜罐技術(shù)便應運而生，它將欺騙散布在網(wǎng)絡的正常系統(tǒng)和資源中，利用閑置的服務端口來充當欺騙通道，從而增大了網(wǎng)絡入侵者遭遇欺騙的可能性。分布式蜜罐技術(shù)有兩個直接的效果，首先是將欺騙分布到更廣范圍的lP地址和端口空間中，其次是增大了欺騙在整個網(wǎng)絡中的比例，使得欺騙比安全弱點被網(wǎng)絡入侵者發(fā)現(xiàn)的可能性增大。

　　分布式蜜罐技術(shù)也不是十全十美的，它的局限性體現(xiàn)在三個方面：一是它對整個空間搜索的網(wǎng)絡掃描無效；二是只提供了質(zhì)量較低的欺騙；三是只相對使整個搜索空間的安全弱點減少。而且，這種技術(shù)的一個更為嚴重的缺陷是它只對遠程掃描有效。如果入侵已經(jīng)部分進入到檔案信息網(wǎng)絡系統(tǒng)中，真正的網(wǎng)絡服務對網(wǎng)絡入侵者已經(jīng)透明，那么這種欺騙將失去作用。

　　蜜罐技術(shù)收集的資料可能是少量的，但往往都具有很高的價值，它免除了在大量的無關(guān)信息中尋找有價值信息的繁雜度，這在研究網(wǎng)絡安全時是一大優(yōu)勢?，F(xiàn)在互聯(lián)網(wǎng)應用的發(fā)展速度很快，用戶每時每刻所面對的都是海量的垃圾信息。如何在大量的信息和資料中找到所需要的部分，越來越成為人們關(guān)注的問題。蜜罐技術(shù)的一個最大優(yōu)點，就是能使用戶簡單快速地收集到最關(guān)鍵的信息，并對問題進行最直接的分析和理解。

　　許多安全工具在應用時往往會受到網(wǎng)絡帶寬和存儲容量的限制。丑志服務器也很難收集所有的系統(tǒng)日志，而會流失一些有用的日志記錄。蜜罐技術(shù)則沒有這個問題，因為它僅僅去截取與陷阱網(wǎng)絡和系統(tǒng)有密切關(guān)系的行為，并且可以自由設置檢測和記錄對象，所以更為靈活和易用。

　　但是蜜罐技術(shù)的一個缺點是消息收集點不能太多。如果蜜罐技術(shù)設置了一個很大的系統(tǒng)漏洞，但如果沒有黑客進行攻擊，蜜罐技術(shù)一點價值都沒有了。另外，蜜罐技術(shù)也無法得知任何未授權(quán)的行為。再有，蜜罐技術(shù)也可能為用戶招致風險，可能被高明的黑客作為另外——次攻擊的平臺。所以在檔案系統(tǒng)網(wǎng)絡管理工作中合理設定和利用蜜罐技術(shù)也是至關(guān)重要的。

蜜網(wǎng)技術(shù)。蜜網(wǎng)技術(shù)是一個故意設計的存在缺陷的系統(tǒng)，可以用來對檔案信息網(wǎng)絡入侵者的行為進行誘騙，以保護檔案信息的安全。傳統(tǒng)的蜜罐技術(shù)用來模擬系統(tǒng)一些常見漏洞，而蜜網(wǎng)技術(shù)則有所不同，它是一個學習的工具，是一個網(wǎng)絡系統(tǒng)，并非是一臺單一主機，這一網(wǎng)絡系統(tǒng)隱藏在防火墻的后面，所有進出的資料都受到監(jiān)控、捕獲及控制。這些被捕獲的資料用于研究分析檔案網(wǎng)絡入侵者所使用的工具、方法及動機。在蜜網(wǎng)技術(shù)中，一般都安裝使用了各種不同的操作系統(tǒng)，如Linux和windows NT等。這樣的網(wǎng)絡環(huán)境看上去更加真實可怕，不同的系統(tǒng)平臺運行著不同的服務，如Linux運行DNS服務，Windows NT上運行WebServer，而Solaris運行FTP Server,用戶可以學習不同的工具以及不同的安全策略。在蜜網(wǎng)技術(shù)中所有的系統(tǒng)都是標準的配置，上面運行的都是完整的操作系統(tǒng)及應用程序．并不去刻意地模仿某種環(huán)境或故意使系統(tǒng)不安全。蜜網(wǎng)技術(shù)是一個用來研究如何入侵系統(tǒng)的工具，是一個設計合理的實驗網(wǎng)絡系統(tǒng)。蜜網(wǎng)技術(shù)第一個組成部分是防火墻，它記錄了所有與本地主機的聯(lián)接并且提供NAT服務和DOS保護、入侵偵測系統(tǒng)(IDS)。IDS和防火墻有時會放置在同一個位置，用來記錄網(wǎng)絡上的流量且尋找攻擊和入侵的線索。第二個組成部分是遠程日志主機，所有的入侵指令能夠被監(jiān)控并且傳送到通常設定成遠程的系統(tǒng)日志。這兩個部分為檔案系統(tǒng)安全的防護和治理都起著不可忽視的作用。

　　蜜網(wǎng)技術(shù)是一個很有價值的研究、學習和教育工具，借著這個工具，使人們能更好地理解入侵者的攻擊方式，以便準確及時地檢測到入侵行為。分析從蜜網(wǎng)技術(shù)收集的信息，可以監(jiān)視并預測攻擊發(fā)生和發(fā)展的趨勢，從而可以早做預防，避免更大的損失。

　　二、空間欺騙技術(shù)

　　空問欺騙技術(shù)是通過增加搜索空間來顯著增加檔案系統(tǒng)網(wǎng)絡入侵者的工作量，從而達到安全防護的目的。該技術(shù)運用的前提是計算機系統(tǒng)可以在一塊網(wǎng)卡上實現(xiàn)具有眾多IP地址，每個lP地址都具有自己的MAC地址。這項技術(shù)可用于建立填充一大段地址空間的欺騙，且花費極低。這樣許許多多不同的欺騙，就可以在一臺計算機上實現(xiàn)。當網(wǎng)絡入侵者的掃描器訪問到網(wǎng)絡系統(tǒng)的外部路由器并探測到這一欺騙服務時，還可將掃描器所有的網(wǎng)絡流量重定向到欺騙上，使得接下來的遠程訪問變成這個欺騙的繼續(xù)。當然，采用這種欺騙時，網(wǎng)絡流量和服務的切換必須嚴格保密，因為一旦暴露就將招致入侵，從而導致入侵者很容易將任一個已知有效的服務和這種用于測試網(wǎng)絡入侵者的掃描探測及其響應的欺騙區(qū)分開來。

　　三、信息迷惑技術(shù)

　　1　．網(wǎng)絡信息迷惑技術(shù)：網(wǎng)絡動態(tài)配置和網(wǎng)絡流量仿真。產(chǎn)生仿真流量的目的是使流量分析不能檢測到欺騙的存在。在欺騙系統(tǒng)中產(chǎn)生仿真流量有兩種方法。一種方法是采用實時方式或重現(xiàn)方式復制真正的網(wǎng)絡流量，這使得欺騙系統(tǒng)與真實系統(tǒng)十分相似，因為所有的訪問鏈接都被復制。第二種方法是從遠程產(chǎn)生偽造流量，使網(wǎng)絡入侵者可以發(fā)現(xiàn)和利用。面對網(wǎng)絡入侵技術(shù)的不斷提高，一種網(wǎng)絡欺騙技術(shù)肯定不能做到總是成功，必須不斷地提高欺騙質(zhì)量，才能使網(wǎng)絡入侵者難以將合法服務和欺騙服務進行區(qū)分。

　　真實的檔案信息網(wǎng)絡是隨時間而改變的，是不斷地發(fā)生著信息接收和傳遞的，如果欺騙是靜態(tài)的，那么在入侵者長期監(jiān)視的情況下就會導致欺騙無效。因此，需要動態(tài)配置欺騙網(wǎng)絡以模擬正常的網(wǎng)絡行為，使欺騙網(wǎng)絡也和真實網(wǎng)絡一樣隨時間而改變。為使之有效，欺騙特性也應該盡可能地反映出真實系統(tǒng)的特性。例如，計算機在下班之后關(guān)機，那么欺騙計算機也應該同時關(guān)機。其他如周末等特殊時刻也必須考慮，否則人侵者將很可能發(fā)現(xiàn)被欺騙。

　　2．用戶信息迷惑技術(shù)：組織信息欺騙。如果檔案機構(gòu)提供有關(guān)個人和系統(tǒng)信息而訪問，那么欺騙也必須以某種方式反映出這些信息。例如，如果檔案系統(tǒng)的DNS服務器包含了個人系統(tǒng)擁有者及其位置的詳細信息，那就需要在欺騙的DNS列表中具有偽造的擁有者及其位置，否則欺騙很容易被發(fā)現(xiàn)。偽造的人和位置也需要有偽造的信息，如薪酬、個人記錄等。地址的多次轉(zhuǎn)換能將欺騙網(wǎng)絡和真實網(wǎng)絡分離開來，這樣就能利用真實的計算機替換低可信度的欺騙，增加了間接性和隱蔽性。該技術(shù)出發(fā)點就是重定向代理服務(通過改寫代理服務器程序?qū)崿F(xiàn))，由代理服務進行地址轉(zhuǎn)換，使相同的源和目的地址像真實系統(tǒng)那樣被維護在欺騙系統(tǒng)中。

　　高可信度的網(wǎng)絡欺騙，使系統(tǒng)存在的安全弱點有了很好的隱藏偽裝場所，真實服務與欺騙服務幾乎融為一體，使網(wǎng)絡入侵者難以區(qū)分。在網(wǎng)絡入侵和安全防護的相互促進發(fā)展過程中，網(wǎng)絡欺騙技術(shù)將具有廣闊的發(fā)展前景。還可以利用前面介紹的網(wǎng)絡欺騙方法，結(jié)合網(wǎng)絡分析系統(tǒng)進行分析，從而識別網(wǎng)絡攻擊特征，還可能在攻擊中挖掘出新的攻擊。總之，網(wǎng)絡欺騙技術(shù)將是未來檔案信息化網(wǎng)絡安全體系研究的主要方向，對新的網(wǎng)絡攻擊與防守策略將有很大的幫助，對實現(xiàn)檔案信息處理和傳輸過程中保密性、完整性、可利用性的有效保持有著重要的意義。

擴展閱讀

版權(quán)聲明：