網絡欺騙本質是通過布設騙局從而干擾攻擊者的認知過程,欺騙環境的構建機制是其實施的關鍵。本文從欺騙環境構建的角度討論網絡欺騙技術的分類,這也是大多數網絡欺騙研究采用的分類方式。網絡欺騙技術可以分為四類:
掩蓋欺騙:通過消除特征來隱藏真實的資源,防止被攻擊者發現。典型工作如網絡地址變換,通過周期性的重新映射網絡地址和系統之間的綁定改變組織網絡的外形。Antonatos 等人使用動態主機配置協議給每個主機重新分配網絡地址,用來對抗帶有目標列表的蠕蟲。MUTE 使用隨機地址跳變技術為主機重新分配與真實 IP 地址相獨立的隨機虛擬 IP 地址,以限制攻擊者掃描、發現、識別和定位網絡目標的能力。
混淆欺騙:通過更改系統資源的特征使得系統資源看上去像另外的資源,從而挫敗攻擊者的攻擊企圖。典型工作如偽蜜罐,通過使真實系統具有蜜罐的特征從而嚇阻攻擊者。而通過采用計算機操作系統混淆,使得受保護的操作系統對遠程探測工具表現出其他操作系統的特性,可以挫敗攻擊者的探測企圖。
偽造欺騙:通過采用真實系統或者資源構建欺騙環境,通過偽造的資源吸引攻擊者的注意力從而發現攻擊或者消耗攻擊者的時間。典型的工作就是高交互蜜罐以及蜜標技術,如蜜網、Honeybow、honeyfile 等。此類技術特點是機密性好,但是維護與部署代價較高。
模擬欺騙:是采用軟件實現的方式構造出資源的特征。典型工作如 Deception ToolKit(DTK),DTK 綁定系統未使用的端口,被動的等待連接。如果攻擊者訪問了這些端口,DTK 就會記錄訪問信息。此類欺騙機密性較低,適用于攻擊檢測與惡意代碼收集,不適合對攻擊者行為的長期觀察。但是因為所占資源小而且幾乎不會帶來風險,因此可以部署于業務主機之上,檢測范圍大,使用靈活。
回答所涉及的環境:聯想天逸510S、Windows 10。
網絡欺騙本質是通過布設騙局從而干擾攻擊者的認知過程,欺騙環境的構建機制是其實施的關鍵。本文從欺騙環境構建的角度討論網絡欺騙技術的分類,這也是大多數網絡欺騙研究采用的分類方式。網絡欺騙技術可以分為四類:
掩蓋欺騙:通過消除特征來隱藏真實的資源,防止被攻擊者發現。典型工作如網絡地址變換,通過周期性的重新映射網絡地址和系統之間的綁定改變組織網絡的外形。Antonatos 等人使用動態主機配置協議給每個主機重新分配網絡地址,用來對抗帶有目標列表的蠕蟲。MUTE 使用隨機地址跳變技術為主機重新分配與真實 IP 地址相獨立的隨機虛擬 IP 地址,以限制攻擊者掃描、發現、識別和定位網絡目標的能力。
混淆欺騙:通過更改系統資源的特征使得系統資源看上去像另外的資源,從而挫敗攻擊者的攻擊企圖。典型工作如偽蜜罐,通過使真實系統具有蜜罐的特征從而嚇阻攻擊者。而通過采用計算機操作系統混淆,使得受保護的操作系統對遠程探測工具表現出其他操作系統的特性,可以挫敗攻擊者的探測企圖。
偽造欺騙:通過采用真實系統或者資源構建欺騙環境,通過偽造的資源吸引攻擊者的注意力從而發現攻擊或者消耗攻擊者的時間。典型的工作就是高交互蜜罐以及蜜標技術,如蜜網、Honeybow、honeyfile 等。此類技術特點是機密性好,但是維護與部署代價較高。
模擬欺騙:是采用軟件實現的方式構造出資源的特征。典型工作如 Deception ToolKit(DTK),DTK 綁定系統未使用的端口,被動的等待連接。如果攻擊者訪問了這些端口,DTK 就會記錄訪問信息。此類欺騙機密性較低,適用于攻擊檢測與惡意代碼收集,不適合對攻擊者行為的長期觀察。但是因為所占資源小而且幾乎不會帶來風險,因此可以部署于業務主機之上,檢測范圍大,使用靈活。
回答所涉及的環境:聯想天逸510S、Windows 10。