@CI
2年前 提问
1个回答

网络欺骗技术的分类

Anna艳娜
2年前

网络欺骗本质是通过布设骗局从而干扰攻击者的认知过程,欺骗环境的构建机制是其实施的关键。本文从欺骗环境构建的角度讨论网络欺骗技术的分类,这也是大多数网络欺骗研究采用的分类方式。网络欺骗技术可以分为四类:

  • 掩盖欺骗:通过消除特征来隐藏真实的资源,防止被攻击者发现。典型工作如网络地址变换,通过周期性的重新映射网络地址和系统之间的绑定改变组织网络的外形。Antonatos 等人使用动态主机配置协议给每个主机重新分配网络地址,用来对抗带有目标列表的蠕虫。MUTE 使用随机地址跳变技术为主机重新分配与真实 IP 地址相独立的随机虚拟 IP 地址,以限制攻击者扫描、发现、识别和定位网络目标的能力。

  • 混淆欺骗:通过更改系统资源的特征使得系统资源看上去像另外的资源,从而挫败攻击者的攻击企图。典型工作如伪蜜罐,通过使真实系统具有蜜罐的特征从而吓阻攻击者。而通过采用计算机操作系统混淆,使得受保护的操作系统对远程探测工具表现出其他操作系统的特性,可以挫败攻击者的探测企图。

  • 伪造欺骗:通过采用真实系统或者资源构建欺骗环境,通过伪造的资源吸引攻击者的注意力从而发现攻击或者消耗攻击者的时间。典型的工作就是高交互蜜罐以及蜜标技术,如蜜网、Honeybow、honeyfile 等。此类技术特点是机密性好,但是维护与部署代价较高。

  • 模拟欺骗:是采用软件实现的方式构造出资源的特征。典型工作如 Deception ToolKit(DTK),DTK 绑定系统未使用的端口,被动的等待连接。如果攻击者访问了这些端口,DTK 就会记录访问信息。此类欺骗机密性较低,适用于攻击检测与恶意代码收集,不适合对攻击者行为的长期观察。但是因为所占资源小而且几乎不会带来风险,因此可以部署于业务主机之上,检测范围大,使用灵活。