一種采用主動(dòng)安全策略的蜜網(wǎng)系統(tǒng)示例:
監(jiān)控主機(jī)和陷阱主機(jī)分離
分為三部分:系統(tǒng)管理模塊+重定向程序+日志審計(jì)與查看模塊稼锅。
系統(tǒng)管理模塊:陷阱主機(jī)上開放的web站點(diǎn),和ftp站點(diǎn)上放置帶蜜文件锥债,并對(duì)主機(jī)進(jìn)行配置。
重定向程序:運(yùn)行在服務(wù)器組上绽左,將可疑的訪問重定向到陷阱主機(jī),發(fā)送日志到分析審計(jì)主機(jī)鲁纠。
日志分析審計(jì)主機(jī):對(duì)監(jiān)控信息進(jìn)行分析,獲取黑客的行為捍壤。
系統(tǒng)管理模塊設(shè)計(jì):
1、陷阱主機(jī)的安全性配置:
更改所提供服務(wù)的默認(rèn)主目錄祷肯,設(shè)定對(duì)主目錄的訪問權(quán)限。保證:IIs日志文件不被黑客非法更改,提供了改動(dòng)IIS日志默認(rèn)存放路徑和設(shè)置訪問權(quán)限的功能。
2琼掠、IP地址的過濾
實(shí)現(xiàn)帶蜜文件的定向傳播,在確認(rèn)有攻擊行為之后,只允許來自這個(gè)源地址的連接訪問陷阱主機(jī)。
3、當(dāng)前連接查看
對(duì)連接行為進(jìn)行動(dòng)態(tài)監(jiān)測,當(dāng)有異常連接時(shí)迹蛤,可以斷開連接穷缤。
重定向程序模塊:
將對(duì)服務(wù)器組的訪問按照定義策略決定是否重定向到帶蜜站點(diǎn)
