一种采用主动安全策略的蜜网系统示例:
监控主机和陷阱主机分离
分为三部分:系统管理模块+重定向程序+日志审计与查看模块。
系统管理模块:陷阱主机上开放的web站点,和ftp站点上放置带蜜文件,并对主机进行配置。
重定向程序:运行在服务器组上,将可疑的访问重定向到陷阱主机,发送日志到分析审计主机。
日志分析审计主机:对监控信息进行分析,获取黑客的行为。
系统管理模块设计:
1、陷阱主机的安全性配置:
更改所提供服务的默认主目录,设定对主目录的访问权限。保证:IIs日志文件不被黑客非法更改,提供了改动IIS日志默认存放路径和设置访问权限的功能。
2、IP地址的过滤
实现带蜜文件的定向传播,在确认有攻击行为之后,只允许来自这个源地址的连接访问陷阱主机。
3、当前连接查看
对连接行为进行动态监测,当有异常连接时,可以断开连接。
重定向程序模块:
将对服务器组的访问按照定义策略决定是否重定向到带蜜站点
