软考第六章知识点总结
6.1 考点分析
家解密算法,Hash,数字签名,数字证书,SSL/PGP
案例部分:FW配置;安全攻击解决方案10分
选择5-6分
6.2 网络安全基础
一、网络安全威胁类型1
1.主动攻击和被动攻击【是否诸如流量】
(1)窃听:例如搭线窃听、安装通信监视器和读取网上的信息等
(2)假冒:当一个实体假扮成另一个实体进行网络活动时就发生假冒
(3)流量分析:对网上信息流观察和分析推断出网上传输的有用信息
(4)重放攻击:重复发送一份报文或报文的一部分,以便产生被授权效果(随机数、时间戳)
(5)数据完整性破坏:有意或无意地修改或破坏信息系统,或者在非授权和不能监测的方式下对数据进行修改
(6)分布式拒绝服务DDoS:当一个授权实体不能获得应有的对网络资源的访问或紧急操作被延迟时,就发生了拒绝服务。DDoS是对传统DoS攻击的发展,黑客控制海量发起。
SYN-Flood、HTTP-Flood/CC,UDP-Flood
防范措施:购买流量清洗设备/服务,服务器限制用户连接数,防火墙限制单个用户连接数量
(7)恶意软件:会损害计算机或信息系统的文件或程序,包括木马、流氓软件、间谍软件、勒索软件、僵尸网络软件、病毒等。
解决勒索软件:封端口,打补丁,备份,EDR软件,断网
(8)Web攻击:包括:跨站脚本(XSS)攻击、SQL注入攻击、跨站域请求伪造(CSRF)攻击WebShell攻击以及利用软件漏洞进行的攻击。
解决:WAF
(9)APT功能/特点:APT攻击是多种常见网络攻击手段/技术的组合,通过间接迁回方式,渗透进组织内部系统潜伏起来,持续不断地收集攻击目标相关的各种信息,其潜伏和收集信息时间可能会长达数年,当条件成熟时,伺机而动,达到攻击目的。这类攻击一般是有组织有预谋的,攻击目标一般为国家和政府部门的核心信息系统,一旦对这些系统造成破坏,对国家安全、社会秩序、经济活动会造成非常大的影响。
防范:管理:漏洞扫描,安全巡检;技术:多设备联动
二、安全防范的技术
1.网络安全措施:数据加密、数字签名、身份认证、防火墙、特征过滤等。
(1)数据加密-----窃听
(2)数字签名:用来验证数据或程序的完整性
(3)身份认证:认证用户的合法性,例如密码技术、利用人体生理特征(如指纹)进行识别、智能
IC卡、数字证书等。
(4)防火墙:防火墙是位于两个网络之间的屏障,进行访问控制。
(5)入侵检测和阻断:对网络流量或应用访问进行攻击特征匹配和过滤,阻断非法攻击,常见设备有入侵防护系统(IPS)、Web应用防火墙(WAF)等。
(6)访问控制:在骨干网络设备或者服务器配置访问控制策略,允许或者拒绝某些源对目标的访 问实现网络安全防护。
(7)行为审计。对网络行为或者用户操作进行审计,阻断非法操作或者高危操作行为,
常见设备:数据库审计系统、堡垒机、上网行为管理系统等。
三、等级保护
2017.6.1月实施的《中华人民共和国网络安全法》
等保1.0【2007】
等保2.0【2019.12.1】-----《信息安全技术网络安全保护测评要求》《信息安全技术网络安全等级保护基本要求》
根据重要程度和遭到破化后,对合法权益的侵害程度,分为5级
2.安全保护能力
第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。
第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发 现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。
第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较 为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所 造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造 成的资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够迅速恢复所有功能。
四、等保2.0建设要求
1.基本要求
2.五个规定动作
五、网络信息安全法律与政策
《网络安全法》核心要求:制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任:
采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
采取数据分类、重要数据备份和加密等措施
等保三级每年进行测评,
等保四级每半年进行测评;
网信办统筹网络安全工作。
《网络安全等级保护2.0》于2019年12月1日正式实施:
《中华人民共和国密码法》于2020年1月1日起实施。
《中华人民共和国数据安全法》于2021年9月1日正式施行。
例题
六、CC攻击日志
6.3信息加密
一、密码学基础概念
1.信息安全的核心是密码技术,研究数据加密的科学叫作密码学(Cryptography)。
2.现代密码理论的一个根本性原则Kerckhoffs原则:密码体制的安全性不依赖于算法的保密而仅仅依赖于密钥的保密。
3.不论窃听者获取了多少密文,如果密文中没有足够的信息可以确定出对应的明文,则这种密码体制是无条件安全的,或称为理论上不可破解的。
4.在无任何限制的条件下,目前几乎所有的密码体制都不是理论上不可破解的。能否破解给定的密码取决于使用的计算资源。
二、经典加密技术
1.替换加密(Substitutkm)。用一个字母替换另一个字母,例如Caesar【凯撒】密码(D替换a,E替换b等)。这种方法保留了明文的顺序,可根据自然语言的统计特性(例如字母出现的频率)破译)。
2.换位加密(Transposition)。按照一定的规律重排字母的顺序。
3.一次性填充(One-TimePad)。把明文变为位串(例如用ASCII编码),选择一个等长的随机位串作为密钥,对二者进行按位异或得到密文。
三、现代加密技术
1.现代密码体制使用的基本方法仍然是替换和换位,但是采用更加复杂的加密算法和简单的密钥,而且增加了对付主动攻击的手段。例如加入随机的冗余信息,以防止制造假消息;加入时间控制信息,以防止旧消息重放。
2.替换和换位可以用简单的电路来实现
四、对称密码
1.特点:加密和解密使用相同的密钥
优点:加解密速度快,密文紧凑,使用长密钥时南破译
缺点:密钥分配问题,密钥管理问题,无法认证源
2.常见的堆成密钥加密算法:DES,3DES,AES,RC4/5,IDEA
3.算法特点总结
五、公钥密码/非对称密码
1.公钥密码又称为非对称加密,就是对数据加密和解密的密钥是不同的。
优点:密钥分发方便、密钥保管量少、支持数字签名,
缺点:加密速度慢(计算量大,不适合加密大数据)、数据膨胀率高。
2.每个实体有俩密钥:公钥公开,私钥自己保存
公钥加密,私钥解密,可实现保密通信
私钥加密,公钥解密,可实现数字签名
3.常见的非对称加密算法如下!
RSA:512位(或1024位)密钥,计算量极大,难破解。
Elgamal、ECC(椭圆曲线算法)、背包算法、Rabin、DH等:
六、密码分类
例题
七、混合密码
1.混合密码:发送方用对称密钥加密需要发送的消息,再用接收方的公钥加密对称密钥,然后一起发送给接收方;接收方先用自己的私钥解密得到对称密钥,然后用对称密钥解密得到明文。
对称加密消息;非对称加密密钥
八、国产加密算法-SM系列
1.《中华人民共和国密码法》密码分为核心密码,普通密码,商用密码
2. 核心密码、普通密码属于保护国家秘密信息-----国家秘密
商用密码来保护不属于国家秘密的信息,公民,法人可用,国产密码算法如下:
3.SM2和SM4
例题
6.4 Hash算法
一、Hash算法
1.Hsah函数又称为杂凑函数/散列函数,它能够将任意长度的信息转换成固定长度的哈希值(数字摘要),并且任意不同消息或文件所生成的哈希值是不一样的。
2.h表示hash函数,则h满足下列条件:
(1)h的输入可以是任意长度的消息或文件M。
(2)h的输出的长度是固定的。
(3)给定h和M,计算h(M)是容易的。
(4)给定h的描述,找两个不同的消息M1和M2,使得h(M1)=h(M2)是计算上不可行。
3.哈希函数特性:不可逆性(单向)和无碰撞性、雪崩效应
二、哈希分类
1.常见的Hash算法:
(1)MD5算法:以512位数据块为单位来处理输入,产生128位 的信息摘要。常用于文件校验。
(2)SHA算法:以512位数据块为单位来处理输入,产生160位的哈希值,比MD5更安全.
(3)SM3国产算法:消息分组长度为512比特,输出256位 摘要。
三、Hash应用
1.完整性校验
2.账号密码存储
3.用户身份认证
增加一个随机数R做哈希HMAC=Hash(密码+R)
需要双方预先知道这个R
MAC:消除中间人攻击,源认证+完整性校验
例题
6.5数字签名
一、数字签名
1.现实生活中,我们经常签名,并且按手印,主要通过独一无二的笔迹和手印来防止抵赖。在计算机世界通过数字签名来实现同样的功能。签名方用自己的私钥进行签名,对方收到后,用签名方的公钥进行验证。
2.数字签名是用于确认发送者身份和消息完整性的一个加密消息摘要,具有如下特点:
(1)数字签名是可信的。
(2)数字签名不可伪造。
(3)数字签名不能重新使用.。
(4)签名文件是不能改变的,
(5)数字签名不能抵赖。
(6)接收者能够核实发送者身份。
二、数字签名过程
1.常用的签名算法是RSA,采用发送者私铜签名,接收方收到数据后,采用发送者的公钥进行验证。可以直接对明文进行签名,由于明文文件可能很大,这种签名方案效率低)
所以也可以先由明文生成Hash。再对Hash值进行签名Hash(比如MD5生成128位)效率更高。
四、签名验证过程
例题
6.6数字证书与CA
一、为什么需要数字证书
1.无法保证公钥不是冒充的
2.数字证书类比
CA【Certificate Authority】
二、PKI体系认证
1、用户/终端实体:指将要向认证中心申请数字证书的客户,可以是个人,也可以是集团或团体、某政府机构等
2、注册机构RA:负责受理用户申请证书,对申请人的合法性进行认证,并决定是批准或拒绝证书申请。注册机构并不给用户签发证书而只是对用户进行资格审查。较小的机构,可以由CA兼任RA的工作
3、证书颁发机构CA:负责给用户颁发、管理和撤销证书。
4、证书发布系统:负责证书发放,如可以通过用户自已或是通过目录服务。
5、CRL库:证书吊销列表,存放过期或者无效证书。
考点:RA,CA功能;PKL组成部分
例题
三、证书链
1.如果用户数量很多,通常由多个CA,每个CA为一部分用户发行和签署证书。
2.如果有两个CA,X1和X2,假设用户A从CA机构X1获得了证书,用户B从X2获得证书,如果两个证书发放机构X1和X2彼此间安全交换了公钥,彼此信任,那么他们的证书可以形成证书链。
3.A通过一个证书链来获取B的公钥,证书链表示为:X1《X2》X2《B》
4.B也能通过相反的证书链来获取A的公开密钥:X2《X1》X1《A》
例题
6.7.1 虚拟专用网L2TP和PPTP
一、虚拟专用网基础
1.虚拟专用网(Virtual Private Network)一种建立在公网上的,某一组织或某一群用户专用的通信网络
2.实现虚拟专用网关键技术
隧道技术(Tuneling)
加解密技术(Encryption&Decryption)
密钥管理技术(Key Management)
身份认证技术(Authentication)
二、VPN分类
1.VPN现在广泛应用于企业网络分支机构和出差员工连接总部网络的场景,以下是VPN常见的几种分类方式
2.根据应用场景不同分类:
(1)Client-to-Site VPN:即客户端与企业内网之间通过VPN隧道建立连接,客户端可以是一台防火墙、路由器,也可以是个人计算机。此场景可以使用以下几种VPN技术实现:SSL、IPSec、L2TP和L2TP over IPSec;
(2)Site-to-Site VPN:即两个局域网之间通过VPN隧道建立连接,部署的设备通常为路由器或者防火墙。此场景可以使用以下几种VPN技术实现:IPSec、L2TP、L2TP overIPSec、GRE over lPSec和IPSec over GRE.
3.根据VPN实现层次
(3.1)二层隧道协议有PPTP和L2TP都基于PPP协议。但存在如下差异:
(1)PPTP只支持TCP/IP体系,网络层必须是IP协议,而L2TP可以运行在IP(使用UDP)、X.25、帧中继或ATM网络上。
(2)PPTP只能在两端点间建立单一隧道,L2TP支持在两端点间使用多个隧道。
(3)L2TP可以提供包头压缩。当压缩包头时,系统开销占用4个字节,而在PPTP占用6个字节
(4)L2TP可以提供隧道验证,而PPTP不支持隧道验证。L2TP不加密,PPTP支持加密
(3.2)PPP协议包含链路控制协议LCP和网络控制协议NCP
(3.3)PPP认证方式:
PAP:两次握手验证协议,口令明文传输,被验证方首先发起请求
CHAP:三次握手认证过程不传输认证口令,传送HMAC散列值
例题
6.7.2虚拟专用网IPSec
一、IPSec基础
1.IPSec(IP Security)是IETF定义的一组协议,用于增强IP网络的安全性
2.IPSec协议集提供如下安全服务:
数据完整性(DataIntegrity)
认证(Autentication)
保密性(Confidentiality)
应用透明安全性(Application-transparent Security)
3.IPSec针对ipv4;扩展头【AH,ESP-----IPSec的子协议】针对ipv6
二、IPSec原理
1.IPSec功能分为三类:认证头(AH)、封装安全负荷(ESP)、Internet密钥交换协议(IKE)(1)认证头(AH-----Authentication Header):提供数据完整性和数据源认证,但不提供数据保密服务,实现算法有MD5、SHA。
(2)封装安全负荷(ESP-----Encapsulating Security Payload):提供数据加密功能,加密算法有DES、3DES、AES等。
(3)Internet密钥交换协议(IKE-----Internet Key Exchange):用于生成和分发在ESP和AH中使用的密钥
三、IPSec两种封装模式
传输模式效率高,隧道模式更安全
四、GRE虚拟专网
1.GRE(Generic Routing Encapsulation通用路由封装)是网络层隧道协议,对组播等技术支持很好,但本身不加密,而IPSec可以实现加密,对组播支持不佳。所以语音、视频、路由协议等组播业务中经常先用GRE封装,然后再使用IPSec进行加密,即GRE over lPSec.
2.GRE协议号为47
3.IPSec IKE端口UDP 500和4500
例题
6.8 应用层协议安全
一、SSL/TLS
1.SSL-----网景公司
HTTP+SSL=HTTPS
二、HTTPS和S-HTTP
1.基于SSL的超文本传输协议(Hypertext Transfer Protocol over Secure Socket Layer,HTTPS)不是一个单独的协议,而是两个协议的结合,即在加密的安全套接层或传输层安全(SSL/TLS)上进行普通的HTTP交互传输。这种方式提供了一种免于窃听者或间人攻击的合理保护。HTTPS默认端口是443,.【缝缝补补】
2.S-HTTP是安全的超文本传输协议(Security HTTP)本质还是HTTP,基本语法与HTTP一样,只是报文头有所区别,进行了数据加密,HTTP默认端白80【另起炉灶】
3.HTTPS协议栈与工作过程
写出1-5的密钥名称
1.公;2.公钥;3.私钥;4.会话;5.会话
例题
4.总结
例题
三、SET和PGP
1.安全电子交易/(Secure Electronic Transaction,SET)主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份以及可操作性。
2.SET协议使用密码学技术来保障交易安全,默认使用的对称加密算法是DES,公钥密码算法是RSA,散列函数是SHA。
3.PGP(Pretty Good Privacy)是一个完整的电子邮件安全软件包(应用层),PGP提供数据加密和数字签名两种服务。采用RSA公钥证书进行身份验证,使用IDEA进行数据加密,使用MD5进行数据完整性验证。
四、S/MIME
1.安全多用途互联网邮件扩展协议(Security/Multipurpose Internet Mail Extensions,S/MIME)提供电子邮件安全服务,
2.S/MIME采用MD5生成数字指纹,利用RSA进行数字签名并采用3DES加密数字签名
不要混淆MIME和S/MIME,MIME不具备安全功能
五、Kerberos
1.Kerberos是用于进行身份认证的安全协议,Kerberos包含密钥分发中心(KDC)、认证服务器(AS)、票据分发服务器(TGS)和应用服务器等几大组件,
2.其中密钥分发中心KDC包含认证服务器AS和票据分发服务器TGS,具有分发票据/凭证(Ticket)的功能。
(1)用户先到KDC中的认证服务器(AS)进行身份认证,如果通过则获得初始许可凭证。
(2)接着向授权服务器(TGS)请求访问凭据,获取相应的访问权限凭证。
(3)向应用服务器递交访问权限凭据,获取资源访问。
六、PKI与kerberos
例题
6.9 防火墙技术
一、防火墙
1.防火墙可以实现内部信任网络与外部不可信任网络(Internet)之间或是内部网络不同区域逻辑隔离与访问控制。
2.教材防火墙功能:访问控制、NAT、路由、VLAN、链路聚合、网络监控等。不包含应用层功能
3.防火墙模式:路由模式、透明模式和混合模式。
二、防火墙区域划分
1.根据网络的安全信任程度和需要保护的对象,人为划分若干安全区域,包括:
本地区域(Local):防火墙本身。
信任区域(Trust):内部安全网络,如内部文件服务器、数据库服务器。
非信任区域(Untrust):外部网络,比如互联网。
军事缓冲区域(DMZ):内部网络和外部网络之间的网络,常放置公共服务设备,向外提供信息服务.
2.受信任程度:Local>Trust>DMZ>Untrust
3.Inbound:低安全级别→高安全级别,比如 Untrust → Trust
4.Outbound:高安全级别 → 低安全级别,比如 DMZ- Untrust
例题
114.114.114.114:电信的DNS
8.8.8.8:谷歌的DNS
防火墙五元组:源目IP,源目端口号,协议
6.10 IDS和IPS
一、IDS定义与功能
1.入侵检测IDS是防火墙之后的第二道安全屏障
2.从计算机网络系统中的若干关键点收集信息,并分析这些信息,在不影响网络性能的情况下能对网络进行监测,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)
3.入侵检测系统主要功能:
(1)监测并分析用户和系统的网络活动
(2)匹配特征库,识别已知的网络攻击、信息破坏、有害程序和漏洞等攻击行为。
(3)统计分析异常行为。
(4)发现异常行为时,可与防火墙联动,由防火墙对网络攻击行为实施阻断。
二、入侵检测系统的数据源
1.入侵检测系统IDS的数据源
操作系统审计记录,操作系统日志
网络数据:核心交换机端口镜像,服务器接入交换机端口镜像
二、华为交换机端口镜像配置
三、入侵检测分类
1.按信息来源分:HIDS、(NIDS、DIDS人主机/网络/分布式)。
2.按响应方式分:实时检测和非实时检测。
3.按数据分析技术和处理方式分:异常检测、误用检测和混合检测。
异常检测:建立并不断更新和维护系统正常行为的轮廓,定义报警值,超过阈值则报警。
能够检测从未出现的攻击,但误报率高。
误用检测:对已知的入侵行为特征进行提取,形成入侵模式库,匹配则进行报警。
已知入侵检测准确率高,对于未知入侵检测准确率低,高度依赖特征库。
检测技术:专家系统和模式匹配。
四、入侵防御系统IPS
1.定义:入侵防御系统是一种抢先的网络安全检测和防御系统,能检测出攻击并积极响应。IPS集成入侵威胁特征库,对网络流量进行检测,当发现异常流量时,可以实时阻断,实现入侵防护,通常入侵防御系统具有如下功能:
(1)监测并分析用户和系统的网络活动。
(2)匹配特征库,识别已知的网络攻击、信息破坏、有害程序和漏洞等攻击行为,并阻断攻击
(3)统计分析异常行为。
2.IPS检测技术更加丰富多样,常见的有基于特征的匹配技术、协议分析技术、抗DoS/DDoS技术、智能化检测技术、蜜罐技术(这是一种主动防御技术)等
3.由于IPS串行部署,也可能存在单点故障、性能瓶颈、漏报误报等问题,同时还需要保持特征库更新。
五、IPS和IDS区别
例题
6.11 网络安全防护系统
一、Web应用防火墙
1.Web应用防火墙(Web Application Firewal,WAF)是一种用于HTTP应用的防火墙,工作在应用层可以更深入地检测Web流量,通过匹配Web攻击特征库,发现攻击并阻断。
2.Web攻击:SQL注入、XSS、反序列化、远程命令执行、文件上传、Webshell
3.WAF功能:
(1)Web攻击防护,通过特征匹配阻断SQL注入、跨站脚本攻击、Web扫描等攻击行为。
(2)Web登录攻击防护,包括暴力破解防护、撞库防护、弱口令防护等。
(3)漏洞利用防护,包括反序列化漏洞利用、远程命令执行利用等其他软件漏洞利用攻击防护。
(4)Web恶意行为防护,包括恶意注册防护、高频交易防护、薅羊毛行为防护、短信验证码滥刷防护等
(5)恶意流量防护,包括CC攻击防护、人机识别、TCP Flood攻击防护等
二、漏洞扫描
1.漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。
2.漏洞扫描是对系统脆弱性的分析评估,能够检查、分析网络范围内的设备、网络服务、操作系统、数据库等系统的安全性,从而为提高网络安全的等级提供决策支持。
技术 + 管理
3.相当于“体检”,及时发现问题,解决问题。
三、统一威胁管理UTM和下一代防火墙NGFW
1.统一威胁管理(Unifed Threat Management,UTM)集成防火墙、入侵检测,入侵防护、防病毒功能于一台设备中,形成统一安全管理平台。
2.UTM集成众多受全功能,防火墙仍是其核心功能。
3.优点:整合各安全防护功能,可以降低成本、降低部署和管理工作难度,有效提高各系统间的协同工作效率;
3.缺点:功能大而全但单项防护能力弱、功能过度集中造成抗风险能力下降、对设备性能要求高
4.下一代防火墙(Next Generation Firewall,NGFW)相当于UTM升级版,集成多功能,但一次拆包,多次检查,性能损耗小。
5.等保一体机
四、数据库审计
五、态势感知
六、大数据安全平台/姿态感知平台
七、分钟及联动防护-全网协同
八、华为沙箱----全面领先的未知文件检测机制
部署方案
九、运维安全管理与审计系统(堡垒机)
1.运维人员只有通过堡垒机才能访问网络内的服务器、网络设备、安全设备、数据库等设备资源,它是运维人员进行运维操作的唯一通道。堡垒机全程记录运维人员的操作记录,可实现运维操作回溯,同时对于高危命令的操作实时阻断,实现集中报警、及时处理及审计定责。
2.堡垒机功能:
(1)运维身份多重认证。堡垒机提供运维人员的统一入口,运维人员需先通过账号密码 (或者密码+数字证书)登录到堡垒机,再输入运维设备的账号密码才能登录运维,通过多重身份认证,实现身份强认证。
(2)统一账户管理。实现对所有被运维的IT资产账号的集中管理和监控。
建立运维人员与设备的对应关系,按需授权,按授权范围运维,通过配置登录、
(3)统一资源授权。旁上传、下载等权限,杜绝非授权访问和运维行为。
(4)集中运维监控和审计。实时监控运维人员正在进行的各种操作,可以随时阻断运维操作;通过设置高危命令清单,自动阻止运维人员进行高危命令执行。
(5)运维过程回溯。通过视频回放的审计界面,以真实、直观、可视的方式重现操作过程
十、蜜罐
主动防御技术是入侵检测技术的一个发展方向,也是“透捕”攻击者的陷阱
蜜罐系统是–个包含漏洞的诱骗系统,它通过模拟一个或多个。
易受攻击的主机和服务,给攻击者提供一个容易攻击的目标。
攻击者往往在蜜罐上漁费时间,延缓对真正目标的攻击
可以对入侵的取证提供重要的信息和有用的线索,便于研究入侵者的攻击行为
例题
十一、态势感知组件
