被人們稱作“蜜罐”的誘騙服務(wù)器正在被用來(lái)研究新的威脅和誘騙攻擊者離開(kāi)真正的企業(yè)網(wǎng)絡(luò)。現(xiàn)在，一種受歡迎的新型綜合設(shè)備能夠提高異常檢測(cè)的準(zhǔn)確性。

賓夕法尼亞州大學(xué)和哥倫比亞大學(xué)的研究人員最近披露了一種新的架構(gòu)。這種架構(gòu)通過(guò)使用蜜罐技術(shù)驗(yàn)證被錯(cuò)誤分類(lèi)的信息從而擴(kuò)充了傳統(tǒng)的入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)的功能。

哥倫比亞大學(xué)教授Stelirs Sidiroglou上個(gè)星期在巴爾的摩舉行的Usenix安全論壇會(huì)議上對(duì)與會(huì)者說(shuō)，這個(gè)機(jī)構(gòu)把蜜罐功能與異常檢測(cè)系統(tǒng)的功能結(jié)合在了一起。

蜜罐一般是用來(lái)誘騙對(duì)服務(wù)器應(yīng)用程序中的已知的安全漏洞實(shí)施的攻擊，而不是誘騙對(duì)未知的安全漏洞的攻擊或者零日攻擊。在流行的入侵防御系統(tǒng)軟件和設(shè)備中的異常檢測(cè)系統(tǒng)提供了強(qiáng)大的掃描功能，可以檢測(cè)出已知的攻擊和未知的攻擊。但是，也會(huì)產(chǎn)生一些虛假的信息。

“影子蜜罐(Shadow honeypots)”與在網(wǎng)絡(luò)的服務(wù)器和客戶機(jī)兩端運(yùn)行的受到保護(hù)的應(yīng)用程序的功能完全相同，并且與異常檢測(cè)系統(tǒng)一起工作。當(dāng)傳感器檢測(cè)到某些可疑的信息時(shí)，便把這些可疑的信息發(fā)給影子蜜罐進(jìn)行進(jìn)一步的分析。這樣就減少了異常檢測(cè)系統(tǒng)發(fā)出錯(cuò)誤信息的數(shù)量。作為一種備份措施，影子蜜罐將對(duì)發(fā)送的數(shù)據(jù)再次進(jìn)行隨機(jī)的檢查以提高準(zhǔn)確性和防止真正的攻擊進(jìn)入網(wǎng)絡(luò)。

這兩所大學(xué)的科學(xué)家已經(jīng)使用Apache網(wǎng)絡(luò)服務(wù)器和Mozilla Firefox網(wǎng)絡(luò)瀏覽器對(duì)他們的防御緩存溢出等內(nèi)存攻擊的技術(shù)進(jìn)行實(shí)驗(yàn)。科學(xué)家們?cè)趯?shí)驗(yàn)中還使用了諸如抽象負(fù)載執(zhí)行(Abstract Payload Execution)和“晨鳥(niǎo)”算法等異常檢測(cè)技術(shù)。最初的結(jié)果是很有希望的:影子蜜罐創(chuàng)造了比單獨(dú)使用入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)更準(zhǔn)確的檢測(cè)結(jié)果。但是，這種準(zhǔn)確性付出了巨大的處理能力的代價(jià)。依據(jù)使用情況，監(jiān)視通向Apache服務(wù)器通信的影子蜜罐耗費(fèi)的處理能力要高出20%至50%。

學(xué)術(shù)專家認(rèn)為，這個(gè)概念將推動(dòng)傳統(tǒng)蜜罐的應(yīng)用，并且減少網(wǎng)絡(luò)日志中的誤報(bào)數(shù)量以及減少漏報(bào)可能被攻擊的系統(tǒng)漏洞的次數(shù)。這個(gè)概念還能夠更好地監(jiān)視針對(duì)客戶端計(jì)算機(jī)系統(tǒng)的應(yīng)用程序的威脅。