当前位置:文档之家 › 基于蜜罐技术的分布式容侵防御模型

基于蜜罐技术的分布式容侵防御模型

  • 格式:pdf
  • 大小:271.89 KB
  • 文档页数:4

下载文档原格式

  / 4

合集下载

基于蜜罐主机的入侵欺骗技术研究

基于蜜罐主机的入侵欺骗技术研究
现 蜜 罐 主 机 点 问 题【 l l 。 在 信 息 安 全 的 研 究 中 ,欺 骗 ” 要 表 示 攻 击 方 的行 为 , 击 ” 主 攻 U Ⅸ 类 系 统 为 我 们 提供 更 多 的数 据 捕 获 机 制 。 乎 所 有 的 N 几 者 利 用 网络 协议 、 务 机 制 、 序 的 漏 洞 和 网络 用 户 的 疏 忽 等 , 系 统 部 件 都 可 以 得到 其 源 代 码 . 而 可 以修 改这 些 源代 码 . 捕 服 程 从 把 对 各 种 资 源实 施 不 合 法 的获 取 。 是 , 但 欺骗 技 术 除 了 用 于攻 击 之 获 机 制 集成 到这 些 部 件 当 中 。 这 也 不 是 没有 任 何 问题 的 。 些 但 这
现状 . 分析 了蜜罐 主 机信 息捕 获 的 方 法 , 入 侵 欺 骗 技 术 的 应 用 提 出 了建 议 。 对
【 键词 】 信息安全; 侵欺骗技术 ; 关 : 入 蜜罐 主 机 ; 息 捕 获 信
1 引 言 .
有 人 或 许 认 为 由 于 存 在 大 量 的 针 对 Wid w no s系 统 攻 击 方
因 但 进 入 二 十 一 世 纪后 . 会 信息 化 步 伐 不 断 加 快 。 们 对 信 息 法 . 此 把 它 作 为 蜜罐 主 机 是 比较 理 想 的 , 事 实 上 并 非 如 此 。 社 人 no s 系 统 和信 息服 务 的依 赖 性 也 越来 越 强 .这 意 味 着 信 息 系 统 更 容 Wid w 系统 本 身 的 系统 结 构使 得 它 作 为数 据 捕 获设 备 相 对 很 易 受 到 安 全 威 胁 的攻 击 , 而且 , 旦 被 攻 击 , 成 的 影 响 也 就 越 难 。直 到 今 天 , n O S 作 系 统 的 源 代码 仍 未 公 开 . 此要 对 一 造 WidW 操 因 来越大。 随着 我 国 以信 息 化 带 动工 业 化 . 别是 电子 政 务 的全 面 操 作 系 统 进 行修 改是 很 难 的事 情 .且 任 何 日志 功 能 的 增 加 都 是 特 推 进 .信 息安 全 问题 成 为 当 前 信 息 化 发展 和 电 子 政 务 建 设 的 焦 在 用 户 空 间 完成 的 。 法做 到 透 明 的实 现 , 此 入 侵 者 很 容 易 发 无 因

分布式蜜罐系统的设计与实现

分布式蜜罐系统的设计与实现
o en t c e o e p t a i  ̄ A i d o c n q e o iti u e o e p t n t eb sso o e p t e t g wh c e p d fe e t f i g at k d h n y o sl b a e y kn f e h iu fd sr t d h n y o a i fh n y o t n i h s t i r n t b o h s i u h n y o f lt o f i da i e e t y tms a dt e t a se i f r e ih r u d y f e s a kt er a n t o k i f r - o e p t a o me t f r n s o f r a d s e , n n amu l y t m o h u s s m d wh c o n l e d c e } e b h w r o ma n t n a s l i r d c s h le aa m t d t el a l r a eo s m f c i ey i , sar u t t e u e ef s l r r ea e k a a r t fs t e e t l ̄ o e , t a a n h m y e v Ke r s i t so e e t n a e t h n y o ; i e t c to ff g r r t s se o i r u e o e p t y wo d : n r i n d t ci ; g n ; o e p t d n i ai n o n e p n ; y t m f si t dh n y o u o i f i i d tb
分布式蜜罐系统的设计与实现
肖军 弼 , 刘 广 神 ( 国石 油 大 学( 东)计 算机 与通 信 工程 学 院 ,山 东 青 岛 265) 中 华 655

蜜罐技术详解与案例分析

蜜罐技术详解与案例分析

蜜罐技术详解与案例分析蜜罐技术是一种用于检测和诱捕黑客攻击的安全防御工具。

它通过模拟漏洞和易受攻击的目标来吸引攻击者,并记录他们的行为。

本文将详细介绍蜜罐技术的原理、分类以及几个成功的案例分析。

一、蜜罐技术的原理蜜罐技术的核心原理是通过创建一个看似真实的系统或网络,来吸引和诱捕黑客攻击。

蜜罐可以是一个虚拟机、一个虚拟网络或一个物理设备,在这个系统中,存在着一些看似易受攻击的漏洞或是敏感信息。

当攻击者企图入侵或攻击这些漏洞时,蜜罐会记录下他们的攻击行为和手段,并提供有关攻击者的详细信息。

二、蜜罐技术的分类蜜罐可以分为以下几种不同类型:1. 高交互蜜罐:这种蜜罐模拟了一个完整的系统,攻击者可以与之进行实时互动,这包括使用真实的漏洞和服务。

高交互蜜罐提供了最真实的攻击场景,并能够获取最多的攻击者信息,但它也存在一定的风险和安全隐患。

2. 低交互蜜罐:这种蜜罐只模拟了一部分的系统服务或功能,它减少了与攻击者的互动,因此相对较安全。

低交互蜜罐可以快速部署和更新,但信息收集相对较少。

3. 客户端蜜罐:这种类型的蜜罐主要用于追踪和识别客户端攻击,例如恶意软件的传播、垃圾邮件的发送等。

客户端蜜罐可以帮助安全团队及时发现客户端攻击行为,并采取相应的措施。

4. 网络蜜罐:这种蜜罐放置在网络中,用于监测网络攻击和入侵。

它可以模拟各种网络服务和协议,以吸引攻击者对网络进行攻击。

5. 物理蜜罐:这种类型的蜜罐是一台真实的物理设备,通常用于保护企业的关键系统和数据。

物理蜜罐可以监测并记录与其交互的攻击者的行为,从而提高企业的安全性。

三、蜜罐技术的案例分析以下是几个成功的蜜罐技术案例分析:1. Honeynet计划Honeynet计划是一个非营利性的组织,致力于通过蜜罐技术、漏洞研究和威胁情报分享来提高网络安全。

他们搭建了一系列全球分布的蜜罐网络,成功地识别了许多高级攻击行为,并提供了有关黑客活动的详细报告。

2. CanSecWest PWN2OWN比赛PWN2OWN是一项安全比赛活动,鼓励研究人员发现和报告操作系统和网络浏览器的安全漏洞。

网络诱骗技术之蜜罐

网络诱骗技术之蜜罐

网络诱骗技术之蜜罐摘要:基于主动防御理论系统而提出的新兴蜜罐技术,日益受到网络安全领域的重视,蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵,进而了解攻击思路、攻击工具和攻击目的等行为信息,特别是对各种未知攻击行为信息的学习。

根据获取的攻击者得情报,安全组织就能更好地理解网络系统当前面临的危险,并知道如何阻止危险的发生。

本文首先系统地介绍了蜜罐和蜜罐网络诱骗系统的原理知识及关键技术,重点阐述了蜜罐的发展趋势及研究方向。

关键词:蜜罐、网络诱骗、网络安全、蜜网Phishing technology Honeypot(Northeastern University at Qinhuangdao, Qinhuangdao, 066004) Abstract: Based on active defense system proposed by the emerging theory of honeypot technology, increasingly the importance of network security, honeypots, mainly through careful layout of the environment to attract and tolerance decoy invasion, and then understand the idea of attack, attack tools, and the purpose of acts such as attacks information, especially information on a variety of learning unknown attacks. According to the attacker have access to intelligence and security organizations can better understand the danger facing the network system, and how to prevent dangerous place. This article first systematic introduction to honeypots and honeypot network decoy system, the principle knowledge and key technologies, focusing on trends and honeypot research.Keywords: Honeypot, Phishing, network security, Honeynet0引言“蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo’s Egg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。

防黑阻击-入侵检测之蜜罐蜜网

防黑阻击-入侵检测之蜜罐蜜网

防黑阻击 入侵检测之蜜罐与蜜网入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术。

主要包括蜜罐(Honeypot)和蜜网(Honeynet)两种。

它是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析,并找到有效的对付方法。

为了吸引攻击者,网络管理员通常还在Honeypot上故意留下一些安全后门,或者放置一些攻击者希望得到的敏感信息,当然这些信息都是虚假。

当入侵者正为攻入目标系统而沾沾自喜时,殊不知自己在目标系统中的所做所为,包括输入的字符,执行的操作等都已经被Honeypot所纪录。

蜜罐技术Honeypot是一个资源,它的价值在于它会受到探测,攻击或攻陷。

蜜罐并不修正任何问题,它们仅提供额外的、有价值的信息。

所以说Honeypot并非是一种安全的解决方案,这是因为它并不会“修理”任何错误。

它只是一种工具,如何使用这个工具取决于用户想做什么。

Honeypot可以对其他系统和应用进行仿真,创建一个监禁环境将攻击者困在其中。

无论用户如何建立和使用Honeypot,只有Honeypot受到攻击,它的作用才能发挥出来。

所以为了方便攻击,最好是将Honeypot设置成域名服务器WEB或电子邮件转发服务等流行应用中的一种。

蜜罐的部署蜜罐并不需要一个特定的支撑环境,它可以放置在一个标准服务器能够放置的任何地方。

当然,根据所需要的服务,某些位置可能比其他位置更好一些。

如图(1)显示了通常放置的三个位置:1.在防火墙前面;2.DMZ中;3.在防火墙后面。

如果把蜜罐放在防火墙的前面,不会增加内部网络的任何安全风险,可以消除在防火墙后面出现一台失陷主机的可能性(因为蜜罐主机很容易被攻陷)。

但是同时也不能吸引和产生不可预期的通信量,如端口扫描或网络攻击所导致的通信流,无法定位内部的攻击信息,也捕获不到内部攻击者。

如果把蜜罐放在防火墙的后面,那么有可能给内部网络引入新的安全威胁,特别是如果蜜罐和内部网络之间没有额外的防火墙保护。

有关“蜜罐(honeypot)”技术在网络安全中的探讨

有关“蜜罐(honeypot)”技术在网络安全中的探讨

有关“蜜罐(honeypot)”技术在网络安全中的探讨余晓东(广东电网公司潮州供电局,广东潮州 521000)摘 要:随着计算机网络发展越来越快,网络安全也随之下降,在保护网络安全上,传统的方法是利用防火墙。

比较普遍的防火墙、防毒软件及其运行机制、监察入侵活动和内容过滤等已对网络安全起不了很大的作用了,本文就对“蜜罐”技术及其在网络安全中的应用做出相应探讨,以供大家一起来参考及借鉴。

关键词:蜜罐;功能;蜜网;发展中图分类号:TN915.08 文献标识码:A 文章编号:1007-9599 (2010) 09-0056-02The "honey pot" Technology in the Network SecurityYu Xiaodong(Chaozhou Power Supply Bureau of Guangdong Power Grid Company,Chaozhou 521000,China) Abstract:With the increasingly rapid development of computer networks,network security was declining,in the protection of network security,the traditional method is to use firewall.More common firewall,antivirus software and its operating mechanism,monitoring intrusions,and content filtering for network security can not played a significant role,and this article on the "honey pot" technique and its application in network security and make the corresponding discussion,for all to reference and learn together.Keywords:Honey pot;Function;Honeynet;Development一、防火墙技术的局限性和脆弱性防火墙是网络上使用最多的安全设备,是网络安全的重要基石。

基于主动防御的蜜罐技术研究

基于主动防御的蜜罐技术研究

对蜜罐 的连接尝试都被 认为是 可疑 的。蜜罐 的主要任 务就是 通
过模拟 真实 的网络服务来吸引攻击 , 对攻击 者的攻击行为 和过 程
单机蜜罐就是利 用一 台主机 系统模 拟漏 洞或仿真 服务 , 吸引
攻击 者 , 采集数据 , 并控制 攻击 者在预设 的 系统 内活 动。网络蜜
进行记 录分析 , 而了解攻击 者的攻击 方法 和使用 工具 , 从 对新 型
1 引言
伴随着网络普及与发展 , 网络安全 问题 也 日益严峻 。面对 不
2 2 2 根据蜜罐 的交互复杂度 , 以分 为低 交互蜜罐 , .. 可 中交互蜜 罐 和高 交互蜜罐三类 低交互蜜罐一般 只提供某 些伪造 的服务 , 如模拟 Fp和 We t b
服务等 。由于没 有 真正 的操 作 系统 和服 务 , 低交 互蜜 罐结 构简 单, 部署容易 , 险很低 , 能收集 的信息也 是有限 的。中交互蜜 风 所 罐 提供 了更 多的交互 信息 , 它们 能够 预期一 些活 动, 可以给 出 并
因为蜜网可以包 含不 同的操作 系统 , 而不 同的操 作系统又有不 同 的应用 , 以蜜 网可 以更加准确地分析不 同攻击 者的攻击意 图和 所 目的。与单机蜜罐相 比 , 蜜网多用于对攻击的研 罐和研 究 .. 可 型蜜罐两类
产品型蜜罐是 由网络开发商开发的商用蜜罐 , 一般用来 作为
诱饵把攻击尽可能长时间地捆绑在蜜罐上 , 赢得时间保护 实际 网 络环境。研究 型的蜜罐 主要应用于研究 , 吸引攻 击 , 搜集 信息 , 探 测新型攻 击 , 了解攻击 者的背景、 目的 、 活动规律等。研究型的蜜 罐在编写新 的 I S特征库 , 现 系统漏洞 , 析分布 式拒绝 服务 D 发 分

网络防御中的蜜罐技术

网络防御中的蜜罐技术
维普资讯

建 电

20 0 6年 第 7期
网络防御 中的蜜罐技术
刘 占
( 中国人 民 武 装 警 察部 队 学 院 基 础 部 计 算机 教 研 室 河 北廊 坊 0 5 0 ) 6 0 0
【 摘
要】 :常规 杀毒软件 、 防火墙软件 只是被 动的防护 , 等待攻击者攻击 。 蜜罐好 比是 网络 系统情报 收集 系统 , 而 故意 让
② 虽然蜜罐 的防护功能很弱 。 但是它却具有很强 的检测功
对 想 络 具 有 巨 大 的安 全 隐 患 。 外 。 于 网络 技 术 的 发展 攻 击 者 不 再 能 . 于许 多 组 织 而 言 , 要 从 大 量 的 系 统 日志 中检 测 出 可 疑 的 此 由 需 要 专业 技 术 和 技巧 .可 以方 便 地 从 互 联 网上 找 到 所 需 的 最 新 行 为 是 非 常 困难 的 。虽 然 。 有入 侵 检 测 系 统 O S 的存 在 。 是 , D ) 但 的 攻 击 软 件 并 实施 攻 击 。 而这 些 由 高级 黑 客开 发 的攻 击 软 件 越 I S发 生 的 误 报 和 漏 报 .让 系 统 管 理 员 疲 于 处 理 各 种 警 告 和 误 D 来 越 容 易使 用 , 能 越 来越 强 . 成 的破 坏 也 越 来 越 大 。特 别 值 报 。 蜜 罐 的误 报率 远 远 低 于大 部 分 I S工 具 , 务 须 当心 特 征 功 造 而 D 也 得 注 意 的一 种趋 势是 多种 攻 击 脚 本 和工 具 的融 合 .如 大 量 的 内 数 据 库 的 更 新 和 检测 引擎 的修 改 。 为 蜜 罐 没 有 任 何 有 效 行 为 , 因 核 后 门 工 具 包 的 出 现 。 对 严 重 的安 全 威 胁 。 们 需 要 了 解攻 击 从 原 理 上 来 讲 . 何 连 接 到 蜜 罐 的 连 接 都 应 该 是 侦 听 、 描 或 者 针 我 任 扫 者 使 用 了 哪些 工 具 。 取 了何 种 攻 击 方 式 . 采 以便 更 有 效 的维 护互 攻 击 的一 种 . 样 就 可 以极 大 的 减 低 误 报 率 和 漏 报 率 , 而 简 化 这 从 联 网 的安 全 。 此 产 生 了蜜 罐 技 术 。 由 为捕 获 黑 客 的 行 为 。 入 分 检 测 的过 程 。 某 种 意 义上 来 讲 . 罐 已 经 成 为 一个 越来 越复 杂 深 从 蜜 析 黑 客 行 踪 系 统 了基 础 。 的安 全检 测 工 具 了

基于蜜场技术的主动防护安全系统

基于蜜场技术的主动防护安全系统

基于蜜场技术的主动防护安全系统
肖丹;向建安;江学争
【期刊名称】《福建电脑》
【年(卷),期】2009(025)004
【摘要】设计了一个基于蜜场技术的主动防护系统.蜜场技术结合了蜜罐技术与攻击检测技术,它在大型的分布式网络中集中部署和维护蜜罐,对各个子网的安全威胁进行收集,可用于大规模网络的主动防护.
【总页数】2页(P159,152)
【作者】肖丹;向建安;江学争
【作者单位】江南计算技术研究所,江苏,无锡,214083;95010部队,广东,汕
头,515000;95050部队,广东,广州,510075
【正文语种】中文
【中图分类】TP3
【相关文献】
1.基于物联网技术的滑雪场安全管理系统设计 [J], 肖瑞雪;吕国;樊峰伟
2.一种基于三级内网蜜场系统的网络蠕虫检测技术 [J], 陈志杰;鲜明
3.基于蜜场的Openstack安全系统 [J], 焦宏宇;何利文;黄俊
4.基于立体感知技术的海上风场水域交通安全监管系统 [J], 曾建平; 郭建新; 蒋光道; 黄兴; 洪波; 连波
5.基于BIM与VR技术的地铁施工安全教育和场布漫游服务系统设计 [J], 兰峰涛;张安山;李翰卿;刘占省;闫雪
因版权原因,仅展示原文概要,查看原文内容请购买。

基于蜜罐技术的恶意移动代码扫描监测模型研究

基于蜜罐技术的恶意移动代码扫描监测模型研究

基于蜜罐技术的恶意移动代码扫描监测模型研究摘要:目前恶意移动代码的传播严重威胁着Internet网络安全。

介绍了常用网络监测技术,阐述了蜜罐技术概念、工作原理、交互级别,设计了基于蜜罐技术的恶意移动代码扫描监测模型,并对模型中各个模块进行了详细分析。

实践证明,该模型能够及时、有效地监测网络中的恶意移动代码威胁,更好地保护网络和主机安全,减少网络恶意侵害行为。

关键词:恶意移动代码;蜜罐技术;监测;数据采集0引言恶意移动代码(MaliciousMobileCode-MMC)是指在计算机之间以及网络之间移动的任何程序代码,这些代码未经任何允许和授权,有意对计算机系统内容进行篡改,从而达到破坏计算机数据完整性以及降低网络运行可用性的目的。

恶意移动代码包括计算机病毒、木马、蠕虫、恶意脚本以及流氓软件等。

恶意移动代码具有自我复制和自我传播特性,主要表现为:用户机密信息受到威胁、造成骨干网或局域网阻塞、网络服务中断、僵尸网络(Botnet)等,严重威胁着Internet 网络安全。

蜜罐技术可通过模拟服务来获取入侵事件的具体信息,已成为目前网络安全领域的新兴技术,本文提出的基于蜜罐技术的恶意移动代码扫描监测模型能有效对网络中恶意移动代码进行监测,及早、有效地发现面临的威胁,保护网络与主机安全。

1常用网络监测技术为了减少网络恶意侵害行为对互联网基础设施以及主要应用系统的危害,必须对相关网络威胁进行监测和追踪。

目前,监测方式主要分为两类:主机监测和网络监测。

主机监测是指在用户主机上安装反病毒软件和基于主机的入侵检测软件,对入侵主机的已知恶意代码进行检测和告警。

网络监测方式中,常用技术是在活动(active)网络中被动监听网络流量,利用检测算法识别网络入侵行为。

虽然监测活动网络扩大了监测范围,但是如何区分活动网络中的“善意”和恶意流量却变得非常困难,导致检测结果中存在大量虚警;另一种网络监测技术是指在未使用的IP地址空间内被动收集数据。

分布式蜜罐技术分析及系统设计研究

分布式蜜罐技术分析及系统设计研究

的预 防 、检 测 和 响 应 阶段 都 发 挥 着 它 的作 用 。 随 着 网络 中入 侵 攻 击 越 来 越 多 ,蜜 罐 正 逐渐 成 为企 业信 息 安全 的新 防御手 段 。对 于一 般 的企 业应 用 , 企 业 网是 一 个 单 一 的 网 络 , 目前 市 场 上 已 有 不 少 的免 费 的或 商 业 化 的 蜜 罐工 具 可 供 使 用 ;而对 于 些在 全 国 多个 省 份 设 立分 支 机 构 的企 业 ,因其 本 身 企 业 内部 网是 较 复 杂 的分 布 式 网络 ,简单 的
时攻 击 者 的入 侵 行 为 也 逐 渐 复 杂 化 、隐 蔽 化 ,并
1 分布式 蜜罐系统设计 目标
通 过 研 究 蜜 罐 技 术 的 基 本 原 理 ,并 根 据 分 布 式 企 业 内部 网的 特 点 及所 受 的安 全 威 胁 ,设 计并 实 现 一 个 分 布 式 蜜 罐 系 统 , 在 使 用 分 布 式 蜜 罐 系 统 时 候 , 蜜 罐 的 核 心 要 求 就 是 企 业 可 以 对 于 It nt 企 业 网 内部 的 攻击 者 的 相关 行 为 和数 据 n re 及 e 进 行 铺 货 ,保 护 真 实 目标 系统 ,并 及 时产 生 安全 预 警 ;对 于 内部 攻 击 者 ,可 以 追 踪 攻 击 源 ,为 攻 击 行 为 审 计 取 证 ; 同时 为 网 络 安 全 管理 人 员提 供 相 应 数 据 ,使 其 可 以及 时 调 整 安 全 策 略 ,制 定 相
1捕获 到的数 据难 以直 接反映全局的信息状 况。 ) 2 )因 为 蜜罐 技 术 视 野狭 窄 ,只能 看 见 针 对 自 身 的攻 击 行 为 ,而无 法 捕 获 针 对 其 他 系 统 的 攻 击

构建基于蜜罐技术的入侵检测系统

构建基于蜜罐技术的入侵检测系统

3 系统组成与功能
系统 主要 由入侵检 测 系统 、 证代 理 和取 证 中心 取 组成 , 图 1 示。入侵检测 系统配 置在 各个 网段 , 如 所 对 该 网段 的网络运行 情况 进行 监测 , 将报 警信 息发送 并
给取证 中心。取 证代 理根据安全 需要配 置在 需要监控
的实用价 值。
H tn x . 。而大 多数版本 的 L u aL u9 0 i i x在默 认安 装情 况 n 下支持桥 的功能 。另外 , 取证 服务 器具有 网关功 能 ,
它将入侵 检测系统 同网络 其它部分 隔离 开来 , 任何 进
出入 侵检测系统的数据包必须经过取证 服务器 , 样 这
就可 以对数据包进行过滤 , 实现对无论是来 自内网还
没有数据报 路 由 以及 数据 报的 丌L 消耗 , 使取证 服 这 务器被构建 成 为一 个对攻 击 者来说 “ 可见 ” 过滤 不 的 控 制设备 , 使攻击 者更难 以检 测和觉 察它 的存在 。通
常取 证服 务器 建 立 在 L u i x环 境 下 , 系统使 用 R d n 本 a
是一个 包含 漏洞 的诱 骗 系统 , 它通 过模 拟一个 或 多个
易受攻击 的主机 , 给攻击 者提供 一个容 易攻击 的 目标。 由于 蜜罐并 没有 向外界提 供真 正有价 值 的服 务 , 因此
所有对其链接 的尝试都 将被视 为可疑 的。蜜罐 的另一
个 用途 是拖 延攻击 者对真 正 目标台 攻 击 , 攻 击者在 勺 让
是入侵检 测技 术的一个重要 发展 方向 , 已经发展成为诱骗攻 击者的一种非常有效 而实用的 方法 , 不仅 可 以转 移入 侵 者的攻击 , 护主机 和 网络不受入侵 , 保 而且可 以为入侵的取证提 供重要 的线 索和信 息。设计 了基 于蜜罐 技 术的

基于蜜罐技术的主动防护网络入侵研究

基于蜜罐技术的主动防护网络入侵研究
第2 9卷 第 6期
2 0 1 3年 6月
科 技 通 报
BUL L ET I N 0 F S C I EN CE AND T E CHN0L 0GY
V o 1 . 2 9 No . 6
J u n .2 0 1 3
基 于蜜罐技术 的主 动Hale Waihona Puke 护 网络入侵研 究 周 蓉
关键 词 : 蜜罐技 术 ; 入 侵检 测 系统 ; 信 息安全 中图分类号 : T P 3 9 3 . 0 8 文献标识码 : A 文章编号 : 1 0 0 1 — 7 1 1 9 ( 2 0 1 3 ) 0 6 — 0 1 6 1 — 0 3
Th e Re s e a r c h o f Ac t i v e Pr o t e c t i o n Ne t wo r k I n t r u s i o n
( 四川职业技术学 院, 四川 遂宁 6 2 9 0 0 0 )
摘 要: 传统 的防火墙 和入 侵检测系统 用来检测 网络 中可 疑的攻击 , 可 能会产生错判 并过滤掉 合法的 链接。 本 文 中提出了一种新 由蜜罐和分布式的代理构成 的体系结构 , 旨在降低攻击检测 的误报率 。 系统 的报警模块最初 由I D S 检测 , 传输给一个蜜罐 网, 进行进一步地检 查 。如果检测 出I D S 的判 断是错 误的 , 则该链 接被传送到最初始的 目的地。该算法很大程度地降低 了报警率 , 提高 了I D S 的性能 。
Ba s e d o n Ho ne y Po t Te c hn o l o g y
Z h o u Ro n g ( S i c h u a n V o c a t i o n a l &T e c h n i c a l C o l l e g e , S u i n i n g 6 2 9 0 0 0 , C h i n a )

蜜罐与免疫入侵检测系统联动模型设计

蜜罐与免疫入侵检测系统联动模型设计

t s nD t t nSs n) 检 测 出大 多 数 已知 攻 击 . r i e c o yt 1 能 u0 ei e 但
对 未 知 入 侵 却 一 筹 莫 展 : 管 基 于 传 统 S ( efN n 尽 NS S I o — /
1 蜜罐 技 术 . 2
蜜 罐 技 术 是 设 置 一 个 包 含 漏 洞 的诱 骗 系统 .通 过 模 拟 一 个 或 多 个 易 受攻 击 的主 机 .给攻 击 者 提 供 一 个 容 易攻 击 的 目标 蜜 罐 的 作 用 是 为外 界 提 供 虚 假 的 服 务 . 延 攻 击 者 对 真 正 目标 的攻 击 . 攻 击 者 在 蜜 罐 上 拖 让
型相比 . 模 型具有主动性 、 态性和低漏报率等优 点。 该 动
关 键 词 :蜜罐 :免 疫 危 险 理 论 ;入 侵 检 测 系统 ;联 动
0 引

是 外 源 性 因 素 的 作 用 .只 要 它 们 发 生 损 伤 。 就 会 向
网 络 攻 击 方 式 日新 月 异 .并 呈 现 出 智 能 化 、 系统
2 蜜 罐 与 免 疫 入 侵 检 测 系统 联 动模 型
21 功 能模 块 .
号 也 就 是 说 . 体 内 的细 胞 不 论 是 受 到 内源 性 因素 还 机
★基 金 项 目: 内蒙 古 高 等 院 校 重 点项 目( . J 0 6 ) 内 蒙古 自然科 学 基金 资 助 项 目( .0 0 S 9 4 NoN 1 1 2 、 No2 1 B 0 0 )
S 1) 论 的 I ef理 DS能 够 识 别 未 知 攻 击 . 存 在 以 下 难 题 : 却
() 1 自体 ( ef 与 非 自体 ( n ef 难 以 精 确 区 分 , 两 S l) No S l ) 且
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

T e 直接触发预警 , 回 t e } hn{ 返 r 值 ; u I ( ∈[. ,. ] I蜜罐产生异常连接) f P O 40 7 I( )
Th n(查找 B l t e _i s
∑ 标识m 是否获取更高权限,
∑ m 一 {,) 10
) ;
I 存在则触发预警, 回 t e f 返 r 值 u
心确定 出威胁 时, 根据其 发送 的信息特征对入侵数 据流进行拦截。而在防火墙处集成设置的应用层重
定 向组 件 , 功 能是进 行人 侵转 移 , 有威胁 的数 据 其 将
O S的数据指纹对诱骗环境真实性 的影响。D MZ区 域的虚拟蜜罐主机和内网的蜜 网主机诱骗环境结构 如 图 2a 、 () () 2 b 所示 。
器 的安全 , 内网 主机 的安 全往 往被 忽略 。
1 2 Ds I . i- DHo ep t n yo 模型体 系结构
分布式容侵 防御模 型通过 N D 、 I S 开放虚拟服
务的蜜罐 、 真实服务器 的流量监测引擎和内网主机
访问权限监控多种途径进行分布式 的数据收集, 并
且由独立的远程关联警报控制中心统一进行数据的 分析和威胁判决。模型主要分为系统部署 、 分析判 决和回馈执行三个组成部分 , 如图 1 所示 。
址 , 口号 ( ot , 录账 户 ) 出 : 制 中心报 警 端 P r) 登 输 控
T e {认 定 为 虚 警 , 弃 预 警, 回 hn 放 返
fl 值 ) as e ;
I P> O 7 f( .)
信息 口 m[ r ] () E { vn [ ] 识访问者 m 的行为信 1 S T e tm 标 e 息 ,vnE 一 i otE ] eetm] n s m ; f r
Vi ua o e po s l H ny t
流重定 向到主机蜜罐 , 在威胁解除后将数据流切 并 换 回服务器 。通常防火墙能够拦截大多数的入侵攻 击, 但是在入侵者的扫描攻击直接命中服务器 , 并且 防火墙难以有效拦截 时, 重定 向组件就显得极为重 要 。目前的数据重定 向方法主要有 主机代理, 动态
回馈 执 行
由关联警报控制 中心组成 , 它是一 台独立配置 的远程主机 , 自身具有很高 的安全性。主要功能是
接收报警信息、 警讯分析、 滤除虚警 、 预警结果显示、
系 统 部 署
响应策略 回馈、 安全 日 志记 录等。关联警报控制 中
心, 将来 自 蜜罐和 N D I S的报警信息融合分析, 通过 共 同维护记录潜在威胁信息特征的黑名单( _ i ) B Ls t 来提高入侵检测 的准确性 。信息分析判决流程如 图
传统 网络安全理念注重构建安全的网络环境,
旨在将 安全威 胁抵 御在 网络 之外 。随着 IS Itu D (nr- s nD tci ytm) i eet nS se 规避 和 防火墙穿 透技术 的发 o o
防御 ( i D o ep t模 型, Ds —I H n yo) 并设 计 了相关检测 算法, 提高了网络监控入侵和承受攻击的能力。 本文构建的分布式容侵防御模型主要基于以下 两方面 :) 网络 D 1在 MZ区域部署基 于蜜罐 的虚拟 服务 , NI S共 同检 测未 知 的攻击 , 且在 外部 攻 与 D 并 击难 以被阻止时, 主动承载攻击数据流 ;) 2在内网部 署由虚拟主机构成的低交互蜜网, 真实 网络与蜜网
张 晓 丽
( 西安航空技 术高等专科学校 计算机工程系 , 陕西 西安 7 O 7 ) 10 7

要: 在分析 国内外研究现状的基 础上 , 针对 目前 蜜罐 技术应 用 中存在 的问题 , 出了一种基 于蜜罐 的分布式容 提
侵 防御模 型, 并在模型 中设计权限状态监控和基 于匹配度的检测算法。测试 实验证 明 , 该模 型能够 弥补 当前 蜜罐技
第 2 卷 第3 9 期
2011年 5 月
西安航空技术高等专科学校学 报
J u n l f ia r tc ncl olg o ra ’nAeoeh i l e o X aC e
Vo _29 l No.3
M a 2 1 y 0 1
基 于 蜜罐 技术 的分布 式 容 侵 防御 模 型
性字串 输出: 预警判决结果 ( u/a e t ef s) r l
图 2 虚 拟诱骗环境
7 2
西安航空技术高等专科学校学报
第2 9卷
() o{ 1 d 提取捕获信息特征模式 T = {t 1 p s _ r
[ , r2 ] …, t_E ) ]s [, s_ ]; t rn
() E 4 S T判决区间边界阈值{. ,. I 040 7 I 用户 自
定 ) ;
d {I ( < O 4 o fP .)
算法 2atoi ( f [ ) :u r y i o ] h t n 输入 : 问者 信息 : f s [ : , 访 i o r ]= n t ={ 网络地
络 状态 等方 面 同真 实 服务 器 保 持 较 高 的 一 致 , 因此 可 以在应 用层 利 用 特 定 的包 处 理 软 件 来 消 除不 同
图 3 预 警 信 息判 决程
1 2 3 回馈 执 行 ..
威 胁 响应 策 略 的 回馈执 行 由防火 墙和重定 向组 件 两部 分完 成 。防火墙 的功能是 当关 联警报 控制 中
es 其 特 征信 息 加 入 B 1t放 弃 预 l e将 .i , s
()将 m 当 前 权 限 安 全 状 态 S( )加 入 2
1 2 1 系统 部署 . .
1 基 于蜜罐 技术的分布式容侵 防御模型
11 Di I . s DHo ep t 型设 计思想 - nyo模
运用蜜罐与蜜网( ny e) Ho en t的诱骗机制, 结合 传统 防御手段 , 提出了基于蜜罐技术 的分布式容侵
收稿 日期 :0 01—1 2 1-23 基金项 目: 陕西 省 自然 科学 基金 项 目( 7K39 0J 3)
瓶颈。
实的系统, 但也暴露出所存在的问题:) 1对传统安全 资源的影响。因为 由 I S来决定蜜罐何时发挥作 D 用, 因此 I S D 的局限性直接影响到蜜罐 。2 蜜罐面 )
临着区分用户是“ 有意入侵” 还是“ 无意闯入” 的问 题[ 。3应用的片面性。蜜罐的应用基本针对服务 2 ) ]
展, 网络安全面临着严峻挑战。近年来 , 蜜罐 ( o - H n
ep t成为 安全 界关 注与研 究 的热 点 。它利 用虚 假 yo)
的服务或信息来迷惑攻击者 , 转移并容纳有限度 的 威胁, 使得受保护对象避开或减少威胁 , 间接提高了 网络的安全性。蜜罐不但具 有准确 的威胁判定能 力, 还能发现新 的攻击手段和工具[ 。 1 ] 蜜罐技术最初仅用于对黑客行为进行调查取证 的理论性研究 , 而现在蜜罐技术的应用更加接近真
WE B服务器 上 的监 测 引 擎 通 过 实 时监 测 访 问数据
H n y o o ep t l 连 接 监控
真 实服 务 器 I 流 量监 控
流量的变化来预警 D S 型的攻击 ; o ep t O 类 H n yo 上 的虚拟服务具有捕获未知人侵威胁 , 承载攻击数据
d 与P o{ AT 中的特 征模式 属性 逐一 比对 ;
i 比对相 同)te f ( hn认定为一次匹配, K
++;
) ;
图 4 权限迁移状态转换 图
() 3 计算 P一
丽 K

P O1; e[ ,]
根据上 述定 义 , 文提 出基 于权 限获取 的访 问 本 监 测算法 描述 如下 :

限; 攻击 者为获取权 限所做 的攻击效果 , : 为 { ,)其 中 0 1 01, 和 分别表示获取更高权限失败和成 功 ; : ×三一 , qS 表示从 S ×三到三的映射 ; 为初 q o
计算 T p中 的属性 字 串 s [ 总 长度 t ] r
ln h( ); e t Tp

始操作权 限。 主机在此操作权限状态下是安全的; F
为终态权 限集合 : F一 {)q q , 表示完全控制权限。 主 机若在此操作权限状态下 , 则表明被入侵 。 权限迁移 状态转换 图如图 4 所示。
S T匹配计数变量 K=0 K- ,] E ,[ n; 0
) ;
() o( p中的每个属性字串 s [ 2 fr T t ]) r
术应 用的不足 , 辅助
提 高威 胁检 测的准确度 , 效地增强 网络的容侵能力和生存能力。 有
关键 词: 蜜罐 ;分布式;容侵 防御 ;匹配度
中图分 类号 : 1. 文献标识码 : 文章编号 :0 89 3 (O 1 o_O oO H3 9 1 A 1 0—2 3 2 1 ) 3 7 -4 o
胁特征信息同入侵规则 的匹配度 ( ) P 来划定其威胁
程 度 的检 测 算 法 。已 知 NI DS的 匹 配 特 征 模 式 库
P T T [ , 2] . , n - 。该算法描述如下 : A ={ ] T [ , ・ [ ) .T ] 算法 1B o J d m n (t-) : ol u g etsr] [ 输入: t[ 指 I S捕获信息 的特征模式 的属 s - r] D
相混合以降低主机受扫描人侵的命 中率, 同时在虚
拟主机放置蜂蜜信标来诱捕来 自网络内部的非法访 问。该模型收 回 N D 对入侵威胁的唯一判决权 , IS 采用 N D I S同蜜罐相结合 的方式共同判决入侵, 克
服 NI DS本 身 的 局 限 性 对 整 个 模 型 造 成 的 功 能
3 示。 所
NI D I 女 包 监 测 据