当前位置:文档之家 › 基于蜜网系统的网络蠕虫研究

基于蜜网系统的网络蠕虫研究

  • 格式:pdf
  • 大小:268.00 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

基于蜜网技术的网络信息安全研究

基于蜜网技术的网络信息安全研究

[ 中图分类号 ] T P 3 9 3 . 8
[ 文献标识码 ] A
[ 文章编 号]2 0 9 5— 7 6 0 2 ( 2 0 1 5 ) 1 0— 0 0 4 2— 0 3
辽 阔无 际的 网络让 全世 界 的信 息资 源共 享更 加便 利 , 却也造 就 j , 黑 客 犯 罪 的最 佳 环境 。 目前 , 一般 的信 息 安 全仅 着重 于 自我 防御措 施 , 例 如防火 墙 、 入侵 检测 系 统 和加 解 密机 制 等 作为 单 个 网 络 系统 安 全 的守 护 屏 障 。然而 由于 网络 的快 速 发展 , 各种 操作 系统 漏 洞迅 速地 被 发 现 , 已经 逐 渐改 变 了入 侵 行 为和 恶 意 程序 散 布 的模 式 。如何 强化 系统 安 全防护 措施 已不 是 传统 软硬 件架 构 与 防护技 术所 能应 付 的 , 一个 兼具 安 全性 与使 用 效 率 的保 护及 预警 机制 将是 信息 安 全极 迫切 的需求 。本研 究 的主 要 日标 为利 用 蜜 网技 术 快法 预设 陷 阱 , 使 得入侵 者 认为 已经 达 到入侵 目的 , 但 实 际上却 被 系统设 计 者所 控 制、 监 督及 控制 。
1 蜜网技 术
蜜 网( H o n e y n e t ) 是 由若 干能 收集 和交 互 信 息 的蜜 罐 ( t i o n e y p o t ) 构 成 的一 个 以主 动 防御 为 目的 的诱 捕 网 络 体 系 。它是 将蜜 罐纳 入 到一个 完整 的蜜 网网络体 系 , 其 目的是 对 入侵 者 群 体进 行 研 究 , 追 踪他 们 的行 为举
动… 。蜜网是蜜罐技术的扩展 , 其相对于蜜罐 的优势在于 : 首先 , 蜜罐是独立 【 作, 低交互性 , 其捕获的信息

基于混合式蜜罐系统的蠕虫病毒对抗模型的设计与实现

基于混合式蜜罐系统的蠕虫病毒对抗模型的设计与实现
需要 不 断更 新知 识库才 能识 别新 的 蠕虫 攻击 ,虽然 I S提供 了异 D 常检 测 功能 ,可 以发 现 网络 中的异 常行 为 ,但 通常 会 出现大 量误 报 ,也 不能 很好 的抑 制蠕 虫 的传 染 。防病 毒软 件也 只 能检测 到 已
知其 特征 的蠕 虫 , 能对 未知 的蠕 虫进行 检 测 。 不 因此 从本 质 上说 , 防火 墙 、入侵 检 测系 统和 防病 毒软 件都 是被 动 的防 御措 施都 滞后 于各 类蠕 虫 的攻击 ,更不用 说对 抗 新型 的蠕 虫病 毒 。 因此需 要 引 入一 种全 新 的主动 的蠕 虫对抗 方法 。 蠕 虫与蜜 罐简 介 ( )蠕 虫病 毒 一
计 算机 光盘 软件 与应用
工 程 技 术
C m u e D S f w r n p l c t o s o p tr C o t a ea dA p i a in
2 1 第 5期 0 0年
基于 混合式 蜜罐 系统的蠕 虫病毒对 抗模 型的设 计与实现
董辉 明
( 海农村 商业银行金 山支行 ,上 海 上

( )具 体实现 二

蠕 虫病 毒 是一 种智 能化 、 自动化 ,综合 网络 攻击 、密 码 学和 计算机 病毒 技术 ,无须 计算 机使 用 者干 预即 可运 行 的攻击 程序 或
代 码 。蠕 虫病 毒与 一般 病毒 最大 的 区别 在于 不需 要计 算机 使用 者 的干预 , 且能够 自主 不 断地 复制和 传播 , 即蠕 虫病 毒具 有主 动性 。 ( )蜜i h nB a c f h n h i u a C mm ril a kS a g a 2 0 4 , ia) Jn a rn ho a g a R r l o e c n ,h n h i 0 5 0Ch s S aB n

基于协同的虚拟蜜网实现与分析的开题报告

基于协同的虚拟蜜网实现与分析的开题报告

基于协同的虚拟蜜网实现与分析的开题报告1. 研究背景与意义随着互联网技术的不断发展,人们对于网络的安全性和可靠性要求越来越高。

而虚拟蜜网作为一种虚拟的网络安全实验环境,可以有效地提高网络安全研究的效率和安全性。

虚拟蜜网主要由虚拟机和虚拟网络构成,可以模拟各种网络攻击场景,对网络安全进行测试和实验。

然而,传统的虚拟蜜网存在诸多局限性,如运维成本高、可扩展性低等问题,导致其在实际应用中受到限制。

在此背景下,基于协同的虚拟蜜网实现与分析成为了一个研究热点。

协同技术可以将多个虚拟蜜网联合成一个更大规模的虚拟蜜网,能够提供更丰富的实验场景和更强的可扩展性。

因此,本研究将重点探讨基于协同的虚拟蜜网的实现与分析,以进一步提高网络安全研究的效率和可靠性。

2. 研究内容和方法本研究将基于协同的虚拟蜜网实现与分析作为研究内容,涉及以下方面:1)虚拟蜜网的搭建与部署。

选择合适的虚拟化技术和网络组件,构建基本的虚拟蜜网环境。

2)虚拟蜜网协同技术的研究。

通过分析虚拟蜜网的协同特点,探讨虚拟蜜网协同技术的原理和实现方式。

3)虚拟蜜网协同技术的应用。

使用协同技术将多个虚拟蜜网联合起来,实现更高效的网络攻防演练和实验场景。

4)虚拟蜜网系统性能分析。

通过实验和测试,对虚拟蜜网系统的性能进行评估和优化。

本研究将采用实验研究和理论分析相结合的方法,具体包括:1)对相关文献进行综述,了解虚拟蜜网和协同技术的研究现状和发展趋势。

2)搭建虚拟蜜网环境,选择合适的虚拟化技术和网络组件,构建基本的虚拟蜜网环境。

3)实现虚拟蜜网协同技术,通过协同技术将多个虚拟蜜网联合起来,并构建更丰富的实验场景。

4)对虚拟蜜网系统进行性能测试和优化,评估协同技术的性能和可行性。

3. 预期成果和创新点预期成果:1)虚拟蜜网协同技术的实现。

通过协同技术将多个虚拟蜜网联合起来,并构建更丰富的实验场景,提高网络安全研究的效率和可靠性。

2)虚拟蜜网系统的性能分析结果。

通过实验评估虚拟蜜网系统的性能,为实际应用提供参考依据。

基于蜜网的预警系统的设计

基于蜜网的预警系统的设计

基于蜜网的预警系统的设计[摘要]结合已有的蜜网体系,通过对蜜网技术的体系结构和关键技术深入的探讨,设计出基于蜜网的预警系统,该系统能有效的防御网络攻击的突然袭击。

[关键词]入侵检测防火墙蜜网中图分类号TP393.08文献标识码:B文章编号:1002-6908(2007)0420-2一、引言随着计算机网络技术的发展,网络安全成为人们最为关心的问题。

当前,攻击者入侵手段日新月异,对入侵的检测变的越来越困难。

为了保护网络系统的安全性,一般采用防火墙、入侵检测和病毒保护系统等安全措施。

但是,仅仅依靠这些传统安全防护技术是不够的。

应该运用预警技术监控识别大规模的受保护网络上的入侵企图和入侵行为,在入侵发生或入侵造成严重后果前,预先采取相应的防御措施来加强网络的安全。

只有对网络攻防做好预警,做到知己知彼,才有利于增强我们在信息网络对抗中对攻防转换的把握,维护信息空间的权益,并为未来可能的信息战做好准备。

蜜网技术作为一种新型的网络安全技术,改变了传统网络安全防御技术拒绝入侵者进入的被动的做法,提出了全新的主动防御的概念,是对现有安全体系的一次重要的扩充。

把蜜网技术应用到网络安全预警中,可以对整个网络空间上实行全方位、多层次的协同防护措施,对突发安全事件进行及时准确预警,准确定位、快速响应,从而将损失降低到最小。

所以,研究蜜网技术作为网络安全预警系统意义重大。

二、蜜网技术与传统网络安全技术的区别基于传统思想的网络安全技术最典型的代表是防火墙,入侵检测技术等。

从防火墙技术,入侵检测技术在网络安全预警方面出现的一些问题而言,说明它们不是万能的。

这是因为防火墙技术,入侵检测技术所采取的安全策略是先考虑系统可能出现哪些问题,然后对问题一一进行分析解决。

他们采取的是一种静态的,被动的安全策略,不能对远程出现的攻击和威胁做出必要的快速反映。

就防火墙,入侵检测目前的技术水平而言,目前网络安全方面的问题大多很难在现有的理论体系框架下解决。

基于蜜网技术的主动防御系统在校园网中的应用

基于蜜网技术的主动防御系统在校园网中的应用

收 稿 日 期 :0 0—1 21 2—2 6
作者简 介 : 何婷婷 ( 9 O ) 女 , 18 一 , 江苏南 通人 , 南通 职业 大学教 育技 术 中心 讲师 , 士。 硕
第1 期
何婷婷 : 基于蜜网技术 的主动 防御系统在校 园网中的应用
5 3
各种 报 警方 法提 醒管理 员 可疑攻 击行 为 的发 生 。五 个模块 通 过控 制策 略进 行联 动 , 互相协 作 。
第 1卷 第 1 0 期
2 1年 3 01 月
d i 03 6/is.6 1 9 9 . 1.1 1 o: .9 9 . n1 7— 8 1 0 1 . 4 1 js 2 00
南通航运职业技术学院学报
J UR ALO A T N V A O N FN N 0 G OC  ̄ON L & T C I A HIPN O L G A E HN C LS P I G C L E E
兰 萎
数f 据 l
… ,
竺兰 l 兰
I 素 主 机
v _


记录
响应模块
接口
— — — —— . r J
数据捕
L —— —— —一
报 l 警 I

数据 l
管理 员
图 1 系统 模 块 关 系 图
3 校 园 网主动 防御 系统 的具体 实现
在 理论 分析 的基 础上 , 我们采 用 比较 成 熟 的开源 软 件和 网络技 术 来构 建一 个主 动 防御 系统 。在 一 台 电
脑 上 安 装 Widws no XP操 作 系 统 作 为 管 理平 台 , 过 Vmw r虚 拟 机 软件 虚 拟 了两 台 电脑 , 中一 台安 装 通 ae 其 Ln x iu 操作 系 统作 为系统 的主 要功 能平 台, 另一 台安装 Wid ws 00Sre操作 系统 作为虚 拟 蜜罐主 机 。 n o 0 evr 2

基于Honeynet环境下的蠕虫防御策略研究

基于Honeynet环境下的蠕虫防御策略研究

基于Honeynet环境下的蠕虫防御策略研究蠕虫对互联网的威胁是越来越严重,但是honeynet的出现为解决问题指出了一个新的途径。

在本文中,介绍了蜜网和蠕虫的定义,并在了解蜜网和蠕虫的基础上,给出了三种在蜜网中防御蠕虫的方法:重定向技术,honeystat技术和honeycomb技术。

标签:蜜网蜜罐重定向honeystat honeycomb随着Internet 的发展, 基于互联网的应用系统越来越多, 社会对网络的依赖日益增强, 同时网络的安全也面临着巨大的挑战,例如著名的1988年Robert T. Morris 蠕虫事件成为网络蠕虫攻击的先例, 从此,网络蠕虫成为研究人员的重要课题。

蠕虫利用常见服务的安全漏洞或策略缺陷,通过网络进行传播,如果有漏洞的服务被安装在大量可公开访问的主机上,蠕虫就能自动入侵这些系统,造成大范围的感染。

在发现和感染弱点系统阶段,蠕虫占用大量网络和系统资源,如果蠕虫负载具有攻击性,则还会造成窃取用户敏感数据、删除宝贵资源等无法挽回的后果。

传统的安全措施,如防火墙或入侵检测技术(IDS)显得力不从心,这就需要引入一种全新的技术。

这里从理论上对目前网络安全领域的最新主动入侵防护(Intrusion Prevention System,IPS)技术,即蜜网技术(Honeynet),引入到蠕虫病毒防治中进行探索及讨论。

一、Honeynet和蠕虫1.HoneynetHoneynet是一种被故意设计成存在缺陷,用来被攻击或攻陷的网络资源。

它用于吸引攻击者入侵,对攻击者的一切操作进行分析和学习。

在一个Honeynet 中,可以有各种不同的网络设备和操作系统,并可以同时运行不同的服务。

Honeynet技术不能完全替代防火墙、入侵检测系统(IDS)等传统的安全技术,而要与他们合作来构成这个网络体系架构。

一个标准的Honeynet主要由防火墙、入侵检测系统(IDS)、日志服务器和多个Honeypot主机组成。

基于蜜网的网络监测系统的设计与实现

2 1第 9 o年 0 l 期\第2次 国 算 安全 术交 会 I 6 全 计 机 学 流 《目
■ d i 1 9 9js n1 7 —1 2 2 1 90 0 o : 0 3 6 /i 6 11 2 0 1 2 s 0
基于 蜜 网的 网络 监测 系统 的设计 与实现
高丰 ,杜德 慧
主机,也可以选择 V MWae i u l C等的虚拟机。在 本文 r、V r a t P 的实践 中,如果 采用物理 主机 ,在每次 新任务 开始之前进行
于蜜网的网络监测系统,蜜 网结合沙箱执行机制 ,弥补了被 动监测行 为分析 的不足,从而有效提升 了行为分析 的准确度
本文首先介绍 了蜜网系统 的原 理 ; 其次 ,针对 网络监测系统 ,提 l了设计原则和系统 原理 ,并讨 论了系统 的框架 和部署方式; 叶 I 1 最后讨论了系统实现的关键技术 。
0引言
随着互联网用户的急剧增加和人们对信息资源来越 大的依赖性 ,网络入侵 、网络欺骗 、网上垃圾等恶意网络行 为埘 络发
全的负面影响 也H益增加 ,网络行 为识 别已经 成为网络安全的重要组 成部分 t 。为了有效 对抗恶意网络 行为,通常存 对网络流 量进行 长期监控 的基础 上,采用建立 数学模型 、仿真模型等方 法进行 识别。但是 南于恶意网络行为 口 复杂,被动! 益 测甚再 } ”L 的数学模 型很 难有 效描述这些恶意 的行 为,因此需要有新 的方 法识别 、捕获 恶意 的网络行 为,从 而提 升网络 安全. .木文 采川 琏
( 南计 算技 术研 究所 ,江 苏无锡 2 4 8 江 1 0 3)
摘 要 :文章针 对 网络入侵 、网络欺骗 、网上垃圾 等 恶意 网络行 为对 网络安 全的 负面影响 E益 增加 , 网 l 络 行 为/  ̄ 已经成 为 网络安 全的 重要组 成部 分这 一现 象。文 章提 出了基 于 蜜网技 术构建 网络监 测 系统 ,有 效 71 ,】

基于蜜罐技术的网络攻击行为分析与研究

基于蜜罐技术的网络攻击行为分析与研究发布时间:2023-02-03T03:57:39.189Z 来源:《中国电业与能源》2022年第18期作者:李华[导读] 随着互联网技术应用的快速发展,各单位、行业都加快了信息化基础设施建设李华丽江供电局云南省丽江市 674100摘要:随着互联网技术应用的快速发展,各单位、行业都加快了信息化基础设施建设,对网络信息依赖度越来越高,信息安全显得尤为重要。

为了保障网络安全,构建安全的网络空间,提高全民安全意识。

虽然当前网络基础设施相对以往在安全防护技术方面有了很大的提高,但网络空间安全已经事关国家安全,网络安全事件时有发生,对国家安全和社会经济平稳运行构成了极大的威胁。

网络安全法里也提出了网络运营者在网络安全的维护方面要承担主体责任,对网络安全要采取有效的主动防护措施。

为了提高网络安全主动防护技术,提出了基于蜜罐技术的网络攻击行为分析与防护技术。

关键词:蜜罐技术;网络攻击行分析;研究引言在开放的网络环境中,本地服务器受到internet攻击的风险大大增加。

尽管防火墙和入侵检测系统(IDS)提供了一定程度的蠕虫、网络病毒和其他恶意代码防护,但随着入侵数据的增长以及病毒类型的变化和增长,本地系统的安全性仍然受到严重威胁。

由于传统防火墙防御技术和IDS入侵检测技术依赖于与病毒特征库中现有签名的一对一比较,这种基于随后检测的特征检测和提取方法冗长、低效和不准确,无法确保生存一种基于优化虚拟蜜罐技术的网络攻击特征提取方法,可主动捕获进入局域网服务器系统的病毒恶意数据签名,提高网络安全防御的整体性能。

1蜜罐技术蜜罐技术是一种用于欺骗黑客的技术,部署蜜罐系统主要是用来收集网络攻击情报的,传统的防火墙和IDS只能对已知的入侵进行防范,对新的未知的入侵是无法防范的,属于被动防御,蜜罐技术刚好是个很好的补充,可以主动防御。

蜜罐技术一般应用于以下3个方面: (1)为了保护真实的服务器,管理员一般会把真实的服务器部署在内网,另外部署一台装有蜜罐系统的服务器暴露在外网,用户要想访问真实服务器,必须首先访问蜜罐系统服务器,然后通过蜜罐系统服务器再链接到真实服务器,这样即使黑客也不能直接访问到内网,不能直接对真实服务器发起攻击,从而对真实服务器起到了保护的作用。

基于蜜网的网络安全防御技术

基于蜜网的网络安全防御技术(福建人才网 )摘要:本论文提出了一种基于蜜网的网络安全防御技术,用非武装区和两层防火墙来防止内部网络被入侵,用网络入侵检测系统和两级重定向机制的方法来防止外部网络被攻击,从而较好地解决了对于当前密网部署中存在的不足。

关键词:蜜网;蜜罐;防火墙;入侵检测;重定向;两级Abstract: This paper proposed an active defense technology based on honeynet . Using DMZ demilitarized zone and two fire-walls to prevent the inner net work from being invaded, and using network intrusion detection system and two - level redirect mechanisms to prevent the outer net work from being attacked . solved many problems in the current honeynet deployment.Key words : honeynet ; firewall; intrusion detection; honeypot ; redirect ;two - level1.前言防火墙技术和入侵检测技术都属于传统的安全模型,它们都存在很多的问题,问题的根源在于它们所采取的安全策略,即都是先考虑系统可能会出现哪些问题,然后对问题逐一分析解决。

之所以采取这样的安全策略的主要原因在于它们所遵循的理论体系:若主体对客体的访问符合预定的控制规则,便允许其进入或认为它合法。

从控制论角度来看,这是一个开环控制系统,没有反馈。

这种基于静态、被动安全策略的网络防御技术,不可能对网络中的远程攻击和威胁做出必要、快速的反应。

基于LINUX蜜网(Honeynet)的防御系统

信息来源:邪恶八进制信息安全团队()
注意:此文首发于邪恶八进制信息安全团队()
题外话:此文N久以前就写好了,一直扔在那里,忘记发了,今天拿来丢人献眼一下,各位大牛勿笑.
随着Internet的高速发展,个人、企业以及G0vernment部门越来越多地依靠网络传递信息,然而网络的开放性与共享性使它正遭受着来自黑客、脚本编辑者所带来的巨大的安全威胁,分布式拒绝服务攻击、被控主机敏感信息的窃取,严重地影响了网路的正常工作,一个安全可靠的防御网络成为现在安全领域的一个热点。究其根源,是攻击者与防御者之间在进行着一场不对称的博弈,特别是信息上的不对称,攻击者可以利用扫描、探测等一系列技术手段全面获取攻击目标的信息,而防御者对他所受到的安全威胁一无所知,即使在被攻陷后还很难了解攻击者的来源、攻击方法和攻击目标,蜜网技术就是为了扭转这种不对称局面而提出的。
(3)如何实现数据捕获。数据捕获主要是指IDSRi志和蜜网中主机的系统Ri志,即“多重捕获”。对于高明入侵者在攻入系统后,会试图更改甚至销毁目标主机上易于暴露入侵行为的各种记录。蜜网的“多重捕获”措施就是在确保不被入侵者发现的前提下捕获攻击行为信息,IDS在数据链路层对蜜网中的网络数据流进行监控!分析和抓取以便将来能够重现攻击行为。蜜网中主机除了使用操作系统自身提供的Ri志功能外,还可以利用第三方软件加强Ri志功能,并且传输到安全级别更高的服务器上进行备份。
创建rootfilesystem文件,并以此作为UML的启动参数。可以在一台真实的机器上用不同的rootfilesystem来启动UML。
虚拟系统启动
用命令启动虚拟系统
Linuxubd0=rootfs.rh72.pristine.bz2ubd1=swapeth0=mcastumn=10.10.10.50
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
独立个体 程序 自 己运行 网 络中的其他计算机
4蜜 网系统的引入
尽 管传 统 的蠕虫 检测技 术 在蠕 虫的检 测方面 对蠕 虫的
检 测和 防 范起 到 了一 定 的作 用 ,然而 互联 网的广 泛 应用 ,
层 出不穷 的攻击 方式 , E益增 多的 网络风 险无时 无刻不在 1
防治的接燕
Ke w o d IS; H n y o ; rt ci a s y r s:D o e p t P o oo An y i s
1 言 引
3传统的蠕虫检测 方法
网络蠕 虫 的泛滥 自然 会使人 们探 索蠕 虫检 测的方法 和 手段 ,其 中 ,入侵检 测 的方法 同样适 用于蠕 虫检 测 。传统
异常检 测 的难题 在于如 何建 立 “ 活动轮 廓” 以及如何 设计 统 计算 法 ,从 而不把 正 常的操 作作 为 “ 侵” 或忽略 真正 入
的 “ 入侵 ”行 为 。 特 征检 测 :特 征检 测又 称滥 用检 测 ,这 一检 测假设入 侵者 活动 可 以用 一种 模式来 表示 ,系统的 目标是检 测主体
表 1病毒 、蠕 虫特 点 对 比 图
传染机制 复{形式 6 I 存在形式 运彳方式 亍 攻击的日 标
两种 检测方 法各 有优 缺点 ,特征 检 测可 以明确指 示 出 当前 的攻击 手段和 类型 ,因 此具 有较高 的检 测准确性 和误 报 率 ,开发规 则库 和特 征集合 相对 于建立 系统正 常模 型而 言 ,也更 加方便 和容 易 。但是 它的缺 点显 而易见 ,就是 只
从宿主文件中囊豫
能检 测到 已知 的攻击 模型 ,因此 只有 不断 地更新 才能应对
新的攻 击 。而异 常检 测虽 然可 以检测 到未知 的 ,新 的攻击 行为 ,但误 报率高 一直 是它面 临 的最 大 问题 。
病毒 宿主程序运行 插入到 宿主程序
寄生 需人为舶干顸 主要针对本地用户
蟠虫 系统自 身的嗣稠 自 身的拷贝
Y N i -t o , A G × e e , O G Q n e A G qn a T N g u—w n H N u—y
(h g/ n ei , Oo qg 4 0 4 ,ha 'o cg Ui rt k# i 0 0 4Ol) C n/ ) I ' vs y gn k
Ab ta t I h ae , e nrdc te ewok src : n i p pr w i oue h nt r wom a ey po l ad caa trtc n u i e w r wom i tra; ,rz oa s d f wom t s t r sft rbe m n h r ei i c d g nt ok c s i l n r am,he ln ta ̄i Jmeh o l e n e , dtcin acri t h a v na e n d a v na e f urnl e l n dtcig n pe et g ehoo y a a s w r ,h r c l n orl i eet0 .cod g 0 te da tg ad i da tg o cret n s y xt t eet ad rv ni tcn l g i t om t pi ie a d c r a v e n n g n e np ete t  ̄ o g o 0 J y f h o t 『t ae 嗍 】 r e n a d a alsd.t h ed , a o e d  ̄nye a te D m d ]uh fr a d t e sh a d d tcj n o wom. 噌
入侵 检 测分为两 类 :
篓 警
异 常检 测 :异 常检 测的假 设是 入侵 者活 动异 常于正 常 主 体 的 活动 。 根 据这 一理 念 ,建 立 主 体 正 常 活 动 的 “ 活 动轮 廓” ,将 当前 主体 的活动状 况 与 “ 动轮廓 ”相 比较 , 活
当违 反其 统 计规 律 时 ,认 为该 活动 可 能是 “ 侵 ”行 为。 入
活动是 否符 合这 些模 式。它 可 以将 已有的入侵 方法检 查 出
来 ,但 对新 的入侵 方法无 能为 力 。
2 网络蠕虫的行为特征
网络 蠕虫 是一种 智能 化 、 自动化 ,综 合 网络攻击 、密 码学和 计算机 病毒 技术 ,不需 要计 算机使 用者 干预 即可运 行 的攻击 程序 或代码 。它 会扫描 和攻 击 网络 上存 在 系统 漏 洞 的节 点主机 ,通过 局域 网或者 国 际互 联 网从一个 节 点传 播到 另外一 个节 点 。与传统 的计算 机病 毒相 比有其 自身 的 特点 ,其主 要的特 点从 表 1中可以进 行一 个对 比。
基于蜜 网系统的网络蠕 虫研究
杨庆 涛 ,唐 学文 ,洪群 业
( 庆大 学 ,重 庆 4 0 4 ) 重 0 0 4
摘 要 :对现 有的网络蠕 虫的发展和检 测技术进行 了介 绍 ,然后 引入 了网络蠕 虫蜜网系统 ,并对 蜜网系统的构成和作 用,进行
了详 细 的 论 述 。 由此 设 计 了一 个 基 于 蜜 网 系统 的 网络 蠕 虫模 型 , 在 采 用 协议 分析 的基 础 上 完 成 对 未知 网络 蠕 虫的 发现 ,经 过 试
验 分 析 表 明 ,该 系统 在 对 未知 蠕 虫的检 测 方 面具 有一 定 的实 际 意 义 。
关键 词 :入侵检测 ;密网系统;协议分析 Re e r h s a c of n e n t It r e W o m Ba e o Hon yn t r s d n e e Te h q e c ni u