蜜网模型的研究

蜜网模型的研究

王铁方[1]2004年在《蜜网模型的研究》文中研究表明本论文介绍了网络安全的现状,当前网络所面临的威胁,分析了目前网络安全所存在的问题,深入剖析各种攻击方式,针对这些存在的问题给出了具体的解决方案;并对至今为止所有的基于不同思想的蜜网技术的工作原理都进行了详细的剖析。 为了更好的了解蜜网。使用蜜网,并且发展蜜网技术在网络安全领域的应用,给出了蜜网的数学上的和机械控制论上定义,提出了新的蜜网系统的体系结构,给出了蜜网的具体实现方式,将蜜网、入侵检测技术、防火墙和神经网络思想有机的结合起来,弥补了蜜罐的守株待兔的不足,对蜜网做出了总体设计,形成了了一个新的蜜网系统的实现模型。 研究了将人工智能思想引入到蜜网中的可行性—对人工神经网络中的经典算法BP算法在蜜网数据检测和分析中的实际应用进行了详细的剖析,进行了实现;可以认为是将人工智能思想引入到蜜网中的一次有益的和创新的尝试;对蜜网中的各个模块和技术,如数据控制、数据分析、数据捕获、虚拟机、入侵检测技术和安全通信opensSH技术等,进行了详细的研究和实现,给出了入侵检测部分功能的源码。通过对蜜网在抵御分布式拒绝服务攻击中的应用的研究,说明了蜜网这一新技术在解决网络安全存在的新问题和老问题上的强大的生命力。

吕波[2]2010年在《基于主动防御性的蜜网系统研究与实现》文中认为随着互联网络的迅速普及和应用,网络安全问题也日益突出,网络入侵的方法和手段日益丰富,赖以生存的信息平台也变得越来越脆弱,原有的传统静态防御、被动防御已经很难满足当前网络安全的需求。基于蜜网(honeynet)技术的主动防御的安全体系逐渐成为网络安全技术研究关注的焦点,蜜网是从蜜罐发展而来的研究入侵者目的、策略、工具和方法的一门网络安全技术,蜜网的任务就是在不被攻击者发现的前提下,尽可能多地捕获攻击者在蜜网中的所作所为,同时要保证蜜网内的蜜罐系统不被作为跳板来攻击非蜜网系统,最后分析捕获的数据,发现新的攻击方法和对未来的攻击作出预测。结合相关的网络及网络安全知识,本文对蜜罐和蜜网进行了系统的研究,分析了蜜网系统的各种功能和指标,剖析了蜜网的关键技术,总结了蜜网新技术的特点,着重从蜜网的体系结构、信息采集、风险控制、数据分析等方面阐述。同时,设计并实现了一个Win32平台的虚拟蜜网系统,利用虚拟机技术把整个蜜网的各个组成部分都安装在宿主机上。最后,对该虚拟蜜网进行了测试。利用蜜网技术的特有功能,使用蜜网可以发现系统潜在的威胁,网络自身的各种不安全因素为蜜罐和蜜网技术提供了巨大的发展前景。蜜网技术的方案可被政府、军队、企业、院校、组织和个人所采用,达到研究网络入侵行为,提高抵御入侵的能力,保护自身网络资源,甚至可以作出相应反制的目的。可是蜜网和蜜罐在实际的应用中也是有一些风险性的,但是如果在时间上、人力上、设备上和技术上都具备了必要的条件,有了一定的目的,那样就可能会得到实际的好处。

胡毅勋[3]2017年在《基于Openflow的主动防御关键技术研究》文中研究指明近年来,以云计算为代表的新兴互联网技术飞速发展,网络安全所处的环境也随之经历着巨大的变化。在传统的网络攻防博弈中,防御方总是处于被动地位,十分不利于安全研究人员和所保护的节点或系统。主动防御技术是一种可以让防御方占据主动地位的防御技术,蜜网技术和移动目标防御技术则是其中重要的关键技术。蜜网技术通过构造诱捕系统,主动诱骗攻击者,对其主动捕获。移动目标防御技术则将保护节点随时间进行移动,从而实现主动防御,增加攻击难度。然而基于传统网络设备设计的网络安全技术无法适应新兴网络环境和新型网络攻击手段,传统主动防御技术在流量控制上出现瓶颈。传统网络设备的设计基于封闭性的结构,安全研究人员无法更改其运行方式,也无法修改网络中运行的协议,从而导致在安全研究过程中不得不使用诸如对网络设备实施ARP欺骗、伪造路由路径等替代方案绕过封闭性的设备和协议达到安全目的。这种方式在简单网络环境中所需要的开发成本和硬件成本可以控制在较低的程度,然而网络环境的分布性和灵活性已经成为当今网络的重要特性,基于传统网络的安全方案无论从功能上还是从成本上,都无法满足要求。软件定义网络是一种新型的网络结构,可以提供网络可编程性,实现网络的灵活管理和控制,这一特性符合网络发展的新方向。本文的研究立足于通过利用软件定义网络技术为主动防御技术提供新的发展方向,摆脱传统网络设备和通信协议对于网络安全技术发展的限制,实现网络流量的标记、隔离和转发等细粒度网络控制。因此,本文基于Openflow协议设计动态虚拟蜜网模型,同时提出网络层移动目标防御方案,最终实现基于Openflow的全面的网络安全主动防御体系。具体来说,本文的主要研究成果包括:(1)基于Openflow的动态虚拟蜜网的研究。不同于以往构建于传统网络设备的蜜网,本文提出了一种基于Openflow的蜜网模型,实现一种基于Openflow的动态虚拟蜜网系统。这种蜜网替代了基于网络欺骗的网络流量重定向技术和基于半软件半硬件的蜜墙数据管理方案,解决了传统网络设备对于网络流量利用和控制的限制,提高了网络流量控制能力。结合网络虚拟化技术和服务虚拟化技术,本文设计了一种全虚拟化蜜罐,这种蜜罐可以虚拟运行任意服务任意主机节点,并且可以动态调整蜜罐结构。综合上述研究成果,本文提出了迭加虚拟蜜网的概念,即可以在同一个蜜网物理实体上同时迭加运行多个具有不同结构的虚拟蜜网,各个蜜网互不干扰,提高了蜜网系统的资源利用率,并且实现了原型系统。通过对所设计蜜网模型的原型系统进行实验分析,验证了本文设计蜜网系统具有较低的数据处理时延,同时验证了蜜网系统的动态性和迭加虚拟蜜网系统的有效性。(2)基于Openflow的蠕虫捕获模型的研究。利用本文已提出的基于Openflow的动态虚拟蜜网技术,结合精心设计的用于控制蠕虫防御系统中流量迁移的流表项,本文提出了一种基于Openflow的蠕虫捕获模型,同时设计和部署了原型系统Worm-Hunter。蠕虫捕获模型包括并行检测分析功能和蠕虫培育方案。其原型系统不同于现有虚拟蜜罐系统,蠕虫捕获系统利用服务器虚拟技术构建虚拟蜜罐节省开发成本。并将蜜罐通过基于Openflow的软件定义网络技术连接构建形成“蜜罐工厂”,从而提高蜜网部署效率和提高资源利用率。对比传统蠕虫捕获技术,本文提出基于Openflow蠕虫捕获技术提供对于蠕虫全部生命周期的跟踪和保护。在蠕虫进入内部网络后,首先通过入侵检测技术识别蠕虫,然后蠕虫捕获系统自动构建具有业务网网络特征的培育环境,并将蠕虫流量引导进入其中。蠕虫的所有行为和变种样本均被记录在蠕虫捕获系统中。研究人员可以根据实验需求自定义配置蜜网网络拓扑和蜜罐节点,构建自定义的蠕虫培育环境,进而观察蠕虫在不同网络环境中的行为。对于入侵检测过程,将针对已知蠕虫的特征匹配检测和针对未知蠕虫的异常检测分离,使用实时流量进行高效率的匹配检测,使用Openflow提供的流量特征并行实现耗时的异常检测,从而提高检测效率。同时,本文所提出的蠕虫捕获系统可以在同一个物理实体上同时将多个蠕虫捕获进入互相隔离的蜜网中,这些蜜网之间互不影响。最后部署原型系统,验证模型的有效性。(3)基于Openflow的网络层移动目标防御方案的研究。不同于大多数网络防御手段发生在攻击发生过程中和攻击发生后,本文提出了一种基于Openflow的网络层移动目标防御方案,这种防御方案在攻击发生前即可迷惑攻击者,提高攻击者的攻击难度。本文所提移动目标防御方案基于Openflow在网络层进行保护,对于保护区域节点之间的通信进行针对通信地址的伪随机变换映射,实现域内的节点隐藏。对于跨保护区域的域间通信过程进行通信端口的伪随机变换,实现域间的节点逻辑移动和隐藏。在这样的防御结构下,可以将恶意人员的攻击遏制在攻击过程的第一步(节点嗅探),从而实现对受保护节点的主动防御。同时这种基于Openflow的网络层移动目标防御方案相比于现有移动目标防御方案具有易部署、兼容性好的特点,并且实现了全网的通信保护。

胡双双[4]2015年在《基于蜜网的攻击行为分析》文中研究指明蜜网在短时间内会产生大量原始告警,产生的原始告警中包含大量误报、漏报和冗余告警,而且原始告警语义级别低,告警间相互独立,不能提供给用户直观有效的信息。如何对蜜网内捕获到的数据进行分析,分析出攻击者攻击行为是蜜网技术研究中的难点之一。攻击图不仅能识别相应特定目标网络中的脆弱性,而且能识别脆弱性之间的关联关系,从攻击者的角度以图形化的形式模拟一个系统可能受到的所有攻击路径,能够有效弥补传统告警分析中的不足,适用于描述多步骤的网络攻击。1)本文研究了攻击图技术,提出将攻击图应用于蜜网攻击行为分析研究,弥补传统告警分析没有结合具体网络环境的不足。2)本文研究了聚类分析算法,对算法进行改进,将其应用于告警关联分析,对告警进行划分。3)本文研究了攻击图编码序列生成方法,提出了基于AG DFS编码的攻击图序列生成方法。该方法改进了基于无向图的DFS编码,使其适用于有向的攻击图。在以上研究的基础上,本文提出了基于蜜网的攻击行为分析模型。该模型分为两个阶段,在离线攻击图编码序列生成阶段,通过建立攻击图知识库,对已知攻击图进行编码,为告警的关联分析做准备。在线告警关联阶段,对告警进行预处理等细化操作,结合网络信息和拓扑信息进行攻击图编码序列的告警深度关联。本文设计并实现了基于攻击图的攻击行为分析系统,并搭建了蜜网实验环境,实验结果显示该系统能有效的捕获告警信息并对告警进行基于攻击场景的关联分析,验证了系统的可行性。

刘星汐[5]2013年在《基于蜜网的主动防御技术研究与实现》文中进行了进一步梳理随着计算机网络技术的不断革新和迅猛发展,计算机网络已经在人们日常生活中扮演着十分重要的角色,对于社会的经济、文化、生活、军事等方面影响深远。与此同时,计算机网络内信息设施的脆弱性导致的网络安全问题日益凸显,并且如今传统的防护措施大多数都是基于特征规则匹配,采用被动的安全策略,难以针对未知的网络安全问题做出有效的响应。鉴于此,构建一套基于主动安全策略的网络安全防护体系,实现实时性、高效性、自主性的防护计算机网络设施,将是计算机网络安全领域的必然研究方向,具有不可估量的研究意义。本文研究设计的是一种基于成熟的蜜网技术,结合PDRR安全模型改进版思想,采用软件工程反馈回路模型构建的自主防御体系。本文还基于虚拟网络设计实现了自主防御体系实验平台,论证该防御体系可以完成网络环境防护内容:实时监控响应威胁、自动修正防护策略、追踪攻击者信息等等功能。本文主要开展的工作:研究分析课题背景以及意义,了解国内外在蜜网技术方面和网络安全模型方面的研究现状。①研究分析自主防御体系的建设目标和理论基础,分析设计自主防御体系的体系架构、运行原理、网络拓扑,以及详细设计关键模块内容。②基于自主防御体系研究内容,配置实验平台需求的运行环境,设计实现实验平台的关键模块,展示实现关键命令操作界面以及终端运行界面。③运用多种网络攻击工具作为测试手段,测试实验平台的实际防护效果,分析阐述测试结论。④基于整个自主防御体系的研究设计和实验平台的设计实现过程,总结该课题完成情况,展望课题进一步研究需要改进和考虑的内容。

靳倩慧[6]2012年在《基于高交互蜜网的蠕虫防御研究》文中提出随着当前计算机技术的飞速发展,全球正步入全面的网络信息时代,计算机网络应用不断深入渗透到人们生产生活的各个领域,在社会、政治、经济、国防、轻重工业等方面逐渐占据了举足轻重的地位。但是我们在享受计算机网络带来的方便快捷的同时,也要承受时刻存在的网络安全问题带来的潜在威胁,这些威胁的频率和强度随着层出不穷的各式网络服务和黑客技术的发展而日趋严峻,造成的损失随着网络应用地位的提高而越来越不可估量。网络蠕虫由于其具备自我复制传播功能、需要人工干预少、破坏性强等优势成为网络安全防御领域的重点热点研究问题。目前传统的网络蠕虫检测方式和防护措施往往都是被动的防御,对于新型或传播速度很快的恶意蠕虫,当被动防御开始生效并消灭它们时,大量损失可能已不可避免。因此,蜜罐技术被引入蠕虫防御领域以扭转被动形势,提前诱捕获悉蠕虫攻击并消耗攻击资源保护蜜网外主机。高交互蜜网以其高伪装度高攻击自由度特性成为蜜罐技术应用于蠕虫防范研究的研究热点。目前将高交互蜜网运用于蠕虫检测防御的研究还存在一些难点和不足,如针对蠕虫防御的高交互蜜网数据分析等关键技术发展还不成熟;现存常用蠕虫传播模型不足以准确描述在高交互蜜网参与环境下的蠕虫传播情况;各种防御产品互各自为政,没有一个将蠕虫入侵诱骗、蠕虫入侵检测、蠕虫攻击响应逻辑紧密地结合起来的有机整体。本文通过分析总结现有研究成果,首先针对高交互蜜网数据的特点,提出了一个基于DBSCAN初始簇的改进k-means算法(dk-means),并将其应用于高交互蜜网数据分析,力求在聚类准确性、快速性和适应性上得到提高;然后针对现有传播模型无法准确描述高交互蜜网参与环境下的蠕虫传播情况的问题,在双因素(two-factor)蠕虫传播模型的基础上提出并构建了基于高交互蜜网的两阶段蠕虫传播模型,即H-SIR模型;最后提出了一个以高交互蜜网的诱骗分析为基础,结合IDS以及完善的蠕虫攻击响应机制的整体防御体系——基于高交互蜜网的蠕虫捕获控制机制,并用H-SIR模型对其进行了对比仿真分析,分析结果表明本文提出的基于高交互蜜网的蠕虫捕获机制更加适用于完善地保障保护区主机安全和高效地捕获分析新型蠕虫病毒。

严曦[7]2011年在《基于告警日志回溯机制的高交互蜜罐研究》文中进行了进一步梳理蜜罐蜜网技术是随着网络应用的不断发展,黑客技术不断提升后出现的一种较为主动的网络防御技术。高交互蜜罐则是使用真实的主机、操作系统、网络服务部署的蜜罐系统,在蜜网体系中使用高交互蜜罐能够很好的吸引攻击者的入侵,结合数据控制、数据捕获、数据分析技术对攻击者的攻击方法、攻击步骤进行分析,以达到对真实中的业务系统的安全性进行提升的目的。通过对当前蜜网体系中各项技术的研究,总结出一种基于告警日志回溯机制的高交互蜜罐,对其从技术角度进行了可行性分析,并对高交互蜜罐模型、入侵检测模型和日志分析及回溯模型进行研究。对高交互蜜罐系统,进行了比较详细的系统架构设计、功能模块设计和内外接口设计。在高交互蜜罐的部署方面抽象出一种可以适用于各项高交互服务蜜罐搭建的模型,能够通过真实服务器模拟出大规模的虚拟蜜罐并提供真实的服务;在入侵检测技术方面,研究了如何将网络入侵检测和主机入侵检测技术应用于蜜网体系中,尤其针对Windows和Linux两种操作系统分别在主机监控程序上进行了设计和实现;在日志分析方面结合时间关联和路径关联来对入侵检测发送的告警日志进行分析,并提出日志回溯机制对高交互蜜罐部署以及入侵检测模块等方面进行更新和改善。经过实验和测试,表明通过日志回溯机制对蜜网体系的各个模块进行更新,有助于提高系统的性能和效率。

程杰仁[8]2005年在《基于代理的Honeypot系统关键技术研究与实现》文中指出Honeypot技术作为一种动态安全防御机制,是传统安全机制的有力补充。本文在分析国内外有关Honeypot研究现状的基础上,针对Honeypot技术的体系结构不适合大规模网络、不能有效控制风险和视野狭窄等叁个主要问题,提出了一个基于代理的Honeypot系统模型,并对其关键技术进行了研究和实现。本文所做的工作主要集中在: 1.深入研究了各种Honeypot技术的原理、体系结构及其优缺点,指出了Honeypot模型存在的主要问题。 2.提出了一个基于代理的Honeypot分布式模型(DHBA)。该模型被定义为一个九元组,由五个关键部分组成,采用了分布式结构,可扩展性好,有利于扩大视野、降低各子网内的风险,提高数据的采集能力和价值,能用于各种规模的网络环境,是一个通用的Honeypot模型。 3.研究了服务转发代理的关键技术,提出了一种基于网络模拟的服务转发代理的诱导方法。该技术便于实现分布式Honeypot,有利于快速、准确地检测并收集网络子网中的攻击行为和有效地控制攻击行为。 4.提出了基于DHBA的分布式网络诱骗系统的体系结构。该体系结构基于DHBA并采用了分布式结构、集中式管理的方法,可适用于大规模的网络环境,有利于共享资源和有效地控制风险。 5.实现了基于DHBA的分布式网络诱骗系统原型。测试结果表明,系统能快速、准确地检测并收集子网中的攻击,能较好地欺骗甚至阻止攻击,有效地控制系统引入的风险,扩大系统的视野,可用于大规模的网络环境。 本文研究成果已经在“分布式网络监控与预警系统”(2003AA142010)中得到应用,为有效检测和研究网络攻击提供了有力的工具与手段。

王鑫[9]2018年在《基于蜜罐的网络防御模型的研究与设计》文中进行了进一步梳理随着网络技术的迅速发展和互联网的广泛应用,新的攻击方式不断出现,网络安全问题更是频繁发生。蜜罐作为一种主动防御技术,已经被广泛应用于网络安全领域。蜜罐除了可以诱捕攻击者对其进行攻击以外,还能详细记录攻击的信息和行为,以便帮助分析入侵者的行为,从而更好地进行防御。由于蜜罐捕获数据的数目巨大,并且存在噪声,因此可以利用数据挖掘算法挖掘数据之间隐藏的关系。传统的K-means算法对噪声数据敏感,并且算法稳定性较低,直接使用该算法对蜜罐捕获数据进行分析,容易生成局部最优解,导致数据分析结果不准确。因此本文提出了一种基于蜜罐的网络防御模型,并对其进行设计与实现。本文具体工作如下:1.本文针对蜜罐自身捕获数据的特性和K-means算法的不足之处,提出了 GDK-means算法。该算法利用网格划分和DBSCAN算法的优势,数据中的噪声点进行过滤,降低噪声数据。同时确定K-means的K值和初始聚类中心,改进传统K-means算法在实际应用中因自身的不稳定性使得聚类结果达到局部最优的状况。2.利用GDK-means算法,设计了一套基于蜜罐的网络防御模型。模型包括数据控制、数据捕获、数据分析和规则提取四个部分。数据分析是本模型的重点,该模块利用改进后K-means算法对蜜罐捕获的数据进行聚类,可以分为正常簇和异常簇,再利用关联规则算法Apriori对异常行为提取强规则。最后根据Snort规则的标准,把生成的强规则转换为Snort规则。3.对模型主要模块的功能进行了实现,包括数据控制、数据捕获、数据分析和规则提取四个模块。搭建基于蜜罐的网络防御模型,并对模型的功能进行测试分析。实验结果显示,各个模块的功能都达到了预期效果。所以该模型可以检测到未知的攻击,并且从一定程度上降低了误报率和漏报率。综上所述,通过本文设计的网络防御模型可以检测到网络中未知的攻击,实现主动防御。

薛治平[10]2008年在《基于动态跟踪的主动防御系统的研究与实现》文中研究说明随着互联网技术的发展,网络已经渗透到了千千万万的用户中。无论是工作还是生活,人们越来越多地使用互联网来传输信息。这样,网络安全就显得非常重要。如今,黑客的攻击日趋频繁,用户被攻击后所遭受的损失也越来越大。传统的网络防御技术,如防火墙、入侵检测系统,已经很难应付黑客的频繁攻击。而且,传统的网络防御技术是被动防御,用户只有在遭受攻击以后才能检测到黑客的行为。这样,防御的一方始终在攻防双方的博弈中处于劣势。本文从网络安全相关技术的研究出发,探讨了一种基于动态跟踪的主动防御系统的研究与实现。本文首先介绍了论文的研究背景,分析了网络安全的相关技术。在网络安全的相关技术中,对常用的黑客攻击方法和传统的被动防御技术作了细致的分析,指出了被动防御技术的若干不足,从而引出了主动防御技术的概念。分析主动防御技术优点的同时,分别对入侵防御系统、蜜罐、蜜网和蜜场的原理作了深入的研究。其次,本文结合信息安全领域中最新的动态跟踪技术,提出了一种新的主动防御系统。该主动防御系统以动态跟踪技术为核心,实现对网络攻击的主动防御。动态跟踪技术是动态地跟踪系统内核行为的一种最新技术,使用该技术能够对系统进行全面跟踪监测。在分析动态跟踪技术的同时,本文详细研究了其在信息安全领域的应用,给出了使用动态跟踪技术实现文件监控、进程跟踪以及击键捕获等功能的具体方法。再次,本文通过对P2DR自适应网络安全模型、有限状态机FSM主动防御系统模型以及DTrace主机安全监控模型的分析,围绕动态跟踪技术,给出了基于动态跟踪的主动防御系统的设计目标和总体构架,并对系统关键模块进行了详细设计。以DTrace动态跟踪技术为核心,结合蜜网、蜜罐和网络入侵防御系统等各项技术的主动防御系统,不但能够防御目前已知的网络攻击,而且还能对未知攻击进行检测。对未知攻击的检测使该主动系统在技术上和功能上领先于传统的蜜网和蜜罐。最后,本文在已有的软硬件环境上,对主动防御系统的关键模块,蜜墙、蜜罐、DTrace安全监控系统、网络入侵防御系统、系统日志、攻击还原以及重定向器的实现作了详细论述,并且对该主动防御系统的一些主要功能进行了测试。本文的研究结果,对网络信息安全具有一定的理论和实践意义,对主动防御技术在操作系统内核级的发展提供了一定的参考价值。

参考文献:

[1]. 蜜网模型的研究[D]. 王铁方. 成都理工大学. 2004

[2]. 基于主动防御性的蜜网系统研究与实现[D]. 吕波. 电子科技大学. 2010

[3]. 基于Openflow的主动防御关键技术研究[D]. 胡毅勋. 北京邮电大学. 2017

[4]. 基于蜜网的攻击行为分析[D]. 胡双双. 北京邮电大学. 2015

[5]. 基于蜜网的主动防御技术研究与实现[D]. 刘星汐. 重庆大学. 2013

[6]. 基于高交互蜜网的蠕虫防御研究[D]. 靳倩慧. 暨南大学. 2012

[7]. 基于告警日志回溯机制的高交互蜜罐研究[D]. 严曦. 北京邮电大学. 2011

[8]. 基于代理的Honeypot系统关键技术研究与实现[D]. 程杰仁. 国防科学技术大学. 2005

[9]. 基于蜜罐的网络防御模型的研究与设计[D]. 王鑫. 北京邮电大学. 2018

[10]. 基于动态跟踪的主动防御系统的研究与实现[D]. 薛治平. 上海交通大学. 2008

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

蜜网模型的研究
下载Doc文档

猜你喜欢