赵伟锋[1]2003年在《蜜罐系统的研究与初步实现》文中研究说明蜜罐(Honeypot)是近几年才发展起来的一种主动安全技术。它设置一个专门让黑客攻击的应用系统,以记录黑客的活动,便于我们了解黑客的攻击方式和手段,发现潜在的威胁。 论文对蜜罐进行了系统的研究。蜜罐是深入了解黑客的一种有效手段,此外它也带来一些附加效果,可以提高网络的安全防护水平。文章着重叙述了蜜罐的伪装、采集信息、风险控制、数据分析等实现技术。 作者设计并实现了一个包含新的数据采集方法的蜜罐系统。蜜罐内黑客对文件的访问活动可以暴露出很多信息,但难于采集。作者设置了一个更改根目录(Chroot)环境下的无盘蜜罐,利用NFS把系统根目录与更改根目录联系起来,采集网络数据包就能记录黑客在蜜罐内对文件的访问活动。 将搭建好的蜜罐放在因特网上进行实验,采集到许多黑客活动的真实信息。在不断改进的蜜罐实验过程中,作者发展了一些实用的分析方法,以较容易地发现侵入蜜罐的黑客。文章展示了几个黑客攻击案例,对网上黑客的活动和攻击方式可见一斑。 使用蜜罐可以发现潜在威胁,网络安全自身漏洞层出不穷,也就总为蜜罐提供了发挥作用的机会。但是蜜罐的应用需要一定的条件,只有在具备了必要的技术、人力、时间、设备和目的的地方,才可能得到实实在在的好处。
李世勇[2]2008年在《基于混合式客户端蜜罐的恶意网址收集系统的设计与实现》文中认为互联网越来越成为我们生活中不可缺少的工具,但是接入网络的计算机有被远程攻击的风险。在最近几年,网络上出现一种新的攻击类型:客户端攻击,攻击的对象是客户端应用程序。当客户端访问某个恶意服务器时,该服务器将恶意内容作为响应的一部分发送到客户端。比如当浏览器访问恶意Web服务器时,服务器返回含有攻击的恶意网页。如果攻击成功,则Web服务器可以在客户端机器上安装任意程序。当前浏览器是最易受攻击的客户端程序,所以恶意网站严重威胁客户端机器的安全,但是当前没有免费的关于恶意网址和Web威胁的综合性数据库可供研究。构建这样一个数据库是本文的目的。低和高交互式客户端蜜罐是两种检测恶意服务器的计算机安全技术,它们使用专用设备与潜在的恶意服务器交互,进而判断服务器是良性还是恶意的。这两种技术识别服务器响应各有优缺点,不能大规模且准确的分析Internet。为了提高识别恶意服务器的速度和准确度,本文结合这两种技术的优点,提出混合式客户端蜜罐模型以及调整静态检测算法的反馈机制。在此基础上,本文设计并部分实现了恶意网址收集系统。实验结果初步证明了混合式客户端蜜罐以及采用这种技术的恶意网址收集系统有比单一一种技术更好的效果。
肖枫涛[3]2005年在《网络安全主动预警系统关键技术研究与实现》文中研究指明随着计算机网络的发展,网络应用越来越广泛;另一方面,网络安全问题变得日益突出,网络入侵行为越来越严重,新出现的计算机病毒已由仅影响单机扩展到影响整个网络,其危害性也增大。网络安全预警系统针对大规模的网络进行预警,综合局部安全事件评判整个保护网络的安全状况,它是网络安全防护体系中的关键环节。但传统的网络安全预警系统存在对未知的攻击缺乏有效的检测方法、对安全问题的检测通常处于被动阶段、在广域网部署受防火墙/NAT的限制等问题。 本文紧密围绕受保护网络安全的主动检测、预警信息的及时发布、预警信息跨广域网传送等方面开展研究与实现工作。本文的工作主要集中在: 1)动态网络安全主动预警系统框架 针对目前一些网络安全预警系统的现状,探讨了预警存在的不全面性和无法有效解决未知攻击的问题;在此基础上,拓展了预警的概念和预警信息的含义,并结合蜜罐系统和本地脆弱性扫描系统提出动态网络安全预警系统框架,并对其进行了设计,旨在能够较全面地对受保护的网络实施安全预警。 2)预警信息发布 分析网络安全主动预警系统中的预警信息发布需求,并进行分类;针对量大-频率高型预警信息提出了一种借鉴了P2P思想的预警信息发布算法,该算法既可降低预警代理发布预警信息的负载,又可减少预警信息发布的时间。 3)穿越防火墙/NAT方案设计与实现 在深入分析网络安全主动预警系统通信需求的基础上,将各种通信需求进行分类,综合考虑安全性、性能、实时性等方面要求,提出了一种各通信部件穿越Firewall/NAT进行通信的方案,并进行详细设计与实现,该方案能够实现安全通信的快速性与准确性。 本文的部分研究成果已经在“分布式网络安全监控与预警系统”(“十五”863计划)中得到了应用,为该项目顺利通过中期检查打下了坚实的基础。
郭骞[4]2018年在《基于沙盒技术的应用层蜜罐软件实现》文中研究说明电力作为传统行业,电力生产是其经营核心,如何保护电力核心业务应用系统是电力企业面临的长期重要问题。传统的电力安全防护是以物理可控范围内的设备为前提,采用隔离装置(GAP)来隔离核心业务应用系统是稳妥的措施。但随着新业务及新技术的发展,移动化新业务、互动化新业务、智能化新业务及交易类新业务的大量应用,电力设备大量安装于小区中、客户家中等不可控环境中,网络攻击行为日趋针对业务系统的应用层漏洞,传统的隔离方案已不能保证电力系统的安全。本文针对用电信息采集系统(一种电力业务应用系统),实现了一个蜜罐软件,能够对来自采集终端侧的应用层网络攻击的识别、监测和分析,同时依赖于沙盒技术,直接保护该系统的应用层安全。具体实现包括叁个方面。(1)利用沙盒技术实现了一种应用层蜜罐软件。该软件具备蜜罐的特性,即具备捕捉来自于网络上的攻击行为,将该行为的网络访问、数据库访问、操作系统访问进行记录和分析,能够为未知网络攻击行为提供分析的条件。而使用沙盒技术,则可以通过Hook API等方式建立虚拟运行环境,使得在蜜罐软件上直接运行真实电力业务应用成为可能,避免传统蜜罐软件需要将仿真对象功能高度还原、不能真实运行电力应用、无法执行真实电力业务请求的缺点。(2)通过SQL代理方式扩展了沙盒技术建立的虚拟运行环境范围,使得沙盒不仅接管操作系统访问和网络访问,还接管了对于电力应用更为重要的数据访问,从而建立全面的应用层防护。(3)通过对1376.1规约(用电信息采集系统的终端调用规约)的解析和监测功能的实现,使得该软件能够对用电信息采集系统这样的具体电力应用进行深度分析,提高分析的深度,满足具体电力应用防护的需要。通过以上功能的实现,本文最终实现了一个能够针对电力业务应用系统进行监测、分析和保护的蜜罐系统,保障了电力业务应用系统的网络安全。
王婷[5]2007年在《基于Honeyd的蜜罐技术研究与设计》文中指出蜜罐是应用于计算机网络安全领域的信息系统资源,它的价值体现在被扫描、攻击和攻陷,通过蜜罐可以获取攻击者和攻击技术的相关信息,也可以用来吸引和分散攻击者的注意力,从而保护真实的网络系统。目前蜜罐和蜜罐延伸技术已被广泛关注,它已不仅仅是一种新的技术,可以说是网络安全系统的重要补充和完善,它增强了动态防御体系的检测与响应能力。Honeyd是一款目前应用广泛、功能强大、轻型的蜜罐工具,它具备在协议栈模拟多个操作系统、模拟网络拓扑结构、指纹匹配、重定向等功能,并能够很好地解决交互级别与自身安全之间的矛盾。Honeyd在许多领域代表了蜜罐技术的发展水平。本文首先研究了Honeyd的逻辑结构,包括各逻辑模块的功能、模块之间的协调,以及TCP、UDP和ICMP协议数据包的处理过程。接着对函数流程、代码实现等方面进行了解析。然后以Honeyd分析的结果与反蜜罐技术为基础,提出了改进Honeyd的方法,一是完善叁次握手的模拟,增加SYN/ACK重传功能,使其与真实的系统更加接近;二是添加了电子邮件报警功能,通过发送处理后的日志记录,使安全管理人员能够及时、准确地了解攻击情况。最后利用Honeyd来对抗网络蠕虫,探讨了以插件方式,以及与其他安全工具合作来提升对抗能力的方案。蜜罐技术还处于不断的发展过程中,但有一点可以肯定,它是网络安全体系系统中的重要组成部分。随着对蜜罐技术的深入研究,蜜罐的作用也会更加突出。
万定生[6]2005年在《基于公安网络的P~2DR模型的分析与应用研究》文中提出随着公安信息化进程的加快,各种各样的机密信息已经大量的存在于公安网络之中。公安网络上应用的网络安全技术对于网络攻击主要是采取被动防御的手段,这些手段和方法面对千变万化的攻击方式显得力不从心。如何使公安网络安全的防御体系由静态转为动态,防御措施从被动转变为主动,改变传统防御总是处于被动挨打的处境。积极有效地保护公安网络系统的安全是需要研究的新课题。 本文主要研究P~2DR模型为代表的动态网络安全模型和蜜罐技术,通过整合现有的网络安全技术,并以统一的策略库为核心,能够动态的、自适应的调节网络安全策略和规则。并将蜜罐技术应用于P~2DR模型,改善P~2DR模型的入侵检测功能。论文分为叁个部分: 第一部分简要地介绍了公安网络的特点,对公安网络的安全事件以及计算机网络不安全的主要原因进行讨论,介绍课题的来源与本论文的研究内容、研究意义。然后,对计算机网络的攻击行为进行研究,借鉴目前攻击方法分类学的研究成果,为公安网络中应用P~2DR模型提供依据。 第二部分本文对P~2DR模型和蜜罐技术进行了详细的分析,通过分析P~2DR模型的时间特性,归纳了入侵检测技术的的不同阶段:事前检测、事中检测、和事后检测。蜜罐技术能够实现事前检测的功能,将蜜罐技术运用到P~2DR模型中能够提高P~2DR模型的事前检测能力。本文在P~2DR模型的基础上加入了HONEPOT系统。简而言之,当防火墙、IDS发现有新型的入侵嫌疑行为发生时,将入侵连接导入蜜罐系统,监视其入侵规律,形成规则,加入P~2DR模型库。此机制增加了公安网络的防御纵深,提高了P~2DR模型的效能。 第叁部分本文运用加入蜜罐后的P~2DR模型,初步构建了一个动态的公安网络安全模型的应用方案。 本文通过试验验证,表明蜜罐系统有效的提高了P~2DR模型的检测功能,应用加入蜜罐后的P~2DR模型对公安网络的安全具有明显的促进作用。
林延福[7]2005年在《入侵防御系统技术研究与设计》文中研究说明由于网络环境日趋复杂,新的攻击方法层出不穷,单一安全技术已经不能保证企业网络的安全。入侵防御系统是网络安全领域为弥补防火墙及入侵检测系统的不足而新兴的信息安全技术。它综合了防火墙防御功能和入侵检测系统的网络数据包检测功能,紧密实现上述两种安全系统的互动互利,对受保护网络提供更为完善的保护。而蜜罐技术可以用来吸引来自网络上的攻击,具有检测和捕捉未知攻击和恶意行为的能力,可以减少入侵防御系统的误报率和漏报率。 本文研究分析了多种安全解决方案的优缺点,在此基础上提出了一种以入侵防御系统为主、蜜罐为辅助的安全防御框架,并给出新型的基于网络的入侵防御系统的设计与实现过程。本系统融合了防火墙、入侵检测及蜜罐技术,通过这些安全技术的协同工作,实现了全方位的、多层次的网络安全防御体系,提高了主动实时的入侵响应能力,提高了网络整体的安全性。
吴杰[8]2014年在《基于OpenStack的新型混合蜜罐系统》文中研究说明在云计算日渐成熟的今天,公有云已被广泛的应用,而这些应用也成就了很多新兴企业。然而私有云的应用却受技术与成本的限制而发展缓慢,开源云解决方案OpenStack的出现为解决这一问题提供了契机,但是OpenStack并没有为私有云提供完善的安全保障,所以也只能被安全技术背景较强的公司应用。蜜罐系统受安全性、性能和保真度这叁个因素的相互制约而无法被有效的广泛应用,目前只能供科研人员研究未知攻击。基于OpenStack的混合蜜罐方案就是在这种背景下设计的,它不仅为私有云提供了更高的安全性,而且解决了蜜罐系统搭建的安全性、保真度与性能这叁个相互制约因素带来的难题,让蜜罐系统具有了更高的实用价值。本文所做的工作如下:1.提出一种新的混合蜜罐方案,并结合OpenStack把其部署在私有云上。新型混合蜜罐方案是通过低交互蜜罐与高交互蜜罐结合的方法实现,如果把这种方案部署在传统IT(Information Technology)设施上,我们只能保证其安全性与保真度,性能问题却无法有效解决。在把其部署在基于OpenStack的私有云上后,保证了私有云用户对计算与存储资源的按需使用,使性能得到了保障。同时,也为私有云提供了一种安全解决方案。2.对新系统进行了模拟,通过对新系统的参数配置,有效的实现了对各种攻击的抓取,并对抓取结果进行了统计分析。分析表明,新的混合系统能够收集到网络上的一些新型攻击。
杜淑琴[9]2005年在《主动防御系统》文中进行了进一步梳理随着互联网的快速发展,越来越多的应用通过网络来实现,同时网络的安全也面临着巨大的挑战。快速的网络为攻击者提供了方便,攻击模式和方法越来越复杂,攻击者的技术水平也在不断提高,攻击规模日益扩大,越来越多的系统受到攻击,如何保护系统与可信网络不受入侵成为目前迫切需要解决的问题。传统的网络安全措施,如防火墙或入侵检测技术(IDS)显得力不从心,这就需要引入一种全新的主动入侵防护(Intrusion Prevention System,IPS)技术。入侵防护作为一种主动的安全防护手段,它的优势体现在如下两方面:首先它可以在攻击发生前主动阻断它们,它不仅可进行检测,还能在攻击造成损坏前阻断它们;另一方面在检测到攻击时就需要具备相应的响应能力,入侵防护系统在成功的检测到攻击事件后,它可以记录攻击者的详细的攻击行为因而对攻击有更有效的响应。 蜜罐是近几年才发展起来的一种主动安全技术。它设置专门让黑客攻击的应用系统以记录黑客的活动,让黑客来告诉我们所面临的威胁。分析蜜罐采集的信息,人们可以了解黑客攻击的方式和手段,发现威胁所在。蜜罐提供了一个丰富的认识黑客攻击手段的信息源。 蜜罐是网络安全的一个全新领域。它通过构造一个有着明显安全漏洞的系统来引诱入侵者对其进行攻击,并在攻击的过程中对入侵者的入侵动机、入侵手段、使用工具等信息进行详细地一记录。根据收集到的入侵者信息,我们就可以分析得到入侵者所使用的最新技术、发现系统中的安全漏洞,从而对系统中存在的问题及时予以解决。 在学位论文工作期间,我对蜜罐进行了系统的理论研究,在此基础上,初步设计了一个包含蜜罐系统的网络安全架构。将我的蜜罐系统放到校园网环境中,采集到许多宝贵信息,在一定程度上提高校园网的安全性。通过对这些信息的分析,我对蜜罐有了更深入的理解,特别在它对信息分析能力、对黑客的了解方面也有了较大提高。
刘肖琛[10]2014年在《基于大数据的网络恶意流量分析系统的设计与实现》文中提出本文主要研究了大数据时代下的网络恶意流量的分析与检测。本文提出了关于一种网络行为分析监控系统的设计与实现。整个系统中共分为采集部分、蜜罐系统、Hadoop处理平台以及呈现服务器四个部分。采集探针模块负责从数百个中型企业的网络出口端采集数据包,所有的数据包通过探针内部程序预处理后上传到采集服务器中。而Hadoop平台作为数据整合和数据分析的平台则要定时从采集服务器中下载当天的数据,缓解采集服务器中数据存储的压力,从采集服务器中下载的数据格式固定,以文本文件的形式存在HDFS中。搭建的蜜罐网则主要负责收集网络中的各种木马,僵尸病毒,并从中提取出这些木马,僵尸病毒的特征,传入Hadoop平台中进行分析。而Hadoop平台的处理以及分析结果将在呈现服务器中以图表的形式进行展示。本文搭建的蜜罐系统是一个闭环的结构,他主要负责吸引网络中的各种恶意流量,同时通过本文提出的可疑URL选取算法对流量数据进行初步分析并获得一个可疑URL列表。本文还提出了一种恶意流量检测方法。所有的工作与闭环蜜罐系统一起集成为一个网络行为分析监测系统,可以有效地和精确地检测异常行为。本文提到的基于复合会话的数据采集算法很好地解决了探针内存不足的限制,复合会话是一个由src、dst、网络协议和目标端口四元组唯一标识的实体。为了消除数据采集的负面影响,本文还依托于MapReduce的框架提出了数据处理的算法。最后本文提出一个识别异常流量的叁步算法:数据过滤,域名匹配和网络节点排除。首先识别网络流量中具有周期性行为的复合会话,然后通过对比白名单等手段去除一些错判对象得到最终的检测结果。
参考文献:
[1]. 蜜罐系统的研究与初步实现[D]. 赵伟锋. 中国工程物理研究院北京研究生部. 2003
[2]. 基于混合式客户端蜜罐的恶意网址收集系统的设计与实现[D]. 李世勇. 武汉科技大学. 2008
[3]. 网络安全主动预警系统关键技术研究与实现[D]. 肖枫涛. 国防科学技术大学. 2005
[4]. 基于沙盒技术的应用层蜜罐软件实现[D]. 郭骞. 东南大学. 2018
[5]. 基于Honeyd的蜜罐技术研究与设计[D]. 王婷. 西南交通大学. 2007
[6]. 基于公安网络的P~2DR模型的分析与应用研究[D]. 万定生. 河海大学. 2005
[7]. 入侵防御系统技术研究与设计[D]. 林延福. 西安电子科技大学. 2005
[8]. 基于OpenStack的新型混合蜜罐系统[D]. 吴杰. 西安电子科技大学. 2014
[9]. 主动防御系统[D]. 杜淑琴. 广东工业大学. 2005
[10]. 基于大数据的网络恶意流量分析系统的设计与实现[D]. 刘肖琛. 北京邮电大学. 2014