返回
蜜罐技术研究进展

蜜罐技术研究进展

ID:44593738

大小:135.58 KB

页数:18页

时间:2019-10-23

蜜罐技术研究进展_第1页
蜜罐技术研究进展_第2页
蜜罐技术研究进展_第3页
蜜罐技术研究进展_第4页
蜜罐技术研究进展_第5页
资源描述:

《蜜罐技术研究进展》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、蜜罐技术研究进展银伟雷琪韩笑徐军金志文银霞95899部队陕西省军区人民武装学校湖南邵阳市大祥区第一实验中学摘要:网络空间环境口益恶劣,不仅受到木马、病毒等传统安全的威胁,而且随着攻击技术的发展,针对系统和应用Oday攻击等新型安全威胁已浮出水而。传统安全防护手段是被动的防御方式,不能检测和防御新型安全威胁。研究蜜罐是解决该问题的必然要求。蜜罐技术是主动型的防御技术,通过主动吸引攻击者攻击,对攻击行为进行记录和分析,让防御方了解所面对的安全威胁并采取积极防御措施。本文从新的蜜罐类型、数据分析技术、蜜罐配置技术和识别与反识别技术四个方面

2、对蜜罐技术的研究进展进行综述,并对蜜罐未来的发展进行展望。关键词:蜜罐;蜜网;主动防御;网络安全;赛博安全;网络防御;基金:国家自然科学基金资助项0617025420前言当今时代,受经济和政治利益的驱使,网络空间已成为国家和个人攻击渗透的主渠道、主战场、最前沿。网络安全面临着前所未有的严峻形势。个人计算机需要防范来自木马、病毒、蠕虫、僵尸、DoS等各种各样的安全威胁。随着攻击技术的发展,网络攻击开始呈现出一些新的特点:(1)攻击自动化程度和攻击速度越来越快;(2)攻击工具越来越复杂;(3)安全漏洞的发现越来越快;(4)防火墙的渗透率

3、越来越高;(5)对基础设施构成越来越大的威胁。网络空间的安全状况不容乐观。最近的“震网”和“火焰”等APT(高级持续性威胁)攻击表明,针对应用自身的Oday漏洞攻击已经成为新的安全威胁,而防火墙、入侵检测以及反病毒等被动的安全防护方式对这些新型安全威胁已经失效,迫切需要研究主动型的防御技术来应对新型网络安全威胁。蜜罐是一组带有缺陷的安全资源,止因为它有缺陷,才能吸引攻击者对其扫描、探测、攻击和利用。在攻击者攻击过程中,防御方记录攻击者的行为,对攻击者的方法、手段、技术能力进行学习,从而能够更好的制定防御方法和措施。蜜罐分为高交互式蜜

4、罐和低交互式蜜罐。高交互式蜜罐基于真实的软硬件构建,真实度高,不容易被识别,能够检测未知安全威胁,但是被攻击后,容易被利用去攻击其他的系统,因此风险比较高。低交互式蜜罐基于软件模拟实现,使用资源比较少,不容易被利用,但是容易被识别,而且只能检测已知安全威胁。蜜罐的部署方式主要有蜜罐、蜜网和分布式蜜网三种。蜜罐是将单独的一个蜜罐部署到Internet中,缺点是捕获的安全威胁数据有限,视野受限。蜜网将多个蜜罐组成蜜网网络,蜜网网络通过蜜网网关与Internet相连。蜜网比蜜罐视野开阔些,但是由于其是部署在一个地区,不能对全网的安全威胁态

5、势进行感知。分布式蜜网将多个蜜网网络以分布式的方式部署在不同地区,从而实现对全网的安全威胁数据进行捕获。本文针对蜜罐/蜜网技术,从新的蜜罐类型、数据分析技术、蜜罐配置技术和识别与反识别技术四个方面对蜜罐进行综述。1新的蜜罐类型Adachi提岀BitSaucer。它是一个集低交互式和高交互式蜜罐为一体的混合式蜜罐,同时具备低交互式蜜罐对资源要求低和高互式蜜罐响应能力高的特征。机制的关键在于设计运行在主机上的代理。代理是守护进程,负责根据网络流量按需自动生成虚拟主机并构建高交互式蜜罐。由于高交互式蜜罐是按需生成,大大降低了资源消耗。Al

6、osefer设计了低交互式客户端蜜罐Honeyware,用于检测恶意的web服务器。Alosefer使用IIoncywarc对94个网页链接(其屮有84个恶意链接,10个正常的链接)进行了检测,并与Capture-HPC客户端蜜罐做了比较。Honeyware能发现83个恶意链接。而Capture-HPC检测到62个恶意链接,23个正常链接以及不确定剩下9个链接的归属。Honeyware是低交互式蜜罐。它接收到的数据会被一个外部处理引擎处理,对每个链接的处理吋间大约是1分钟,而Capture-HPC大约只需17秒oAlosefer认为

7、将来在web客户端蜜罐设计方面,必须将高、低交互式蜜罐结合起来使用才能发挥它们各自的优势。低交互式蜜罐容易安装,但是需要外部数据处理,而高交互式蜜罐有数据处理模块,但是不容易安装。Anagnostakis在高交互式蜜罐的精度和异帘检测的广度两个方面进行折中,提出“影子蜜罐”。“影子蜜罐”是真实业务网络屮嵌有蜜罐代码的网络应用程序。所有的请求都被异常检测模块做预先处理,被裁定为正常请求的,都会被转发给业务服务器,如果被裁定为恶意的,就会被移交给“影子蜜罐”。“影子蜜罐”像沙箱一样,对请求进行虚拟执行并进行裁定。如果“影子蜜罐”裁定为正

8、常的,则将请求转发给业务服务器,当被“影子蜜罐”裁定为恶意时,攻击者所有操作都会被倒退回去。Bailey结合使用低、高交互式蜜罐以期实现高覆盖面(低交互式蜜罐的优点)和高保真度(高交互式蜜罐的优点)。高覆盖面是指对不同种类的网络流量类

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。