一种基于多阶段攻击响应的SDN动态蜜罐

蜜罐作为一种主动防御机制,可以通过部署诱饵目标,主动吸引攻击者与虚假资源进行交互,从而在防止有价值的真实资源受到破坏的同时,也能根据收集到的数据分析攻击行为并主动应对。然而,现有蜜罐方案存在无法针对复杂攻击手段部署特定蜜罐防御;蜜罐攻防博弈中动态性考虑不够充分,无法根据收益与成本有效选择蜜罐最佳防御策略;以及性能开销较大等缺陷。文章提出基于多阶段攻击响应和动态博弈相结合的SDN动态蜜罐架构以及基于Docker的SDN动态蜜罐部署策略和方法,设计和实现了一种可根据攻击阶段动态调整的SDN动态蜜罐系统。实验证明,该系统能够根据网络情况,面向攻击者行为,快速动态生成针对性蜜罐进行响应,有效提升了蜜罐的动态性和诱骗能力。     

蜜罐与入侵检测技术联动系统的研究与设计

针对单一技术在网络安全防御上的局限性,对入侵检测和蜜罐技术进行了认真研究.构建了一个新的入侵检测与蜜罐技术联动的防御系统.通过蜜罐收集入侵信息,用无监督聚类算法分析入侵数据,将数据集划分为不同的类别,提取新的攻击特征,扩充了入侵检测系统的特征库.通过实验分析和采用KDDCUP99入侵数据集进行测试,证明对于误报和漏报问题有一定的改进,提高了对未知入侵攻击的检测效率.     

蜜罐技术在网络安全系统中的应用与研究

随着网络技术的不断发展,网络安全技术已经从早期对攻击和病毒的被动防御开始向对攻击者进行欺骗并且对其入侵行为进行监测的方向发展。基于蜜罐技术的网络安全系统可以实现对内部网络和信息的保护,并且可以对攻击行为进行分析和取证。文中对蜜罐系统分类特点、部署位置以及配置数量进行了分析,同时对蜜罐系统中关键部分取证服务器的实现进行了研究,并进行了实验测试,测试结果表明该蜜罐系统可以实现对攻击行为进行捕捉和记录的功能。对蜜罐系统的部署和保护模式进行研究,可以从理论上优化蜜罐系统的配置和部署,具有很高的实践意义。     

贝叶斯网络在蜜罐系统中的应用研究

信息融合理论在蜜罐系统中的应用,在对未知攻击具体实例中,本文提出采用不确定推理理论中的贝叶斯算法,用来分析和判断未知攻击,最后由贝叶斯网络推倒算法来判定蜜罐中的未知攻击是何种攻击。     

什么是“蜜罐”技术

蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对贵公司服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。蜜罐系统的优点之一就是它们大大减少了所要分析的数据。对于通常的网站或邮件服务器,攻击流量通常会被合法流量所淹没,而蜜罐进出的数据大部分是攻击流量,因而,浏览数据、查明攻击者的实际行为也就容易多了。自1999年启动以来,蜜网计划已经收集到了大量信息,你可以在www.honeynet.or…     

蜜罐信息采集技术研究

蜜罐是一种主动防御的网络安全技术,可以吸引黑客的攻击,监视和跟踪入侵者的行为并且记录下来进行分析,从而研究入侵者所使用的攻击工具、策略和方法。本文在分析了蜜罐技术和蜜罐安全价值基础上,详细研究了蜜罐的信息收集技术,针对蜜罐系统面临的安全威胁提出了防御对策。     

基于蜜场技术的主动防护安全系统

设计了一个基于蜜场技术的主动防护系统。蜜场技术结合了蜜罐技术与攻击检测技术,它在大型的分布式网络中集中部署和维护蜜罐,对各个子网的安全威胁进行收集,可用于大规模网络的主动防护。     

利用蜜罐技术捕捉来自内部的威胁

近几年来人们对蜜罐技术进行了广泛的研究,但对蜜罐的研究主要集中在对来自网络外部威胁的检测与信息收集,很少有利用蜜罐对来自内网的威胁研究。本文论述了如何利用蜜罐技术来检测、标识及收集来自内部威胁的信息。     

基于虚拟蜜罐的网络安全系统的设计与实现

本文利用目标系统提供的多种网络服务和相关的系统安全漏洞来诱使攻击者发现并攻击蜜罐,通过KFsensor入侵检测系统和honeyd日志服务对所收集信息进行全面分析,对攻击行为发出预警,同时可以在黑客攻击蜜罐期间的行为和过程进行深入的分析研究。     

蜜罐系统模型的有限自动机

蜜罐系统作为一种主动响应的安全技术,利用诱骗技术吸引入侵,对网络数据进行捕捉和控制,及时获取攻击信息并记录入侵过程,研究攻击手段和过程。对该技术的研究已成为目前信息安全领域的研究热点。本文通过确定性有限自动机理论对蜜罐系统模型进行描述,根据确定性有限自动机状态转换图模拟捕捉攻击行为的全过程,为蜜罐系统的设计和部署提供有力的理论依据和论证。     

蜜罐与入侵检测系统协作模型的研究

介绍了蜜罐与入侵检测协作系统的设计模型。实现协作的方法是用无监督聚类对蜜罐系统中记录的数据进行分类,标记类别,再用决策树提取出入侵规则,最后把提取出的新入侵规则添加到入侵检测系统的规则库中。目的是使入侵检测系统可以检测出新入侵行为。仿真实验验证了模型的有效性。     

基于数据包分片的工控蜜罐识别方法

蜜罐是一种用于安全威胁发现与攻击特征提取的主动防御技术,能够提供高价值且低误报率的攻击流量和样本。蜜罐的应用压缩了网络黑客的隐匿空间,攻击者可通过蜜罐识别技术来发现和规避蜜罐。因此,安全人员有必要从攻击者的角度深入研究蜜罐识别的方法,以便优化蜜罐系统的设计与实现。本文从蜜罐的结构出发,总结了8种蜜罐识别要素,并评估了不同识别要素的准确性和隐蔽性。结合互联网蜜罐分布特点,归纳了一种互联网中的蜜罐识别流程,并基于Conpot工控蜜罐架构的固有缺陷,提出了一种基于数据包分片的工控蜜罐识别方法。通过三次互联网扫描,共发现2432个Conpot工控蜜罐,并进一步分析了其分布特点。     

MDCI:一个分布式检测DDoS攻击的方法

鉴于DDoS攻击分布式、汇聚性的特点，实现分布在大规模网络环境中的多个IDS系统间合作检测有助于在攻击流形成规模前合成攻击全貌并适当反应．MDCI系统首次提出了环形合作模式，即构建一个环重要网络信息资源的IDS系统合作组，通过组内节点同信息共享和警报关联分析，迅速判定DDoS攻击、MDCI系统中，采用报头内容分析和反向散射分析相结合的方法对本地捕获的数据报进行分析并采用统一标准格式对可疑特征进行报警；采用数据流分类概率评估的方法实现合作结点间警报信息的关联分析，从而合成攻击的全貌．通过实验可以看到，该系统有效地提高了针对DDoS攻击的预警速度．     

蜜罐技术在入侵检测系统中的应用研究

针对入侵检测系统自身的被动性和蜜罐的陷阱机制,从IP地址欺骗、数据捕捉、端口重定向和操作系统及其服务模拟等角度设计蜜罐,为提前发现新的入侵检测规则提供有效信息,改善入侵检测技术被动性的不足.     

基于蜜罐的入侵检测系统的设计与实现*

传统的入侵检测系统无法识别未知的攻击,提出在入侵检测系统中引入蜜罐技术来弥补其不足,并设计和实现了一个基于人工神经网络的入侵检测系统HoneypotIDS。该系统应用感知器学习方法构建FDM检测模型和SDM检测模型两阶段检测模型来对入侵行为进行检测。其中,FDM检测模型用于划分正常类和攻击类,SDM检测模型则在此基础上对一些具体的攻击类型进行识别。最后,设计实验对HoneypotIDS的检测能力进行了测试。实验结果表明,HoneypotIDS对被监控网络中的入侵行为具有较好的检测率和较低的误报率。     

虚拟蜜网诱骗系统设计

展示蜜罐的一些基本概念和主要的关键技术,给出了一个虚拟蜜网诱骗系统设计.利用虚拟机技术虚拟了系统的操作系统、网络环境,对相关的防火墙和IDS进行设置,利用数据包捕获机制对攻击数据进行收集、分析和记录.     

Intrusion Detection System for PS-Poll DoS Attack in 802.11 Networks Using Real Time Discrete Event System

Wi-Fi devices have limited battery life because of which conserving battery life is imperative. The 802.11 Wi-Fi standard provides power management feature that allows stations (STAs) to enter into sleep state to preserve energy without any frame losses. After the STA wakes up, it sends a null data or PS-Poll frame to retrieve frame(s) buffered by the access point (AP), if any during its sleep period. An attacker can launch a power save denial of service (PS-DoS) attack on the sleeping STA(s) by transmitting a spoofed null data or PS-Poll frame(s) to retrieve the buffered frame(s) of the sleeping STA(s) from the AP causing frame losses for the targeted STA(s). Current APproaches to prevent or detect the PS-DoS attack require encryption, change in protocol or installation of proprietary hardware. These solutions suffer from expensive setup, maintenance, scalability and deployment issues. The PS-DoS attack does not differ in semantics or statistics under normal and attack circumstances. So signature and anomaly based intrusion detection system (IDS) are unfit to detect the PS-DoS attack. In this paper we propose a timed IDS based on real time discrete event system (RTDES) for detecting PS-DoS attack. The proposed DES based IDS overcomes the drawbacks of existing systems and detects the PS-DoS attack with high accuracy and detection rate. The correctness of the RTDES based IDS is proved by experimenting all possible attack scenarios.      

对未知攻击进行检测的蜜罐系统的实现

针对当前防火墙和入侵检测系统不能够对未知攻击作出有效的判断，而造成信息误报和漏报的问题，提出了一种蜜罐系统结构，通过过滤掉已知攻击，在系统调用层，采用攻击签名机制，实现对未知攻击的检测和分析。     

Polymorphic蠕虫特征自动提取算法及检测技术研究

入侵检测系统检测蠕虫攻击的关键在于蠕虫特征是否准确,随着蠕虫Polymorphic技术的不断发展,如何快速有效地提取Polymorphic蠕虫特征,是入侵检测中特征提取领域的一个重要的研究方向。采用基于模式的特征提取算法,通过对多个可疑Polymorphic蠕虫流量进行序列比对,自动提取它们的最长公共子序列,结果用两种形式的向量表示;并采用相似度度量的检测方法,利用已提取的特征向量,判别新到来的Polymorphic蠕虫流量所属的类别,从误报率和漏报率方面验证了特征提取算法的有效性以及相似度度量检测方法的有效性。