蜜网技术与网络安全

网络安全领域日益受到重视,蜜罐与蜜网技术是基于主动防御理论而提出的。蜜罐与蜜网技术通过精心布置的诱骗环境来吸引网络攻击者的入侵,进而了解攻击思路、攻击工具和攻击目的等行为信息。本文介绍了蜜罐的主要技术原理,并且比较和分析了第一代、第二代和第三代蜜网模型。     

DDoS攻击及主动防御模型研究

DDoS（分布式拒绝服务）攻击正在对整个互联网产生巨大的危害和严重的经济损失,且不断增大。通过介绍DDoS攻击原理和分析DDoS攻击网络的控制机制,提出基于蜜网的防御DDoS攻击方法,鉴于目前大多数DDoS攻击都是黑客利用其控制的僵尸网络发起的,部署了改进版的蜜网,利用蜜罐收集的信息,打人黑客控制的僵尸网络内部,获取重要信息,切断黑客的远程控制机制,从根源上阻止DDoS攻击远程控制网络的形成,以达到主动防御的目的。     

虚拟Honeynet在校园网网络安全防御中的实现

蜜网技术作为一种主动防御机制, 为解决网络安全问题提供一种有效的方法. 通过使用蜜罐技术, 在学院校园网中部署虚拟蜜网, 实现对蜜网中数据的控制、捕获和分析. 通过对蜜网的访问收集攻击者的信息, 研究并分析其攻击战术、攻击动机以及相应的攻击策略, 从而减少校园网被黑客或木马攻击的机率.     

基于虚拟化技术的分布式蜜网

合理的搭建蜜网可以帮助网络管理员成功地捕获黑客行为,提升网络安全.在一个复杂网络环境中要实现分布式部署多个蜜罐需要相当大的人力和物力,虚拟化技术的应用可以帮助我们很好的解决这一难题.在实际环境中使用低交互蜜罐在VMware中构建了分布式蜜网体系,采用了XMPP技术进行捕获数据共享,使用carniwwwhore框架实现了数据统计和可视化输出,达到了很好的运行效果.     

高交互式工控蜜罐系统设计与实现

随着工业互联网技术在工业行业的广泛应用,工业互联网安全问题也越来越多地暴露在公众视野中。在工业互联网安全领域,攻击和防护之间始终存在着差距。这使得针对工业互联网的安全研究处于一个不利的局面。蜜罐系统作为一种吸引潜在攻击者的陷阱工具,通过服务模拟吸引对象攻击,记录攻击数据、分析攻击行为,研究攻击策略,形成威胁情报数据,在平衡攻击和防护之间差距中起着重要的作用。首先,研究了当前蜜罐系统的背景,分析了不同种类蜜罐系统之间的区别;接着,明确了蜜罐系统的功能需求,提出了基于真实工控环境的高交互式蜜罐系统,完成了蜜罐系统的设计与搭建工作;最后,通过渗透测试验证了蜜罐系统的有效性,为进一步依靠蜜罐系统开展网络安全研究奠定基础。     

Honeynet技术研究与实例配置

Honeynet是一种高互动蜜罐，其目的是搜集有关安全威胁的全面信息。Honeynet是一种体系结构，其首要需求是数据控制和数据捕获。该文构建了一个完整的Honeynet实例，论述了其中的关键技术，分析了Honeynet的特有风险。     

基于Honeyd的大学蜜网技术应用研究

蜜罐是网络安全的重要辅助工具,基于Honeyd的虚拟蜜罐技术在部署蜜网上有它独特的优势,介绍了建立基于虚拟蜜网技术的大学校园网络蜜网方案,具体介绍了Honeyd的思想,Honeyd的安装、配置,给出了方案的框架结构,并在网络设备上对蜜网数据控制、数据捕获、数据分析进行了实现.     

蜜罐及蜜网技术研究进展

蜜罐及蜜网是网络安全领域的研究热点与核心技术,近年来得到了广泛的关注和快速的发展.提出了蜜罐及蜜网技术所面临的挑战.从蜜罐和蜜网的概念及其关键技术等方面对其研究进展进行综述评论.认为系统伪装、体系结构、多源信息融合、攻击分析与特征提取以及计算机取证与法律等问题是目前蜜罐及蜜网研究的关键问题,并讨论了这些问题可能采取的方法.最后对研究的方向进行了展望.     

Collapsar: A VM-based honeyfarm and reverse honeyfarm architecture for network attack capture and detention

The honeypot has emerged as an effective tool to provide insights into new attacks and exploitation trends. However, a single honeypot or multiple independently operated honeypots only provide limited local views of network attacks. Coordinated deployment of honeypots in different network domains not only provides broader views, but also create opportunities of early network anomaly detection, attack correlation, and global network status inference. Unfortunately, coordinated honeypot operation require close collaboration and uniform security expertise across participating network domains. The conflict between distributed presence and uniform management poses a major challenge in honeypot deployment and operation.To address this challenge, we present Collapsar, a virtual machine-based architecture for network attack capture and detention. A Collapsar center hosts and manages a large number of high-interaction virtual honeypots in a local dedicated network. To attackers, these honeypots appear as real systems in their respective production networks. Decentralized logical presence of honeypots provides a wide diverse view of network attacks, while the centralized operation enables dedicated administration and convenient event correlation, eliminating the need for honeypot expertise in every production network domain. Collapsar realizes the traditional honeyfarm vision as well as our new reverse honeyfarm vision, where honeypots act as vulnerable clients exploited by real-world malicious servers. We present the design, implementation, and evaluation of a Collapsar prototype. Our experiments with a number of real-world attacks demonstrate the effectiveness and practicality of Collapsar.     

浅析引导型蜜罐群在网络安全中的应用

随着入侵攻击的复杂多样化和网络管理的难度加大,蜜罐技术作为网络安全主动防御技术的重要组成部分越来越受到人们的重视,它主要经历了欺骗系统、蜜罐和蜜网等几个发展阶段,旨在对入侵攻击进行监视、检测和分析。本文结合中小型网络安全的实际需求,提出一种新的蜜罐思路：引导型蜜罐群,设计了相应的网络安全模型,并分析它的关键技术及实际应用。     

Honeypot back-propagation for mitigating spoofing distributed Denial-of-Service attacks

The Denial-of-Service (DoS) attack is a challenging problem in the current Internet. Many schemes have been proposed to trace spoofed (forged) attack packets back to their sources. Among them, hop-by-hop schemes are less vulnerable to router compromise than packet marking schemes, but they require accurate attack signatures, high storage or bandwidth overhead, and cooperation of many ISPs.In this paper, we propose honeypot back-propagation, an efficient hop-by-hop traceback mechanism, in which accurate attack signatures are obtained by a novel leverage of the roaming honeypots scheme. The reception of attack packets by a roaming honeypot (a decoy machine camouflaged within a server pool) triggers the activation of a tree of honeypot sessions rooted at the honeypot under attack toward attack sources. The tree is formed hierarchically, first at Autonomous system (AS) level and then at router level. Honeypot back-propagation supports incremental deployment by providing incentives for ISPs even with partial deployment.Against low-rate attackers, most traceback schemes would take a long time to collect the needed number of packets. To address this problem, we also propose progressive back-propagation to handle low-rate attacks, such as on-off attacks with short bursts. Analytical and simulation results demonstrate the effectiveness of the proposed schemes under a variety of DDoS attack scenarios.     

基于蜜罐技术的安全校园网的设计与实现

蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷并对这些攻击活动进行监视、检测和分析。本文提出了一种新的基于蜜罐技术的校园网络安全解决方案。根据蜜罐技术的原理结合校园网现实状况编写出便于校园网安装和实现的微型蜜罐系统。在保证主机安全的前提下,实现了蜜罐的数据捕获、分析功能。     

蜜罐与蜜网技术及应用

本文介绍了蜜罐技术的发展历史和现状，分析了蜜罐在网络安全防护体系中的作用，并且利用DTK工具包设计实现的蜜罐应用。以及目前研究的蜜网技术。此外本文还给出了蜜罐及蜜网技术的进一步研究发展方向。     

利用蜜罐提高NIDS的检测性能

目前的入侵检测技术本身存在着缺陷,比如特征检测中规则库不完备.由这些缺陷而导致的误报和漏报是制约其发展的重要瓶颈.Honeypot/net是一种新的安全技术,通过部署蜜罐收集攻击信息,再把这些信息加以整理传送给IDS,可以弥补入侵检测技术的一些缺点,从而降低IDS的误报率和漏报率.本文分析了这一设想的可行性,并提出了设计方案.此方案中包括一个Honeynet Software,它联系Honeynet 控制台和NIDS控制台,完成其中提取新模式、传递攻击信息等功能.     

欺骗网络体系框架研究

欺骗主机和欺骗网络作为一种网络安全资源,其安全价值在于被人们扫描、攻击或入侵时。通过创建一个高度可控的黑客攻击的网络环境,从而捕获尽可能多的同入侵有关的信息。基于这些信息,获得互联网所面临的安全风险。本文提出了一种基于信息欺骗的信息防护框架。从欺骗网络的交互程度,拓扑和技术三个方面对该框架进行了论述。     

蜜罐技术研究与应用进展

蜜罐是防御方为了改变网络攻防博弈不对称局面而引入的一种主动防御技术,通过部署没有业务用途的安全资源,诱骗攻击者对其进行非法使用,从而对攻击行为进行捕获和分析,了解攻击工具与方法,推测攻击意图和动机.蜜罐技术赢得了安全社区的持续关注,得到了长足发展与广泛应用,并已成为互联网安全威胁监测与分析的一种主要技术手段.介绍了蜜罐技术的起源与发展演化过程,全面分析了蜜罐技术关键机制的研究现状,回顾了蜜罐部署结构的发展过程,并归纳总结了蜜罐技术在互联网安全威胁监测、分析与防范等方向上的最新应用成果.最后,对蜜罐技术存在的问题、发展趋势与进一步研究方向进行了讨论.     

蜜罐技术的研究和分析

给出了蜜罐的定义和分类,研究了蜜罐的安全价值,讨论了蜜网和虚拟蜜网的相关原理和概念,同时也分析了蜜罐的风险性.     

基于攻击树的网络攻击建模方法

攻击树(AttackTree)是一种具有树表示结构的网络攻击建模工具。它具有结构化、可重用的优点。已有一些工作在它的基础上展开。但总的来说,现有的研究都着重于针对具体的攻击事件进行建模,在利用攻击树进行分析时缺乏系统性和整体性,难以对攻击树进行有效的利用。该文利用攻击树从系统的角度来对攻击进行建模,并尝试利用建模后得到的攻击树对系统整体的安全性进行分析与评估;此外,通过对攻击过程进行阶段划分,大大降低了构造出的攻击树的复杂度,使得攻击树更易于使用、分析和维护。实例分析表明,该方法能很好地刻画网络攻击的特征,可以为系统的安全分析和评估提供比较令人满意的指导,具有较好的实用性。     

针对视频监控系统隐蔽式攻击及蜜罐防御

基于视频监控系统网络化和智能化发展带来的风险,研究其隐蔽式网络攻击问题,目的在于调研大量隐蔽式网络攻击案例,总结针对视频监控系统的隐蔽式攻击特异性。结合蜜罐技术在检测网络攻击行为和发现攻击线索等方面的独特优势,梳理针对视频监控系统隐蔽式攻击的蜜罐防御方法。针对监控视频蜜罐在视觉场景部署上的不足,介绍了一种深度场景伪造防御框架,将生成式AI大模型与视频监控蜜罐相结合。最后提出了面向视频监控系统的蜜罐防御技术的发展方向。