大规模分布式蜜网技术研究与应用

蜜罐技术作为一种网络攻击诱捕技术,被广泛用于网络安全研究,特别是在恶意代码的捕获、网络攻击事件的跟踪分析等方面。中心从2006年启动面向国内互联网环境的大规模分布式蜜网技术研究及应用工作以来,对分布式蜜网的体系结构和关键技术进行了深入的研究和持续的优化改造,构建了以高交互蜜罐为主的分布式蜜网体系,形成恶意代码自动捕获及追踪能力。为适应网络安全新形势,实现对攻击事件的深入分析,需进一步解决网络攻击过程中的实时监测、日志的全面获取、自动关联分析以及未知事件发现等问题,文章主要围绕这些问题探讨中心新一代分布式蜜网技术方案的设计思路和应用实践。     

基于Honeyd的大学蜜网技术应用研究

蜜罐是网络安全的重要辅助工具,基于Honeyd的虚拟蜜罐技术在部署蜜网上有它独特的优势,介绍了建立基于虚拟蜜网技术的大学校园网络蜜网方案,具体介绍了Honeyd的思想,Honeyd的安装、配置,给出了方案的框架结构,并在网络设备上对蜜网数据控制、数据捕获、数据分析进行了实现.     

基于分布式蜜网的蠕虫传播模型研究*

为有效防范蠕虫传播所带来的日益严峻的安全威胁,主动防护技术—分布式蜜网被应用到网络中以保障网络安全。分布式蜜网下的蜜罐对蠕虫表现出强诱骗性和“宽进严出”的数据控制策略等特性,影响到蠕虫的传播及控制。基于双因子模型,考虑到分布式蜜网下的蜜罐特性和Internet的无标度网络特性,提出基于分布式蜜网的蠕虫传播模型,并进行了分析;通过模拟实验对模型进行验证,以探讨部署分布式蜜网下的蠕虫传播规律。实验结果表明,部署分布式蜜网不但能第一时间捕获蠕虫样本,而且能减少网络中感染蠕虫主机总数、具备感染能力的最大主机数等     

虚拟Honeynet在校园网网络安全防御中的实现

蜜网技术作为一种主动防御机制, 为解决网络安全问题提供一种有效的方法. 通过使用蜜罐技术, 在学院校园网中部署虚拟蜜网, 实现对蜜网中数据的控制、捕获和分析. 通过对蜜网的访问收集攻击者的信息, 研究并分析其攻击战术、攻击动机以及相应的攻击策略, 从而减少校园网被黑客或木马攻击的机率.     

蜜网技术综述

蜜网（honeynet）是一种高交互型蜜罐,通过蜜网技术我们可以了解入侵者使用的工具、入侵手法、入侵动机,从而变被动为主动。本文详细介绍了蜜网技术的核心功能：数据控制、数据捕获、数据收集和数据分析。同时,也分析了蜜网存在的风险。     

动态蜜网系统的建模与部署

蜜网系统是网络安全中主动防御的必要措施,利用分布式蜜罐节点构建诱骗黑客的虚拟系统,具有准确、高效的入侵数据捕获能力.针对目前研究蜜网整体伪装缺乏理论模型指导的现状,建立了一种衡量蜜网诱骗能力及价值的量化模型,用于解决提高蜜网智能伪装能力的问题.基于模型提出了动态部署蜜网的设计方案,动态部署实现了蜜网整体伪装能力的提高,由于模型的理论参考避免了原来凭经验的盲目部署.模拟实验结果验证了模型的有效性和算法的可行性.     

蜜罐技术及其应用综述

蜜罐技术是信息安全保障的研究热点与核心技术.对近年来蜜罐技术的研究进展进行了综述评论.剖析了蜜罐和蜜网的定义,根据系统功能、系统交互活动级别、服务实现方式,服务提供方式对蜜罐进行分类和比较,根据服务提供方式对蜜网进行了分类和比较,分析了各类系统的优缺点.指出了现阶段该技术存在的主要问题,并讨论了这些问题可能采取的方法.系统动态自适应、分布式蜜罐体系结构.多源信息融合、攻击特征自动提取及计算机取证等是蜜罐技术重要的发展方向.     

基于蜜网技术的攻击场景捕获和重构方法

形攻击场景重构能够为安全分析人员提供精简、更容易理解的安全态势描述,提高攻击检测与分析的能力。鉴于蜜网技术在捕获和了解Intemet威胁方面具有独特优势,本文提出了一种基于蜜网技术的攻击场号捕获及重构方法。通过结合使用Argus,Sebek,Argos,Snort等开源工具,并对其捕获数据构建关联分析系统,本文提出的方法能较好地再现高交互式蜜罐所捕获的网络攻击。概念验证性原型实现在基于蜜场技术的大规模网络主动安全防护系统中得到了应用。     

论Honeynet体系结构

探讨了Honeynet系统这一主动防御技术的实现原理及功能,蜜罐技术可以深入了解入侵工具和入侵目的等入侵行为信息,解决传统网络安全技术对未知入侵攻击无能为力的难题,直接或间接地提高系统网络安全性能.深入研究了蜜罐技术的高级实现形式蜜网系统,着重介绍了蜜网的关键技术和实现方法.通过使用蜜网技术使我们能变被动受攻击为主动出击,以使我们的网络安全更有效可靠.描述了其状态转换过程,为蜜网系统的行为描述和结构设计提供了理论依据和论证.研究怎样构建一个对Honeynet来说可行的安全体系,进一步研究了其采用的先进技术,并对其最新技术进行了展望.     

蜜罐与蜜网技术及应用

本文介绍了蜜罐技术的发展历史和现状，分析了蜜罐在网络安全防护体系中的作用，并且利用DTK工具包设计实现的蜜罐应用。以及目前研究的蜜网技术。此外本文还给出了蜜罐及蜜网技术的进一步研究发展方向。     

Botnets: big and bigger

Researchers design honeynet computer networks specifically to be attacked. The hosts that comprise a honeynet and serve as attack targets are called honeypots. Researchers configure them to capture a variety of useful data about computer attacks without compromising other computers. Moreover, honeynet researchers strive to implement data capture and control in such a way that intruders are unaware that their actions are being monitored. Although honeynet technology is relatively new, it is developing rapidly. Honeynets have already proven themselves to be useful sources of information. In this article, I'll describe an attack on a honeypot that occurred in March 2003 during the onset and peak activity of several worms that targeted vulnerable hosts running Windows file sharing. We incorporated the compromised honeypot into a large botnet that attackers used to initiate distributed denial-of-service (DDOS) attacks against several Internet sites. I explain the structure of such botnets, their use by computer attackers, and the threat they pose to Internet sites.     

基于深度学习的SDN虚拟蜜网路由优化

针对传统蜜网所致的成本昂贵、流量控制不便及动态调整困难等问题,提出使用SDN、ODL与Mininet技术部署轻量级虚拟蜜罐,组建虚拟蜜网拓扑,使用深度学习技术DDPG优化路由选择路径.通过实验表明,优化后的路由选择机制具备动态调整网络结构,有较好的收敛性和选择性.使得网络在遭受攻击时,能将攻击转向蜜网,从而减少攻击造成的危害,增强网络主动防御能力.     

DDoS攻击及主动防御模型研究

DDoS（分布式拒绝服务）攻击正在对整个互联网产生巨大的危害和严重的经济损失,且不断增大。通过介绍DDoS攻击原理和分析DDoS攻击网络的控制机制,提出基于蜜网的防御DDoS攻击方法,鉴于目前大多数DDoS攻击都是黑客利用其控制的僵尸网络发起的,部署了改进版的蜜网,利用蜜罐收集的信息,打人黑客控制的僵尸网络内部,获取重要信息,切断黑客的远程控制机制,从根源上阻止DDoS攻击远程控制网络的形成,以达到主动防御的目的。     

分布式虚拟陷阱网络系统的设计与实现

目前大部分安全技术被设计用来阻止未授权的可疑行为获取资源，同时安全工具是作为一种防御措施被布置，所以它们对网络的保护有限。在分析国内外研究现状的基础上，针对现有网络安全工具在入侵检测以及防护等方面的不足，设计和实现了分布式虚拟陷阱系统。该系统所分布的代理由混合Honeynet和低交互的Honeypot构成，降低了Honeypot固有的风险，增加了模拟的真实性，弥补了现存的各类Honeypot的不足。作为一种动态安全防御机制，可以有效地提高大规模网络的整体安全性，是传统安全机制的有力补充。     

Automated identity theft

Honeynet intruders often use Internet Relay Chat (IRC) to communicate with their peers. When they do, honeynet operators can observe social interactions among black hats, which could disclose their attack and intrusion tactics, describe their motives, or otherwise shed light on their underground activities. In one recent case, honeynet intruders exposed the existence of automated tools that support and facilitate identity theft and credit-card fraud. Members of a community who call themselves carders use these tools to defraud Internet merchants and consumers of potentially large financial sums.     

一种基于动态蜜罐和实时仿真的蜜网设计

本文提出一种新的、基于动态蜜罐和实时仿真入侵目标的蜜网设计方案,并对方案的安全性进行了分析。采用该蜜网设计方案,能更加有效地部署和维护蜜网系统,从而增强了整个网络系统以及蜜网系统自身的安全性。     

一种基于蜜网的网络安全防御技术*

基于主动防御的蜜网技术虽然在一定程度上克服了传统安全模型被动防御的缺陷,但入侵者仍能通过蜜网对内部网络和外部网络进行攻击,造成蜜网本身也存在一定的不安全因素。为此提出了一种基于蜜网的网络安全防御技术——用DMZ(非武装区)和两层防火墙来防止内部网络被入侵;用NIDS（网络入侵检测系统）和流量控制的方法来防止外部网络被攻击,从而较好地解决了传统网络安全模型存在的一些缺陷。     

遗传算法在蜜网动态负载均衡中的应用

针对蜜网动态负载均衡过程中产生的额外通信开销问题,首先分析了蜜网动态负载均衡的特点,建立了基于最小通信开销的动态负载均衡数学模型;然后设计和实现了一种利用遗传算法解决该问题的新方法。实验测试表明,与贪心算法相比,遗传算法可获得更小通信开销的负载分配方案,能进一步减少蜜网动态负载均衡中负载迁移次数,降低额外通信开销。     

虚拟蜜网的设计与实现

传统的网络安全模型如防火墙和入侵检测等都是基于被动防御的技术,基于主动防御的蜜网技术在一定程度上克服了传统安全模型被动防御的缺陷。本文提出了虚拟蜜网的设计原则和体系结构,并设计实现了适合于调试用途的封闭式虚拟蜜网,最终证明了虚拟蜜网的有效性、可靠性和稳定性。