对于IP地址攻击有效的混合蜜罐入侵检测系统

提出在入侵检测系统中融合蜜罐技术并应用在分布式的网络环境中。主要目的就是通过单播IP地址攻击和组播的IP地址攻击对比单独入侵检测系统与融合了蜜罐技术的入侵检测系统检测攻击的有效性。混合蜜罐网络由Snort和Honeyd组成,Snort的作用是入侵检测而Honeyd组成蜜罐系统。Honeyd安装在Linux系统中,这个系统的传感器探测Snort和Honeyd是否传送数据到主数据库。使用NESSUS对实验数据进行分析。提供给管理员一种更有效的网络管理方式。     

基于数据挖掘和蜜罐的新型入侵检测系统研究

文中对基于数据挖掘和蜜罐技术的新型入侵检测系统进行了研究。简单介绍了入侵检测系统和蜜罐技术的概念及优缺点,及入侵检测系统和蜜罐系统的互补性。进而提出将其两者相结合的方案,分析其模型,并将数据挖掘技术融入其中,构成新型的入侵检测系统。该系统提高了蜜罐系统对资源的保护及对攻击数据的分析能力,有效的增强了入侵检测系统的防护能力。     

基于遗传算法的蜜罐系统

入侵诱骗系统作为一种网络安全工具,其价值在于被扫描、攻击和入侵时,通过创建一个高度可控的攻击环境,从而捕获尽可能多的入侵信息。基于这些信息,分析入侵行为,预防更多的恶意破坏,从而更有效的保护网络。介绍一种基于遗传算法的蜜罐系统,其关键技术包括隐蔽的数据捕捉和基于遗传算法的行为分析技术。实验证明,该系统能有效捕捉恶意行为,防御多种新型攻击。     

自定义蜜罐在抵御蠕虫攻击中的应用研究

全文分析了蠕虫病毒的危害和特征,提出一种自定义蜜罐系统的设计:结合入侵检测、虚拟蜜罐和数据挖掘技术,把自定义蜜罐置于DMZ中,利用欺骗地址空间技术捕获已知蠕虫,延缓未知蠕虫的扫描速度,并对相关日志进行数据挖掘,更新入侵检测系统的规则集,以便在遭受后续攻击时做出响应。探讨了自定义蜜罐系统在抵御蠕虫病毒攻击中的可行性和应用实现。     

联动式网络入侵防御系统的研究

针对单一技术在网络安全防御上的局限性,提出了用防火墙、入侵检测系统(Snort)、蜜罐三种技术组成共同对抗网络入侵的联动式防御系统.联动系统增加了入侵检测系统的联动插件,扩展了防火墙动态加入重定向规则功能,设置了蜜罐主机监视攻击,实现了三者的紧密互动.介绍了系统的结构、工作流程以及联动方案,并做了攻击实验,结果证明,联动防御系统对大规模的蠕虫攻击能够即时抵制.     

蜜罐系统在入侵检测系统中的研究与设计

介绍了入侵检测系统以及它的固有缺点，给出了蜜罐系统(Honeypot)的定义、工作方式。着重介绍它相对于入侵检测中系统固有缺点的价值以及蜜罐系统的实现模型和关键技术。该技术能够简单、高效地检测入侵行为以及对入侵过程进行记录和监控。     

蜜罐技术发展初探

目前,传统网络防护技术都是在攻击者对网络进行攻击时对系统进行被动的防护,蜜罐技术是一种主动防御技术,可以诱骗攻击,记录入侵过程,及时获得攻击信息并以此来深入分析各种攻击行为。文章从蜜罐技术发展历程的角度来阐述蜜罐、蜜网、蜜场等技术原理及其在实际中的典型应用。     

赛门铁克推出基于诱骗式的入侵检测系统

赛门铁克公司近日发布了一款采用“蜜罐”技术的入侵检测系统 Symantec Decoy Server,它可以在发生非法访问和系统误用等情况时,对其进行检测、遏制和监控;对主机式和网络式IDS具有互补作用,既能分流来自关键资源的攻击,又能早期检测内部和外部攻击。“蜜罐”技术可以对防火墙和其它入侵检测系统等安全解决方案发挥补充作用,提供先进诱骗技术和早期检测感应器。除了法律上的各种因素之外,还可以将“蜜罐”技术用作减少误报的工具。Symantec Decoy Server可以对威胁进行早期检测,并通过充当攻击的实际目标,实现攻击的分流和遏制。诱骗感…     

蜜罐技术在移动网入侵检测中的应用

针对当前2G、2.5G移动核心网MAP协议的安全性缺陷,深入研究了蜜罐技术,将蜜罐关键技术与移动核心网入侵检测技术相结合,提出基于蜜罐系统的入侵检测模型.实验结果表明,蜜罐系统能够实现对入侵行为的追踪定位,进一步增强移动核心网用户信息安全防护能力.     

基于蜜罐的入侵检测系统的博弈分析与设计

论文从博弈论的角度,对引入蜜罐技术的入侵检测系统进行了架构分析和模块分析,并对一般的入侵和入侵检测行为进行了描述,最后提出了入侵检测中博弈过程模型。     

一种高效的低成本内网蜜罐系统部署方案

蜜罐是一种安全资源,其价值在于被探测、攻击和损害,无论是实系统蜜罐还是伪系统蜜罐,传统的蜜罐部署方式都存在部署成本高、部署效率低的问题。文中通过融合防火墙安全域配置策略、IP地址NAT技术、终端探测技术、二层协议栈分析技术等,为企业网络提供了一种切实可行的低成本并能快速和大范围部署的蜜罐系统部署方案,其具有高感知能力,解决了传统蜜罐部署成本高、效率低、安全关联风险大的问题,对于促进蜜罐系统大范围推广部署具有积极的意义。     

Rule‐Based Anomaly Detection Technique Using Roaming Honeypots for Wireless Sensor Networks

Because the nodes in a wireless sensor network (WSN) are mobile and the network is highly dynamic, monitoring every node at all times is impractical. As a result, an intruder can attack the network easily, thus impairing the system. Hence, detecting anomalies in the network is very essential for handling efficient and safe communication. To overcome these issues, in this paper, we propose a rule‐based anomaly detection technique using roaming honeypots. Initially, the honeypots are deployed in such a way that all nodes in the network are covered by at least one honeypot. Honeypots check every new connection by letting the centralized administrator collect the information regarding the new connection by slowing down the communication with the new node. Certain pre‐defined rules are applied on the new node to make a decision regarding the anomality of the node. When the timer value of each honeypot expires, other sensor nodes are appointed as honeypots. Owing to this honeypot rotation, the intruder will not be able to track a honeypot to impair the network. Simulation results show that this technique can efficiently handle the anomaly detection in a WSN.     

无线局域网中辅助NIDS的蜜罐的实现

无线网络入侵监测系统(NIDS)还不能应对流量过载和新型攻击的问题,这制约着它的发展.蜜罐使用不同的实现方法可以达到不同的目的.文中主要研究无线局域网中如何利用蜜罐来辅助NIDS设计的问题.文中概述了无线NIDS中存在的安全问题,分析了802.11b中无线NIDS和蜜罐结合的可能性,提出了无线局域网中利用hot zone来辅助NIDS的方案.通过在校园网里部署这一系统,得到了针对客户机和AP的攻击信息,最后人工对整个系统进行测试,证明了这一设计的正确性.     

Markov Chain Based Roaming Schemes for Honeypots

The paper proposes a reactive roaming scheme for honeypots. The main aim of a honeypot is to capture the activities of the attacker. If the attacker detects honeypot on a system, its value drops. So, the concept of roaming honeypots is being proposed, to prevent the attacker from detecting the honeypot, which in turn increases the efficiency of honeypot and allows collecting rich data about activities of active attackers. The honeypot is shifted to another system which is most probable to be attacked within the network. The concept of Markov chain analysis is being used to detect the most probable system to be attacked based on the current status of the network. Further, using IP shuffling and services on/off concepts, honeypots roam on the network to the most probable system to be attacked using the threat score. Snort is used to capture data about the number of attacks on each of the nodes of the network and the data collected is then used as an input for Markov chain analysis to identify the most probable system where honeypot can be roamed/moved. The roaming scheme has been implemented for both high interaction honeypots and low interaction honeypots. The high interaction implementation helps in capturing in depth information on a shorter range of IP addresses, whereas the low interaction implementation is efficient in capturing information on a large range of IP addresses. The main advantage of this approach is that it predicts the frequency of attacks on the nodes of a particular network and takes a reactive step by starting the honeypot services on that particular node/system on the network.     

分布式自选举动态阵列蜜罐系统的设计与实现

Traditional honeypot is in fact a “passive proactive” defense mechanism because it may lose the value entirely once the adversary has detected the existence of the static trap and bypassed it. Our work focuses on a Self Election dynamic honeypot framework which aims to bewilder attackers by coordinating and switching roles periodically to form a huge dynamic puzzle. In this paper, we discuss the UDP Spokesman synchronization scheme and the Self Election coordination method, perform the framework simulation of the dynamic array honeypot with NS2, carry out the prototype implementation by Java, and then validate the effectiveness and feasibility on the simulation and prototype system. The promising results of applying this framework to mitigate the effects of attacks are shown and analyzed. Our work demonstrates that the Self Election dynamic array honeypot system is feasible and effective for proactive network confrontation.     

基于动态阵列蜜罐的协同网络防御策略研究

从虚实结合动态变化的兵阵对抗得到启发,提出动态阵列蜜罐概念,通过多机协同、功能角色的周期或伪随机切换,形成动态变化的阵列陷阱,从而达到迷惑和防范攻击者的目的.给出了动态阵列蜜罐防御模型,通过NS2网络模拟器对动态阵列蜜罐进行了系统仿真和测试,基于Java平台设计实现了动态阵列蜜罐原型系统并进行了攻击实验.仿真测试和原型实验结果均表明动态阵列蜜罐系统具有良好的网络对抗性能.     

基于动态混合蜜罐的计算机安全系统

为了实现事前防御、事中检测、事后痕迹提取的安全系统,文中给出了一种动态混合蜜罐技术与实时的计算机痕迹提取相结合的安全保护系统的设计框架,通过动态混合蜜罐对计算机进行加强保护,并利用审计模块不断优化安全策略。同时,利用痕迹提取代理以及网络数据收集器对证据进行实时收集,将收集到的数据发送到服务器和分析器进行存储分析并提取犯罪证据。     

入侵诱骗模型的建立与应用

网络攻击和入侵事件不断发生 ,给人们造成了巨大的损失 ,网络安全问题越来越来成为社会关注的热点。HoneyPot系统就是入侵诱骗技术中的一种 ,在网络安全中起着主动防御的作用。本文在分析了它的实现方式技术基础上 ,形式化的定义了入侵诱骗系统 ,提出了入侵诱骗的体系结构 ,并给出了一个入侵诱骗系统的实现模型。