蜜罐技术研究新进展

蜜罐技术是网络防御中的陷阱技术,它通过吸引诱骗攻击者并记录其攻击行为,从而研究学习敌手的攻击目的和攻击手段,保护真实服务资源。然而,传统蜜罐技术存在着静态配置、固定部署等先天不足,极易被攻击者识别绕过而失去诱骗价值。因此,如何提高蜜罐的动态性与诱骗性成为蜜罐领域的关键问题。该文对近年来国内外蜜罐领域研究成果进行了梳理,首先总结了蜜罐发展历史,随后以蜜罐关键技术为核心,对执行过程、部署方式、反识别思想、博弈理论基础进行了分析;最后,对近年来不同蜜罐防御成果分类叙述,并对蜜罐技术发展趋势进行了分析陈述,针对潜在安全威胁,展望新兴领域防御应用。     

蜜罐技术发展初探

目前,传统网络防护技术都是在攻击者对网络进行攻击时对系统进行被动的防护,蜜罐技术是一种主动防御技术,可以诱骗攻击,记录入侵过程,及时获得攻击信息并以此来深入分析各种攻击行为。文章从蜜罐技术发展历程的角度来阐述蜜罐、蜜网、蜜场等技术原理及其在实际中的典型应用。     

一种研究型虚拟蜜罐网络的设计与实现

信息时代的到来需要计算机安全防护从被动防御转为主动防御，从而使蜜罐技术在网络对抗中日益受到重视。蜜罐技术研究的重点在于如何设计一个严格控制的网络诱骗环境。文中设计并实现了一个研究型虚拟蜜罐网络。首先，提出了虚拟蜜网的总体设计目标及蜜网拓扑结构，然后，实现了蜜罐网络并分析了各功能模块。对蜜罐网络的攻击测试结果表明该蜜罐网络达到了设计目标。     

蜜罐识别技术研究

蜜罐技术是一种欺骗入侵者以达到采集黑客攻击方法和保护真实主机目标的诱骗技术,它的核心价值在于被探测、被攻击或者被威胁,以此达到对这些攻击活动的检测与分析,从而了解攻击者的目的、攻击手段甚至于心理习惯,最终实现从观察攻击者的行为中学习到深层次的信息保护的方法。在蜜罐技术的应用过程中,最为关键的一点就是蜜罐系统对攻击者所具有的迷惑性。从蜜罐系统特有的系统特征、硬件特征以及网络特征出发,分析各种蜜罐系统或者虚拟机系统中可能存在的一些可识别的特性,提出一些识别方案并针对部分方法进行了编程识别,希望能够引起安全行业的重视,能够推动蜜罐技术的发展。     

赛门铁克推出基于诱骗式的入侵检测系统

赛门铁克公司近日发布了一款采用“蜜罐”技术的入侵检测系统 Symantec Decoy Server,它可以在发生非法访问和系统误用等情况时,对其进行检测、遏制和监控;对主机式和网络式IDS具有互补作用,既能分流来自关键资源的攻击,又能早期检测内部和外部攻击。“蜜罐”技术可以对防火墙和其它入侵检测系统等安全解决方案发挥补充作用,提供先进诱骗技术和早期检测感应器。除了法律上的各种因素之外,还可以将“蜜罐”技术用作减少误报的工具。Symantec Decoy Server可以对威胁进行早期检测,并通过充当攻击的实际目标,实现攻击的分流和遏制。诱骗感…     

蜜罐诱骗防御机理的博弈理论分析

论文运用博弈理论形式化描述了蜜罐诱骗中各博弈局中人的策略与收益,通过求解博弈均衡策略及均衡条件,分析推理了传统蜜罐在网络攻防博弈中的有效性和局限性,证明了蜜罐是一种被动式主动防御手段。讨论了符合防御者预期的理想诱骗博弈均衡策略,剖析了影响诱骗博弈有效性和主动性的要素条件,并受生物拟态现象启发,给出了提高诱骗主动性和有效性的策略建议,为构建主动有效的蜜罐诱骗防御手段提供了理论支持。     

网络安全之蜜罐技术篇

本文从多个方面对蜜罐技术进行全面的阐述。首先介绍蜜罐的概念，阐述它的安全价值。然后介绍4种不同的蜜罐配置方式：诱骗服务、弱化系统、强化系统和用户模式服务器，并根据不同的分类原则对蜜罐进行分类。然后介绍了。些典型的蜜罐产品，最后总结了蜜罐的优缺点及其发展趋势。     

拟态式蜜罐诱骗特性的博弈理论分析

该文基于非合作不完全信息动态博弈理论,形式化描述了拟态式蜜罐诱骗博弈的各局中人策略和收益,构建了诱骗博弈收益矩阵,推理分析了拟态式蜜罐诱骗博弈中存在的贝叶斯纳什均衡策略,通过进一步讨论博弈均衡条件和影响因素并与传统蜜罐博弈相比较,给出了拟态式蜜罐模型中保护色、警戒色等机制在诱骗博弈中的适用条件,证明了拟态式蜜罐模型具有更好的主动性、有效性和迷惑性.     

高交互型蜜罐的设计与实现

网络陷阱系统是一项新兴的信息安全技术,在网络信息安全界俗称为蜜罐。它采用的是主动防护的安全策略,目的是在网络上设置一个诱骗环境,吸引黑客的入侵,从而监测黑客的行为,了解他们使用的工具,分析他们的动机。本文研究了蜜罐系统的分类和体系结构,提出了一个高交互型蜜罐系统,并论述该系统采用的关键技术。     

Honeypot及其安全增强技术研究

蜜罐(Honeypot)是一种主动防御的网络安全技术,可以吸引入侵者的攻击,保护工作网络免于攻击,而且能监视和跟踪入侵者的行为并以日志形式记录下来进行分析,从而学习入侵者的工具、策略和方法.文中介绍了蜜罐技术的基本理论,分析了蜜罐系统的工作原理,设计了一种基于主机的蜜罐系统,讨论了其基本结构和工作流程,然后着重分析了系统可能面临的安全威胁与防御对策,并在总体上给出了系统的安全增强方案.     

具有指纹库扩展功能的蜜罐系统开发研究

蜜罐是一种通过伪装成真实系统或服务来诱骗攻击者的网络安全技术。蜜罐有着许多其他网络安全技术无法比拟的优点,已经成为当前网络安全领域里研究的热点。首先介绍蜜罐的概念以及开源蜜罐软件Honeyd的基本特点和基本要素,然后介绍基于Honeyd所开发的蜜罐诱捕系统,最后指出该蜜罐系统指纹库无法更新的缺陷,并提出重要的改进方案。     

基于蜜罐技术的计算机动态取证系统研究

提出了一种基于蜜罐的计算机动态取证方法.该方法通过蜜罐技术将入侵转移到一个虚拟的环境,不仅可以保护网络或主机不受攻击,而且还可以为证据的提取争取到更长的时间,从而获得更为真实的电子证据.实验结果表明:基于蜜罐的动态取证系统具有检测率高、误报率低、取证能力强的特性.     

基于蜜罐特征的蜜罐识别技术

为了进一步推动蜜罐识别技术的发展,讨论了目前针对低交互性蜜罐和高交互性蜜罐的识别原理和识别方法,阐述蜜罐的设计思想和实现机制,在前人的基础上进一步提出了基于蜜罐特征的识别技术,即通过蜜罐个性指纹、协议栈和网络特征分析蜜罐个性特征和共性特征,进而对蜜罐进行识别,最后对蜜罐识别技术进行了分析和展望.     

蜜罐技术在网络安全中的应用研究

传统的网络防御技术由于其被动防御的缺陷,使得网络安全面临严重威胁,而蜜罐技术以主动防御的特点而备受关注。介绍了蜜罐技术,分析了蜜罐技术的优缺点,并对蜜罐技术在网络安全中的应用进行了研究。     

安捷伦展示低成本测量解决方案 满足客户不同层次的需求

网络安全领域日益受到重视，新兴的蜜罐与蜜网技术。基于主动防御理论而提出。蜜罐与蜜网技术通过精心布置的诱骗环境来吸引容忍入侵，进而了解攻击思路．攻击工具和攻击目的等行为信息。根据获取的攻击者的情报能更好地理解网络系统当前面临的危险，并且知道如何阻止这些危险的发生。在网络安全防护中做到有的放矢，获得最大的主动权。     

联动式网络入侵防御系统的研究

针对单一技术在网络安全防御上的局限性,提出了用防火墙、入侵检测系统(Snort)、蜜罐三种技术组成共同对抗网络入侵的联动式防御系统.联动系统增加了入侵检测系统的联动插件,扩展了防火墙动态加入重定向规则功能,设置了蜜罐主机监视攻击,实现了三者的紧密互动.介绍了系统的结构、工作流程以及联动方案,并做了攻击实验,结果证明,联动防御系统对大规模的蠕虫攻击能够即时抵制.     

基于蜜罐的主动网络安全系统的研究与实现

采用自动的大规模扫描,在发现系统漏洞后,能够使对手在短时间内攻破计算机系统。传统的蜜罐系统在处理这些问题时有很多不足,因为其签名是可检测的。针对这些不足,本文从另一个角度构造了一个基于蜜罐的主动网络安全系统(Active Network Security System,ANSS)的诱骗系统。 ANSS位于真实的网络环境中,可以自始至终捕获到黑客的行为。仿真实验表明,ANSS使网络的安全性能达到了一个较高的水平,对入侵行为的监控和预防有着重要的意义。     

基于诱骗的中心控制病毒防卫模型研究

互联网的迅速扩大,网络成为病毒传播的主要手段,网络病毒随之产生.与传统的基于主机的病毒相比,网络病毒有更强的繁殖能力,传播能力和破坏能力.防范网络病毒成为当前研究的重点,产生了许多不同的病毒传染模型和网络病毒检测方法.文中分析了病毒传播机制后,提出一种新颖的网络病毒的检测方法-基于诱骗的中心控制病毒防卫模型.在该模型中利用监测器检测网络是否发生异常,利用诱骗技术来捕获病毒的样本并把该样本提交给管理中心进行处理,并研制出相应的疫苗发放给组织内的所有主机,达到防护的目的.最后给出了一旦检测器发生错误判断后病毒在该栓测模型中的传染模型.     

网络诱骗技术

作为一种新兴的主动防御技术,网络诱骗技术是对传统网络防御手段的有效补充,通过将网络攻击引向伪造的、虚假的信息资源,达到保护网络中真正有价值信息资源的目的.首先阐述了网络诱骗的基本原理和基本要求,并在此基础上介绍了四种实用的网络诱骗技术.     

基于网络扫描技术的动态蜜罐网络设计与实现

面对网络上复杂而多变的黑客攻击,提出利用虚拟蜜罐技术和网络扫描技术构建动态自适应虚拟网络的方法来迷惑攻击者,延缓和转移攻击,消耗攻击资源,保护实际网络环境,并收集攻击信息。首先介绍了蜜罐技术的基本概念和虚拟蜜罐框架Honeyd,详细分析了系统所使用的各种网络扫描技术,特别是主动式协议栈指纹分析技术,进而设计并实现了该动态虚拟网络系统,并对系统进行了测试,结果证明该设计可以成功地虚拟网络环境,最后分析了该设计的不足,并对下一步研究做了展望。