版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、蜜網(wǎng)中基于蜜網(wǎng)中基于LinuxLinux平臺的蜜罐技術(shù)的研平臺的蜜罐技術(shù)的研究摘要傳統(tǒng)蜜罐有著不少的優(yōu)點,比如收集數(shù)據(jù)的保真度,不依賴于任何復(fù)雜的檢測技術(shù)等。然而隨著應(yīng)用的廣泛,傳統(tǒng)蜜罐的缺點也開始顯現(xiàn)了出來。取而代之的是由一組高交互用來獲取廣泛威脅信息的蜜罐組成的蜜網(wǎng)。本文針對蜜網(wǎng)中蜜罐所面臨的挑戰(zhàn):捕獲工具隱藏、加密會話數(shù)據(jù)的捕獲、數(shù)據(jù)傳輸隱蔽通道,給出了詳細的解決方案。關(guān)鍵詞蜜罐;Linux;模塊隱藏;加密會話捕獲;隱蔽通道蜜罐是
2、一種安全資源,其價值在于被掃描、攻擊和攻陷[1]。它以犧牲真實的沒有打補丁的操作系統(tǒng)(一般以Linux為平臺)為代價欺騙入侵者以達到采集黑客攻擊方法和保護真實主機目標。傳統(tǒng)蜜罐有著不少的優(yōu)點,比如收集數(shù)據(jù)的保真度,蜜罐不依賴于任何復(fù)雜的檢測技術(shù)等[2],因此減少了漏報率和誤報率。使用蜜罐技術(shù)能夠收集到新的攻擊工具和攻擊方法,而不像目前的大部分入侵檢測系統(tǒng)只能根據(jù)特征匹配的方法檢測到已知的攻擊。但是隨著應(yīng)用的廣泛,傳統(tǒng)蜜罐的缺點也開始暴露
3、了出來,綜合起來主要有3個方面:蜜罐技術(shù)只能對針對蜜罐的攻擊行為進行監(jiān)視和分析,其視圖不像入侵檢測系統(tǒng)能夠通過旁路偵聽等技術(shù)對整個網(wǎng)絡(luò)進行監(jiān)控。蜜罐技術(shù)不能直接防護有漏洞的信息系統(tǒng)并有可能被攻擊作。數(shù)據(jù)捕獲就是監(jiān)控和記錄所有攻擊者在蜜網(wǎng)內(nèi)部的活動,包括記錄加密會話中擊鍵,恢復(fù)使用SCP拷貝的文件,捕獲遠程系統(tǒng)被記錄的口令,恢復(fù)使用保護的二進制程序的口令等[4]。這些捕獲的數(shù)據(jù)將會被用于分析,從中學(xué)習(xí)黑客界成員們使用的工具、策略以及他們的
4、動機。這正是蜜罐所要做的工作。這其中的難點就是:使黑客無法偵測到數(shù)據(jù)捕獲這個進程的同時搜集盡可能多的數(shù)據(jù)。黑客們越來越多的使用加密工具來保護他們的傳輸通道。如果目標機器沒有安裝加密服務(wù),那么他們也會自己安裝上如SSH、加密的GUI客戶端或者SSL等服務(wù)。如果沒有密鑰,基于網(wǎng)絡(luò)的數(shù)據(jù)捕獲工具將無法察看傳輸?shù)臄?shù)據(jù)。要將收集到的數(shù)據(jù)通過一個秘密通道匯總到蜜墻中的數(shù)據(jù)收集服務(wù)器。捕獲工具隱藏隱藏模塊捕獲數(shù)據(jù)的工具是以模塊化的機制[5]在Linu
5、x系統(tǒng)啟動后動態(tài)地加載到內(nèi)核成為內(nèi)核的一部分進行工作的。當捕獲程序的模塊被加載到內(nèi)核時,一個記載已加載模塊信息的安裝模塊鏈表里面就記錄下已加載模塊的信息,用戶可以通過內(nèi)存里動態(tài)生成的proc文件系統(tǒng)[6]下的module文件來查看到。當特權(quán)用戶root調(diào)用sbininsmod命令加載模塊時會有一個系統(tǒng)調(diào)用sys_create_module()[7],這個函數(shù)在的源代碼中位于kernel。它會將含有新加載的模塊信息的數(shù)據(jù)結(jié)構(gòu)structm
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 蜜罐技術(shù)研究及蜜網(wǎng)設(shè)計.pdf
- 蜜罐技術(shù)分析與蜜網(wǎng)設(shè)計.pdf
- 基于LINUX的蜜罐技術(shù)的研究與實現(xiàn).pdf
- 基于Linux平臺的蜜罐識別系統(tǒng)的研究與實現(xiàn).pdf
- 基于國產(chǎn)LINUX的鐵通公專網(wǎng)調(diào)度平臺的研究.pdf
- 蜜罐技術(shù)在校園網(wǎng)安全機制中的應(yīng)用研究.pdf
- 一種基于Windows平臺蜜網(wǎng)系統(tǒng)的研究與設(shè)計.pdf
- 基于蜜網(wǎng)的主動防御技術(shù)研究與實現(xiàn).pdf
- 基于蜜網(wǎng)的入侵監(jiān)控平臺本科畢業(yè)論文
- 基于蜜網(wǎng)的預(yù)警系統(tǒng)的研究.pdf
- 基于蜜罐技術(shù)的網(wǎng)絡(luò)取證研究.pdf
- 基于linux平臺的web安全技術(shù)研究——apache安全技術(shù)
- 基于蜜網(wǎng)的網(wǎng)絡(luò)安全防御技術(shù)研究.pdf
- 基于蜜罐技術(shù)的ICS威脅感知平臺設(shè)計與實現(xiàn).pdf
- 基于honeyd的大學(xué)蜜網(wǎng)研究及應(yīng)用.pdf
- 蜜罐技術(shù)在貴陽學(xué)院校園網(wǎng)中的應(yīng)用研究.pdf
- 基于蜜罐技術(shù)的蠕蟲檢測研究.pdf
- 基于Linux的高交互度蜜罐檢測工具的研究及實現(xiàn).pdf
- 基于虛擬蜜網(wǎng)的入侵檢測系統(tǒng)的研究.pdf
- 基于蜜罐的入侵檢測技術(shù)研究.pdf
評論
0/150
提交評論