客户端蜜罐原理及应用研究

文章阐述了用于检测客户端攻击的客户端蜜罐系统原理,并对两类以交互级别区分的客户端蜜罐进行了分析比较。同时,文章还深入分析了代码混淆、url重定向、页面隐藏等技术对客户端蜜罐应用产生的影响以及客户端蜜罐可以采取的相应对策。最后,文章提出了一种可以提高检测效率以及准确率的改进的应用策略。     

基于客户端蜜罐的木马隐蔽通信检测

当今流行的木马程序开始采用隐蔽通信技术绕过蜜罐系统的检测。首先介绍木马常用的隐蔽通信技术以及越来越流行的内核层Rootkit隐蔽通信技术,并讨论了现阶段客户端蜜罐对于恶意程序的检测方式。针对蜜罐网络通信检测机制的不足,提出了一种有效的改进方案,使用基于NDIS中间层驱动的网络数据检测技术来获取木马通信数据包。该方案能够有效检测基于网络驱动的Rootkit隐蔽通信,提取木马关键通信信息,以进行对木马行为的跟踪和分析。     

对于IP地址攻击有效的混合蜜罐入侵检测系统

提出在入侵检测系统中融合蜜罐技术并应用在分布式的网络环境中。主要目的就是通过单播IP地址攻击和组播的IP地址攻击对比单独入侵检测系统与融合了蜜罐技术的入侵检测系统检测攻击的有效性。混合蜜罐网络由Snort和Honeyd组成,Snort的作用是入侵检测而Honeyd组成蜜罐系统。Honeyd安装在Linux系统中,这个系统的传感器探测Snort和Honeyd是否传送数据到主数据库。使用NESSUS对实验数据进行分析。提供给管理员一种更有效的网络管理方式。     

基于数据挖掘和蜜罐的新型入侵检测系统研究

文中对基于数据挖掘和蜜罐技术的新型入侵检测系统进行了研究。简单介绍了入侵检测系统和蜜罐技术的概念及优缺点,及入侵检测系统和蜜罐系统的互补性。进而提出将其两者相结合的方案,分析其模型,并将数据挖掘技术融入其中,构成新型的入侵检测系统。该系统提高了蜜罐系统对资源的保护及对攻击数据的分析能力,有效的增强了入侵检测系统的防护能力。     

自定义蜜罐在抵御蠕虫攻击中的应用研究

全文分析了蠕虫病毒的危害和特征,提出一种自定义蜜罐系统的设计:结合入侵检测、虚拟蜜罐和数据挖掘技术,把自定义蜜罐置于DMZ中,利用欺骗地址空间技术捕获已知蠕虫,延缓未知蠕虫的扫描速度,并对相关日志进行数据挖掘,更新入侵检测系统的规则集,以便在遭受后续攻击时做出响应。探讨了自定义蜜罐系统在抵御蠕虫病毒攻击中的可行性和应用实现。     

蜜罐识别技术研究

蜜罐技术是一种欺骗入侵者以达到采集黑客攻击方法和保护真实主机目标的诱骗技术,它的核心价值在于被探测、被攻击或者被威胁,以此达到对这些攻击活动的检测与分析,从而了解攻击者的目的、攻击手段甚至于心理习惯,最终实现从观察攻击者的行为中学习到深层次的信息保护的方法。在蜜罐技术的应用过程中,最为关键的一点就是蜜罐系统对攻击者所具有的迷惑性。从蜜罐系统特有的系统特征、硬件特征以及网络特征出发,分析各种蜜罐系统或者虚拟机系统中可能存在的一些可识别的特性,提出一些识别方案并针对部分方法进行了编程识别,希望能够引起安全行业的重视,能够推动蜜罐技术的发展。     

基于主被动结合的网络入侵检测系统的设计与实现

提出了一种新的基于主被动结合的网络入侵检测系统。详细论述了新的网络入侵检测系统的设计方案，关键技术的研究与实现。本系统所设计的关键技术模块有信息采集模块、蜜罐技术原理和部署模块以及黑板管理模块。该系统采用主动专家系统进行高效的入侵检测，结合蜜罐技术来收集网络中出现的各种攻击信息，运用人工智能的方法将这些攻击信息进行融合、训练，提取和更新攻击知识库，具有一定的自主学习功能和自适应性。     

联动式网络入侵防御系统的研究

针对单一技术在网络安全防御上的局限性,提出了用防火墙、入侵检测系统(Snort)、蜜罐三种技术组成共同对抗网络入侵的联动式防御系统.联动系统增加了入侵检测系统的联动插件,扩展了防火墙动态加入重定向规则功能,设置了蜜罐主机监视攻击,实现了三者的紧密互动.介绍了系统的结构、工作流程以及联动方案,并做了攻击实验,结果证明,联动防御系统对大规模的蠕虫攻击能够即时抵制.     

Honeypot及其安全增强技术研究

蜜罐(Honeypot)是一种主动防御的网络安全技术,可以吸引入侵者的攻击,保护工作网络免于攻击,而且能监视和跟踪入侵者的行为并以日志形式记录下来进行分析,从而学习入侵者的工具、策略和方法.文中介绍了蜜罐技术的基本理论,分析了蜜罐系统的工作原理,设计了一种基于主机的蜜罐系统,讨论了其基本结构和工作流程,然后着重分析了系统可能面临的安全威胁与防御对策,并在总体上给出了系统的安全增强方案.     

基于动态阵列蜜罐的协同网络防御策略研究

从虚实结合动态变化的兵阵对抗得到启发,提出动态阵列蜜罐概念,通过多机协同、功能角色的周期或伪随机切换,形成动态变化的阵列陷阱,从而达到迷惑和防范攻击者的目的.给出了动态阵列蜜罐防御模型,通过NS2网络模拟器对动态阵列蜜罐进行了系统仿真和测试,基于Java平台设计实现了动态阵列蜜罐原型系统并进行了攻击实验.仿真测试和原型实验结果均表明动态阵列蜜罐系统具有良好的网络对抗性能.     

Novel intrusion prediction mechanism based on honeypot log similarity

The current network‐based intrusion detection systems have a very high rate of false alarms, and this phenomena results in significant efforts to gauge the threat level of the anomalous traffic. In this paper, we propose an intrusion detection mechanism based on honeypot log similarity analysis and data mining techniques to predict and block suspicious flows before attacks occur. With honeypot logs and association rule mining, our approach can reduce the false alarm problem of intrusion detection because only suspicious traffic would be present in the honeypots. The proposed mechanism can reduce human effort, and the entire system can operate automatically. The results of our experiments indicate that the honeypot prediction system is practical for protecting assets from attacks or misuse.     

Android平台的即时通信系统客户端设计方案

为解决在基于Linux操作系统的Android手机平台上即时通信问题,实现在系统客户端进行文本、图片、音乐的传送和播放。采用Java语言环境下Android应用开发工具和API接口,并使用Eclipse加上Android集成开发环境插件为手段,对客户端架构、应用模块框架、数据存储、主要功能和核心模块开发技术等全方面分析,从而提供了实现即时通信系统的客户端解决方案。     

Markov Chain Based Roaming Schemes for Honeypots

The paper proposes a reactive roaming scheme for honeypots. The main aim of a honeypot is to capture the activities of the attacker. If the attacker detects honeypot on a system, its value drops. So, the concept of roaming honeypots is being proposed, to prevent the attacker from detecting the honeypot, which in turn increases the efficiency of honeypot and allows collecting rich data about activities of active attackers. The honeypot is shifted to another system which is most probable to be attacked within the network. The concept of Markov chain analysis is being used to detect the most probable system to be attacked based on the current status of the network. Further, using IP shuffling and services on/off concepts, honeypots roam on the network to the most probable system to be attacked using the threat score. Snort is used to capture data about the number of attacks on each of the nodes of the network and the data collected is then used as an input for Markov chain analysis to identify the most probable system where honeypot can be roamed/moved. The roaming scheme has been implemented for both high interaction honeypots and low interaction honeypots. The high interaction implementation helps in capturing in depth information on a shorter range of IP addresses, whereas the low interaction implementation is efficient in capturing information on a large range of IP addresses. The main advantage of this approach is that it predicts the frequency of attacks on the nodes of a particular network and takes a reactive step by starting the honeypot services on that particular node/system on the network.     

无线局域网中辅助NIDS的蜜罐的实现

无线网络入侵监测系统(NIDS)还不能应对流量过载和新型攻击的问题,这制约着它的发展.蜜罐使用不同的实现方法可以达到不同的目的.文中主要研究无线局域网中如何利用蜜罐来辅助NIDS设计的问题.文中概述了无线NIDS中存在的安全问题,分析了802.11b中无线NIDS和蜜罐结合的可能性,提出了无线局域网中利用hot zone来辅助NIDS的方案.通过在校园网里部署这一系统,得到了针对客户机和AP的攻击信息,最后人工对整个系统进行测试,证明了这一设计的正确性.     

分布式自选举动态阵列蜜罐系统的设计与实现

Traditional honeypot is in fact a “passive proactive” defense mechanism because it may lose the value entirely once the adversary has detected the existence of the static trap and bypassed it. Our work focuses on a Self Election dynamic honeypot framework which aims to bewilder attackers by coordinating and switching roles periodically to form a huge dynamic puzzle. In this paper, we discuss the UDP Spokesman synchronization scheme and the Self Election coordination method, perform the framework simulation of the dynamic array honeypot with NS2, carry out the prototype implementation by Java, and then validate the effectiveness and feasibility on the simulation and prototype system. The promising results of applying this framework to mitigate the effects of attacks are shown and analyzed. Our work demonstrates that the Self Election dynamic array honeypot system is feasible and effective for proactive network confrontation.     

A Novel Approach for Redirecting Module in Honeypot Systems

1 Introduction Computer network security has been focus on passivedefense strategies usingtools and conceptslike Firewall ,Intrusion Detection System(IDS)[1 ~3]. This is an un-reasonable situation,because users have to protect com-puter systems perfectly, while hackers can use one ofvulnerabilities to attackthe systems . We are alwaysin apassive position.The bad guys have theinitiative .Theyhave unli mited resources and attack you whenever theywant , however they want . Moreover ,in a trad…     

跨界思索,从甲型H1N1流感看木马检测防范

自2003年SARS以来,具备广泛传染性的病毒事件屡见不鲜(如禽流感、甲型H1N1)。笔者曾经写过一篇文章,粗谈在面对类似SARS这种突发的网络安全事件中,检测、预警、应急体系的思路。时隔多年,网络安全的总体形势在发生变化,目前的主要威胁方式从入侵攻击、网络蠕虫转向主要通过网页挂马等方式传播木马,通过地下挂马产业链,窃取机密文件、隐私信息、各种账号,从而谋取暴利,并组建僵尸网络,发动群体攻击,严重威胁互联网的生存和发展。本文研究和分析了甲型N1N1这一事件对于木马检测防范的启示。     

入侵诱骗模型的建立与应用

网络攻击和入侵事件不断发生 ,给人们造成了巨大的损失 ,网络安全问题越来越来成为社会关注的热点。HoneyPot系统就是入侵诱骗技术中的一种 ,在网络安全中起着主动防御的作用。本文在分析了它的实现方式技术基础上 ,形式化的定义了入侵诱骗系统 ,提出了入侵诱骗的体系结构 ,并给出了一个入侵诱骗系统的实现模型。     

一种AJAX结合CGI的嵌入式瘦Web服务器的研究

针对AJAX与CGI的嵌入式瘦Web服务器软件结构,产生的HTML文件不易于维护和更新的问题,提出了建立一个AJAX处理机制结合CGI程序的嵌入式Web服务器软件结构.应用AJAX处理机制实现了客户端校验和客户端处理,以及无刷新访问服务器端资源.实现后的嵌入式Web服务器降低了嵌入式Web服务器开销的同时,使得页面文件易于维护和更新,是一种既降低成本又易于维护和更新页面文件的网络服务器设计方法.