蜜罐识别技术研究

蜜罐技术是一种欺骗入侵者以达到采集黑客攻击方法和保护真实主机目标的诱骗技术,它的核心价值在于被探测、被攻击或者被威胁,以此达到对这些攻击活动的检测与分析,从而了解攻击者的目的、攻击手段甚至于心理习惯,最终实现从观察攻击者的行为中学习到深层次的信息保护的方法。在蜜罐技术的应用过程中,最为关键的一点就是蜜罐系统对攻击者所具有的迷惑性。从蜜罐系统特有的系统特征、硬件特征以及网络特征出发,分析各种蜜罐系统或者虚拟机系统中可能存在的一些可识别的特性,提出一些识别方案并针对部分方法进行了编程识别,希望能够引起安全行业的重视,能够推动蜜罐技术的发展。     

基于客户端蜜罐的木马隐蔽通信检测

当今流行的木马程序开始采用隐蔽通信技术绕过蜜罐系统的检测。首先介绍木马常用的隐蔽通信技术以及越来越流行的内核层Rootkit隐蔽通信技术,并讨论了现阶段客户端蜜罐对于恶意程序的检测方式。针对蜜罐网络通信检测机制的不足,提出了一种有效的改进方案,使用基于NDIS中间层驱动的网络数据检测技术来获取木马通信数据包。该方案能够有效检测基于网络驱动的Rootkit隐蔽通信,提取木马关键通信信息,以进行对木马行为的跟踪和分析。     

基于CIM的安全预警系统建模

随着信息安全问题受到越来越多的关注，安全管理工具也得到广泛应用。公共信息模型（CIM）目前仍是一个较新的发展领域，近年来越来越多地被应用到各项管理平台。针对信息安全管理的现状和需求，论文提出了一种基于CIM的安全预警系统的构思和建模：利用CIM对系统状态、攻击策略等对象进行建模，从关联关系和状态变化事件中发现安全隐患，从而实现对潜在的安全威胁的预警。     

基于Xen硬件虚拟机的虚拟蜜网研究

虚拟蜜网由于其强大的捕捉和发现功能,以及相对低廉的成本,被网络管理员广泛的使用。然而,其隐秘性相对较差,容易被比较谨慎的攻击者发现甚至反利用。文章基于Xen虚拟机这一开源虚拟机,提出了一种在硬件虚拟机上架构蜜网的方法,以提高攻击者探测发现虚拟蜜网的难度。     

基于攻击树的协同入侵攻击建模

由于现代入侵方法从单步入侵转变到协同入侵,文章在传统攻击树基础上,提出了分层次攻击树,并用模块化的方法为协同攻击建模,以IP-spoofing攻击为例说明了建模方法。     

针对Shellcode变形规避的NIDS检测技术

现今,缓冲区溢出攻击仍是网络上最普遍和有效的攻击方式之一,常见于恶意攻击者的手动攻击以及病毒蠕虫的自发攻击。随着NIDS的发展,普通的缓冲区溢出攻击能够用基于Shellcode匹配的手段进行检测。然而,Shellcode变形技术的出现使缓冲区溢出攻击拥有了躲避NIDS检测的能力。论文在NIDS传统检测技术的基础上,详细研究了Shellcode的各种变形手段,提出了针对性的检测技术,并展望了未来的发展方向。     

基于蜜罐的入侵检测系统的博弈分析与设计

论文从博弈论的角度,对引入蜜罐技术的入侵检测系统进行了架构分析和模块分析,并对一般的入侵和入侵检测行为进行了描述,最后提出了入侵检测中博弈过程模型。     

基于可控重连的Tor流量隐蔽

以往的Tor(The Onion Router)流量隐蔽方案(Pluggable Transports,PT)使用对通信数据的混淆或伪装等手段来躲避检测,但仍无法隐藏TCP连接层面的流量特征,如连接时长和数据包大小,应用机器学习等检测方法仍能识别出Tor流量。对此,提出面向Tor的可控重连算法,从连接层面开展了Tor流量隐蔽的研究工作,即对PT客户端与服务端之间的TCP通信进行定时断开和重连,实现对连接时长的精细控制,同时控制数据包的大小使之与正常流量分布接近。实验证明,在局域网环境下,该算法能以秒级精度控制连接时长,并生成大小符合正常流量分布的数据包,有助于提升Tor流量隐蔽的效果。     

一种改进的智能Fuzzing平台设计方案

随着软件安全问题的日趋严重,智能Fuzzing技术被广泛应用于漏洞挖掘、软件安全领域.基于符号执行和污点分析技术的各种智能Fuzzing平台相继诞生.该文首先以漏洞安全问题以及软件测试方法学为背景,介绍了智能Fuzzing技术中用到的理论,包括符号执行、污点分析等;然后介绍了现有成型智能Fuzzing平台,包括SAGE、KLEE、BitBlaze等,并且提出它们现存的主要问题;最后通过总结智能Fuzzing平台的可改进之处,提出了一种更有效的智能Fuzzing平台的设计方案,该方案基于全系统的符号执行技术,利用云计算平台进行调度,可以有效应用于商业级软件的Fuzzing工作.     

基于HoneyClient蜜罐的挂马检测

针对当前互联网客户端攻击频发的态势,首先阐述了基于本地程序漏洞的客户端攻击概念,着重讲解了网站挂马攻击的特征。其次阐明了客户端蜜罐系统的基本原理,并介绍了一种高效的客户端蜜罐系统HoneyClient。随后通过对网站挂马攻击的特征分析提出了使用HoneyClient对其进行有效检测的方案,并对该方案进行了事实验证。最后通过对实验结果的分析与总结,提出了对网页木马型客户端攻击进行检测的改进策略和展望。