美文网首页人工智能和大数据
《蜜罐及蜜网研究技术进展》论文笔记

《蜜罐及蜜网研究技术进展》论文笔记

作者: 被使用了吧 | 来源:发表于2020-01-30 22:58 被阅读0次

        蜜罐只有虚假的敏感数据,可以是一个网络、一台主机、一项服务、也可以是数据库中无用的数据项以及伪装的用户名 弱口令等。

        蜜网=蜜罐+数据控制+数据捕获+数据采集等元素

    蜜罐与蜜网的研究主要涉及五类关键技术:

    网络欺骗:

    1、真实蜜罐或蜜网

    2、虚拟蜜罐或蜜网

    攻击捕获技术:

    三个层次:

    1、访问控制层次:在路由器 网关 防火墙捕获黑客的连接和数据。

    2、网络层次:网络上捕获黑客对蜜罐和蜜网的攻击

    3、系统层次:主机上捕获攻击者的行为

    数据控制技术:

        控制攻击者出入蜜罐的活动,避免成为跳板。不限制蜜罐的数据流入,限制蜜罐的数据流出。通常是采用多层次的数据控制机制。防火墙+IDS   

    攻击分析与特征提取 

        对捕获的攻击数据进行融合、挖掘,分析黑客的工具、策略以及动机,提取未知攻击的特征。

    基于蜜罐和蜜网自动提取攻击特征:

    1、LCS算法,提取质量较差。

    2、可视化、统计分析辅助人工筛选出可以数据+LCS

    3、利用协议语义

    预警防御技术:

    1、检测内部攻击:Honeytoken、非正常使用信息做诱饵,追踪攻击活动

    2、检测缓冲区溢出攻击:shadow honeypot 检测运行状态

    3、防御DoS攻击:honeypot back-propagation 通过伪装技术来欺骗和阻止DoS攻击

    4、检测恶意代码的攻击:HoneyStat 蜜罐技术和Logistic回归理论

    5、检测对无线网络的攻击:

    6、检测恶意网站对浏览器的攻击

    7、检测垃圾邮件的攻击

    8、检测Web应用攻击:GHH

    主要挑战和发展趋势:

        系统伪装:需要增强系统伪装的智能性,感知和学习实时的网络环境,动态、自动进行配置;提高服务的质量和被攻击、探测的概率,确保蜜罐的高度的真实真实性和迷惑性

        体系结构:针对于大型分布式网络,难以适应大型的分布式网络环境,攻击分析、特征提取和安全响应没有加入到体系结构中,缺乏与其他系统的协作与联动。

        多源信息融合:对多源信息统一数据的表示和存储,进行精化处理与数据挖掘,选择最优的融合算法,提高融合分析的快速性与准确性。

        攻击分析与特征提取:借鉴其他领域中处理数据信息的一些成熟的理论:机器学习、人工智能、数据挖掘等,以加强基于数据可视化、协议还原、攻击工具自动识别、入侵场景自动分析、攻击特征自动提取等技术。

        计算机取证和法律问题:避免蜜罐被作为跳板。


    相关文章

      网友评论

        本文标题:《蜜罐及蜜网研究技术进展》论文笔记

        本文链接:https://www.haomeiwen.com/subject/ycnxnftx.html