資源描述:
《基于動態(tài)ip的主動式蠕蟲誘捕技術研究new》由會員上傳分享����,免費在線閱讀,更多相關內容在教育資源-天天文庫��。
1�、萬方數據28782009�����,30(12)計算機工程與設計ComputerEngineeringandDesign·信息安全技術·基于動態(tài)IP的主動式蠕蟲誘捕技術研究梁曉陽�,李亮�����,賀建民(解放軍理工大學指揮自動化學院�����,江蘇南京210007)摘要:針對當前基于暗網的蠕蟲監(jiān)控技術存在諸如誘捕能力低�、資源耗費大等問題�,研究了當前的蜜罐、暗網監(jiān)測技術�,提出了一種蠕蟲誘捕方案��。在主動響應蠕蟲的掃描探測之后,利用在可動態(tài)切換lP的高交互蜜罐部署有漏洞的網絡服務正確響應蠕蟲攻擊的特點���,完成與攻擊者的深入交互�。不采用傳統(tǒng)的模擬網絡服務漏洞
2��、的方法����,減輕了研究網絡服務漏洞的攻擊原理的負擔.實驗結果表明���,設計的原型系統(tǒng)原理可行,在蠕蟲早期預警方面發(fā)揮作用.關鍵詞:網絡安全���;蜜罐;網絡蠕蟲��;暗網�;暗網感應器中圖法分類號:TP393.08文獻標識碼:A文章編號:1000.7024(2009)12-2878-04StudyonactivesolutionforentrappingwormsbasedondynamicIPaddressLL州GXiao—yang,LILiang��,艇Jian-min(InstituteofCommandAutomation,PLAUn
3�、iversityofScienceandTechnology,Nanjing210007,Chin)Abstract:Tosolvesomeproblemssuchaslowwo/'tntrapcapacityandbigresource-consuming,thecun'enthoneypotanddsrknetmoni—totingtechnologyisstudied,andanewactivewormtrappingsolutionisproposed.WiththehelpofdynamichoneypotI
4�����、Pandthecapabilityofnetworksen���,i∞vulnerabilitywhichCallrespondtotheworfl坫attackrightly,itrespondstothescanandcompletesthehighinteractionwiththeworms.Insteadoftraditionalsimulatingthebehaviorofnetworkservicevulnerability,theburdenofstudyingtheprincipleofvulnerabil
5、ityismuchless.Theexperimentalresultsshowthattheprincipleisfeasibleandthisprototypesystemcanplayaroleinthepredictingwornls.Keywords:networksecurity�;honeypot;Intemetworm���;darlmct;darknetsensor0引言網絡蠕蟲是一種智能化�����、自動化�����,綜合網絡攻擊����、密碼學和計算機病毒技術,不需要干預即可運行的攻擊程序或代碼“J�。網絡既是蠕蟲危害的倍增器,也是蠕
6���、蟲傳播的受害者。蠕蟲可以在很短的時間內蔓延整個網絡����,對網絡造成拒絕服務甚至造成網絡癱瘓。對此��,人們采用防火墻��、入侵檢測系統(tǒng)來保護網絡安全,但這些技術屬于被動防御手段��,只有當黑客攻擊時����,才能做出相應的補救措旆,此時可能已經造成巨大的破壞���。同時入侵檢測系統(tǒng)存在著嚴重的缺陷:一是誤報率和漏報率過高�����,網絡安全人員被淹沒在大量的警告信息中�,難以準確地從這些信息中找尋到真正的攻擊����;二是檢測方法過于復雜而不能適應高速網絡���。面對攻擊特征的不斷積累和網絡流量的急劇增加�����,網絡入侵檢測系統(tǒng)越來越力不從心�。l蜜罐和暗網監(jiān)測技術蜜罐伍l和暗網監(jiān)
7����、測D1是近年來出現的主動防御的手段����,然而各自卻仍有自身的優(yōu)缺點���。前者能夠吸引攻擊者并與攻擊者進行交互�,獲取關于攻擊者的信息,但是由于蜜罐僅能被動地等待攻擊者的掃描探測�,不能在蠕蟲爆發(fā)的初期進行早期預警;后者則通過監(jiān)測攻擊者發(fā)送到暗網地址空間上的報文���,通過分析統(tǒng)計,獲取有價值的信息����,但由于暗網不存在任何活動的主機,不能完成與攻擊者的深入交互�����,無法獲取更有價值的信息�。I.I蜜罐技術I.1.1蜜罐��、蜜網的概念Spitzner曾對蜜罐做過這樣的定義:“蜜罐是一種資源�,它的價值就是被攻擊或攻陷。也就是說蜜罐是用來被探測���、被攻擊甚
8、至最后被攻陷的�����。蜜罐不會修改任何東西�。這樣就為研究者提供了額外的���、有價值的信息嘲����?���!泵酃尥ǔJ且慌_主機或者虛擬的主機���,用來被攻擊者探測攻擊�����,在攻擊的過程中記錄下攻擊者的痕跡�����。以便分析或者獲得病毒標本�。蜜網Ⅲ是由多個蜜罐組成的一個網絡�����,能夠吸引更多的攻擊�����,但通常需要更復雜的配置�。按照使用真實的物理主機還是虛擬機��,蜜罐可分為物理蜜罐和
