您的位置:360文档中心› 基于蜜罐技术的分布式容侵防御模型

基于蜜罐技术的分布式容侵防御模型

合集下载

基于蜜罐主机的入侵欺骗技术研究

基于蜜罐主机的入侵欺骗技术研究
现 蜜 罐 主 机 点 问 题【 l l 。 在 信 息 安 全 的 研 究 中 ,欺 骗 ” 要 表 示 攻 击 方 的行 为 , 击 ” 主 攻 U Ⅸ 类 系 统 为 我 们 提供 更 多 的数 据 捕 获 机 制 。 乎 所 有 的 N 几 者 利 用 网络 协议 、 务 机 制 、 序 的 漏 洞 和 网络 用 户 的 疏 忽 等 , 系 统 部 件 都 可 以 得到 其 源 代 码 . 而 可 以修 改这 些 源代 码 . 捕 服 程 从 把 对 各 种 资 源实 施 不 合 法 的获 取 。 是 , 但 欺骗 技 术 除 了 用 于攻 击 之 获 机 制 集成 到这 些 部 件 当 中 。 这 也 不 是 没有 任 何 问题 的 。 些 但 这
现状 . 分析 了蜜罐 主 机信 息捕 获 的 方 法 , 入 侵 欺 骗 技 术 的 应 用 提 出 了建 议 。 对
【 键词 】 信息安全; 侵欺骗技术 ; 关 : 入 蜜罐 主 机 ; 息 捕 获 信
1 引 言 .
有 人 或 许 认 为 由 于 存 在 大 量 的 针 对 Wid w no s系 统 攻 击 方
因 但 进 入 二 十 一 世 纪后 . 会 信息 化 步 伐 不 断 加 快 。 们 对 信 息 法 . 此 把 它 作 为 蜜罐 主 机 是 比较 理 想 的 , 事 实 上 并 非 如 此 。 社 人 no s 系 统 和信 息服 务 的依 赖 性 也 越来 越 强 .这 意 味 着 信 息 系 统 更 容 Wid w 系统 本 身 的 系统 结 构使 得 它 作 为数 据 捕 获设 备 相 对 很 易 受 到 安 全 威 胁 的攻 击 , 而且 , 旦 被 攻 击 , 成 的 影 响 也 就 越 难 。直 到 今 天 , n O S 作 系 统 的 源 代码 仍 未 公 开 . 此要 对 一 造 WidW 操 因 来越大。 随着 我 国 以信 息 化 带 动工 业 化 . 别是 电子 政 务 的全 面 操 作 系 统 进 行修 改是 很 难 的事 情 .且 任 何 日志 功 能 的 增 加 都 是 特 推 进 .信 息安 全 问题 成 为 当 前 信 息 化 发展 和 电 子 政 务 建 设 的 焦 在 用 户 空 间 完成 的 。 法做 到 透 明 的实 现 , 此 入 侵 者 很 容 易 发 无 因

分布式蜜罐系统的设计与实现

分布式蜜罐系统的设计与实现
o en t c e o e p t a i  ̄ A i d o c n q e o iti u e o e p t n t eb sso o e p t e t g wh c e p d fe e t f i g at k d h n y o sl b a e y kn f e h iu fd sr t d h n y o a i fh n y o t n i h s t i r n t b o h s i u h n y o f lt o f i da i e e t y tms a dt e t a se i f r e ih r u d y f e s a kt er a n t o k i f r - o e p t a o me t f r n s o f r a d s e , n n amu l y t m o h u s s m d wh c o n l e d c e } e b h w r o ma n t n a s l i r d c s h le aa m t d t el a l r a eo s m f c i ey i , sar u t t e u e ef s l r r ea e k a a r t fs t e e t l ̄ o e , t a a n h m y e v Ke r s i t so e e t n a e t h n y o ; i e t c to ff g r r t s se o i r u e o e p t y wo d : n r i n d t ci ; g n ; o e p t d n i ai n o n e p n ; y t m f si t dh n y o u o i f i i d tb
分布式蜜罐系统的设计与实现
肖军 弼 , 刘 广 神 ( 国石 油 大 学( 东)计 算机 与通 信 工程 学 院 ,山 东 青 岛 265) 中 华 655

蜜罐技术详解与案例分析

蜜罐技术详解与案例分析

蜜罐技术详解与案例分析蜜罐技术是一种用于检测和诱捕黑客攻击的安全防御工具。

它通过模拟漏洞和易受攻击的目标来吸引攻击者,并记录他们的行为。

本文将详细介绍蜜罐技术的原理、分类以及几个成功的案例分析。

一、蜜罐技术的原理蜜罐技术的核心原理是通过创建一个看似真实的系统或网络,来吸引和诱捕黑客攻击。

蜜罐可以是一个虚拟机、一个虚拟网络或一个物理设备,在这个系统中,存在着一些看似易受攻击的漏洞或是敏感信息。

当攻击者企图入侵或攻击这些漏洞时,蜜罐会记录下他们的攻击行为和手段,并提供有关攻击者的详细信息。

二、蜜罐技术的分类蜜罐可以分为以下几种不同类型:1. 高交互蜜罐:这种蜜罐模拟了一个完整的系统,攻击者可以与之进行实时互动,这包括使用真实的漏洞和服务。

高交互蜜罐提供了最真实的攻击场景,并能够获取最多的攻击者信息,但它也存在一定的风险和安全隐患。

2. 低交互蜜罐:这种蜜罐只模拟了一部分的系统服务或功能,它减少了与攻击者的互动,因此相对较安全。

低交互蜜罐可以快速部署和更新,但信息收集相对较少。

3. 客户端蜜罐:这种类型的蜜罐主要用于追踪和识别客户端攻击,例如恶意软件的传播、垃圾邮件的发送等。

客户端蜜罐可以帮助安全团队及时发现客户端攻击行为,并采取相应的措施。

4. 网络蜜罐:这种蜜罐放置在网络中,用于监测网络攻击和入侵。

它可以模拟各种网络服务和协议,以吸引攻击者对网络进行攻击。

5. 物理蜜罐:这种类型的蜜罐是一台真实的物理设备,通常用于保护企业的关键系统和数据。

物理蜜罐可以监测并记录与其交互的攻击者的行为,从而提高企业的安全性。

三、蜜罐技术的案例分析以下是几个成功的蜜罐技术案例分析:1. Honeynet计划Honeynet计划是一个非营利性的组织,致力于通过蜜罐技术、漏洞研究和威胁情报分享来提高网络安全。

他们搭建了一系列全球分布的蜜罐网络,成功地识别了许多高级攻击行为,并提供了有关黑客活动的详细报告。

2. CanSecWest PWN2OWN比赛PWN2OWN是一项安全比赛活动,鼓励研究人员发现和报告操作系统和网络浏览器的安全漏洞。

网络诱骗技术之蜜罐

网络诱骗技术之蜜罐

网络诱骗技术之蜜罐摘要:基于主动防御理论系统而提出的新兴蜜罐技术,日益受到网络安全领域的重视,蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵,进而了解攻击思路、攻击工具和攻击目的等行为信息,特别是对各种未知攻击行为信息的学习。

根据获取的攻击者得情报,安全组织就能更好地理解网络系统当前面临的危险,并知道如何阻止危险的发生。

本文首先系统地介绍了蜜罐和蜜罐网络诱骗系统的原理知识及关键技术,重点阐述了蜜罐的发展趋势及研究方向。

关键词:蜜罐、网络诱骗、网络安全、蜜网Phishing technology Honeypot(Northeastern University at Qinhuangdao, Qinhuangdao, 066004) Abstract: Based on active defense system proposed by the emerging theory of honeypot technology, increasingly the importance of network security, honeypots, mainly through careful layout of the environment to attract and tolerance decoy invasion, and then understand the idea of attack, attack tools, and the purpose of acts such as attacks information, especially information on a variety of learning unknown attacks. According to the attacker have access to intelligence and security organizations can better understand the danger facing the network system, and how to prevent dangerous place. This article first systematic introduction to honeypots and honeypot network decoy system, the principle knowledge and key technologies, focusing on trends and honeypot research.Keywords: Honeypot, Phishing, network security, Honeynet0引言“蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo’s Egg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。

防黑阻击-入侵检测之蜜罐蜜网

防黑阻击-入侵检测之蜜罐蜜网

防黑阻击 入侵检测之蜜罐与蜜网入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术。

主要包括蜜罐(Honeypot)和蜜网(Honeynet)两种。

它是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析,并找到有效的对付方法。

为了吸引攻击者,网络管理员通常还在Honeypot上故意留下一些安全后门,或者放置一些攻击者希望得到的敏感信息,当然这些信息都是虚假。

当入侵者正为攻入目标系统而沾沾自喜时,殊不知自己在目标系统中的所做所为,包括输入的字符,执行的操作等都已经被Honeypot所纪录。

蜜罐技术Honeypot是一个资源,它的价值在于它会受到探测,攻击或攻陷。

蜜罐并不修正任何问题,它们仅提供额外的、有价值的信息。

所以说Honeypot并非是一种安全的解决方案,这是因为它并不会“修理”任何错误。

它只是一种工具,如何使用这个工具取决于用户想做什么。

Honeypot可以对其他系统和应用进行仿真,创建一个监禁环境将攻击者困在其中。

无论用户如何建立和使用Honeypot,只有Honeypot受到攻击,它的作用才能发挥出来。

所以为了方便攻击,最好是将Honeypot设置成域名服务器WEB或电子邮件转发服务等流行应用中的一种。

蜜罐的部署蜜罐并不需要一个特定的支撑环境,它可以放置在一个标准服务器能够放置的任何地方。

当然,根据所需要的服务,某些位置可能比其他位置更好一些。

如图(1)显示了通常放置的三个位置:1.在防火墙前面;2.DMZ中;3.在防火墙后面。

如果把蜜罐放在防火墙的前面,不会增加内部网络的任何安全风险,可以消除在防火墙后面出现一台失陷主机的可能性(因为蜜罐主机很容易被攻陷)。

但是同时也不能吸引和产生不可预期的通信量,如端口扫描或网络攻击所导致的通信流,无法定位内部的攻击信息,也捕获不到内部攻击者。

如果把蜜罐放在防火墙的后面,那么有可能给内部网络引入新的安全威胁,特别是如果蜜罐和内部网络之间没有额外的防火墙保护。

有关“蜜罐(honeypot)”技术在网络安全中的探讨

有关“蜜罐(honeypot)”技术在网络安全中的探讨

有关“蜜罐(honeypot)”技术在网络安全中的探讨余晓东(广东电网公司潮州供电局,广东潮州 521000)摘 要:随着计算机网络发展越来越快,网络安全也随之下降,在保护网络安全上,传统的方法是利用防火墙。

比较普遍的防火墙、防毒软件及其运行机制、监察入侵活动和内容过滤等已对网络安全起不了很大的作用了,本文就对“蜜罐”技术及其在网络安全中的应用做出相应探讨,以供大家一起来参考及借鉴。

关键词:蜜罐;功能;蜜网;发展中图分类号:TN915.08 文献标识码:A 文章编号:1007-9599 (2010) 09-0056-02The "honey pot" Technology in the Network SecurityYu Xiaodong(Chaozhou Power Supply Bureau of Guangdong Power Grid Company,Chaozhou 521000,China) Abstract:With the increasingly rapid development of computer networks,network security was declining,in the protection of network security,the traditional method is to use firewall.More common firewall,antivirus software and its operating mechanism,monitoring intrusions,and content filtering for network security can not played a significant role,and this article on the "honey pot" technique and its application in network security and make the corresponding discussion,for all to reference and learn together.Keywords:Honey pot;Function;Honeynet;Development一、防火墙技术的局限性和脆弱性防火墙是网络上使用最多的安全设备,是网络安全的重要基石。

基于主动防御的蜜罐技术研究

基于主动防御的蜜罐技术研究

对蜜罐 的连接尝试都被 认为是 可疑 的。蜜罐 的主要任 务就是 通
过模拟 真实 的网络服务来吸引攻击 , 对攻击 者的攻击行为 和过 程
单机蜜罐就是利 用一 台主机 系统模 拟漏 洞或仿真 服务 , 吸引
攻击 者 , 采集数据 , 并控制 攻击 者在预设 的 系统 内活 动。网络蜜
进行记 录分析 , 而了解攻击 者的攻击 方法 和使用 工具 , 从 对新 型
1 引言
伴随着网络普及与发展 , 网络安全 问题 也 日益严峻 。面对 不
2 2 2 根据蜜罐 的交互复杂度 , 以分 为低 交互蜜罐 , .. 可 中交互蜜 罐 和高 交互蜜罐三类 低交互蜜罐一般 只提供某 些伪造 的服务 , 如模拟 Fp和 We t b
服务等 。由于没 有 真正 的操 作 系统 和服 务 , 低交 互蜜 罐结 构简 单, 部署容易 , 险很低 , 能收集 的信息也 是有限 的。中交互蜜 风 所 罐 提供 了更 多的交互 信息 , 它们 能够 预期一 些活 动, 可以给 出 并
因为蜜网可以包 含不 同的操作 系统 , 而不 同的操 作系统又有不 同 的应用 , 以蜜 网可 以更加准确地分析不 同攻击 者的攻击意 图和 所 目的。与单机蜜罐相 比 , 蜜网多用于对攻击的研 罐和研 究 .. 可 型蜜罐两类
产品型蜜罐是 由网络开发商开发的商用蜜罐 , 一般用来 作为
诱饵把攻击尽可能长时间地捆绑在蜜罐上 , 赢得时间保护 实际 网 络环境。研究 型的蜜罐 主要应用于研究 , 吸引攻 击 , 搜集 信息 , 探 测新型攻 击 , 了解攻击 者的背景、 目的 、 活动规律等。研究型的蜜 罐在编写新 的 I S特征库 , 现 系统漏洞 , 析分布 式拒绝 服务 D 发 分

网络防御中的蜜罐技术

网络防御中的蜜罐技术
维普资讯

建 电

20 0 6年 第 7期
网络防御 中的蜜罐技术
刘 占
( 中国人 民 武 装 警 察部 队 学 院 基 础 部 计 算机 教 研 室 河 北廊 坊 0 5 0 ) 6 0 0
【 摘
要】 :常规 杀毒软件 、 防火墙软件 只是被 动的防护 , 等待攻击者攻击 。 蜜罐好 比是 网络 系统情报 收集 系统 , 而 故意 让
② 虽然蜜罐 的防护功能很弱 。 但是它却具有很强 的检测功
对 想 络 具 有 巨 大 的安 全 隐 患 。 外 。 于 网络 技 术 的 发展 攻 击 者 不 再 能 . 于许 多 组 织 而 言 , 要 从 大 量 的 系 统 日志 中检 测 出 可 疑 的 此 由 需 要 专业 技 术 和 技巧 .可 以方 便 地 从 互 联 网上 找 到 所 需 的 最 新 行 为 是 非 常 困难 的 。虽 然 。 有入 侵 检 测 系 统 O S 的存 在 。 是 , D ) 但 的 攻 击 软 件 并 实施 攻 击 。 而这 些 由 高级 黑 客开 发 的攻 击 软 件 越 I S发 生 的 误 报 和 漏 报 .让 系 统 管 理 员 疲 于 处 理 各 种 警 告 和 误 D 来 越 容 易使 用 , 能 越 来越 强 . 成 的破 坏 也 越 来 越 大 。特 别 值 报 。 蜜 罐 的误 报率 远 远 低 于大 部 分 I S工 具 , 务 须 当心 特 征 功 造 而 D 也 得 注 意 的一 种趋 势是 多种 攻 击 脚 本 和工 具 的融 合 .如 大 量 的 内 数 据 库 的 更 新 和 检测 引擎 的修 改 。 为 蜜 罐 没 有 任 何 有 效 行 为 , 因 核 后 门 工 具 包 的 出 现 。 对 严 重 的安 全 威 胁 。 们 需 要 了 解攻 击 从 原 理 上 来 讲 . 何 连 接 到 蜜 罐 的 连 接 都 应 该 是 侦 听 、 描 或 者 针 我 任 扫 者 使 用 了 哪些 工 具 。 取 了何 种 攻 击 方 式 . 采 以便 更 有 效 的维 护互 攻 击 的一 种 . 样 就 可 以极 大 的 减 低 误 报 率 和 漏 报 率 , 而 简 化 这 从 联 网 的安 全 。 此 产 生 了蜜 罐 技 术 。 由 为捕 获 黑 客 的 行 为 。 入 分 检 测 的过 程 。 某 种 意 义上 来 讲 . 罐 已 经 成 为 一个 越来 越复 杂 深 从 蜜 析 黑 客 行 踪 系 统 了基 础 。 的安 全检 测 工 具 了
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

T e 直接触发预警 , 回 t e } hn{ 返 r 值 ; u I ( ∈[. ,. ] I蜜罐产生异常连接) f P O 40 7 I( )
Th n(查找 B l t e _i s
∑ 标识m 是否获取更高权限,
∑ m 一 {,) 10
) ;
I 存在则触发预警, 回 t e f 返 r 值 u
心确定 出威胁 时, 根据其 发送 的信息特征对入侵数 据流进行拦截。而在防火墙处集成设置的应用层重
定 向组 件 , 功 能是进 行人 侵转 移 , 有威胁 的数 据 其 将
O S的数据指纹对诱骗环境真实性 的影响。D MZ区 域的虚拟蜜罐主机和内网的蜜 网主机诱骗环境结构 如 图 2a 、 () () 2 b 所示 。
器 的安全 , 内网 主机 的安 全往 往被 忽略 。
1 2 Ds I . i- DHo ep t n yo 模型体 系结构
分布式容侵 防御模 型通过 N D 、 I S 开放虚拟服
务的蜜罐 、 真实服务器 的流量监测引擎和内网主机
访问权限监控多种途径进行分布式 的数据收集, 并
且由独立的远程关联警报控制中心统一进行数据的 分析和威胁判决。模型主要分为系统部署 、 分析判 决和回馈执行三个组成部分 , 如图 1 所示 。
址 , 口号 ( ot , 录账 户 ) 出 : 制 中心报 警 端 P r) 登 输 控
T e {认 定 为 虚 警 , 弃 预 警, 回 hn 放 返
fl 值 ) as e ;
I P> O 7 f( .)
信息 口 m[ r ] () E { vn [ ] 识访问者 m 的行为信 1 S T e tm 标 e 息 ,vnE 一 i otE ] eetm] n s m ; f r
Vi ua o e po s l H ny t
流重定 向到主机蜜罐 , 在威胁解除后将数据流切 并 换 回服务器 。通常防火墙能够拦截大多数的入侵攻 击, 但是在入侵者的扫描攻击直接命中服务器 , 并且 防火墙难以有效拦截 时, 重定 向组件就显得极为重 要 。目前的数据重定 向方法主要有 主机代理, 动态
回馈 执 行
由关联警报控制 中心组成 , 它是一 台独立配置 的远程主机 , 自身具有很高 的安全性。主要功能是
接收报警信息、 警讯分析、 滤除虚警 、 预警结果显示、
系 统 部 署
响应策略 回馈、 安全 日 志记 录等。关联警报控制 中
心, 将来 自 蜜罐和 N D I S的报警信息融合分析, 通过 共 同维护记录潜在威胁信息特征的黑名单( _ i ) B Ls t 来提高入侵检测 的准确性 。信息分析判决流程如 图
传统 网络安全理念注重构建安全的网络环境,
旨在将 安全威 胁抵 御在 网络 之外 。随着 IS Itu D (nr- s nD tci ytm) i eet nS se 规避 和 防火墙穿 透技术 的发 o o
防御 ( i D o ep t模 型, Ds —I H n yo) 并设 计 了相关检测 算法, 提高了网络监控入侵和承受攻击的能力。 本文构建的分布式容侵防御模型主要基于以下 两方面 :) 网络 D 1在 MZ区域部署基 于蜜罐 的虚拟 服务 , NI S共 同检 测未 知 的攻击 , 且在 外部 攻 与 D 并 击难 以被阻止时, 主动承载攻击数据流 ;) 2在内网部 署由虚拟主机构成的低交互蜜网, 真实 网络与蜜网
张 晓 丽
( 西安航空技 术高等专科学校 计算机工程系 , 陕西 西安 7 O 7 ) 10 7

要: 在分析 国内外研究现状的基 础上 , 针对 目前 蜜罐 技术应 用 中存在 的问题 , 出了一种基 于蜜罐 的分布式容 提
侵 防御模 型, 并在模型 中设计权限状态监控和基 于匹配度的检测算法。测试 实验证 明 , 该模 型能够 弥补 当前 蜜罐技
第 2 卷 第3 9 期
2011年 5 月
西安航空技术高等专科学校学 报
J u n l f ia r tc ncl olg o ra ’nAeoeh i l e o X aC e
Vo _29 l No.3
M a 2 1 y 0 1
基 于 蜜罐 技术 的分布 式 容 侵 防御 模 型
性字串 输出: 预警判决结果 ( u/a e t ef s) r l
图 2 虚 拟诱骗环境
7 2
西安航空技术高等专科学校学报
第2 9卷
() o{ 1 d 提取捕获信息特征模式 T = {t 1 p s _ r
[ , r2 ] …, t_E ) ]s [, s_ ]; t rn
() E 4 S T判决区间边界阈值{. ,. I 040 7 I 用户 自
定 ) ;
d {I ( < O 4 o fP .)
算法 2atoi ( f [ ) :u r y i o ] h t n 输入 : 问者 信息 : f s [ : , 访 i o r ]= n t ={ 网络地
络 状态 等方 面 同真 实 服务 器 保 持 较 高 的 一 致 , 因此 可 以在应 用层 利 用 特 定 的包 处 理 软 件 来 消 除不 同
图 3 预 警 信 息判 决程
1 2 3 回馈 执 行 ..
威 胁 响应 策 略 的 回馈执 行 由防火 墙和重定 向组 件 两部 分完 成 。防火墙 的功能是 当关 联警报 控制 中
es 其 特 征信 息 加 入 B 1t放 弃 预 l e将 .i , s
()将 m 当 前 权 限 安 全 状 态 S( )加 入 2
1 2 1 系统 部署 . .
1 基 于蜜罐 技术的分布式容侵 防御模型
11 Di I . s DHo ep t 型设 计思想 - nyo模
运用蜜罐与蜜网( ny e) Ho en t的诱骗机制, 结合 传统 防御手段 , 提出了基于蜜罐技术 的分布式容侵
收稿 日期 :0 01—1 2 1-23 基金项 目: 陕西 省 自然 科学 基金 项 目( 7K39 0J 3)
瓶颈。
实的系统, 但也暴露出所存在的问题:) 1对传统安全 资源的影响。因为 由 I S来决定蜜罐何时发挥作 D 用, 因此 I S D 的局限性直接影响到蜜罐 。2 蜜罐面 )
临着区分用户是“ 有意入侵” 还是“ 无意闯入” 的问 题[ 。3应用的片面性。蜜罐的应用基本针对服务 2 ) ]
展, 网络安全面临着严峻挑战。近年来 , 蜜罐 ( o - H n
ep t成为 安全 界关 注与研 究 的热 点 。它利 用虚 假 yo)
的服务或信息来迷惑攻击者 , 转移并容纳有限度 的 威胁, 使得受保护对象避开或减少威胁 , 间接提高了 网络的安全性。蜜罐不但具 有准确 的威胁判定能 力, 还能发现新 的攻击手段和工具[ 。 1 ] 蜜罐技术最初仅用于对黑客行为进行调查取证 的理论性研究 , 而现在蜜罐技术的应用更加接近真
WE B服务器 上 的监 测 引 擎 通 过 实 时监 测 访 问数据
H n y o o ep t l 连 接 监控
真 实服 务 器 I 流 量监 控
流量的变化来预警 D S 型的攻击 ; o ep t O 类 H n yo 上 的虚拟服务具有捕获未知人侵威胁 , 承载攻击数据
d 与P o{ AT 中的特 征模式 属性 逐一 比对 ;
i 比对相 同)te f ( hn认定为一次匹配, K
++;
) ;
图 4 权限迁移状态转换 图
() 3 计算 P一
丽 K

P O1; e[ ,]
根据上 述定 义 , 文提 出基 于权 限获取 的访 问 本 监 测算法 描述 如下 :

限; 攻击 者为获取权 限所做 的攻击效果 , : 为 { ,)其 中 0 1 01, 和 分别表示获取更高权限失败和成 功 ; : ×三一 , qS 表示从 S ×三到三的映射 ; 为初 q o
计算 T p中 的属性 字 串 s [ 总 长度 t ] r
ln h( ); e t Tp

始操作权 限。 主机在此操作权限状态下是安全的; F
为终态权 限集合 : F一 {)q q , 表示完全控制权限。 主 机若在此操作权限状态下 , 则表明被入侵 。 权限迁移 状态转换 图如图 4 所示。
S T匹配计数变量 K=0 K- ,] E ,[ n; 0
) ;
() o( p中的每个属性字串 s [ 2 fr T t ]) r
术应 用的不足 , 辅助
提 高威 胁检 测的准确度 , 效地增强 网络的容侵能力和生存能力。 有
关键 词: 蜜罐 ;分布式;容侵 防御 ;匹配度
中图分 类号 : 1. 文献标识码 : 文章编号 :0 89 3 (O 1 o_O oO H3 9 1 A 1 0—2 3 2 1 ) 3 7 -4 o
胁特征信息同入侵规则 的匹配度 ( ) P 来划定其威胁
程 度 的检 测 算 法 。已 知 NI DS的 匹 配 特 征 模 式 库
P T T [ , 2] . , n - 。该算法描述如下 : A ={ ] T [ , ・ [ ) .T ] 算法 1B o J d m n (t-) : ol u g etsr] [ 输入: t[ 指 I S捕获信息 的特征模式 的属 s - r] D
相混合以降低主机受扫描人侵的命 中率, 同时在虚
拟主机放置蜂蜜信标来诱捕来 自网络内部的非法访 问。该模型收 回 N D 对入侵威胁的唯一判决权 , IS 采用 N D I S同蜜罐相结合 的方式共同判决入侵, 克
服 NI DS本 身 的 局 限 性 对 整 个 模 型 造 成 的 功 能
3 示。 所
NI D I 女 包 监 测 据
相关文档
最新文档