一、虚拟分布式蜜罐技术在入侵检测中的应用(论文文献综述)
顾鸿杰[1](2021)在《基于探针和神经网络的APT攻击样本获取及分析方法研究》文中提出近年来国家金融、政府等基础设施部门饱受高级持续性威胁(APT)攻击的困扰,但由于分析样本的缺失,针对APT攻击的研究一直没有取得较大的进展。随着震网病毒、乌克兰停电事件、NSA武器库被盗等问题的发生,人们开始逐渐重视起这种持续时间长、攻击复杂性较高、危害性较高的网络攻击。并且由于传统的访问控制、黑白名单等检测手法无法很好的应对APT攻击,一些人工智能的方法也被引入来进行APT攻击的检测。综合其现有的研究成果,大多集中在某些样本的异常检测或是宏观的博弈方法论的研究,并没有特别关注到这种阶段性攻击的整体过程。为此本文从最新的理论框架出发,对APT攻击的阶段性特点进行了深入分析,从各阶段的攻击面入手,归纳并简化出了一种APT攻击形式化阶段。在这个理论基础上对载荷投递和横向移动阶段的常用攻击手段设计了针对性的检测方法,并通过进行仿真攻击实验来验证了检测方法的有效性。最终通过多视野的LSTM网络来对检测方法截获的攻击样本进行预测分析,于此同时神经网络采用了Attention机制来克服可能存在的无关API序列调用问题,实验表明该模型取得了较高的准确率和较低的损失率。该检测方法从日志、流量等多个维度来检测APT行为,结合了主动防御蜜罐和被动流量探针能够有效截获攻击样本,同时由于使用了人工智能方法大大降低了人工成本。具体内容如下:(1)基于现有的Kill Chain和Mitre ATT&CK框架,总结了更加简洁和适用的四阶段理论框架,在这个框架的基础上分析了载荷投递和横向移动阶段攻击者最常使用的攻击手段。并通过仿真实验根据这四个阶段重现了以挖矿为目的的APT攻击,从而验证了本文攻击面分析的安全性。(2)针对载荷投递阶段使用的钓鱼邮件发送恶意软件的行为设计了邮件网关和SMTP探针从邮件头、邮件正文、邮件附件几个方面来对常见的恶意软件组合进行分析,同时还支持从流量中还原邮件的功能。针对攻击者利用SMB协议进行横向移动的行为,设计了SMB流量探针和主动防御蜜罐,SMB探针支持从流量中发现基于SMB协议的文件共享等疑似的横向移动行为,同时主动防御探针利用虚拟的Honeytoken可以有效阻止横向移动中的哈希传递攻击,通过仿真攻击实验,可以很明显的从流量及日志中发现攻击行为。(3)无论是被动流量探针还是主动防御蜜罐其本质还是截获攻击者在发动攻击过程中使用的攻击样本,基于这些攻击样本提出了一种沙箱执行的检测方法,通过沙箱隔离运行恶意软件,然后将运行时调用的系统API作为输入,通过多视野的LSTM神经网络来预测恶意攻击的类别,并在不同视野的LSTM模型中引入了Attention机制来克服可能存在的无关API序列调用问题。实验表明模型在8分类的任务上能够达到90%的准确率和接近0.43的损失,与其他模型对比改进后的神经网络具有较高的准确率和较低的损失。
李鹏宇[2](2021)在《面向Cisco路由器的蜜罐系统关键技术研究》文中研究说明路由器作为互联网基础设施,主要提供数据转发,网络寻址等重要任务,其安全状况对所在网络具有举足轻重的影响。Cisco作为全球最大的互联网设备厂商为全球骨干网络提供着最广泛的服务。虽然Cisco公司一直致力于提高其路由器的安防水平,但由于Cisco路由器型号和IOS版本众多,给安全研究带来困难。一些IOS漏洞和针对性攻击方式只有在安全事件爆发时才会被发现,造成大量经济损失。本文希望借鉴蜜罐思想主动发现针对Cisco路由器的攻击行为,并提前感知未知威胁。当前蜜罐研究多针对于PC端服务,路由器作为蜜罐场景构建的一部分,通常不被重视。有的蜜罐系统仅仅虚拟了路由功能而并没有采用高交互路由器,起不到对路由器安全研究的效果。本文设计了基于硬件仿真的高交互虚拟蜜罐,同时为了弥补虚拟化能力的不足,采用实体路由器作为补充蜜罐。提出了一种基于虚实结合的Cisco路由器蜜罐构建方法,并给出Cisco路由器蜜罐信息捕获和攻击判定条件。本文的主要工作包括:1.构建了Cisco IOS攻击链模型,对照攻击模型分析了路由器攻击的各个阶段特点。能够直观的反映出不同阶段的攻击目标、所使用的技术方法以及取得的效果和影响。攻击模型对路由器安全防护及蜜罐的配置策略有指导作用。2.提出了虚实结合的Cisco路由器蜜罐构建和部署方法。当前路由器平台蜜罐研究资料较少,在高交互蜜罐领域并没有形成一款专门针对路由器的蜜罐。通过对固件模拟执行的方式生成虚拟路由器,同时搭配实体路由器组成了高交互路由器蜜罐的硬件基础。针对虚实两种路由器的特点分别设计了相应的蜜罐路由器生成和控制技术,能够获取攻击行为的原始数据。3.提出了Cisco路由器蜜罐攻击行为判定方法。明确了路由器蜜罐的信息采集的内容并给出了相关信息的收集的方法手段。分别针对不同来源的信息给出了攻击判定方法,提出了基于告警信息的攻击行为分析流程。4.提出了基于返回地址内存哈希的ROP攻击定位分析方法。在Cisco路由器虚拟蜜罐指令监控的基础上,针对传统的ROP防护技术在解决Cisco IOS防护上存在的缺陷,提出了一种基于返回地址内存哈希验证的方法,能够在路由器遭受ROP攻击时有效定位出攻击发生位置,并截获关键shellcode代码。
孙伟明[3](2020)在《基于网络数据流的信息安全态势感知技术研究》文中提出信息化网络化快速发展的今天,互联网的使用越来越频繁。同时,网络安全状况不容乐观,网络诈骗、网页篡改、后门植入等网络事件时有发生。网络安全态势感知对于个人财产安全和国家安全来讲,都有着现实且重要的意义。网络安全态势感知一般分为态势要素提取、态势理解与态势预测三个阶段。态势要素的提取是态势感知的首要环节,要素来源的好坏关系着态势理解预测的优劣。本文从网络数据流的角度开展态势要素提取技术的研究,主要研究内容分为两个方面:基于软件定义网络(SDN)蜜网的感知要素提取系统设计与实现;基于主动探测的No SQL数据库感知要素提取系统设计与实现。1、基于软件定义网络(SDN)蜜网的感知要素提取系统设计与实现。本系统在设计上以DPDK、Open v Switch(OVS)、Docker容器技术为基础,主要实现了三个功能:探测消息的应答、利用OVS和Docker容器快速部署的特性实现蜜网的实时生成、攻击数据流的实时存储统计。论文的核心工作在于:提出对网络攻击者基于ARP及PING协议的信息应答欺骗机制,诱使攻击者对蜜网中的蜜罐采取进一步攻击行动;针对全流量数据包存储问题,提出并实现了一种基于环形队列的快速数据存储方法,避免了大流量攻击条件下因存储速度跟不上而导致数据丢包情况的发生;提出并实现了一种数据库快速查询读写的缓存方法,通过减少数据库缓存失效的方式提升了数据库存储性能。论文最后以一个SSH攻击的实际抓包例子验证了本文设计系统的有效性。2、基于主动探测的NoSQL数据库感知要素提取系统设计与实现。论文首先针对当前流行的几种No SQL数据库Mongo DB、Redis、Memcached、Elastic进行抓包分析默认安装情况下存在的漏洞风险,并对Memcached数据库存在的DDOS放大攻击进行相应的验证研究。结合Shodan官网上可探测的No SQL数据库进行实验分析,得出No SQL数据库默认安装下安全风险高的结论。接着,论文以Elastic为例对存在风险的No SQL数据库作进一步研究,设计并实现了Elastic风险感知系统。论文详细介绍了风险感知系统的总体设计思想、多线程模块的实现、IP探测的方法流程、敏感数据检测算法的实现等。实验结果表明本文提出的敏感数据检测算法准确率在96%以上。然后以Shodan官网可探测的Elastic数据库为实验来源进行了该风险感知系统的功能测试,测试结果说明了系统的有效性。论文最后针对No SQL数据库默认安装情况下存在的风险提出了相应的防范对策。
汤辉,付康,胡少文[4](2020)在《一种基于分布式蜜罐技术防御监测DDoS攻击的方法》文中指出DDoS攻击是通过僵尸网络利用各种服务请求耗尽被攻击网络的系统资源,造成被攻击网络无法处理合法用户的请求,随着DDoS攻击工具更容易获取,以及各僵尸网络家族的快速增长,DDoS攻击已经成为互联网服务的巨大的安全隐患。本文提出一种基于分布式蜜罐技术防御监测DDoS攻击的方法,采用重定向技术实现黑客攻击分布式蜜罐虚拟机,捕获攻击行为并进行日志记录分析。通过Honeyd开源软件包搭建分布式蜜罐虚拟机,最终利用3389爆破工具进行爆破登录后放马攻击用例进行测试试验,能很好的防御监测并发现上述攻击事件的行为和信息。
张壮壮[5](2020)在《面向工业控制系统的威胁防御技术研究》文中研究指明工业控制系统是国家关键基础设施的神经中枢,直接关系着工业生产环境的安全。随着工业互联网的发展,工业控制系统与外部互联网的连接愈加频繁,其暴露了更多的攻击路径,面临的安全威胁也更加严重。针对此问题,传统的安全防护手段已无法有效防御。所以本文提出使用工控蜜罐技术进行威胁诱捕,保护真实设备。并在诱捕失效的时候,调用入侵检测模块进一步去除攻击流量。主要工作及创新点如下:(1)本文提出了一种依赖于高交互蜜罐的工控轻量级虚拟蜜罐构建方法,该方法用于解决工控虚拟蜜罐交互能力有限且构建过于复杂的问题。通过观察、记录攻击者与高交互蜜罐的交互过程,建立通信模版,在之后接收到攻击流时,查询通信模版,构建响应包进行响应。实验结果显示,该方法在保证交互能力的基础上,可以降低资源的占用率,达到轻量化部署的目的。(2)本文提出了一种基于虚实结合技术的工控蜜网框架,该框架用于解决工控虚拟蜜罐仿真性难以提高,实物蜜罐难以大规模部署的问题。通过在云端部署工控虚拟蜜罐,本地部署真实工控设备的方式,实现云端本地的多对一映射。在攻击流到来后,通过动态调度蜜罐,实现攻击响应。测试结果表明,该框架的入侵诱捕能力优于当前主流的工控蜜罐方案。(3)本文提出了一种分层依赖关系建模的工控入侵检测方法,用于解决蜜罐被识别后入侵诱捕失效的问题。该方法将流量分为流量、数据包以及内容三个层次,通过并行LSTM神经网络分别建立不同层次内数据间的依赖关系,最大限度的利用LSTM的长序列学习能力,检测工控流量中存在的异常。通过实验评估,该方法检测精确率达到了96.9%,与不分层的模型相比检测精确率提高了7.2%。
胡迪[6](2020)在《基于虚拟网络技术的工控蜜网系统的研究与实现》文中进行了进一步梳理在当今工业控制系统网络安全日益严峻的形势下,对入侵行为进行被动防御的策略己经不能完全保障网络安全,主动防御成为现代网络安全的新要求。蜜罐作为一种典型的主动防御技术,近年来已成为国内外网络安全领域的研究重点之一。城市燃气输配SCADA系统在社会发展和人民生活中起着举足轻重的作用,尽管该系统十分强大,但在防御潜在网络威胁方面具有严重的脆弱性。另一方面,在SCADA系统中实现蜜罐技术面临两个困难:即单个蜜罐因仿真度和交互性有限,难以吸引和捕获深层次的攻击行为;以及蜜网部署成本高、条件严格,难以实现大规模部署。相比传统网络,虚拟网络技术具有轻量、灵活的特性,本文将其与蜜罐技术结合,设计并实现了一个低成本、易部署、高仿真的燃气输送SCADA蜜网系统。本系统针对假设的攻击者模型设计,并以模块化方式实现,按功能分为三大模块,分别是仿真模块,数据采集模块和运维安全模块。文中重点介绍了仿真模块,即对城市燃气SCADA平台的仿真。利用Mininet对真实的网络拓扑和设备进行模拟,并对网关,带宽,延迟和数据包丢失进行了定制化配置;运用Conpot实现协议层的交互,并且对Conpot蜜罐的缺陷进行改进,改进后的Conpot在反识别和交互能力上都有明显的提高;利用python Web框架实现对人机接口(HMI)的仿真,模拟了SCADA系统的业务流程和Web服务,极大地提高了蜜网系统的真实性,也为攻击者提供了一种新的攻击途径。模拟攻击测试中,侦察扫描攻击显示蜜网系统完成了对城市燃气输送SCADA平台的仿真且具有一定交互能力,而中间人攻击脚本测试结果表明本系统具有捕获该类复杂攻击的能力。最后,将蜜网系统部署到外网,捕获攻击数据显示,本系统具有显着优势和实用价值。
李珍珍[7](2019)在《基于蜜罐技术的网络安全防御系统的设计与实现》文中研究表明随着科技的进步,互联网快速普及,人们对计算机网络的依赖越来越高。互联网给人们生活带来方便的同时,也带来了一些安全问题,如黑客攻击、恶意代码等。针对网络攻击行为,传统的防御手段,如防火墙技术、加解密技术、身份认证技术和访问控制技术等,虽然能在一定程度上减小网络安全威胁带来的破坏,但这些技术一般都是被动防御,越来越不能满足当今社会对信息安全的需求。蜜罐技术是主动防御技术的一种,能在网络中部署被高度监控的资源。蜜罐能主动收集攻击者的攻击信息,并对数据进行分析和处理,及时了解攻击者的动机与目的。将蜜罐技术应用到网络安全领域,可以在一定程度上解决传统安全技术的不足。基于此目的,本文设计并实现一种基于蜜罐技术的网络安全防御系统,本文主要工作包括:(1)对网络安全现状进行分析,指出网络安全领域面临的问题;然后对蜜罐技术进行介绍,分析不同类型蜜罐的优缺点。从它们的优缺点出发,提出结合使用两种不同类型蜜罐构建系统平台。(2)对系统进行需求分析,并给出详细设计与实现方案。采用静态配置的蜜罐容易暴露,系统通过对周边网络环境进行扫描,使Honeyd蜜罐根据扫描结果,动态指定配置信息,虚拟出主机来欺骗攻击者。考虑到低交互蜜罐在捕获数据上的缺点,系统使用重定向技术,将一些访问流量转发到高交互蜜罐,进一步获取交互信息。同时,系统使用蜜网网关和传统网络安全技术保证系统本身安全,不对网络环境造成威胁。(3)对系统各模块进行测试。实验结果表明,系统能够正常运行,将两种蜜罐相结合的方式确实可以发挥两种蜜罐的优点,能够实现诱骗攻击者,扩大地址访问空间,捕获攻击者攻击行为的详细信息。
李阳[8](2019)在《基于区块链技术的阵列蜜罐研究》文中提出蜜罐技术作为一种主动防御方式可通过诱骗攻击者达到消耗攻击资源的目的,而蜜罐自身的虚假属性面临被攻击者识别的风险,从而绕开蜜罐陷阱转而攻击真实资源。本文课题提出了一种基于区块链技术的阵列蜜罐防御方案,构建由多种服务组成的真假切换蜜罐阵列,通过不断地变换服务真伪属性迷惑攻击者,为计算机网络安全领域提供防护方案。在表象上真实资源与虚假蜜罐已自成一体,即便攻击者觉察到蜜罐的存在,若其仍保持攻击动机,将无法避开此类陷阱,因此系统可迅速识别外部非法访问攻击流量。本文的主要研究内容如下:1.基于区块链技术的阵列蜜罐研究方案。该方案以区块链私有链作为系统底层构建去中心、分布式系统架构,服务器集群根据私有链记账权状况决定临时性控制主机,实现去中心化。通过多种服务变换构建迷惑陷阱,使攻击者无法区分真伪,而任何访问蜜罐服务的请求都将被标记为非法流量,迅速识别攻击。此外,利用Alloy分析其安全性。2.基于区块链技术的阵列蜜罐研究博弈推理。将不完全信息博弈推理应用至本文所提方案中,确定攻防博弈双方在网络攻防过程中的各项策略与对应的策略收益,并建立博弈参与者在各个策略下的收益方程,据此可得达到贝叶斯均衡的限定条件,分析不同贝叶斯均衡策略的条件,获知博弈参与者的均衡调节控制权,证明有效性。同时,采用仿真工具对博弈推理结果再次验证,并通过MATLAB曲线直观展示各个博弈参与者的博弈收益数值随参数的变化。3.基于区块链技术的阵列蜜罐研究原型系统设计实现。构建以以太坊区块链平台私有链为底层架构的去中心化原型系统,该系统的业务流程由Java编程实现,通过在私有链中部署智能合约实现所捕获的攻击数据存储。同时,在每台主机上部署4种服务,每种服务包含两个不同的根目录资源文件或不同的数据库,用以存放真实资源和虚假资源。获取记账权的主机执行服务角色分配生成算法,其它主机根据分配信息执行服务的开启关闭操作,全网形成一种攻击信息联动捕获,用作非法取证及时记录至链中。对原型系统实施攻击测试,通过扫描攻击、窃听攻击、Do S攻击等方式进行系统检验,测验其攻击防护能力。多项实验数据表明,本文提出的阵列蜜罐研究方案具备网络防御能力,可有效抵抗攻击。
石乐义,李阳,马猛飞[9](2019)在《蜜罐技术研究新进展》文中研究指明蜜罐技术是网络防御中的陷阱技术,它通过吸引诱骗攻击者并记录其攻击行为,从而研究学习敌手的攻击目的和攻击手段,保护真实服务资源。然而,传统蜜罐技术存在着静态配置、固定部署等先天不足,极易被攻击者识别绕过而失去诱骗价值。因此,如何提高蜜罐的动态性与诱骗性成为蜜罐领域的关键问题。该文对近年来国内外蜜罐领域研究成果进行了梳理,首先总结了蜜罐发展历史,随后以蜜罐关键技术为核心,对执行过程、部署方式、反识别思想、博弈理论基础进行了分析;最后,对近年来不同蜜罐防御成果分类叙述,并对蜜罐技术发展趋势进行了分析陈述,针对潜在安全威胁,展望新兴领域防御应用。
甄延明[10](2016)在《信息系统检测发现与应急处置平台设计与实现》文中进行了进一步梳理近年来,由于网络应用模式不断发展,如云计算、web服务、物联网等,网络攻击模式有了新的发展,需要检测技术及时跟进发展,以应对网络攻击技术的发展;同时目前网络安全动态防护体系欠缺完善的防护策略和实时的处置措施。针对应用系统动态安全防护中存在的问题,本文设计和实现了面向应用系统动态防护的检测发现与应急处置技术演示验证平台,本平台包括五个子系统,包括网络攻击子系统、蜜罐子系统、漏洞检测子系统、安全态势分析子系统和指挥控制系统,平台部署到应用系统中,为应用系统安全提供主动的、前摄的、实时的动态防护。该平台具有如下特点:(1)采用静态分析和动态分析相结合的系统漏洞分析技术,提高系统漏洞分析的准确性;平台部署逆向分析系统,采用多种逆向分析技术,包括二进制代码逆向分析和源代码逆向分析,发掘系统漏洞。(2)将系统漏洞分析与安全事件检测相结合分析网络攻击,提高攻击检测的准确性,平台进一步部署网络安全态势分析系统,作为安全检测的综合分析平台,综合系统脆弱性、漏洞状况分布情况,系统运行数据,实时给出可视化的安全态势评估报告。(3)平台中部署指挥控制系统,支持安全策略配置,将诸多安全设备和应用系统自身安全机制统一调度,构成控制闭环。该平台的建设对应用系统安全防护体系建设具有示范性意义,为相关标准建设、技术开发提供了基础环境。
二、虚拟分布式蜜罐技术在入侵检测中的应用(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、虚拟分布式蜜罐技术在入侵检测中的应用(论文提纲范文)
(1)基于探针和神经网络的APT攻击样本获取及分析方法研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 背景与意义 |
| 1.2 研究现状和工作挑战 |
| 1.2.1 APT攻击形式化方法 |
| 1.2.2 基于阶段性特征的检测技术 |
| 1.2.3 基于信息流的检测技术 |
| 1.2.4 基于特定数据源的检测技术 |
| 1.2.5 工作挑战 |
| 1.3 研究内容与论文结构 |
| 1.3.1 本文主要研究内容 |
| 1.3.2 论文的章节安排 |
| 第二章 APT检测相关知识 |
| 2.1 APT攻击模型和形式化阶段 |
| 2.1.1 网络杀伤链模型 |
| 2.1.2 MITRE ATT&CK模型 |
| 2.1.3 钻石模型 |
| 2.2 蜜罐诱捕技术 |
| 2.3 沙箱检测技术 |
| 2.4 威胁情报简介 |
| 2.5 本章小结 |
| 第三章 APT攻击主要攻击面分析 |
| 3.1 通用APT攻击阶段性框架 |
| 3.1.1 框架设计 |
| 3.1.2 真实APT案例验证 |
| 3.2 载荷投递阶段攻击面分析 |
| 3.3 横向移动阶段攻击面分析 |
| 3.4 仿真实验 |
| 3.4.1 实验环境 |
| 3.4.2 攻击步骤 |
| 3.4.3 实验结果 |
| 3.5 本章小结 |
| 第四章 基于流量和蜜罐的APT攻击样本截获方法 |
| 4.1 邮件网关和SMTP探针设计 |
| 4.2 横向移动探针设计 |
| 4.3 横向移动蜜罐设计 |
| 4.3.1 Pass-the-Hash蜜罐设计 |
| 4.3.2 实验验证 |
| 4.4 本章小结 |
| 第五章 基于注意力机制和神经网络的样本检测方法 |
| 5.1 数据预处理 |
| 5.1.1 TF-IDF值 |
| 5.1.2 二进制文件转灰度图 |
| 5.2 模型设计 |
| 5.2.1 多视野Text CNN |
| 5.2.2 改进的Attention机制 |
| 5.2.3 双向LSTM |
| 5.3 实验结果 |
| 5.3.1 数据集 |
| 5.3.2 特征工程 |
| 5.3.3 实验结果评估和对比 |
| 5.4 本章小结 |
| 第六章 总结与展望 |
| 6.1 总结 |
| 6.2 展望 |
| 参考文献 |
| 致谢 |
| 攻读学位期间的研究成果 |
(2)面向Cisco路由器的蜜罐系统关键技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.1.1 选题背景 |
| 1.1.2 研究意义 |
| 1.2 国内外研究现状 |
| 1.2.1 蜜罐技术发展 |
| 1.2.2 蜜罐技术研究分类 |
| 1.2.3 路由器蜜罐研究 |
| 1.3 研究内容 |
| 1.4 论文组织结构 |
| 第二章 Cisco路由器攻击链模型建立 |
| 2.1 Cisco路由器攻击链模型 |
| 2.2 各攻击阶段分析 |
| 2.2.1 网络探测发现阶段 |
| 2.2.2 设备信息收集阶段 |
| 2.2.3 初始访问阶段 |
| 2.2.4 权限提升阶段 |
| 2.2.5 持续驻留阶段 |
| 2.2.6 深度利用阶段 |
| 2.2.7 痕迹清除阶段 |
| 2.3 本章小结 |
| 第三章 虚实结合的路由器蜜罐环境构建 |
| 3.1 蜜罐构建框架结构 |
| 3.1.1 系统概述 |
| 3.1.2 总体功能设计 |
| 3.2 Cisco路由器虚拟化蜜罐的构建 |
| 3.2.1 Cisco路由器硬件结构 |
| 3.2.2 Cisco IOS体系结构及特点 |
| 3.2.3 虚拟路由器的仿真技术 |
| 3.2.4 虚拟路由器蜜罐生成和控制 |
| 3.3 实体路由器蜜罐构建 |
| 3.3.1 外置监控的实体路由器蜜罐结构 |
| 3.3.2 内置监控的实体路由器蜜罐结构 |
| 3.3.3 路由器蜜罐控制方法 |
| 3.4 本章小结 |
| 第四章 基于路由器蜜罐的攻击行为检测 |
| 4.1 蜜罐数据的采集内容及方法 |
| 4.1.1 攻击流量采集 |
| 4.1.2 日志行为记录 |
| 4.1.3 路由器状态信息收集 |
| 4.1.4 内存及指令执行记录 |
| 4.2 基于流量特征的攻击行为判定 |
| 4.3 基于路由器状态信息的攻击行为判定 |
| 4.4 基于内存和指令监控的攻击行为判定 |
| 4.5 基于告警的攻击行为分析流程 |
| 4.6 本章小结 |
| 第五章 基于返回地址内存哈希的ROP攻击定位分析方法 |
| 5.1 相关研究 |
| 5.1.1 ROP防护与检测 |
| 5.1.2 Cisco IOS机制 |
| 5.2 基于内存哈希验证的动态检测方法 |
| 5.2.1 基本定义 |
| 5.2.2 ROP攻击定位方法 |
| 5.2.3 攻击代码捕获方法 |
| 5.3 方法讨论 |
| 5.3.1 返回地址副本的安全性 |
| 5.3.2 查找速度分析 |
| 5.3.3 通用性分析 |
| 5.3.4 代码捕获能力 |
| 5.4 方法验证 |
| 5.4.1 验证环境构建 |
| 5.4.2 可行性验证 |
| 5.4.3 通用性和性能验证 |
| 5.5 本章小结 |
| 第六章 实验验证 |
| 6.1 实验环境 |
| 6.2 路由器蜜罐功能验证 |
| 6.2.1 路由器生成能力验证 |
| 6.2.2 路由器信息收集和告警能力验证 |
| 6.2.3 实网攻击捕获结果分析 |
| 6.3 本章小结 |
| 第七章 总结与展望 |
| 7.1 工作总结 |
| 7.2 研究展望 |
| 致谢 |
| 参考文献 |
| 作者简历 |
(3)基于网络数据流的信息安全态势感知技术研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 1 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 态势提取 |
| 1.2.2 态势理解和预测 |
| 1.3 论文的研究内容 |
| 2 基于SDN蜜网的感知要素提取系统设计与实现 |
| 2.1 相关技术介绍 |
| 2.1.1 DPDK |
| 2.1.2 OVS |
| 2.1.3 Docker容器 |
| 2.2 总体架构设计 |
| 2.3 关键技术 |
| 2.3.1 构造ARP应答包 |
| 2.3.2 构造ICMP应答包 |
| 2.3.3 数据包同步存储 |
| 2.3.4 数据库缓存设计 |
| 2.4 捕获数据分析 |
| 2.5 本章小结 |
| 3 基于主动探测的NoSQL数据库感知要素提取系统设计与实现 |
| 3.1 常见的NoSQL数据库 |
| 3.2 NoSQL数据库默认安装漏洞分析思路 |
| 3.3 实验 |
| 3.3.1 Mongo DB |
| 3.3.2 Redis |
| 3.3.3 Memcached |
| 3.3.4 Elastic |
| 3.3.5 实验结果分析 |
| 3.4 Elastic数据库风险感知系统设计与实现 |
| 3.4.1 整体架构设计 |
| 3.4.2 配置模块设计 |
| 3.4.3 日志模块设计 |
| 3.4.4 多线程模块设计 |
| 3.4.5 IP探测模块设计 |
| 3.4.6 敏感数据检测模块设计 |
| 3.4.7 实验结果 |
| 3.5 防范对策 |
| 3.6 本章小结 |
| 4 总结与展望 |
| 4.1 总结 |
| 4.2 展望 |
| 参考文献 |
| 学位期间的研究成果 |
| 致谢 |
(4)一种基于分布式蜜罐技术防御监测DDoS攻击的方法(论文提纲范文)
| 0前言 |
| 1 DDo S攻击分析 |
| 2 蜜罐技术分析 |
| 3 基于分布式蜜罐技术防御监测DDo S攻击的方法 |
| 4 测试试验 |
| 5 结束语 |
(5)面向工业控制系统的威胁防御技术研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第1章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 工业控制系统网络安全研究现状 |
| 1.2.2 工业控制系统蜜罐诱捕技术研究 |
| 1.2.3 工业控制系统入侵检测技术研究 |
| 1.3 本文研究内容 |
| 1.4 本文结构安排 |
| 第2章 工控蜜罐及IDS关键技术分析 |
| 2.1 工业控制系统 |
| 2.1.1 工业控制系统体系结构 |
| 2.1.2 工业控制系统协议 |
| 2.1.3 工业控制系统脆弱性分析 |
| 2.2 蜜罐诱捕技术介绍 |
| 2.2.1 蜜罐诱捕技术定义 |
| 2.2.2 蜜罐诱捕技术发展历程 |
| 2.2.3 蜜罐诱捕技术类型 |
| 2.3 工控蜜罐诱捕技术 |
| 2.3.1 工控蜜罐与传统蜜罐的差别 |
| 2.3.2 开源工控蜜罐介绍 |
| 2.3.3 伪装诱骗技术 |
| 2.4 蜜网构建技术 |
| 2.4.1 蜜网概述 |
| 2.4.2 数据捕获技术 |
| 2.4.3 流量重定向技术 |
| 2.4.4 数据分析技术 |
| 2.4.5 蜜罐防护技术 |
| 2.5 工控入侵检测技术 |
| 2.5.1 工控入侵检测技术定义 |
| 2.5.2 工控入侵检测技术评价指标 |
| 2.5.3 工控入侵检测技术分类 |
| 2.6 本章小结 |
| 第3章 依赖于高交互蜜罐的工控轻量级虚拟蜜罐构建技术 |
| 3.1 工控轻量级虚拟蜜罐设计思想及意义 |
| 3.2 工控轻量级虚拟蜜罐系统框架 |
| 3.2.1 虚拟蜜罐概述 |
| 3.2.2 虚拟蜜罐架构 |
| 3.2.3 蜜罐工作流程 |
| 3.2.4 请求响应库构建 |
| 3.3 实验测试与分析 |
| 3.3.1 功能测试 |
| 3.3.2 性能测试 |
| 3.4 本章小结 |
| 第4章 基于虚实结合工控蜜网的威胁诱捕技术研究 |
| 4.1 虚实结合工控蜜网设计思想及意义 |
| 4.2 虚实结合工控蜜网架构设计 |
| 4.2.1 基本原理及整体架构 |
| 4.2.2 基本工作流程 |
| 4.3 蜜罐调度 |
| 4.3.1 工控攻击模型 |
| 4.3.2 攻击流检测 |
| 4.3.3 威胁评估 |
| 4.3.4 动态调度规则 |
| 4.3.5 流量重定向 |
| 4.4 实验测试与分析 |
| 4.4.1 功能测试 |
| 4.4.2 性能测试 |
| 4.4.3 实际部署 |
| 4.5 本章小结 |
| 第5章 基于工控IDS的威胁检测技术研究 |
| 5.1 基于分层依赖关系的工控IDS框架 |
| 5.1.1 攻击流量依赖关系定义 |
| 5.1.2 系统整体框架 |
| 5.2 基于LSTM的分层依赖关系提取 |
| 5.2.1 LSTM神经网络介绍 |
| 5.2.2 分层特征提取 |
| 5.2.3 分层依赖关系提取 |
| 5.3 基于自编码器的分层依赖关系整合 |
| 5.3.1 自编码器神经网络介绍 |
| 5.3.2 分层依赖关系整合 |
| 5.4 实验测试与分析 |
| 5.4.1 实验结果评估标准 |
| 5.4.2 数据集 |
| 5.4.3 模型训练 |
| 5.4.4 检测能力评估 |
| 5.4.5 对比实验 |
| 5.5 本章小结 |
| 第6章 总结与展望 |
| 6.1 结论 |
| 6.2 展望 |
| 参考文献 |
| 攻读学位期间取得的科研成果 |
| 致谢 |
(6)基于虚拟网络技术的工控蜜网系统的研究与实现(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 研究背景和意义 |
| 1.2 国内外研究现状 |
| 1.2.1 工业控制系统安全研究现状 |
| 1.2.2 蜜罐的研究现状 |
| 1.3 主要完成的工作 |
| 1.4 论文的组织结构 |
| 2 SCADA系统介绍 |
| 2.1 SCADA系统重要组件 |
| 2.1.1 物理系统 |
| 2.1.2 物理网络连接 |
| 2.1.3 分布式控制系统 |
| 2.1.4 网络 |
| 2.1.5 远程监控 |
| 2.2 城市燃气输配SCADA系统平台 |
| 2.2.1 SCADA平台总体架构 |
| 2.2.2 平台主要硬件 |
| 2.3 城市燃气SCADA系统安全分析 |
| 2.3.1 门户网站安全分析 |
| 2.3.2 网络边界安全分析 |
| 2.3.3 业务系统安全分析 |
| 2.3.4 工控攻击方式分类 |
| 2.4 本章小结 |
| 3 相关技术的研究与分析 |
| 3.1 网络虚拟化技术 |
| 3.1.1 虚拟网络架构 |
| 3.1.2 虚拟网络的实现方案 |
| 3.1.3 虚拟网络工具Mininet |
| 3.2 蜜罐技术 |
| 3.2.1 蜜网技术 |
| 3.2.2 与其他安全概念比较 |
| 3.2.3 蜜罐的分类 |
| 3.2.4 工业控制系统蜜罐 |
| 3.3 本章小结 |
| 4 工控蜜网系统设计 |
| 4.1 系统设计的思想与意义 |
| 4.2 攻击者模型 |
| 4.3 系统网络架构 |
| 4.4 系统功能架构 |
| 4.5 本章小结 |
| 5 工控蜜网系统实现 |
| 5.1 仿真模块实现 |
| 5.1.1 网络层仿真 |
| 5.1.2 协议层仿真 |
| 5.1.3 可视化仿真 |
| 5.2 运维安全模块 |
| 5.2.1 向外连接数控制实现 |
| 5.2.2 抑制攻击包实现 |
| 5.3 数据捕获模块 |
| 5.4 本章小结 |
| 6 系统部署与测试 |
| 6.1 蜜网系统部署 |
| 6.1.1 网络拓扑部署 |
| 6.1.2 配置网桥 |
| 6.2 系统功能测试 |
| 6.3 攻击数据分析 |
| 6.4 本章小结 |
| 7 总结与展望 |
| 7.1 总结 |
| 7.2 展望 |
| 参考文献 |
| 致谢 |
| 个人简历、在学期间发表的学术论文与研究成果 |
(7)基于蜜罐技术的网络安全防御系统的设计与实现(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 选题背景及意义 |
| 1.2 研究现状 |
| 1.2.1 蜜罐技术研究现状 |
| 1.2.2 网络安全研究现状 |
| 1.3 课题研究内容 |
| 1.4 论文结构安排 |
| 第二章 相关技术概述 |
| 2.1 蜜罐技术 |
| 2.1.1 蜜罐的概念和特点 |
| 2.1.2 蜜罐的分类 |
| 2.1.3 蜜罐取证关键技术 |
| 2.1.4 Honeyd蜜罐 |
| 2.1.5 虚拟蜜罐技术 |
| 2.1.6 法律方面 |
| 2.2 蜜网技术 |
| 2.2.1 蜜网的概念 |
| 2.2.2 蜜网的体系结构 |
| 2.3 网络扫描技术 |
| 2.3.1 主机扫描 |
| 2.3.2 端口扫描 |
| 2.3.3 操作系统识别 |
| 2.4 本章小结 |
| 第三章 系统需求分析与设计 |
| 3.1 系统需求分析 |
| 3.1.1 需求分析概述 |
| 3.1.2 系统功能性需求 |
| 3.1.3 系统非功能性需求 |
| 3.2 系统总体设计 |
| 3.2.1 系统总体结构 |
| 3.2.2 网络扫描模块 |
| 3.2.3 决策模块 |
| 3.2.4 蜜罐模块 |
| 3.3 系统工作流程 |
| 3.4 本章小结 |
| 第四章 系统实现 |
| 4.1 系统环境要求 |
| 4.2 系统模块实现 |
| 4.2.1 网络扫描模块 |
| 4.2.2 决策模块 |
| 4.2.3 低交互蜜罐 |
| 4.2.4 蜜网模块 |
| 4.3 本章小结 |
| 第五章 系统测试 |
| 5.1 实验概述 |
| 5.2 功能测试 |
| 5.2.1 决策模块 |
| 5.2.2 低交互蜜罐模块 |
| 5.2.3 蜜网模块 |
| 5.3 性能分析 |
| 5.3.1 交互程度分析 |
| 5.3.2 安全性分析 |
| 5.3.3 部署和维护难易程度 |
| 5.4 本章小结 |
| 第六章 总结与期望 |
| 6.1 工作总结 |
| 6.2 工作展望 |
| 致谢 |
| 参考文献 |
(8)基于区块链技术的阵列蜜罐研究(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究背景与意义 |
| 1.2 国内外研究现状 |
| 1.2.1 蜜罐技术 |
| 1.2.2 区块链技术 |
| 1.3 论文主要研究内容 |
| 1.4 论文章节安排 |
| 第二章 课题相关知识概述 |
| 2.1 蜜罐技术简介 |
| 2.1.1 技术发展 |
| 2.1.2 防护过程 |
| 2.2 区块链技术简介 |
| 2.3 博弈论简介 |
| 2.3.1 理论概述 |
| 2.3.2 不完全信息博弈 |
| 2.4 本章小结 |
| 第三章 基于区块链的阵列蜜罐模型 |
| 3.1 阵列蜜罐模型描述 |
| 3.2 协同控制机制设计 |
| 3.3 同步通信机制设计 |
| 3.4 Alloy安全性分析 |
| 3.4.1 Alloy形式化描述 |
| 3.4.2 攻击分析及解决方案 |
| 3.5 本章小结 |
| 第四章 基于不完全信息博弈的阵列蜜罐有效性证明 |
| 4.1 阵列蜜罐博弈模型 |
| 4.2 基于不完全信息博弈的阵列蜜罐方案 |
| 4.2.1 防御模型形式化描述 |
| 4.2.2 服务器端均衡 |
| 4.2.3 低攻击概率下贝叶斯均衡 |
| 4.2.4 高攻击概率下贝叶斯均衡 |
| 4.2.5 防御方案有效性 |
| 4.3 仿真验证 |
| 4.3.1 Gambit仿真验证 |
| 4.3.2 MATLAB收益曲线 |
| 4.4 本章小结 |
| 第五章 系统原型设计与实验验证 |
| 5.1 系统攻防架构 |
| 5.2 系统模块 |
| 5.2.1 区块链模块 |
| 5.2.2 服务管理模块 |
| 5.2.3 数据加密模块 |
| 5.2.4 数据通信模块 |
| 5.3 系统运行结果 |
| 5.4 本章小结 |
| 第六章 系统安全性测试及分析 |
| 6.1 攻击环境搭建 |
| 6.2 真实服务分布测试 |
| 6.3 扫描攻击测试 |
| 6.4 窃听攻击测试 |
| 6.5 DoS攻击测试 |
| 6.5.1 网络性能测试 |
| 6.5.2 服务响应时间测试 |
| 6.6 本章小结 |
| 总结和展望 |
| 附录 |
| 参考文献 |
| 攻读硕士学位期间取得的学术成果 |
| 致谢 |
(10)信息系统检测发现与应急处置平台设计与实现(论文提纲范文)
| 摘要 |
| abstract |
| 第1章 绪论 |
| 1.1 研究目的和意义 |
| 1.2 研究领域背景和国内外研究现状 |
| 1.3 论文主要内容 |
| 1.4 论文组织结构 |
| 第2章 检测发现与应急处置平台概要 |
| 2.1 平台建设目标 |
| 2.2 平台建设思路 |
| 2.3 平台技术方案 |
| 2.3.1 架构设计 |
| 2.3.2 运行环境设计 |
| 2.3.3 业务网设计 |
| 2.3.4 性能设计 |
| 2.3.5 主要软硬件选型原则与分析 |
| 2.4 本章小结 |
| 第3章 检测发现和应急处置平台的设计与实现 |
| 3.1 平台介绍 |
| 3.2 分布式蜜罐系统 |
| 3.2.1 体系结构设计 |
| 3.2.2 接口设计与实现 |
| 3.2.3 数据库设计与说明 |
| 3.2.4 SSH蜜罐详细设计与实现 |
| 3.2.5 Web蜜罐详细设计与实现 |
| 3.3 漏洞检测逆向分析系统 |
| 3.3.1 体系结构设计 |
| 3.3.2 接口设计与实现 |
| 3.3.3 数据库设计和说明 |
| 3.3.4 CSCI详细设计与实现 |
| 3.4 安全态势评估系统 |
| 3.4.1 CSCI体系结构设计 |
| 3.4.2 接口设计与实现 |
| 3.4.3 数据库设计与说明 |
| 3.4.4 安全态势评估系统详细设计与实现 |
| 3.5 网络攻击模拟系统 |
| 3.5.1 CSCI体系结构设计 |
| 3.5.2 接口设计与实现 |
| 3.5.3 数据库设计与说明 |
| 3.5.4 CSCI详细设计与实现 |
| 3.6 应急处置指挥系统 |
| 3.6.1 体系结构设计 |
| 3.6.2 接口设计与实现 |
| 3.6.3 数据库设计 |
| 3.6.4 CSCI详细设计与实现 |
| 3.7 本章小结 |
| 第4章 检测发现与应急处置平台的测试 |
| 4.1 信息收集 |
| 4.1.1 应用协议探测 |
| 4.1.2 获取get返回的信息 |
| 4.1.3 支持探测HTTP/FTP/TFTP服务器漏洞信息 |
| 4.1.4 端口扫描 |
| 4.1.5 SSL服务器安全性评估 |
| 4.2 漏洞分析 |
| 4.2.1 网络漏洞扫描 |
| 4.2.2 数据库弱口令探测 |
| 4.2.3 使用sql注入漏洞探测 |
| 4.3 入侵检测和防火墙联动测试 |
| 4.3.1 告警性能测试 |
| 4.3.2 事件告警测试 |
| 4.3.3 与防火墙联动测试 |
| 4.4 本章小结 |
| 第5章 结论和展望 |
| 参考文献 |
| 致谢 |
四、虚拟分布式蜜罐技术在入侵检测中的应用(论文参考文献)
- [1]基于探针和神经网络的APT攻击样本获取及分析方法研究[D]. 顾鸿杰. 江西理工大学, 2021(01)
- [2]面向Cisco路由器的蜜罐系统关键技术研究[D]. 李鹏宇. 战略支援部队信息工程大学, 2021(01)
- [3]基于网络数据流的信息安全态势感知技术研究[D]. 孙伟明. 浙江理工大学, 2020(06)
- [4]一种基于分布式蜜罐技术防御监测DDoS攻击的方法[J]. 汤辉,付康,胡少文. 江西通信科技, 2020(03)
- [5]面向工业控制系统的威胁防御技术研究[D]. 张壮壮. 太原理工大学, 2020(07)
- [6]基于虚拟网络技术的工控蜜网系统的研究与实现[D]. 胡迪. 郑州大学, 2020(02)
- [7]基于蜜罐技术的网络安全防御系统的设计与实现[D]. 李珍珍. 东南大学, 2019(10)
- [8]基于区块链技术的阵列蜜罐研究[D]. 李阳. 中国石油大学(华东), 2019(09)
- [9]蜜罐技术研究新进展[J]. 石乐义,李阳,马猛飞. 电子与信息学报, 2019(02)
- [10]信息系统检测发现与应急处置平台设计与实现[D]. 甄延明. 北京理工大学, 2016(06)