返回
蜜网中基于linux平台的蜜罐技术的研究

蜜网中基于linux平台的蜜罐技术的研究

ID:9571256

大小:51.50 KB

页数:3页

时间:2018-05-02

蜜网中基于linux平台的蜜罐技术的研究_第1页
蜜网中基于linux平台的蜜罐技术的研究_第2页
蜜网中基于linux平台的蜜罐技术的研究_第3页
资源描述:

《蜜网中基于linux平台的蜜罐技术的研究》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、蜜网中基于Linux平台的蜜罐技术的研究摘 要 传统蜜罐有着不少的优点,比如收集数据的保真度,不依赖于任何复杂的检测技术等。然而随着应用的广泛,传统蜜罐的缺点也开始显现了出来。取而代之的是由一组高交互用来获取广泛威胁信息的蜜罐组成的蜜网。本文针对蜜网中蜜罐所面临的挑战:捕获工具隐藏、加密会话数据的捕获、数据传输隐蔽通道,给出了详细的解决方案。关键词 蜜罐;Linux;模块隐藏;加密会话捕获;隐蔽通道1引言蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷[1]。它以牺牲真实的没有打补丁的操作系统(一般以Linux为平台)为代价欺骗入侵者以达到采集黑客攻击方法和保护真实主机目标。传统蜜罐有

2、着不少的优点,比如收集数据的保真度,蜜罐不依赖于任何复杂的检测技术等[2],因此减少了漏报率和误报率。使用蜜罐技术能够收集到新的攻击工具和攻击方法,而不像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。但是随着应用的广泛,传统蜜罐的缺点也开始暴露了出来,综合起来主要有3个方面:(1)蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,其视图不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。(2)蜜罐技术不能直接防护有漏洞的信息系统并有可能被攻击者利用带来一定的安全风险。(3)攻击者的活动在加密通道上进行(IPSec,SSH,SSL,等等)增多,数据捕获后需要花费时间

3、破译,这给分析攻击行为增加了困难。针对以上问题出现了蜜网技术[3]。蜜网技术实质上是一类研究型的高交互蜜罐技术,与传统蜜罐技术的差异在于,蜜网构成了一个黑客诱捕网络体系架构,在这个架构中,可以包含一个或多个蜜罐,同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。图1给出了蜜网的结构及其蜜罐在蜜网中的位置。其中最为关键的部件为称为HoneyAC地址,因此对黑客而言,Honeyodule文件来查看到。当特权用户root调用/sbin/insmod命令加载模块时会有一个系统调用sys_create_module()[7],这个函数在Linux2.4的源代码中位于ker

4、nel/module.c。它会将含有新加载的模块信息的数据结构structmodule插入到名为moudle_list的模块链表中去。281sys_create_module(constchar*name_user,size_tsize)282{……309mod->next=module_list;310mod->name=(char*)(mod+1);311mod->size=size;312memcpy((char*)(mod+1),name,namelen+1);313314put_mod_name(name);315316module_list=mod;……3

5、25}可以看出当一个模块加载时,它被插入到一个单向链表的表头。黑客们在攻入蜜罐系统后,可以根据以上存在的漏洞,找出他们认为是可疑的蜜罐捕获模块并从内核卸载模块,这样蜜罐也就失去了它的功能。为了达到隐藏模块的目的就必须在加载模块后,将指向该模块的链表指针删除,这样通过遍历表查找时就再也无法找到该模块了,实现的代码如下:……structmodule*mod_current;mod_current=__this_module;od_current.next){if(strcmp(mod_current.next,str));/*str为模块的名称*/{mod_current.next=mod

6、_current.next->next;/*删除了数据捕获模块*/break;}elsemod_current=mod_current.next;}……3.1.2进程隐藏进程是一个随执行过程不断变化的实体。在Linux系统运行任何一个命令或程序系统时都会建立起至少一个进程来执行。这样蜜罐捕获程序必定会在系统中运行多个进程,利用类似于ps这样查询进程信息的命令便可以得到所有的进程信息,这样很容易就会暴露蜜罐的存在。由于在Linux中不存在直接查询进程信息的系统调用,类似于ps这样查询进程信息的命令是通过查询proc文件系统来实现的。proc文件系统是一个虚拟的文件系统,它通过文件系

7、统的接口实现,用于输出系统运行状态。它以文件系统的形式,为操作系统本身和应用进程之间的通信提供了一个界面,使应用程序能够安全、方便地获得系统当前的运行状况以及内核的内部数据信息,并可以修改某些系统的配置信息。由于proc以文件系统的接口实现,因此可以象访问普通文件一样访问它,但它只存在于内存之中,因此可以用隐藏文件的方法来隐藏proc文件系统中的文件,以达到隐藏进程的目的。首先必须了解查询文件信息的原理。Linux系统中用来查询文件信息的系统调

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。