返回
一种数据捕获策略的研究与实现

一种数据捕获策略的研究与实现

ID:26457157

大小:51.00 KB

页数:4页

时间:2018-11-27

一种数据捕获策略的研究与实现_第1页
一种数据捕获策略的研究与实现_第2页
一种数据捕获策略的研究与实现_第3页
一种数据捕获策略的研究与实现_第4页
资源描述:

《一种数据捕获策略的研究与实现》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、一种数据捕获策略的研究与实现摘要:近年来,网络安全问题日益严重,针对网络攻击方与防御方存在着不对称的技术博弈问题,提出一种利用sebek技术实现数据捕获的改进方案。该文首先详细分析了sebek的特点�p工作原理和实现机制,通过调试发现运行中的缺陷并给出解决方法,然后进行验证,对sebek在  关键词:sebek;数据捕获;蜜罐;入侵检测;网络安全  中图分类号:TP393文献标识码:A:1009-3044(2016)34-0072-04  Abstract:Inrecentyears,beesmoreandmoreserious

2、,forthequestionofthemetrictechnologygame,thepaperproposesamodifiedsolutionofrealizingdatacapturebysebektechnology.Atfirstthispapertriestoanalysethecharacteristics,plementationmechanismofsebekindetail,throughdebuggingfindsoutdefectsandgivesthesolutioninoperation,andth

3、enverifiesthesolution,byoptimizingfurther,sebekcanrunsmoothlyunder.Basedonthat,thepaperimplementstheproposalofdatacapturebysebektechnologyinhoney.Theexperimentalresultsshowthattheproposalcaneffectivelycapturetheinvasionbehaviorinwork,realizesthefunctionofdatacapturin

4、g,andprovidesthebasisfornextdataanalysis.  Keywords:sebek;datacapture;honeypot;intrusiondetection;worksecurity  1概述  近年来,网络安全形势日益严峻,平均每20秒就发生一次入侵计算机网络的事件。网络攻击方与防御方存在着不对称的技术博弈问题[1],攻击方只要在任何时间找到目标的一个漏洞就能攻破系统,而防御方必须确保系统不存在任何可被攻击者利用的漏洞,并拥有全天候的监控机制,才能确保系统的安全。  为了解决这个问题,蜜网

5、项目组[2](theHoneyProject)提出了诱骗的概念,即在一个可控的网络环境中,诱骗入侵者进行入侵,在入侵者没有察觉的情况下对入侵行为进行捕获,分析入侵者的意图,并让入侵者一无所获,从而避免损失。  2相关工作  利用sebek在蜜网中实现数据捕获是蜜网项目组提出的一种关键的数据捕获方案,sebek是由蜜网项目组(theHoneyProject)在2001年至2003年间开发的用于数据捕获的内核模块,该模块常被用于蜜网中实现数据捕获功能,也可以单独使用,国�榷云溲芯拷仙伲�大多数是针对蜜网的研究,如由北京大学诸葛建伟博

6、士主持的狩猎女神项目组[3],多年来一直专注于蜜网技术及其应用研究,取得了很多成果,但是针对sebek的特点�p工作原理和实现机制研究较少。  本文详细分析了sebek的特点�p工作原理和实现机制,进而通过调试发现了源码中的缺陷并给出解决方法,然后进行验证,在此基础上,实现了利用sebek在蜜网中进行数据捕获的解决方案并进行了测试。  3sebek关键技术分析  sebek是运行在内核空间的一段代码,它能记录系统用户存取的一些或者全部数据,具体包括:记录加密会话中的击键,恢复使用SCP拷贝的文件,捕获远程系统被记录的口令,恢复使

7、用Burneye保护的二进制程序的口令等。  3.1数据封包模块  sebek体系结构如图1所示,客户端部署在蜜网体系结构的蜜罐中,服务端部署在蜜网网关上,数据捕获并且封装成数据包是在客户端实现的,当外部入侵者通过inter连接入侵了装有sebek客户端的蜜罐A主机时,蜜罐A主机中的sebek会在入侵者没有察觉的情况下捕获外部入侵行为,然后把捕获的入侵数据封装成数据包通过局域网传给蜜网网关,在蜜网网关中装有sebek的服务端程序,它截获客户端发来的数据包并对外部入侵行为进行分析。  通过分析发现,sebek重定向了系统调用,把原

8、有的系统调用函数替换成自定义的函数,这个新的函数再来调用原有的系统调用函数,并把原有系统调用函数读取的数据记录下来,然后在WritePacket函数中实现数据的封包,图2为sebek数据包的包头结构[4],关键字段的数据类型和功能如表1所示。  sebek数据包

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。