蜜罐技术

摘要： 新一代蜜罐技术具备更好的伪装性与反向渗透能力,而且由于低成本性,在中小企事业单位的网络安全方面将大有可为。文章举例介绍了以基于BeEF框架以蜜罐为核心的诱捕系统的搭建,有效地阻止了攻击者的入侵。

摘要： 蠕虫与病毒、木马等同属于常见的恶意代码,它可以通过文件共享攻击、缓冲区溢出探测等方式侵占目标主机,造成系统瘫痪和重要数据丢失。随着网络安全技术的发展,蠕虫防御和检测技术也取得了长足进步。本文首先介绍了蠕虫的网络增长模式,随后介绍了几种常见的蠕虫防御和检测技术,如防火墙保护、网络入侵检测、蜜罐技术以及Ethical蠕虫与反击技术等。随后设计了一种基于计算机网络的蠕虫防御与检测系统,并对该系统的实时监控模块、内核服务函数挂钩模块展开简要分析,为现代计算机网络实现蠕虫的主动防御和智能检测提供了技术支持。

摘要： 工业控制系统是工业生产过程的控制枢纽,在国际网络安全形势愈发严峻的背景下,越来越多的攻击者将目标锁定在工业控制系统上,爆发了一系列造成严重影响的工控网络安全事件。作为一种主动防御技术,工控蜜罐正逐渐成为目前行业的研究热点。在调研现有相关工作的基础上,从蜜罐基本概念、工控蜜罐关键技术、应用实例和发展趋势对目前的研究工作进行梳理,并针对核电DCS系统的网络架构,研究了S7协议、操作系统等“诱惑陷阱”在Docker容器中的虚拟化技术,实现了TXP系统仿真蜜罐的设计。为了验证蜜罐系统的防护效果,在核电TXP系统中进行了蜜罐部署并通过脚本模拟攻击行为,结果表明,系统能够准确捕获攻击流量并对内容进行解析识别,成功诱骗非法渗透内网的攻击者进入由蜜网组成的虚拟环境并进行告警,全面提升TXP系统内发现、记录、溯源攻击行为的威胁感知能力。

摘要： 为了提高企业网络在运行中的安全性与稳定性,解决传统防御系统在运行中存在的有效防御信息识别量不足的问题,引入蜜罐技术设计了一种针对企业网络的黑客入侵防御系统。文章主要从蜜罐主机和数据库服务器两个方面,对防御系统的硬件结构开展设计。在硬件的支撑下,以企业原有硬件结构框架为基础,随机填充框架内容,以此探测与响应网络黑客目标;通过前端识别与定位到的目标,设置网络IP地址“黑名单”或“白名单”,实现网络安全的定向防御。通过对比实验证明,设计的防御系统能够对企业网络黑客实现有效防御,并且具备更高的防御性能。

摘要： 本文介绍了蜜罐技术的基本概念、结构特点及其发展和分类,分析了蜜罐技术所涉及的关键技术,并对蜜罐技术在网络安全领域的应用进行了研究分析,突出强调蜜罐技术对于网络安全的重要性和必要性,从而构建起更严密、更安全的网络安全防御体系。

摘要： 针对现有网络安全防护系统采用被动式防御,无法快速对未知的攻击手段作出有效响应且防御能力差等问题,设计开发了一套基于蜜罐技术的局域网安全防御系统。该系统通过其部署的蜜罐诱导攻击者的入侵方向,捕获攻击者与网络服务器中的漏洞信息。同时,利用访问控制模块约束攻击者的访问权限,并提高局域网的安全防御能力。该系统测试与实验结果说明,部署该系统的局域网在遭受非法入侵时,能够准确记录入侵主机的异常访问信息及网络活动信息,便于管理员的后续分析处理。通过对比实验充分验证了系统的有效性与可靠性。

摘要： 蜜罐技术的出现使网络防御战由被动转向主动,企业借助该技术能够及时发现系统漏洞。基于此,笔者首先介绍了蜜罐技术的基本概念、发展、部署和工作方式,其次对该技术涉及的欺骗技术、数据捕获技术、数据控制技术和蜜网技术进行分析,最后探讨了蜜罐技术在企业中的应用,以期为相关研究提供借鉴。

摘要： 针对当前防御方法在抵御网络攻击时存在入侵成功概率高、入侵时间短的问题,引入K-means算法和蜜罐技术,开展对网络攻击主动防御方法的设计研究。利用K-means算法对网络运行环境的安全状态进行识别;利用蜜罐技术实现对网络攻击主动防御引擎的开发;为向主动防御提供依据,构建网络攻击告警联动属性攻击图,实现对网络攻击的主动防御,并对防御事件进行聚类处理。通过对比实验的方式,将所提防御方法与基于网络防御知识图谱的防御方法应用到同一实验环境中,证明所提方法防御性能更强。

摘要： 为解决传统加密系统密文安全性低的问题,本文以医院档案为研究对象,利用蜜罐技术对加密管理系统进行优化。本系统利用蜜罐技术分析医院档案的攻击特征,确定医院档案加密方式,通过生成密钥对明文进行加密,并通过密钥分配、更新等步骤实现档案加密管理。通过系统测试得出结论:该系统输出密文的相关性和密钥的敏感性均满足安全性要求且解密时间较长,由此证明该系统的加密管理功能具有较高优势。

摘要： 提出基于大数据的主动防御技术在电力信息网络安全的应用分析研究,主要就具于多源日志的行为溯源技术、蜜罐技术以及态势感知技术的应用方法以及价值展开分析。

摘要： 信息网络社会的飞速发展加速了社会大众对于信息安全的认识.大众的防范意识以及计算机安全厂商各种安全防护产品使得一般的计算机攻击得到了有效防范.然而一种新型的长期持续的并且具有高威胁性的攻击手段孕育而生,那就是APT攻击.使用结合蜜罐技术的防御手段来抵御APT攻击是一个很好的解决方案.通过描述APT攻击和蜜罐技术各自的特点来阐述蜜罐技术抵御APT攻击的优势,详细介绍蜜罐技术所发展出的几大类型,结合国内外现有的蜜罐产品采探讨基于APT攻击的蜜罐技术的发展.蜜罐技术可以在用户受到攻击前给安全人员提供足够的时间去了解分析学习入侵者的攻击，从而制定针对的安全策略来保护用户计算机。当然，随着蜜罐技术的普及，入侵者肯定也会在攻击的时候来识别蜜罐从而绕开蜜罐。如何隐藏蜜罐不被发现，如何提高入侵者进入蜜罐、使用蜜罐的概率，将是蜜罐技术下一步发展的方向。

摘要： 随着网络环境的逐渐复杂,网络安全问题日益突出.传统的防御技术存在其固有的被动防御缺陷,已经无法满足人们的需要,而蜜罐技术作为一种主动防御技术弥补了传统防护系统的不足.本文从蜜罐技术的概念出发,介绍了蜜罐技术的价值和基本工作原理,并从三个方面研究了蜜罐技术在网络安全实践中的应用,重点分析了蜜罐和入侵检测系统的结合应用流程,提出了一种基于蜜罐技术的入侵检测模型.

摘要： 目前计算机取证大多在犯罪事件发生后对目标系统进行静态分析取证，存在一定的局限性。通过分析当前主要计算机犯罪方式，将计算机取证与蜜罐思想相结合，提出了一种利用蜜罐技术，在计算机犯罪实施过程中实时取证的主动取证方法，保证证据的有效性，同时也避免了对真实数据的破坏。

摘要： 智能电网是传统电网和现代信息技术融合的新一代电网.在国家节能减排、绿色生态发展中起着重要的作用.智能电网信息安全是整个电网系统中尤为重要的一环.本文首先针对智能电网的一些特点,阐述了智能电网信息安全需求;接着分析了智能电网面临的信息安全威胁;然后对信息安全威胁防御措施进行了研究,分析了南方电网公司应对勒索病毒的防御措施;最后从技术层面实现了一些防御信息安全威胁的手段,设计了蜜罐技术等多种防御模型.

摘要： 近年来，随着信息时代的到来，网络成为了一把双刃剑，为人们的学习和生活带来了极大便利的同时，也给不法分子的网络入侵提供了途径。这就需要计算机安全防护由被动防御转向主动，因此蜜罐技术作为一种应用诱骗思想的主动防御技术引起了人们很大的关注。将蜜罐技术与IDS结合，使信息安全管理者在新增的电子邮件报警功能中，通过发送处理后的日志记录，准确地了解攻击情况。给出了一个基于蜜罐技术的入侵检测模型。很大程度上提高了入侵检测系统对安全事件的响应能力，体现了蜜罐技术在互联网安全威胁方面的优势和价值。

摘要： 随着互联网的不断发展,人们对于通过互联网访问数字图书馆的频率越来越高,图书馆的网络安全问题日益突出.传统的防火墙和入侵检测等被动防御技术已经不能够满足图书馆的网络安全需求,蜜罐技术作为一种新兴的主动防御技术,在图书馆的计算机网络中应该得到一定的应用.借助于Click软件路由器的强大路由处理功能，将网络望远镜和入侵检测的思想融入到蜜罐技术中，解决了蜜罐技术中如何吸引攻击和如何监控攻击的两个难题，相较于传统蜜罐Honeyd , Ho-neyBow等，具备监控范围广，捕获能力强，高度可控，安全性好和可扩展性高等特点，半年多的实验验证了CPot的这些特性。这些特性对于发展迅速的数字图书馆而言，具有十分重要的使用价值，能极大地增强数字图书馆网络的安全性。

摘要： 蜜罐技术是一种被动的网络防御技术。其对网络资源的保护和实现网络诱骗的能力都非常局限。在传统蜜罐模型上引入重定向技术，以提高蜜罐的实际应用价值。该模型通过编写程序对检测到的入侵进行报警，并通过修改iptables的nat表，利用重定向技术将检测地入侵数据导入到蜜罐中进行观察记录，实现了入侵检测技术、蜜罐技术与防火墙技术的联动，达到主动防御的目的。实验结果表明达到了预期效果。

摘要： 本文提出了一种融合防火墙、入侵检测和蜜罐技术的自适应网络安全防护方案,首先介绍了方案的整体设计,然后详细论述了各功能模块的设计方法。该方案不仅能有效检莉和防御已知攻击,同时还引入蜜罐进行自主学习来发现未知攻击,运用数据挖掘方法,提取和更新安全策略,具有较好的自适应性。

摘要： 为解决结构化P2P网络中蠕虫发现时间长、准确率低的问题,提出了基于蜜罐技术的蠕虫发现策略.通过在P2P节点的文件索引哈希表中设置代表蜜罐节点地址信息的(K,V)对,将P2P蠕虫引入蜜罐中,并通过设置过滤名单提高P2P蠕虫的发现准确率。通过在模拟环境中的实验和对比,证明了该发现策略能够在P2P蠕虫爆发后的第一轮感染过程中将蠕虫引入蜜罐并准确的识别出P2P蠕虫.为结构化对等网络的蠕虫发现提供了新的方法。

摘要： 高交互蜜罐是信息安全研究人员用于收集网络攻击信息的重要工具,但攻击者也常常会利用蜜罐主机自身的特点探测其存在进而绕开陷阱,严重降低蜜罐主机的有效性。本文根据高交互蜜罐主机的特点,分析总结出攻击者常用的蜜罐识别技术原理,并给予具体攻击行为刻画与实例分析。高交互蜜罐主机识别技术的原理与实例分析将为安全人员进行蜜罐高效部署与维护提供决策依据;攻击者恶意行为模式的刻画也可为蜜罐主机识别规避与反探测等主动安全防御方式提供强有力的理论与技术支持。

摘要： 本发明公开了基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统。所述方法包括：接收请求者发送的远程过程调用RPC请求；查找与所述RPC请求匹配的响应规则；根据与所述匹配的响应规则对应的响应模板，为所述RPC请求生成模拟响应内容；向请求者返回生成的模拟响应内容。该技术方案的有益效果在于，能够针对向区块链发起的RPC类型的请求，并根据响应模板进行有效的响应，使疑似攻击的请求方被欺骗认为访问的是真实的RPC端口，从而实现了有效获取攻击信息，便于后续进行分析和防御。

摘要： 本发明的实施例提供了一种蜜罐攻击链构建方法及蜜罐系统，涉及网络安全技术领域。该方法应用于蜜罐系统，蜜罐系统包括蜜罐、靶标、数据网关及处理平台。该方法包括：数据网关获取攻击者发送的每个请求。数据网关将每个请求发送至蜜罐和靶标。蜜罐根据每个请求，分别获得第一攻击信息，并将第一攻击信息发送至处理平台。靶标根据每个请求，分别获得第二攻击信息，并将第二攻击信息发送至处理平台。处理平台根据获取的所有与攻击者相关的第一攻击信息和第二攻击信息，还原攻击者的攻击链。如此，通过设置相应靶标以满足蜜罐所不具备的业务需求，获得靶标和蜜罐返回的攻击信息，还原攻击者真实的攻击链，即攻击过程。

摘要： 本发明属于工控系统防御技术领域，特别涉及一种基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐，收集工控系统上位机和工业控制器PLC之间的通信数据，解析获取通信数据中的协议相关数据；依据工程配置文件和协议相关数据来构建PLC虚拟内存仿真器；并建立用于模拟工控系统控制逻辑及其变化过程的工控内存数据模型，生成相关内存配置文件添加到内存配置文件库中；利用对应内存配置文件将工控系统控制逻辑及其变化过程映射到PLC虚拟内存仿真器中，通过PLC虚拟内存仿真器模拟控制逻辑动态变化来应对攻击者请求。本发明能够提高工控蜜罐系统仿真模拟功能，有效避免攻击者识别，便于捕获更多、更复杂的工控系统攻击行为，保证工控系统的安全稳定性。

摘要： 本发明公开了一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质，用以解决现有技术中存在的物联网蜜罐的交互程度低、端口兼容性差、以及部署难度大、成本高的技术问题，该方法包括：确定攻击者踏入的陷阱端口，并获取陷阱端口对应的路由表；其中，路由表用于穷举陷阱端口包含的各种漏洞对应的标准流量特征及对应的标准交互类型，每个标准流量特征与对应标准交互类以流量特征过滤规则的形式存储于对应路由表中；根据攻击者的流量特征信息与路由表中流量特征过滤规则的命中结果，确定流量特征信息对应的实际交互类型；获取与实际交互类型对应的交互规则，生成符合攻击者的交互意图的交互欺骗信息，并返回给攻击者。

摘要： 本发明公开了基于蜜罐技术的CNC设备仿真方法、系统和工控蜜罐，其中，工控设备包括可编程逻辑控制器PLC设备和数控机床CNC设备；CNC设备仿真方法，包括：将PLC设备和CNC设备的配置文件加载至蜜罐服务器，其中，配置文件包括PLC设备和CNC设备的配置信息；根据PLC设备或CNC设备的配置信息，仿真模拟PLC设备或CNC设备；启动工控网络的监听线程，接收工控网络流入的访问数据；使用仿真模拟的PLC设备或CNC设备，处理工控网络流入的访问数据。本发明的技术方案能够解决现有技术中工控系统中CNC设备容易遭到入侵者攻击的问题。

摘要： 本发明涉及一种网络安全技术，目的是公开一种基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法。通过阐述Neutron网络原理与设定或结合蜜罐网络：采用GRE的网络模式，通过br‑int桥上的流表就需要引流的数据包通过br‑tun运到蜜罐虚拟机，采用隧道模式，能保证在不需要修改请求包的源地址的情况下，响应包能原路返回，在br‑int通过对响应包进行修改，客户端能正常收到响应包。本发明能将异常流引流到蜜罐，跟踪记录整个过程并对追踪攻击路径，通过蜜罐分析，发现系统本身业务漏洞而进行安全防护。

摘要： 本发明提供一种基于蜜罐技术的溯源方法、装置及蜜罐设备，所述方法包括：获取疑似恶意攻击行为的相关信息；根据所述疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机；若存在，则向所述恶意主机进行主动探测，并获得探测结果；根据所述探测结果向所述恶意主机上传远程执行脚本，以获取关键溯源信息。该方法、装置及蜜罐设备能够解决现有的蜜罐技术仅可以感知到恶意攻击，除了记录攻击行为日志以外，只能被动防御的问题。

摘要： 本发明公开了基于蜜罐技术的CNC设备仿真方法、系统和工控蜜罐，其中，工控设备包括可编程逻辑控制器PLC设备和数控机床CNC设备；CNC设备仿真方法，包括：将PLC设备和CNC设备的配置文件加载至蜜罐服务器，其中，配置文件包括PLC设备和CNC设备的配置信息；根据PLC设备或CNC设备的配置信息，仿真模拟PLC设备或CNC设备；启动工控网络的监听线程，接收工控网络流入的访问数据；使用仿真模拟的PLC设备或CNC设备，处理工控网络流入的访问数据。本发明的技术方案能够解决现有技术中工控系统中CNC设备容易遭到入侵者攻击的问题。

摘要： 本发明的实施例提供了一种基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器，涉及网络技术领域。该基于蜜罐的防御方法，应用于蜜罐管理服务器，包括：确定设置有监听模块的蜜罐设备，该蜜罐设备是处于现实应用场景的且未处于虚拟机环境的实体设备；基于设置有监听模块的蜜罐设备对攻击者的入侵行为进行监听。因此，本发明实施例提供的技术方案，是一种基于现实环境的蜜罐技术，能够缓解现有的蜜罐技术存在辨识难度系数较低易被攻击者识破的问题，提高攻击者的辨识难度系数，有利于提高诱捕效果和成功率。

摘要： 本发明涉及一种网络安全技术，目的是公开一种基于GRE网络结合SDN技术和蜜罐技术的网络安全防护方法。通过阐述Neutron网络原理与设定或结合蜜罐网络：采用GRE的网络模式，通过br‑int桥上的流表就需要引流的数据包通过br‑tun运到蜜罐虚拟机，采用隧道模式，能保证在不需要修改请求包的源地址的情况下，响应包能原路返回，在br‑int通过对响应包进行修改，客户端能正常收到响应包。本发明能将异常流引流到蜜罐，跟踪记录整个过程并对追踪攻击路径，通过蜜罐分析，发现系统本身业务漏洞而进行安全防护。