学位论文 > 优秀研究生学位论文题录展示

Windows环境下的虚拟高交互蜜罐系统的识别技术研究

作 者: 沈磊
导 师: 郭庆
学 校: 哈尔滨工业大学
专 业: 信息与通信工程
关键词: 蜜罐 蜜罐识别 VMware Sebek IATHD SSDTHD
分类号: TP393.08
类 型: 硕士论文
年 份: 2011年
下 载: 37次
引 用: 0次
阅 读: 论文下载
 

内容摘要


蜜罐技术是一项网络安全技术,它不同于防火墙和入侵检测系统。它通过被扫描、被攻击或攻陷从而获取攻击者的攻击方法和攻击工具。随着互联网应用范围的不断扩大,网络安全正面临着前所未有的挑战。传统的防火墙和入侵检测系统受其自身特性影响对很多网络攻击事件无能为力,蜜罐技术作为一种新兴的网络安全技术以其独特的思想,很快在网络安全体系中脱颖而出。蜜罐识别技术的研究目前尚处于起步阶段,通过对一些现有的识别技术的研究,发现现有的蜜罐识别技术和工具功能有限、局限性大,对系统版本的更新换代支持不够,特别是在Windows操作系统下的蜜罐识别技术研究则更加欠缺。本文以Windows操作系统下的虚拟高交互蜜罐系统为研究对象,提出并改进了对Sebek数据捕获软件的识别方法,制作了软件综合检测平台Honeypot Detection。首先,通过对Windows操作系统下的高交互蜜罐的研究,建立了以VMware虚拟机软件为虚拟环境基础的Honeynet蜜罐网络环境。对在VMware虚拟机软件基础上建立的由Windows操作系统所构成的虚拟环境的四种检测方法进行了概述。该蜜罐网络环境为下一步的蜜罐识别方法研究提供了研究环境并为最终的软件综合检测平台提供了测试环境。其次,通过对Sebek数据传输特性的研究,提出一种通过其对网络设备驱动调用特征的提取进而对其进行有效识别的方法,称为IATHD法;通过对Sebek反检测特性的研究,改进了通过检测系统服务描述符表是否被更改进而识别Sebek的方法,并在此方法中融合了通过搜索内存检测系统加载的隐藏驱动及通过Windows注册表文件检测操作系统隐藏的服务从而检测Sebek的两种方法,该改进方法称为SSDTHD法。最后,将VMware虚拟机检测方法和Sebek检测方法综合实现在一个软件平台下。整个软件平台以驱动程序和界面程序相结合的方式完成。该平台可以迅速、准确的检测出目标机是否运行在VMware虚拟机下以及是否安装了Sebek软件,进而判断出是否为Windows环境下的虚拟高交互蜜罐。

全文目录


摘要  4-5
ABSTRACT  5-8
第1章 绪论  8-16
  1.1 课题背景及研究的目的和意义  8-10
  1.2 国内外研究现状  10-14
    1.2.1 蜜罐技术的研究现状  10-12
    1.2.2 蜜罐识别技术的研究现状  12-14
  1.3 本文主要研究内容  14-16
第2章 虚拟高交互蜜罐部署方法及VMWARE 识别方法研究  16-30
  2.1 通过VMWARE WORKSTATION 搭建虚拟机  16-18
  2.2 部署并测试虚拟蜜网HONEYNET  18-24
    2.2.1 虚拟蜜网网络拓扑  18-19
    2.2.2 虚拟蜜网组建方法及过程  19-21
    2.2.3 蜜罐数据捕获软件的特性及安装  21-23
    2.2.4 虚拟蜜网测试  23-24
  2.3 VMWARE 虚拟机识别方法研究  24-28
    2.3.1 通过特权指令执行情况识别虚拟机  25-26
    2.3.2 通过地址差异识别虚拟机  26-27
    2.3.3 通过指令执行时间差识别虚拟机  27
    2.3.4 通过注册表及虚拟硬件指纹识别虚拟机  27-28
  2.4 本章小结  28-30
第3章 SEBEK 检测方法的研究与实现  30-48
  3.1 通过SEBEK 数据传输特性识别SEBEK  30-37
    3.1.1 Sebek 数据传输方法研究  30-32
    3.1.2 Sebek 对网络设备驱动调用特征的研究  32-34
    3.1.3 通过检测导入地址表识别Sebek  34-37
  3.2 通过SEBEK 的隐藏特性检测SEBEK  37-47
    3.2.1 通过检测系统服务描述符表识别Sebek  38-42
    3.2.2 通过隐藏驱动模块识别Sebek  42-44
    3.2.3 通过隐藏服务识别Sebek  44-47
  3.3 本章小结  47-48
第4章 HONEYPOT DETECTION 检测平台的建立和测试  48-56
  4.1 检测平台驱动程序的制作  48-49
  4.2 HONEYPOT DETECTION 界面程序的制作  49-52
  4.3 HONEYPOT DETECTION 蜜罐检测平台测试  52-55
  4.4 本章小结  55-56
结论  56-57
参考文献  57-62
致谢  62

相似论文

  1. 基于主动方式的恶意代码检测技术研究,TP393.08
  2. 蜜罐文件系统的智能内核级中间件研究,TP393.08
  3. 基于Click的网络流量蜜罐系统研究,TP393.08
  4. 基于混合式蜜罐技术的蠕虫对抗模型研究,TP393.08
  5. 木马网络通信特征提取技术研究,TP393.08
  6. IPv6环境下蜜罐系统的研究与应用,TP393.08
  7. 基于虚拟蜜网的入侵检测系统的研究,TP393.08
  8. 基于VMware vSphere4.0的PC服务器资源池构建,TP393.05
  9. 基于重定向机制的蜜罐系统的研究与实现,TP393.08
  10. 基于蜜罐技术的网络攻击预警系统的研究与应用,TP393.08
  11. 数据挖掘在蜜罐日志分析中的应用研究,TP393.08
  12. 基于Honeyd的蜜罐系统的设计与实现,TP393.08
  13. 基于局域网的计算机蠕虫检测技术研究与实现,TP393.08
  14. 基于虚拟技术的数据中心建设研究,TP308
  15. 蜜罐技术在网络安全中的研究及应用,TP393.08
  16. 蜜罐技术分析与蜜网设计,TP393.08
  17. 沈阳铁路局入侵检测系统的设计与应用,TP393.08
  18. 基于蜜网技术的校园网安全系统的研究与实现,TP393.08
  19. 校园网恶意蠕虫疫情响应系统的设计与实现,TP393.18
  20. 针对僵尸网络DDoS攻击的蜜网系统的研究与设计,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com