資源描述:
《一種數(shù)據(jù)捕獲策略的研究與實(shí)現(xiàn)》由會員上傳分享,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1����、一種數(shù)據(jù)捕獲策略的研究與實(shí)現(xiàn)摘要:近年來,網(wǎng)絡(luò)安全問題日益嚴(yán)重����,針對網(wǎng)絡(luò)攻擊方與防御方存在著不對稱的技術(shù)博弈問題�����,提出一種利用sebek技術(shù)實(shí)現(xiàn)數(shù)據(jù)捕獲的改進(jìn)方案���。該文首先詳細(xì)分析了sebek的特點(diǎn)?p工作原理和實(shí)現(xiàn)機(jī)制,通過調(diào)試發(fā)現(xiàn)運(yùn)行中的缺陷并給出解決方法��,然后進(jìn)行驗(yàn)證�����,對sebek在 關(guān)鍵詞:sebek�;數(shù)據(jù)捕獲;蜜罐�;入侵檢測;網(wǎng)絡(luò)安全 中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A:1009-3044(2016)34-0072-04 Abstract:Inrecentyears�,beesmoreandmoreserious
2、�,forthequestionofthemetrictechnologygame,thepaperproposesamodifiedsolutionofrealizingdatacapturebysebektechnology.Atfirstthispapertriestoanalysethecharacteristics����,plementationmechanismofsebekindetail,throughdebuggingfindsoutdefectsandgivesthesolutioninoperation��,andth
3、enverifiesthesolution���,byoptimizingfurther,sebekcanrunsmoothlyunder.Basedonthat�,thepaperimplementstheproposalofdatacapturebysebektechnologyinhoney.Theexperimentalresultsshowthattheproposalcaneffectivelycapturetheinvasionbehaviorinwork,realizesthefunctionofdatacapturin
4�����、g�,andprovidesthebasisfornextdataanalysis. Keywords:sebek;datacapture�����;honeypot����;intrusiondetection;worksecurity 1概述 近年來���,網(wǎng)絡(luò)安全形勢日益嚴(yán)峻��,平均每20秒就發(fā)生一次入侵計(jì)算機(jī)網(wǎng)絡(luò)的事件�����。網(wǎng)絡(luò)攻擊方與防御方存在著不對稱的技術(shù)博弈問題[1]�����,攻擊方只要在任何時(shí)間找到目標(biāo)的一個(gè)漏洞就能攻破系統(tǒng)����,而防御方必須確保系統(tǒng)不存在任何可被攻擊者利用的漏洞,并擁有全天候的監(jiān)控機(jī)制���,才能確保系統(tǒng)的安全�����?! 榱私鉀Q這個(gè)問題����,蜜網(wǎng)
5、項(xiàng)目組[2](theHoneyProject)提出了誘騙的概念���,即在一個(gè)可控的網(wǎng)絡(luò)環(huán)境中��,誘騙入侵者進(jìn)行入侵��,在入侵者沒有察覺的情況下對入侵行為進(jìn)行捕獲�����,分析入侵者的意圖�,并讓入侵者一無所獲�����,從而避免損失�。 2相關(guān)工作 利用sebek在蜜網(wǎng)中實(shí)現(xiàn)數(shù)據(jù)捕獲是蜜網(wǎng)項(xiàng)目組提出的一種關(guān)鍵的數(shù)據(jù)捕獲方案�����,sebek是由蜜網(wǎng)項(xiàng)目組(theHoneyProject)在2001年至2003年間開發(fā)的用于數(shù)據(jù)捕獲的內(nèi)核模塊���,該模塊常被用于蜜網(wǎng)中實(shí)現(xiàn)數(shù)據(jù)捕獲功能��,也可以單獨(dú)使用��,國?榷云溲芯拷仙伲?大多數(shù)是針對蜜網(wǎng)的研究�����,如由北京大學(xué)諸葛建偉博
6����、士主持的狩獵女神項(xiàng)目組[3],多年來一直專注于蜜網(wǎng)技術(shù)及其應(yīng)用研究�����,取得了很多成果���,但是針對sebek的特點(diǎn)?p工作原理和實(shí)現(xiàn)機(jī)制研究較少�����?! ”疚脑敿?xì)分析了sebek的特點(diǎn)?p工作原理和實(shí)現(xiàn)機(jī)制��,進(jìn)而通過調(diào)試發(fā)現(xiàn)了源碼中的缺陷并給出解決方法����,然后進(jìn)行驗(yàn)證,在此基礎(chǔ)上,實(shí)現(xiàn)了利用sebek在蜜網(wǎng)中進(jìn)行數(shù)據(jù)捕獲的解決方案并進(jìn)行了測試�����?! ?sebek關(guān)鍵技術(shù)分析 sebek是運(yùn)行在內(nèi)核空間的一段代碼,它能記錄系統(tǒng)用戶存取的一些或者全部數(shù)據(jù)��,具體包括:記錄加密會話中的擊鍵�,恢復(fù)使用SCP拷貝的文件,捕獲遠(yuǎn)程系統(tǒng)被記錄的口令��,恢復(fù)使
7��、用Burneye保護(hù)的二進(jìn)制程序的口令等����?! ?.1數(shù)據(jù)封包模塊 sebek體系結(jié)構(gòu)如圖1所示,客戶端部署在蜜網(wǎng)體系結(jié)構(gòu)的蜜罐中����,服務(wù)端部署在蜜網(wǎng)網(wǎng)關(guān)上,數(shù)據(jù)捕獲并且封裝成數(shù)據(jù)包是在客戶端實(shí)現(xiàn)的�����,當(dāng)外部入侵者通過inter連接入侵了裝有sebek客戶端的蜜罐A主機(jī)時(shí),蜜罐A主機(jī)中的sebek會在入侵者沒有察覺的情況下捕獲外部入侵行為��,然后把捕獲的入侵?jǐn)?shù)據(jù)封裝成數(shù)據(jù)包通過局域網(wǎng)傳給蜜網(wǎng)網(wǎng)關(guān)���,在蜜網(wǎng)網(wǎng)關(guān)中裝有sebek的服務(wù)端程序�,它截獲客戶端發(fā)來的數(shù)據(jù)包并對外部入侵行為進(jìn)行分析��?��! ⊥ㄟ^分析發(fā)現(xiàn)���,sebek重定向了系統(tǒng)調(diào)用,把原
8�����、有的系統(tǒng)調(diào)用函數(shù)替換成自定義的函數(shù)�����,這個(gè)新的函數(shù)再來調(diào)用原有的系統(tǒng)調(diào)用函數(shù)�,并把原有系統(tǒng)調(diào)用函數(shù)讀取的數(shù)據(jù)記錄下來,然后在WritePacket函數(shù)中實(shí)現(xiàn)數(shù)據(jù)的封包,圖2為sebek數(shù)據(jù)包的包頭結(jié)構(gòu)[4]����,關(guān)鍵字段的數(shù)據(jù)類型和功能如表1所示?����! ebek數(shù)據(jù)包
