收藏本站
《山东大学》 2008年
收藏 | 手机打开
二维码
手机客户端打开本文

基于Argos的捕获零日攻击的蜜罐技术的研究

孙悦  
【摘要】: 蜜罐是一种用来诱捕,延缓网络攻击和收集攻击者信息的技术。它与其他入侵检测软件,防火墙和漏洞扫描软件的最大区别是它响应迅速,适应能力强,能够主动的捕获攻击,而不再是被动防御。我们能够利用蜜罐搜集的日志来分析攻击者的攻击行径,从而设计出新的防御方案,以最快的响应速度减少受侵害的损失。蜜罐从简单的低交互脚本模拟服务方式如今已经发展到利用虚拟操作系统技术来使得攻击者更难以辨认其与真实机的区别。一个虚拟蜜罐能够在一种机器上模拟多种操作系统,构成了各式各样的网络环境,使其更加真实。Argos作为下一代新型高交互蜜罐,利用动态标签技术,从根本上能够检测出多种缓冲区溢出,能够有效的捕获到零日攻击。 如果一个漏洞被发现后,在24小时内,立即被恶意利用,出现对该漏洞的攻击方法或出现攻击行为,那么该漏洞被称为“零日漏洞”,该攻击被称为“零日攻击”。 Argos是一种利用蜜罐技术实现的安全模拟器,基于Qemu开发,Qemu是Linux平台下利用动态翻译机制来达到高模拟速度的开源虚拟机软件。Argos在Qemu的模拟机制上开发了相应的检测记录机制,能够诱骗远端入侵者利用缓冲区溢出入侵操作系统,而入侵者并不知道入侵的其实是虚拟的操作系统,其入侵行为已被记录。利用动态标记分析技术,它能跟踪网络信息的执行,发现多种试图非法使用的代码,并产生相应的内存日志记录。Argos的最杰出的功能是识别出零日攻击和其他类似的攻击。一个高模拟度的蜜罐,不应该隐藏起来,而应该对外界可见,与真实机一样,拥有显视的IP,公开提供应有的服务,产生正常的流量。然而这一点对以前的蜜罐来说是不可能的,因为恶意的和无害的流量不能被区别开来。而Argos能够精确的通报每一个可能成功的漏洞攻击,将恶意流量进行记录。因此对Argos的捕捉零日攻击的原理有必要进行研究分析,所以本论文的工作主要集中在以下三个方面。 1.对缓冲区溢出原理进行深入研究,总结分析缓冲区溢出攻击和防御途径。 2.研究虚拟机的实现机制,并深入研究Qemu的实时翻译机制。 3.研究以Argos的动态标记技术,分析捕获零日攻击的方法,设计具有漏洞的服务程序和针对该漏洞进行溢出的恶意程序,以对Argos功能进行测试并作出相关数据分析。在Qemu的基础上研究反蜜罐技术原理,并编写针对Qemu的探测程序。
【学位授予单位】:山东大学
【学位级别】:硕士
【学位授予年份】:2008
【分类号】:TP393.08

【相似文献】
中国重要会议论文全文数据库 前1条
1 ;Arabidopsis ORGAN SIZE RELATED Genes Regulate Organ Growth and Final Organ Size[A];2011全国植物生物学研讨会论文集[C];2011年
中国重要报纸全文数据库 前2条
1 英国莱斯特大学中国留学生 赵子郡;零售商Argos的经营之道[N];中国经济时报;2008年
2 吕英;英国Argos店以独特风格快速发展[N];国际商报;2009年
中国硕士学位论文全文数据库 前8条
1 孙悦;基于Argos的捕获零日攻击的蜜罐技术的研究[D];山东大学;2008年
2 鲍颖力;基于虚拟机QEMU的嵌入式全系统仿真测试环境的研究与实现[D];上海交通大学;2011年
3 余璐;一种改进QEMU精确异常处理机制的研究[D];华中科技大学;2008年
4 李昂;一种远程PCI设备驱动方法的设计与实现[D];南京大学;2012年
5 王艳;嵌入式系统可逆调试器的设计与实现[D];西安电子科技大学;2009年
6 秦肇伟;缓冲区溢出攻击检测工具的设计与实现[D];电子科技大学;2010年
7 李高锋;Zero-day攻击多态蠕虫检测模型研究[D];陕西师范大学;2011年
8 邢延松;南海上层环流季节和年际变化特征及主流区可预报性初探[D];南京信息工程大学;2012年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026