《蜜罐及蜜网研究技术进展》论文笔记

    蜜罐只有虚假的敏感数据，可以是一个网络、一台主机、一项服务、也可以是数据库中无用的数据项以及伪装的用户名 弱口令等。

    蜜网=蜜罐+数据控制+数据捕获+数据采集等元素

蜜罐与蜜网的研究主要涉及五类关键技术：

网络欺骗：

1、真实蜜罐或蜜网

2、虚拟蜜罐或蜜网

攻击捕获技术：

三个层次：

1、访问控制层次：在路由器 网关 防火墙捕获黑客的连接和数据。

2、网络层次：网络上捕获黑客对蜜罐和蜜网的攻击

3、系统层次：主机上捕获攻击者的行为

数据控制技术：

    控制攻击者出入蜜罐的活动，避免成为跳板。不限制蜜罐的数据流入，限制蜜罐的数据流出。通常是采用多层次的数据控制机制。防火墙+IDS   

攻击分析与特征提取 

    对捕获的攻击数据进行融合、挖掘，分析黑客的工具、策略以及动机，提取未知攻击的特征。

基于蜜罐和蜜网自动提取攻击特征：

1、LCS算法，提取质量较差。

2、可视化、统计分析辅助人工筛选出可以数据+LCS

3、利用协议语义

预警防御技术：

1、检测内部攻击：Honeytoken、非正常使用信息做诱饵，追踪攻击活动

2、检测缓冲区溢出攻击：shadow honeypot 检测运行状态

3、防御DoS攻击：honeypot back-propagation 通过伪装技术来欺骗和阻止DoS攻击

4、检测恶意代码的攻击：HoneyStat 蜜罐技术和Logistic回归理论

5、检测对无线网络的攻击：

6、检测恶意网站对浏览器的攻击

7、检测垃圾邮件的攻击

8、检测Web应用攻击：GHH

主要挑战和发展趋势：

    系统伪装：需要增强系统伪装的智能性，感知和学习实时的网络环境，动态、自动进行配置；提高服务的质量和被攻击、探测的概率，确保蜜罐的高度的真实真实性和迷惑性

    体系结构：针对于大型分布式网络，难以适应大型的分布式网络环境，攻击分析、特征提取和安全响应没有加入到体系结构中，缺乏与其他系统的协作与联动。

    多源信息融合：对多源信息统一数据的表示和存储，进行精化处理与数据挖掘，选择最优的融合算法，提高融合分析的快速性与准确性。

    攻击分析与特征提取：借鉴其他领域中处理数据信息的一些成熟的理论：机器学习、人工智能、数据挖掘等，以加强基于数据可视化、协议还原、攻击工具自动识别、入侵场景自动分析、攻击特征自动提取等技术。

    计算机取证和法律问题：避免蜜罐被作为跳板。