基于系统和网络特征的蜜罐识别技术

蜜罐是一个在网络上监视和跟踪非法入侵者的系统,通常认为蜜罐是很难识别的。为了进一步推动蜜罐的发展,讨论了当前的基于系统特征的蜜罐的识别技术,在前人的基础上进一步提出了基于网络特征的新的蜜罐识别技术,即根据目标机提供的服务和请求回显时间来判断目标机是真实的主机还是蜜罐,并用这些技术做了实验,验证了这些技术在实际应用中的可行性。

基于数据包分片的工控蜜罐识别方法

蜜罐是一种用于安全威胁发现与攻击特征提取的主动防御技术,能够提供高价值且低误报率的攻击流量和样本。蜜罐的应用压缩了网络黑客的隐匿空间,攻击者可通过蜜罐识别技术来发现和规避蜜罐。因此,安全人员有必要从攻击者的角度深入研究蜜罐识别的方法,以便优化蜜罐系统的设计与实现。本文从蜜罐的结构出发,总结了8种蜜罐识别要素,并评估了不同识别要素的准确性和隐蔽性。结合互联网蜜罐分布特点,归纳了一种互联网中的蜜罐识别流程,并基于Conpot工控蜜罐架构的固有缺陷,提出了一种基于数据包分片的工控蜜罐识别方法。通过三次互联网扫描,共发现2432个Conpot工控蜜罐,并进一步分析了其分布特点。

基于蜜罐特征的蜜罐识别技术

为了进一步推动蜜罐识别技术的发展,讨论了目前针对低交互性蜜罐和高交互性蜜罐的识别原理和识别方法,阐述蜜罐的设计思想和实现机制,在前人的基础上进一步提出了基于蜜罐特征的识别技术,即通过蜜罐个性指纹、协议栈和网络特征分析蜜罐个性特征和共性特征,进而对蜜罐进行识别,最后对蜜罐识别技术进行了分析和展望。

基于Sebek的蜜罐识别机制研究

Sebek是一种基于内核的数据捕获机制,是构建高交互蜜罐的重要工具。对Sebek进行识别是识别高交互蜜罐的重要手段,目前研究人员已经提出了多种针对Sebek的识别机制。首先分析了Sebek的基本原理,然后总结了多种针对Sebek的识别机制,详细分析了每一种识别机制的实施原理。

基于贝叶斯网络EM算法模型的工控蜜罐识别

随着工控设备越来越多暴露于互联网,面临的安全威胁不断增加,主动防御已经成为一种必要的防御手段,蜜罐技术是一种有效的主动防御技术。攻击者为了攻击真实的资产设备,研究人员开始研究识别蜜罐的方法。对蜜罐进行准确识别涉及到许多不确定性因素。贝叶斯网络用于解决不确定性问题,与蜜罐识别问题相符合。基于蜜罐识别与贝叶斯网络的特点,提出了贝叶斯网络参数学习EM算法模型的工控蜜罐识别方法。首先,介绍了贝叶斯网络的理论基础及贝叶斯网络用于蜜罐识别的优势;接着,描述参数建模所用算法及预测推理算法,完成用于识别蜜罐的贝叶斯网络模型;最后,通过与SVM、KNN、随机森林和Native bayes算法作对比实验,验证所采用贝叶斯网络EM算法训练模型的性能更优,该模型借助贝叶斯联结树推理算法来完成预测识别,通过实例分析进行验证。实验结果表明,用EM算法训练的模型对于识别蜜罐是有效的。