● 摘要
诱骗策略与信息获取对成功部署网络诱骗系统有着重大的意义。设置有效的诱骗策略可以最大程度上迷惑黑客,分担真实服务器受攻击的风险,为防御方争取更多的预警时间。信息获取作为网络诱骗系统的关键模块,获取的黑客信息是否丰富、真实、对了解黑客的入侵动机,入侵手法有着重大作用。本文首先对目前各种网络诱骗方法(主动诱骗策略与被动诱骗策略的两种分类)做了阐述与分析。通过分析和基于博弈论的形式化描述,发现更为积极有效的诱骗策略应该是将主动诱骗策略与被动诱骗策略相结合,最大限度的将诱骗散布在网络各处。同时,进一步考虑了真实工作网络的现实情况,增加了以时间与空间为控制参数的动态调整环节。在此基础之上,将异常检测与防火墙重定向技术相结合,主动将可疑网络访问纳入蜜罐系统之内。基于以上考虑,建立了基于动态的复合诱骗策略。信息获取作为网络诱骗系统的关键技术之一,对描绘黑客攻击事件的全貌有着非常重要的作用。采用何种信息来源对能否真实、有效的反映黑客的面貌是个很重要的问题。信息来源采纳的越广泛,获取黑客的有价值的信息就越多。本文根据确定的诱骗策略,有针对性的选择了网络信息、系统日志信息、用户行为信息、应用服务信息和防火墙日志信息作为信息获取的来源,设计实现了诱骗主机的原型系统。论文提出了网络诱骗系统的信息获取方法的设计原理和方案,给出了诱骗主机的系统设计结构,实现了系统的网络信息获取、用户行为获取、系统日志信息获取、防火墙日志信息以及应用服务信息的获取。同时在蜜罐系统的体系设计中,充分考虑了系统自身的安全性问题。实验及现实应用表明本文提出的诱骗策略是行之有效的,获取的黑客信息是丰富的、真实的、完整的和可靠的。
相关内容
相关标签