一、基于反网络爬虫技术的web应用主动防御工具设计与实现
蜜罐工具软件通过构建欺骗环境来捕获安全威胁数据,是蜜罐技术的核心载体。随着互联网安全威胁类型的不断更新与演化,安全社区也在有针对性地研究蜜罐技术并开发出相应的蜜罐工具软件,从而适应对新形态安全威胁的监测需求。
(一)国内外研究现状
互联网上传统的网络攻击与恶意代码主要利用网络服务中存在的安全漏洞或配置弱点,对目标信息系统与网络构成威胁,因此,最早出现的蜜罐工具软件也是针对网络服务攻击而设计的。最早的蜜罐工具DTK绑定在系统的未使用端口上,对任何想探测这些端口的攻击源提供欺骗性网络服务。
La Brea蜜罐软件接受网络上所有空闲IP地址的TCP连接,并通过TCP协议中的窗口调节与持久连接等技巧实现一种Tarpit服务,能够尽可能地拖长无效连接的持续时间,从而减缓网络扫描探测与蠕虫传播的速度。
Honeyd是著名安全专家Provos开发的一款虚拟蜜罐框架性开源软件,引入了在网络协议栈层次上模拟各种类型蜜罐系统的方法。Honeyd支持在协议栈指纹特征上伪装成指定的操作系统版本,对攻击者利用nmap等工具实施主动指纹识别进行欺骗,同时也支持模拟构建虚拟网络拓扑结构,并以插件方式提供对各种应用层网络服务的模拟响应。
利用Honeyd软件安全研究人员可以很容易地按照需求定制出一个包含指定操作系统类型与应用服务的蜜罐系统,用于蠕虫检测与应对、垃圾邮件监测等多种用途。由于Honeyd最早引入了网络协议栈层次上的蜜罐系统模拟机制,以及采用了可集成各种应用层服务蜜罐的灵活框架性结构,使其在蜜罐工具软件发展过程中具有举足轻重的重要地位。
The Honeynet Project Giraffe Chapter开发的Nepenthes蜜罐软件继承了Honeyd的网络协议栈模拟机制与框架性结构,针对互联网上主动传播恶意代码的监测需求,实现了可供大规模部署的恶意代码样本采集工具与之前蜜罐系统尝试模拟整个网络服务交互过程不同,Nepenthes的基本设计原则是只模拟网络服务中存在安全漏洞的部分,使用Shellcode启发式识别与仿真执行技术来发现针对网络服务安全漏洞的渗透攻击,从中提取到主动传播恶意代码的下载链接,并进一步捕获样本。这种机制使其较其他已有蜜罐工具对自动化传播恶意代码捕获更为高效。
Nepenthes已被新一代恶意代码样本捕获蜜罐软件Dionaea所替代,Dionaea采用内嵌Python脚本代码实现对漏洞服务的模拟,同样采用Libemu来检测Shellcode,并支持IPv6与TLS协议。Dionaea蜜罐软件是目前技术最为先进、体系结构最优化的虚拟蜜罐工具,但所支持的应用层服务与漏洞环境还不够充分,开源社区也正在逐渐添加应用服务支持,如My SQL,Vo IP等。
以上是毕业论文文献综述,课题毕业论文、任务书、外文翻译、程序设计、图纸设计等资料可联系客服协助查找。
