蜜罐与内网安全从0到1（七）

将蜜罐技术应用到内网攻击感知中，一篇硕士论文的研究过程与demo实现，抛砖引玉。计划的系列文章内容分为以下几个部分，按照论文撰写的脉络来讲：

磨磨蹭蹭，精精简简，终于写到了最后一篇。本篇分享下脱敏后的PPT、论文小结以及参考文献。

因为论文解密期的原因，就不放出论文文档了，其实大部分内容都写到这个系列里了，再过个一年半载，就可以在硕士学位论文库里搜索到了，标题是《基于蜜罐技术的内网安全检测系统的研究与应用》，2016上半年完稿。

从一个想法到实现demo，需要迈过一个个坑，从demo到一个真正能够在生产环境发挥作用的安全产品，更是需要激情与汗水的打磨与实战的洗礼。

0x01 答辩PPT分享(PDF)

扫码跳转到PDF链接，或者可以点击原文链接在sosly.me查看下载。

0x02 总结与展望

论文工作总结

本文分析了内网安全问题的发展趋势以及蜜罐技术的国内外应用现状，介绍了常见内网攻击类型和蜜罐相关的技术。论文在对蜜罐数据分析的基础上，阐述了基于特征匹配的攻击行为判断方法，并提出了一种攻击数据数值化的方法，以及衍生出的攻击序列、攻击模式和攻击者标签的概念。本文设计了一种攻击模式相似度算法，并结合层次聚类算法提出了一种大数据条件下攻击模式的聚类方法。本文设计和实现了基于蜜罐技术的内网安全检测系统的整体架构和各个功能模块，并在实验室环境下对系统进行了部署和测试。

本文的主要工作如下：

（1）分析了国内近几年内网安全问题的发展趋势，对常见内网攻击类型进行了分析并研究了相应的检测思路。
（2）对蜜罐技术应用的国内外现状进行了梳理，并对蜜罐相关的技术进行了研究、测试和阐述。
（3）对蜜罐捕获的数据内容进行了分析和解释，研究了基于特征匹配的攻击检测方法，进一步提出了蜜罐数据数值化的方法，阐述了“攻击序列”、“攻击模式”以及“攻击者标签”的相关定义和应用。在攻击模式匹配算法研究过程中，本文设计了一种攻击模式相似度算法，并结合层次聚类算法提出了一种大数据条件下攻击模式的聚类方法。
（4）提出了基于蜜罐技术的内网安全检测系统的整体框架和各个功能模块的设计方案，并对关键设计和实现方法进行了阐述。
（5）在实验室环境下部署系统并搭建测试环境，在内网进行攻击测试，并对测试结果进行分析，验证了基于蜜罐技术的内网安全检测系统的有效性和可靠性。
（6）对论文的研究工作进行总结，并对本课题的未来研究方向进行展望。

课题工作展望

按照目前的网络安全发展趋势，重要信息资产的安全问题将会愈发重要，基于数据挖掘和数据可视化的威胁情报和态势感知将成为研究热点。本文提出的基于蜜罐技术的内网安全检测系统虽然可以检测常见的内网攻击并进行预警，但在蜜罐技术的应用和攻击数据的处理上还有很多不足之处。本课题今后可以持续研究和完善的方面主要有：

（1）继续完善系统功能，包括内网信息资产识别、批量蜜罐终端管理等。
（2）系统底层引入更多种类的蜜罐技术，从而实现更丰富攻击数据的捕获。
（3）对蜜罐数据进行深度的挖掘、分析和关联，并不断积累数据，通过机器学习实现攻击行为的智能研判和攻击模式的有效聚类。
（4）将蜜罐技术在内网安全检测方面的应用移植到外网攻击检测中，使得本系统支持更广泛的应用场景。

0x03 参考文献

[1] 李欣, 侯松霞. 内网安全防御系统的研究[J]. 计算机应用, 2007, 27(B06):245-246.
[2] 魏为民, 袁仲雄. 网络攻击与防御技术的研究与实践[J]. 信息网络安全, 2012(12):53-56.
[3] 唐勇, 卢锡城, 胡华平,等. Honeypot技术及其应用研究综述[J]. Journal of Chinese Computer Systems, 2007, 28(8):1345-1351.
[4] Wang C, Ding Z. Research on the interaction of honeynet and IDS[J]. The China Quarterly, 2011, 156(156):809-835.
[5] Jain P, Sardana A. A hybrid honeyfarm based technique for defense against worm attacks[C] Information and Communication Technologies (WICT), 2011 World Congress on. IEEE, 2011:1084-1089.
[6] 刘智宏. 基于蜜罐技术的企业网络安全防御系统研究与设计[D]. 上海交通大学, 2009.
[7] 蜜罐网络[EB/OL]. http://drops.wooyun.org/papers/5968, 2015.5.7.
[8] 诸葛建伟, 唐勇, 韩心慧, 等. 蜜罐技术研究与应用进展[J]. Journal of Software, 2013, 24(4).
[9] 古开元. 基于蜜罐技术的蠕虫检测和防御系统的研究与设计[D]. 四川大学, 2006.
[10] 李文瑾. 基于蜜罐技术的蠕虫特征自动提取技术的研究[D]. 华中科技大学, 2007.
[11] 宋富强. 基于蜜罐技术的端口扫描检测系统的设计与实现[D]. 中南大学, 2008.
[12] 李磊. 基于蜜罐技术的分布式入侵防御模型研究[D]. 西安理工大学, 2008.
[13] 王建军. 基于蜜罐技术的网络攻击预警系统的研究与应用[D]. 上海交通大学, 2010.
[14] 李曙强. 基于蜜罐技术的校园网络安全方法研究 [D]. 浙江工业大学, 2009.
[15] 陈朕. 无线局域网蜜罐系统的设计[D]. 山东大学, 2008.
[16] 徐明明. 蜜罐技术在网络安全中应用研究[D]. 南京信息工程大学, 2011.
[17] 狩猎女神的前世今生[EB/OL]. http://netsec.ccert.edu.cn/zhugejw/2011/11/28/%E7%8B%A9%E7%8C%8E%E5%A5%B3%E7%A5%9E%E7%9A%84%E5%89%8D%E4%B8%96%E4%BB%8A%E7%94%9F/, 2011.11.28.
[18]诸葛建伟, 魏克. 在 CERNET 实际部署 Kippo 蜜罐[J]. 中国教育网络, 2011 (9): 71-73.
[19] 吴灏. 网络攻防技术[M]. 机械工业出版社, 2009.
[20] 常用服务和开放端口对照[EB/OL]. http://jingyan.baidu.com/article/03b2f78c498da25ea237aeb8.html, 2014.2.13.
[21] 上野宣. 图解HTTP[M]. 人民邮电出版社, 2014.
[22] 竹下隆史, 乌尼日其其格. 图解TCP/IP(第5版)[J]. 电脑编程技巧与维护, 2014(6).
[23] 马琳. 基于端口扫描检测技术的实现[J]. 信息系统工程, 2013(3):107-108.
[24] 谢希仁. 计算机网络(第5版)(附光盘)[M]. 电子工业, 2012.
[25] 董延华, 李爽, 宋珊. 基于网络协议仿真系统的ARP攻击原理分析[J]. 吉林师范大学学报:自然科学版, 2011, 32(1):65-66.
[26] 阮清强. ARP攻击检测与定位方法研究[J]. 信息网络安全, 2010(4):66-66.
[27] Daisuke M, Katsunari Y, Tsutomu M. Observing DNS Amplification Attacks with DNS Honeypot[J]. Ipsj Journal, 2014, 55:2021-2033.
[28] 胡小梅, 刘嘉勇. 基于DNS劫持的流量监测系统设计与实现[J]. 网络安全技术与应用, 2016(1).
[29] 刘京义. 针锋相对抗击DNS劫持[J]. 网络运维与管理, 2015(1):103-106.
[30] 黄孝楠, 韩宇. 用于局域网的网络嗅探器的设计[J]. 网络安全技术与应用, 2014(8):95-96.
[31]安全科普：流氓DHCP服务器内网攻击测试.http://www.freebuf.com/articles/network/74995.html, 2015.8.15.
[32] 严芬, 王佳佳, 赵金凤,等. DDoS攻击检测综述[J]. 计算机应用研究, 2008, 25(4):966-969.
[33] Nmap脚本使用总结.http://drops.wooyun.org/tips/2188, 2014.6.8.
[34] 黎陈炫. 基于蜜罐技术的安全高校网络架构研究与设计[D]. 湖南大学, 2013.
[35] Provos B. honeyd - A Virtual Honeypot Framework[C]// 13th USENIX Security Symosium. 2010.
[36] 程杰仁, 殷建平, 刘运,等. 蜜罐及蜜网技术研究进展[J]. 计算机研究与发展, 2008, 45(z1):375-378.
[37] 史伟奇, 程杰仁, 唐湘滟,等. 蜜罐技术及其应用综述[J]. 计算机工程与设计, 2008, 29(22):5725-5728.
[38] Almotairi S, Clark A, Mohay G, et al. A Technique for Detecting New Attacks in Low-Interaction Honeypot Traffic[C]// International Conference on Internet Monitoring & Protection. IEEE Computer Society, 2009:7-13.
[39] 刘风路. 蜜罐技术研究与分析[D]. 国防科学技术大学, 2006.
[40] Alata E, Nicomette V, Kaa?Niche M, et al. Lessons learned from the deployment of a high-interaction honeypot[C]// Dependable Computing Conference, 2006. EDCC ‘06. Sixth European. IEEE, 2006:39-46.
[41] Nicomette V, Kaaniche M, Alata E, et al. Set-up and deployment of a high-interaction honeypot: experiment and lessons learned[J]. Journal in Computer Virology, 2011, 7(2):143-157.
[42] 邹文. 虚拟蜜罐在网络安全中的应用研究[D]. 湖南大学, 2008.
[43] Voznak M. Automatic analysis of attack data from distributed honeypot network[C]//SPIE Defense, Security, and Sensing. International Society for Optics and Photonics, 2013:875512-875512-7.
[44] Wei-Ping Z, Ming-Xin L, Huan C. Using MongoDB to implement textbook management system instead of MySQL[C]// Communication Software and Networks (ICCSN), 2011 IEEE 3rd International Conference on. IEEE, 2011:303-305.
[45] 蜜罐网络. http://drops.wooyun.org/papers/5968, 2015.5.7.
[46] 代恒, 诸葛建伟. 诱捕恶意攻击“简易装”——Dionaea低交互式蜜罐介绍[J]. 中国教育网络, 2011(11):76-79.
[47] 杜星. Glastopf蜜罐在Web安全中的应用研究[D]. 西安电子科技大学, 2014.
[48] 孙松柏, 诸葛建伟, 段海新. Glastopf:Web应用攻击诱捕软件及案例分析[J]. 中国教育网络, 2012(1):75-78.
[49] Duan K Y, Shen H E, Cheng Y X. Analysis of SSH Brute-Force Cracking Behavior based on Kippo Honeypot[J]. Information Security & Communications Privacy, 2014.
[50] Jason Barnes, Patrick Crowley. k-p0f: A high-throughput kernel passive OS fingerprinter[C]// Architectures for Networking and Communications Systems (ANCS), 2013 ACM/IEEE Symposium on. 2013:113-114.
[51] 段明秀. 层次聚类算法的研究及应用[D]. 中南大学, 2009.
[52] 刘兴波. 凝聚型层次聚类算法的研究[J]. 科技信息:科学·教研, 2008(11):202-202.
[53] 杨冰. Web信息聚类分析与算法研究[J]. 硅谷, 2014(6):53-53.

终于写完这个系列，可以继续分享点工作后的事情了…本以为毕业踏入工作岗位从事企业安全建设工作，会是我安全技术提升新的起点，工作快两年才发现毕业那个时候可能是我安全技术的巅峰…

转载请注明出处：sosly 菜鸟笔记

电脑上也可直接访问博客（**https://sosly.me**）查看，如有内容更新以博客为准。点击原文链接即可跳转。

长亭百川云 - 文章详情

长亭百川云

蜜罐与内网安全从0到1（七）

0x01 答辩PPT分享(PDF)

0x02 总结与展望

0x03 参考文献