基于Rootkit的蜜罐保护技术研究

论文摘要

在网络安全事件日益增多的严峻形式下,蜜罐作为一种能够有效捕获、分析入侵者信息的主动防御工具,其本身也正逐渐成为入侵者攻击的首选目标。本文在分析、研究了当前各类主要蜜罐、反蜜罐技术的基础上,提出了一种利用Rootkit技术加强对蜜罐系统自身保护的方法,并从蜜罐进程保护、日志数据保护、反蜜罐扫描和蜜罐进程重启四个方面重点论述了如何实现对蜜罐系统的隐藏和保护。本文主要完成了以下几点工作:1.研究了Rootkit技术的特点及其在蜜罐保护系统中应用的可能性,从而得出Rootkit是可以用于实现蜜罐进程的隐蔽运行的,确立了正确的实现途径。2.提出了一个入侵进程干预模型,并给出了进程干预算法。同时给出了一个基于Rootkit技术的蜜罐系统保护软件的设计方案,包括蜜罐进程保护、日志数据保护、反蜜罐检测和蜜罐进程重启四个方面的设计。3.采用Visual C++开发工具在Windows环境下实现了蜜罐保护系统:Honeypot-Protector,并对其进行了测试和分析。利用本文所提出的蜜罐保护技术,能够在不影响蜜罐系统被入侵者攻击和攻陷的同时,保护蜜罐系统不会被入侵者轻易识别;有效地保证了即使在蜜罐被攻陷时,部署蜜罐的主机其系统控制权不会被入侵者轻易获得;即使在系统控制权被入侵者获得后,蜜罐产生和记录的重要数据不易被入侵者发现和破坏,从而极大地提高了蜜罐系统自身的安全性和健壮性,实现了最大限度地拖延入侵者攻击速度,避免了蜜罐被攻陷后成为入侵者发起对下一个目标进行攻击的跳板,为即将可能到来的蜜罐、反蜜罐技术对抗提供了一个新的研究思路。

论文目录

摘要

Abstract

第1章绪论

1.1 背景及研究意义

1.1.1 信息安全面临的形势

1.1.2 蜜罐系统在信息安全中的作用

1.1.3 蜜罐遇到的挑战和应对该挑战的必要性

1.2 国内外研究现状综述

1.2.1 蜜罐技术研究现状

1.2.2 反蜜罐技术研究现状

1.2.3 蜜罐保护技术研究现状

1.3 本文的主要工作

1.3.1 本文目标

1.3.2 主要研究内容

1.3.3 研究方法

1.4 本文章节安排

第2章相关技术及理论概要

2.1 蜜罐技术

2.1.1 概述

2.1.2 主要蜜罐工具及分类介绍

2.2 反蜜罐技术

2.2.1 概述

2.2.2 常见的反蜜罐识别技术

2.3 Rootkit 技术

2.3.1 Rootkit 的产生和发展

2.3.2 Rootkit 的常见功能

2.3.3 Rootkit 在蜜罐保护应用中的可行性分析

2.4 本章小结

第3章基于Rootkit 的蜜罐保护技术设计

3.1 入侵进程干预模型及算法设计

3.2 蜜罐进程保护原理

3.2.1 进程保护机理设计

3.2.2 涉及的API 函数

3.2.3 基于SSDT 挂钩的进程保护设计

3.3 日志保护设计

3.3.1 坏簇法原理

3.3.2 FAT32 文件系统下的日志保护

3.3.3 NTFS 文件系统下的日志保护

3.4 虚拟机检测技术设计

3.4.1 虚拟机检测技术概念

3.4.2 优化虚拟机配置以提高反检测能力

3.4.3 虚拟机特征信息查询欺骗

3.5 重启蜜罐系统设计

3.5.1 蜜罐系统重启的意义

3.5.2 蜜罐进程的重启

3.5.3 进程名的动态修改

3.6 本章小结

第4章 Honeypot-Protector 系统设计与实现

4.1 设计思想和目标

4.2 需求分析

4.3 系统设计

4.3.1 系统结构

4.3.2 界面与功能

4.4 系统实现

4.4.1 开发平台及应用环境

4.4.2 蜜罐进程保护实现

4.4.3 日志保护实现

4.4.4 反蜜罐检测实现

4.4.5 蜜罐进程重启实现

4.5 本章小结

第5章 Honeypot-Protector 系统测试及结果分析

5.1 测试目的

5.2 测试案例设计

5.3 测试环境

5.4 结果及分析

5.4.1 测试结果

5.4.2 结果分析

5.5 本章小结

第6章总结与展望

6.1 论文工作总结

6.2 未来工作展望

6.2.1 蜜罐保护技术

6.2.2 日志文件大小限制

6.2.3 反蜜罐检测技术

6.3 总结

参考文献

致谢

攻读学位期间参加的科研项目和成果

基于Rootkit的蜜罐保护技术研究

论文摘要

论文目录

相关论文文献

猜你喜欢