【技术实现步骤摘要】
一种基于攻击源威胁行为动态检测评估方法
[0001]本专利技术涉及网络安全
,更具体地说,本专利技术涉及一种基于攻击源威胁行为动态检测评估方法。
技术介绍
[0002]蜜罐系统是一种用于捕捉探测,攻击和漏洞扫描行为的安全工具,其本身是一个包含漏洞的系统,由于蜜罐系统没有提供任何实质性的服务,所以可以认定每一个试图主动与其进行连接交互数据的行为都是可疑的,目前很多款优秀的蜜罐软件,如KFSensor、Honeyd等。
[0003]其中,Honeyd是一款强大的开源虚拟蜜罐软件,属于低交互式的蜜罐系统,可运行在UNIX和Windows操作系统中,并在虚拟的网络环境中模拟多个地址,虚拟蜜罐主机可以根据具体的配置文件模拟多种网络服务,外部的主机可以对虚拟蜜罐主机进行常规的Ping、Tracert等操作,回应数据包时,Honeyd的个性化引擎使回应包与被配置的操作系统特征相适应,同样Honeyd也可以为真实的主机提供代理,然而由于现有的蜜罐系统的特殊性,其难免会与系统造成一定的影响,导致蜜罐系统在实施防护以及诱捕时操作繁...
【技术保护点】
【技术特征摘要】
1.一种基于攻击源威胁行为动态检测评估方法,其特征在于:包括以下步骤:S1、系统设置协议处理器具体分为三部分:ICMP处理器、UDP处理器、TCP处理器,ICMP处理器支持多数的ICMP查询,在显示正常通讯时,则会相应Echo请求并处理“destinationunreachable”的消息,对于分配到TCP处理器和UDP处理器的数据包,Honeyd可以为其与任意的服务建立连接;在对具体的请求命令做出应答后,需要隐藏蜜罐主机的身份,具体包括,Honeyd利用Nmap的指纹库来作为TCP和UDP连接的个性化参考,利用Xprobe指纹库来作为ICMP连接的个性化参考,由此就可以做出一个与真实主机相同的应答包,最后再发送给请求方;自选路由用于模拟有关的路由信息,其可以模拟任意的网络路由拓扑,通常虚拟的拓扑结构为树结构,每一个节点和每一条边都分别代表着路由器和损失权值,当Honeyd接到包时,从根节点开始到发现目的IP的节点为结束,将经过的边的损失权值累加起来,确定是否抛弃该包和其延迟应该有多少,数据包每通过一个虚拟路由器,就相应的减少生存期TTL值,当TTL为零时,Honeyd发出ICMP超时信息,因为自选路由组件Honeyd也可以将真正的系统加入到虚拟的路由拓扑之中,当收到一个真实系统的包时,包沿着网络拓扑行走直到发现与真实系统所属的网络空间直接连接的虚拟路由器,当真正的系统发出ARP请求时,网络虚拟结构通过相应的虚拟路由器ARP回复进行响应;S2、构建和部署对于具体的Mailcapture配置,其中Honeyd主机的IP地址为192.168.0.1,邮件服务器的IP地址为192.168.0.2,两台主机均使用的Ubuntu操作系统。2.根据权利要求1所述的一种基于攻击源威胁行为动态检测评估方法,其特征在于:所述S2中提出的虚拟主机具体包括,V1,操作系统版本为Linux2.6.6、IP地址为192.168.0.5、主机模拟的服务为Smtp服务,V2,操作系统版本为Linux2.6.6、IP地址为192.168.0.4、主机模拟的服务为开放代理服务,V3,操作系统版本为Linux2.6.6、IP地址为192.168.0.3、主机模拟的服务为web服务。3.根据权利要求2所述的一种基于攻击源威胁行为动态检测评估方法,其特征在于:所述具体部署过程包括:具体的配置操作以开放中继转发的虚拟邮件服务器V1为例:createLinuxsetLinuxpersonality“Linux2.6.6”addLinuxprototcpport25“./script/spam.py”bindLinux192.168.0.5至此开放中继转发的虚拟邮件服务器就设置成功,其他两个虚拟服务的设置方法与其类似;其中两个模板是整个系统的核心——SMTP开放中继转发模拟器和开放代理模拟器;对于SMTP模拟器,Honeyd接受来自25端口、TCP协议的数据包,并且以一个SMTP服务的角色...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。