学位论文 > 优秀研究生学位论文题录展示

基于Rootkit的蜜罐保护技术研究

作 者: 陈萌
导 师: 陈庆章;宋宏图
学 校: 浙江工业大学
专 业: 计算机技术
关键词: 蜜罐 反蜜罐 Rootkit 信息安全 网络攻击
分类号: TP393.08
类 型: 硕士论文
年 份: 2009年
下 载: 68次
引 用: 1次
阅 读: 论文下载
 

内容摘要


在网络安全事件日益增多的严峻形式下,蜜罐作为一种能够有效捕获、分析入侵者信息的主动防御工具,其本身也正逐渐成为入侵者攻击的首选目标。本文在分析、研究了当前各类主要蜜罐、反蜜罐技术的基础上,提出了一种利用Rootkit技术加强对蜜罐系统自身保护的方法,并从蜜罐进程保护、日志数据保护、反蜜罐扫描和蜜罐进程重启四个方面重点论述了如何实现对蜜罐系统的隐藏和保护。本文主要完成了以下几点工作:1.研究了Rootkit技术的特点及其在蜜罐保护系统中应用的可能性,从而得出Rootkit是可以用于实现蜜罐进程的隐蔽运行的,确立了正确的实现途径。2.提出了一个入侵进程干预模型,并给出了进程干预算法。同时给出了一个基于Rootkit技术的蜜罐系统保护软件的设计方案,包括蜜罐进程保护、日志数据保护、反蜜罐检测和蜜罐进程重启四个方面的设计。3.采用Visual C++开发工具在Windows环境下实现了蜜罐保护系统:Honeypot-Protector,并对其进行了测试和分析。利用本文所提出的蜜罐保护技术,能够在不影响蜜罐系统被入侵者攻击和攻陷的同时,保护蜜罐系统不会被入侵者轻易识别;有效地保证了即使在蜜罐被攻陷时,部署蜜罐的主机其系统控制权不会被入侵者轻易获得;即使在系统控制权被入侵者获得后,蜜罐产生和记录的重要数据不易被入侵者发现和破坏,从而极大地提高了蜜罐系统自身的安全性和健壮性,实现了最大限度地拖延入侵者攻击速度,避免了蜜罐被攻陷后成为入侵者发起对下一个目标进行攻击的跳板,为即将可能到来的蜜罐、反蜜罐技术对抗提供了一个新的研究思路。

全文目录


摘要  3-4
Abstract  4-9
第1章 绪论  9-19
  1.1 背景及研究意义  9-10
    1.1.1 信息安全面临的形势  9
    1.1.2 蜜罐系统在信息安全中的作用  9-10
    1.1.3 蜜罐遇到的挑战和应对该挑战的必要性  10
  1.2 国内外研究现状综述  10-16
    1.2.1 蜜罐技术研究现状  11-13
    1.2.2 反蜜罐技术研究现状  13-15
    1.2.3 蜜罐保护技术研究现状  15-16
  1.3 本文的主要工作  16-18
    1.3.1 本文目标  16
    1.3.2 主要研究内容  16-17
    1.3.3 研究方法  17-18
  1.4 本文章节安排  18-19
第2章 相关技术及理论概要  19-31
  2.1 蜜罐技术  19-24
    2.1.1 概述  19-20
    2.1.2 主要蜜罐工具及分类介绍  20-24
  2.2 反蜜罐技术  24-26
    2.2.1 概述  24
    2.2.2 常见的反蜜罐识别技术  24-26
  2.3 Rootkit 技术  26-29
    2.3.1 Rootkit 的产生和发展  26-27
    2.3.2 Rootkit 的常见功能  27-28
    2.3.3 Rootkit 在蜜罐保护应用中的可行性分析  28-29
  2.4 本章小结  29-31
第3章 基于Rootkit 的蜜罐保护技术设计  31-63
  3.1 入侵进程干预模型及算法设计  31-33
  3.2 蜜罐进程保护原理  33-39
    3.2.1 进程保护机理设计  34-35
    3.2.2 涉及的API 函数  35-37
    3.2.3 基于SSDT 挂钩的进程保护设计  37-39
  3.3 日志保护设计  39-46
    3.3.1 坏簇法原理  40-42
    3.3.2 FAT32 文件系统下的日志保护  42-44
    3.3.3 NTFS 文件系统下的日志保护  44-46
  3.4 虚拟机检测技术设计  46-56
    3.4.1 虚拟机检测技术概念  46-48
    3.4.2 优化虚拟机配置以提高反检测能力  48-50
    3.4.3 虚拟机特征信息查询欺骗  50-56
  3.5 重启蜜罐系统设计  56-62
    3.5.1 蜜罐系统重启的意义  57
    3.5.2 蜜罐进程的重启  57-59
    3.5.3 进程名的动态修改  59-62
  3.6 本章小结  62-63
第4章 Honeypot-Protector 系统设计与实现  63-83
  4.1 设计思想和目标  63-64
  4.2 需求分析  64-68
  4.3 系统设计  68-72
    4.3.1 系统结构  68-69
    4.3.2 界面与功能  69-72
  4.4 系统实现  72-82
    4.4.1 开发平台及应用环境  72
    4.4.2 蜜罐进程保护实现  72-74
    4.4.3 日志保护实现  74-78
    4.4.4 反蜜罐检测实现  78-80
    4.4.5 蜜罐进程重启实现  80-82
  4.5 本章小结  82-83
第5章 Honeypot-Protector 系统测试及结果分析  83-92
  5.1 测试目的  83
  5.2 测试案例设计  83-84
  5.3 测试环境  84-85
  5.4 结果及分析  85-91
    5.4.1 测试结果  85-90
    5.4.2 结果分析  90-91
  5.5 本章小结  91-92
第6章 总结与展望  92-96
  6.1 论文工作总结  92-94
  6.2 未来工作展望  94-95
    6.2.1 蜜罐保护技术  94
    6.2.2 日志文件大小限制  94
    6.2.3 反蜜罐检测技术  94-95
  6.3 总结  95-96
参考文献  96-98
致谢  98-99
攻读学位期间参加的科研项目和成果  99

相似论文

  1. 矢量CAD电子图纸保护系统研究,TP391.72
  2. 基于主动方式的恶意代码检测技术研究,TP393.08
  3. 我国涉密电子政务网信息安全建设对策的研究,D630
  4. 一种FFTT非对称加解密算法的研究与实现,TP309.7
  5. C公司信息安全管理研究,F270.7
  6. A供电公司信息管理安全与防范对策研究,F426.61
  7. 江西移动网络信息安全管理研究,TP309
  8. 驱动级木马传输和加密算法设计与实现,TP393.08
  9. 基于Linux系统的证据收集研究与实现,D918.2
  10. 蜜罐文件系统的智能内核级中间件研究,TP393.08
  11. 基于Click的网络流量蜜罐系统研究,TP393.08
  12. 基于虚拟机的安全监测研究,TP274
  13. 基于混合式蜜罐技术的蠕虫对抗模型研究,TP393.08
  14. 基于LSM的改进型Linux入侵检测系统,TP393.08
  15. 网络信息安全的法律问题研究,D922.17
  16. 基于Windows平台的Rootkit技术研究与应用,TP393.08
  17. 木马网络通信特征提取技术研究,TP393.08
  18. 基于硬件虚拟技术的恶意代码检测与审计,TP393.08
  19. IPv6环境下蜜罐系统的研究与应用,TP393.08
  20. Windows环境下针对Rootkit隐藏技术的木马检测技术,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com