一种数据捕获策略的研究与实现.docVIP

一种数据捕获策略的研究与实现 　　摘要：近年来，网络安全问题日益严重，针对网络攻击方与防御方存在着不对称的技术博弈问题，提出一种利用sebek技术实现数据捕获的改进方案。该文首先详细分析了sebek的特点?p工作原理和实现机制，通过调试发现运行中的缺陷并给出解决方法，然后进行验证，对sebek在windows下的运行流畅性进一步优化，在此基础上，实现了利用sebek在蜜网中进行数据捕获的方案。实验结果表明，该方案能够有效的捕获网络中的入侵行为，实现了数据捕获功能，为下一步的数据分析提供依据。 　　关键词：sebek；数据捕获；蜜罐；入侵检测；网络安全 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）34-0072-04 　　Abstract： In recent years ，network security problem becomes more and more serious，for the question of the network attack side and defense side existing asymmetric technology game ，the paper proposes a modified solution of realizing data capture by sebek technology. At first this paper tries to analyse the characteristics， working principle and the implementation mechanism of sebek in detail，through debugging finds out defects and gives the solution in operation， and then verifies the solution， by optimizing further， sebek can run smoothly under windows system.Based on that， the paper implements the proposal of data capture by sebek technology in honeynet .The experimental results show that the proposal can effectively capture the invasion behavior in network，realizes the function of data capturing， and provides the basis for next data analysis. 　　Key words： sebek ； data capture ； honeypot ； intrusion detection ； network security 　　1 概述 　　近年来，网络安全形势日益严峻，平均每20秒就发生一次入侵计算机网络的事件。网络攻击方与防御方存在着不对称的技术博弈问题[1]，攻击方只要在任何时间找到目标的一个漏洞就能攻破系统，而防御方必须确保系统不存在任何可被攻击者利用的漏洞，并拥有全天候的监控机制，才能确保系统的安全。 　　为了解决这个问题，蜜网项目组[2]（the Honeynet Project）提出了诱骗的概念，即在一个可控的网络环境中，诱骗入侵者进行入侵，在入侵者没有察觉的情况下对入侵行为进行捕获，分析入侵者的意图，并让入侵者一无所获，从而避免损失。 　　2 相关工作 　　利用sebek在蜜网中实现数据捕获是蜜网项目组提出的一种关键的数据捕获方案，sebek是由蜜网项目组（the Honeynet Project）在2001年至2003年间开发的用于数据捕获的内核模块，该模块常被用于蜜网中实现数据捕获功能，也可以单独使用，国?榷云溲芯拷仙伲?大多数是针对蜜网的研究，如由北京大学诸葛建伟博士主持的狩猎女神项目组[3]，多年来一直专注于蜜网技术及其应用研究，取得了很多成果，但是针对sebek的特点?p工作原理和实现机制研究较少。 　　本文详细分析了sebek的特点?p工作原理和实现机制，进而通过调试发现了源码中的缺陷并给出解决方法，然后进行验证，在此基础上，实现了利用sebek在蜜网中进行数据捕获的解决方案并进行了测试。 　　3 sebek关键技术分析 　　sebek是运行在内核空间的一段代码，它能记录系统用户存取的一些或者全部数据，具体包括：记录加密会话中的击键，恢复使用SCP拷贝的文件，捕获远程系统被记录的口令，恢复