基于argos的捕获零日攻击的蜜罐技术的研究-信息安全专业论文.docxVIP

山东大学硕士学何论文摘要 山东大学硕士学何论文 摘要 蜜罐足一种用来诱捕，延缓网络攻击和收集攻击者信息的技术。它与其他入侵检 测软件，防火墙和漏洞扫描软件的最大区别足它响应迅速，适应能力强，能够主动的 捕获攻击，而不再是被动防御。我们能够利用蜜罐搜集的日志来分析攻击者的攻击行 径，从而设计出新的防御方案，以最快的响应速度减少受侵害的损失。蜜罐从简单的 低交互脚本模拟服务方式如今已经发展到利用虚拟操作系统技术来使得攻击者更难 以辨认其与真实机的区别。一个虚拟蜜罐能够在一种机器上模拟多种操作系统，构成 了各式各样的网络环境，使其更加真实。Argos作为下一代新型高交互蜜罐，利用动 态标签技术，从根本上能够检测出多种缓冲区溢出，能够有效的捕获到零日攻击。 如果一个漏洞被发现后，在24d,时内，立即被恶意利用，出现对该漏洞的攻击方 法或出现攻击行为，那么该漏洞被称为“零日漏洞”，该攻击被称为“零日攻击一。 Argos是一种利用蜜罐技术实现的安全模拟器，基于Qemu开发，Qemu足Linux平 台下利用动态翻译机制来达到高模拟速度的开源虚拟机软件。Argos在Qemu的模拟机 制上开发了相应的检测记录机制，能够诱骗远端入侵者利用缓冲区溢出入侵操作系 统，而入侵者并不知道入侵的其实足虚拟的操作系统，其入侵行为已被记录。利用动 态标记分析技术，它能跟踪网络信息的执行，发现多种试图非法使用的代码，并产生 相应的内存日志记录。Argos的最杰出的功能是识别出零日攻击和其他类似的攻击。 一个高模拟度的蜜罐，不应该隐藏起来，而应该对外界可见，与真实机一样，拥有显 视的lP，公开提供应有的服务，产生正常的流量。然而这一点对以前的蜜罐来说是不 可能的，因为恶意的和无害的流量不能被区别开来。而Argos能够精确的通报每一个 可能成功的漏洞攻击，将恶意流量进行记录。冈此对Argos的捕捉零日攻击的原理有 必要进行研究分析，所以本论文的工作主要集中在以下三个方面。 1．对缓冲区溢出原理进行深入研究，总结分析缓冲区溢出攻击和防御途径。 2．研究虚拟机的实现机制，并深入研究Oemu的实时翻译机制。 3．研究以A唱os的动态标记技术，分析捕获零日攻击的方法，设计具有漏洞的服 务程序和针对该漏洞进行溢出的恶意程序，以对Argos功能进行测试并作出相 关数据分析。在Qemu的基础上研究反蜜罐技术原理，并编写针对Qemu的探测 程序。 关键词：Argos；Qemu；蜜罐：零日攻击 AbstractHoneypot Abstract Honeypot is a technique which is entrapped to delay attacks and collect information from the attacker．It is di fferent from other network security software in response speed， adaptability and SO on．It can capture attacks actively instead of defending passively．We can make use of logs collected by honeypots to analyze attackers behavior and design new defense scheme in order tO cut down damages as quickly as possible．Honeypot has developed from the simple low simulation mode using scripts to the high virtual machine， which can not be easily distinguished from the real one．A virtual honeypot can simulate several operation systems in different infrastructures on the same machine，St)it can build sorts of intemet environments to make itself seem much real．Argos is the first step to create a framework that will use next generation honeypots to automatically identify sorts of buffer overflows and capture zero-day worms． A zero‘da