网络诱捕关键技术研究

The deteriorating cyberspace environment requires to develop advanced defense technologies. As a supplement of existing traditional defense tools, honeypot attracts hackers, identifies malicious behaviours and takes actions to control malware propagation. This project aims to enhance the defense capability of existing honeypot technologies and focuses on techonologies on environment contruction, data capture, data control and data analysis. First, we propose a new honeypot architecture and explore an efficient environment construction techonlogy to achieve high fedility. Second, we propose a new data capture mechanism at the hypervisor layer to monitor guest behaviours in order to avoid being detected by malware running at the guest level. Third, we propose a new data control mechanism based on traffic redirection and intrusion detection to avoid the liability problem caused by outgoing attack traffic. Fourth, we study data fusion, data filtering and data analysis techonlogies to trace the attack source. These technologies can be used by traditional defense tools to enhance their capability.

网络空间军事斗争加剧对防御技术提出更高的要求。作为传统安全防护手段的重要补充，网络诱捕系统通过主动吸引攻击者、识别攻击行为、采取防御措施控制攻击行为，实现主动防御。本项目着眼提升诱捕系统防御性和实用性，探索研究网络诱捕系统核心技术，重点围绕诱捕环境构建、数据捕获、数据控制和数据分析等关键技术开展机理分析和技术研究，具体包括四个方面：研究剖析诱捕系统体系结构，探索诱捕环境构建技术，有效吸引攻击者，降低诱捕系统资源消耗；研究数据捕获机制，针对Sebek容易被识别问题，研究基于虚拟机管理器层次的主机数据捕获方法，增强诱捕系统的反识别能力；研究基于数据重定向和入侵检测相结合的数据控制机制，探索攻击流和非攻击流合理控制定向技术，规避跳板攻击责任问题；研究数据分析机制，探索数据的融合、过滤和分析技术，追踪攻击来源，并应用于防火墙等被动防御系统，提高其防御能力。

本项目针对网络诱捕系统关键技术进行研究和突破，即研究数据捕获机制、数据控制机制、数据分析机制和诱捕环境构建机制。一、研究安全威胁数据捕获体系，从入侵检测、网关和主机层次实现监测功能。特别的，提出基于虚拟机管理器（Hypervisor）层次的主机数据捕获方法，对客户操作系统指令的执行进行截获，从而实现对主机行为的监控。二、提出基于入侵检测和数据重定向技术的数据控制体系结构。使用入侵检测系统将流量区分为攻击流量和非攻击流量，利用数据重定向技术对流量进行合理控制，避免跳板攻击责任问题，同时构建一个封闭环境实现恶意代码监测。三、研究数据分析技术，对安全威胁进行跟踪溯源，对威胁数据进行态势呈现。特别的，对802.11ah认证请求伪造等安全威胁进行跟踪溯源，并提出伪造认证请求过滤方法，识别和过滤攻击。四、构建诱捕环境，实现对操作系统、服务和应用攻击行为的检测功能，主要包括三个方面：（1）对ACK伪造攻击行为进行捕获、检测和分析，并提出一种防御方法。（2）针对速率控制机制的多种攻击行为，提出相应的识别、检测和分析方法。（3）对暴力破解攻击行为进行捕获和分析，并提出蜜罐加密技术进行应对，解决传统加密技术无法有效应对暴力破解的难题。