面向Cisco路由器的蜜罐系统关键技术研究

来源 :战略支援部队信息工程大学 | 被引量 : 0次 | 上传用户:taodengjiang
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
路由器作为互联网基础设施,主要提供数据转发,网络寻址等重要任务,其安全状况对所在网络具有举足轻重的影响。Cisco作为全球最大的互联网设备厂商为全球骨干网络提供着最广泛的服务。虽然Cisco公司一直致力于提高其路由器的安防水平,但由于Cisco路由器型号和IOS版本众多,给安全研究带来困难。一些IOS漏洞和针对性攻击方式只有在安全事件爆发时才会被发现,造成大量经济损失。本文希望借鉴蜜罐思想主动发现针对Cisco路由器的攻击行为,并提前感知未知威胁。当前蜜罐研究多针对于PC端服务,路由器作为蜜罐场景构建的一部分,通常不被重视。有的蜜罐系统仅仅虚拟了路由功能而并没有采用高交互路由器,起不到对路由器安全研究的效果。本文设计了基于硬件仿真的高交互虚拟蜜罐,同时为了弥补虚拟化能力的不足,采用实体路由器作为补充蜜罐。提出了一种基于虚实结合的Cisco路由器蜜罐构建方法,并给出Cisco路由器蜜罐信息捕获和攻击判定条件。本文的主要工作包括:1.构建了Cisco IOS攻击链模型,对照攻击模型分析了路由器攻击的各个阶段特点。能够直观的反映出不同阶段的攻击目标、所使用的技术方法以及取得的效果和影响。攻击模型对路由器安全防护及蜜罐的配置策略有指导作用。2.提出了虚实结合的Cisco路由器蜜罐构建和部署方法。当前路由器平台蜜罐研究资料较少,在高交互蜜罐领域并没有形成一款专门针对路由器的蜜罐。通过对固件模拟执行的方式生成虚拟路由器,同时搭配实体路由器组成了高交互路由器蜜罐的硬件基础。针对虚实两种路由器的特点分别设计了相应的蜜罐路由器生成和控制技术,能够获取攻击行为的原始数据。3.提出了Cisco路由器蜜罐攻击行为判定方法。明确了路由器蜜罐的信息采集的内容并给出了相关信息的收集的方法手段。分别针对不同来源的信息给出了攻击判定方法,提出了基于告警信息的攻击行为分析流程。4.提出了基于返回地址内存哈希的ROP攻击定位分析方法。在Cisco路由器虚拟蜜罐指令监控的基础上,针对传统的ROP防护技术在解决Cisco IOS防护上存在的缺陷,提出了一种基于返回地址内存哈希验证的方法,能够在路由器遭受ROP攻击时有效定位出攻击发生位置,并截获关键shellcode代码。
其他文献
Stencil是一类在科学计算和工程应用中常见的计算模式,其计算和访存开销随规模增大呈线性增长,适合在高性能计算机上并行执行。我国自主研发设计的“神威·太湖之光”由国产SW26010众核处理器搭载而成,是世界上首台性能超过100 Pflop/s的超级计算机。为充分发挥国产超级计算机在科学应用性能加速中的作用,针对Stencil计算的性能优化研究十分重要。然而,Stencil计算在国产异构众核处理器
当前,信号处理领域实时性要求越来越高,采用CPU+GPU架构的高性能处理平台逐渐在信号处理领域受到重视。为了有效发挥平台内部CPU和GPU计算资源的效率,需要任务调度算法与平台的硬件特点相匹配。然而对于CPU+GPU异构信号处理平台,传统调度算法由于CPU+GPU架构的特殊性,无法发挥优势,甚至造成负面影响。课题由此研究改进了适合于CPU+GPU异构信号处理平台的任务调度决策与方法,实现了对平台多
水声通信信号的盲检测与调制识别是非合作接收条件下水声通信信号信息恢复的重要环节,对海洋资源的开发利用以及提升水下侦察预警能力等具有重要意义。传统的基于特征统计量的水声通信信号盲检测与调制识别方法在水声多途信道和复杂分布噪声环境下往往不够稳健,而深度学习方法能够自动提取深层特征并分类,有效降低了对人工领域知识的依赖。但是,该类方法往往要求大量来自待测目标信道条件下的数据对网络进行训练,在非合作接收条
卫星通信具有覆盖范围广、不受地理条件限制、不易遭到破坏、可承载业务种类多等优点,在应急通信中具有广泛的应用;而不同应用场景往往需要不同的传输速率以承载差异化的服务,通信设备如果能够支持多速率传输和多调制方式的在线切换,将会使系统更具有通用性;TDMA被广泛应用于卫星通信中,其具有单载频复用、无互调干扰、吞吐量高等优点,非常适合处理突发业务。因此本文拟设计一套支持多调制方式和多速率传输的TDMA系统
互联网上丰富的开源代码和第三方组件能够协助软件开发者快速高效地完成开发任务,同时极大地解放了生产力和创造力。正因如此,第三方代码在软件工程中被广泛地使用,甚至无处不在。在很多情况下,即便无法获得软件的源代码或缺少版权声明,我们也想了解软件中第三方代码的复用情况,进而实现知识产权保护和脆弱代码监控等重要应用,二进制代码相似性检测就是为了完成这类任务。本文通过对现有工作的研究发现,由于突破了传统方法在
2020年国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD)所披露的数据显示,当前互联网环境中Web应用类型漏洞占总体漏洞数量的26.5%,可见互联网环境中的Web应用程序面临着极大的安全威胁。代码注入攻击与XSS(Cross Site Scripting)攻击是目前Web应用程序面临的主要威胁,针对此类攻击的传统防御手段,存在过滤规则
代码复用极大提高软件开发效率的同时可能带来一定的安全风险,如果被重用的代码片段中包含漏洞,则所有在此基础上构建的软件系统都会受到影响,因此漏洞检测一直都是软件安全领域研究的重要问题。但是,对于大多数商业软件和设备的固件镜像无法获得源代码,此外随着物联网设备的普及,越来越多的程序被移植到不同体系架构的平台上运行。因此针对跨平台二进制漏洞的检测问题日益成为该领域研究的重点。二进制代码相似性检测用于度量
开源无处不在,从底层芯片、驱动、固件,到操作系统、浏览器、应用软件,都有开源软件的应用,基于组件的开发和代码重用大大提高了软件开发的效率。然而,开源项目维护者对代码安全质量重视不够和技术能力水平不足,开源代码的依赖和引用关系较为复杂,其安全性也往往缺少审查和管理,因此,开源软件也增加了软件供应链的复杂性和安全风险,许多开源漏洞也被引入到闭源二进制文件中。因此,检测闭源二进制代码中复用的开源代码,研
计算机断层成像(Computed Tomography,CT)技术以无损、非接触的方式对物体进行三维成像,广泛应用于医学诊断、工业检测、安全检查、文物修复等领域。在实际应用中,成像系统与理想模型之间的偏差,会导致CT重建图像出现各种伪影。其中,几何伪影是由实际成像系统空间结构与理想几何模型参数失配所引起的图像伪影,表现为重建图像边缘模糊及重影,导致成像分辨率降低和图像质量下降。因此,准确高效的几何
学位