来源:蜘蛛抓取(WebSpider)
时间:2014-11-15 11:26
标签:
消消乐71关怎么过
文档贡献者
该文档贡献者很忙,什么也没留下。
下载此文档
正在努力加载中...
网络安全入侵检测系统虚拟实验室的设计与实现
文档星级:
内容提示:网络安全入侵检测系统虚拟实验室的设计与实现
文档格式:PDF|
浏览次数:2|
上传日期: 16:56:37|
下载积分:
该用户还上传了这些文档
官方公共微信
下载文档:网络安全入侵检测系统虚拟实验室的设计与实现.PDF企业信息化建设电子商务服务平台
热门产品分类:
创业致富 技术资料信息10万余项,包括VCD光盘,专利技术光盘,面授技术等!欢迎来电咨询、学习!
一种防止系统被入侵的方法、入侵防御系统及计算机
来源:广搜网
公益为中国网民提供数字化信息
发布日期: 15:14:06
&&&&发明人:郭栋梓(摘要:本发明公开了一种防止系统被入侵的方法、入侵防御系统及计算机,其中方法包括以下步骤:启动入侵防御系统,入侵防御系统安装在虚拟机管理器层中,与虚拟机的操作系统隔离;通过入侵防御系统检测在虚拟机中运行的操作系统和业务系统的安全状态的变化是否符合预先设置的安全策略,业务系统安装在操作系统中;若安全状态的变化不符合安全策略,则根据安全策略执行预先设定的操作。本发明中,安装于虚拟机管理器层中的侵防御系统不依赖于虚拟机的操作系统,不受操作系统漏洞的影响,能够很好地监控虚拟机中的操作系统,防止非法程序入侵,提高了虚拟机操作系统的安全性。)
启动入侵防御系统,所述入侵防御系统安装在虚拟机管理器层中,与虚拟机的操作系统隔离;通过所述入侵防御系统检测在虚拟机中运行的操作系统和业务系统的安全状态的变化是否符合预先设置的安全策略,所述业务系统安装在所述操作系统中;若所述安全状态的变化不符合所述安全策略,则根据所述安全策略执行预先设定的操作。2. 根据权利要求1 所述的防止系统被入侵的方法,其特征在于,所述预先设定的操作包括恢复所述操作系统和业务系统,以及关闭所述操作系统和业务系统。3. 根据权利要求2 所述的防止系统被入侵的方法,其特征在于,所述安全状态的变化至少包括所述操作系统和业务系统的关键内存区间预值、文件系统预值或者注册表预值的变化值。4. 根据权利要求3 所述的防止系统被入侵的方法,其特征在于,在设置所述安全策略时,可设置同时检测多个虚拟机中运行的操作系统和业务系统的安全状态的变化。5. 根据权利要求4 所述的防止系统被入侵的方法,其特征在于,在根据所述安全策略执行预先设定的操作后,还包括步骤:根据所执行的预先设定的操作,产生相应的告警信息。6. 一种入侵防御系统,其特征在于,该入侵防御系统安装在虚拟机管理器层中,与虚拟机的操作系统隔离,该入侵防御系统包括:安全策略设置模块,用于预先设置安全策略;检测模块,用于在该防御系统启动后,检测在虚拟机中运行的操作系统和业务系统的安全状态的变化是否符合预先设置的安全策略,所述业务系统安装在所述操作系统中;安全策略执行模块,用于在所述安全状态的变化不符合所述安全策略时,根据所述安全策略执行预先设定的操作。7. 根据权利要求6 所述的入侵防御系统,其特征在于,所述预先设定的操作包括恢复所述操作系统和业务系统,以及关闭所述操作系统和业务系统。8. 根据权利要求7 所述的入侵防御系统,其特征在于,所述安全状态的变化至少包括所述操作系统和业务系统的关键内存区间预值、文件系统预值或者注册表预值的变化值。9. 根据权利要求8 所述的入侵防御系统,其特征在于,所述安全策略设置模块可进一步用于设置同时检测多个虚拟机中运行的操作系统和业务系统的安全状态的变化。10. 根据权利要求9 所述的入侵防御系统,其特征在于,该入侵防御系统还包括告警模块,用于根据所执行的预先设定的操作,产生相应的告警信息。11. 一种安装有入侵防御系统的计算机,其特征在于,该计算机设有虚拟机层和虚拟机管理器层,其中虚拟机层设有至少一个虚拟机,所述入侵防御系统安装在所述虚拟机管理器层中,为权利要求6-10 中任一项所述的入侵防御系统。一种防止系统被入侵的方法、入侵防御系统及计算机技术领域[0001] 本发明涉及计算机安全,尤其涉及一种防止系统被入侵的方法、入侵防御系统及计算机。背景技术[0002] 随着互联网的普及与发展,企业越来越重视业务服务器的安全。许多企业和单位开始采取HIPS(Host-based Intrusion Prevention System,基于主机的入侵防御系统)来解决服务器的安全性问题。[0003] 此系统的主要工作原理和目的为:在业务服务器的OS(Operating System,操作系统)中安装相应的安全软件,在操作系统和业务系统运行的过程中监控操作系统和业务系统本身不被篡改和入侵。[0004] 这种方法能从一定程度上起到防御作用,但存在如下缺点:一是如在安装HIPS 软件前,操作系统已经被入侵则无法做到很好的防护或者根本无法安装;二是现存HIPS 软件的实现均依赖操作系统的安全机制,如操作系统本身存在漏洞则可能导致HIPS 被攻击者攻破,如:某款HIPS 软件对文件操作的监控依赖加载在操作系统中的文件过滤驱动程序,如操作系统有漏洞则攻击程序可以很容易把此驱动程序卸载掉或者直接绕过。发明内容[0005] 本发明要解决的技术问题在于针对现有技术中入侵防御系统在操作系统本身存在漏洞的情况下不能保证操作系统安全的缺陷,提供一种不依赖于操作系统的防止系统被入侵的方法、入侵防御系统及计算机。[0006] 本发明解决其技术问题所采用的技术方案是:[0007] 提供一种防止系统被入侵的方法,包括以下步骤:[0008] 启动入侵防御系统,所述入侵防御系统安装在虚拟机管理器层中,与虚拟机的操作系统隔离;[0009] 通过所述入侵防御系统检测在虚拟机中运行的操作系统和业务系统的安全状态的变化是否符合预先设置的安全策略,所述业务系统安装在所述操作系统中;[0010] 若所述安全状态的变化不符合所述安全策略,则根据所述安全策略执行预先设定的操作。[0011] 本发明所述的防止系统被入侵的方法中,所述预先设定的操作包括恢复所述操作系统和业务系统,以及关闭所述操作系统和业务系统。[0012] 本发明所述的防止系统被入侵的方法中,在设置所述安全策略时可设置同时检测多个虚拟机中运行的操作系统和业务系统的安全状态的变化。[0013] 本发明所述的防止系统被入侵的方法中,所述安全状态的变化至少包括所述操作系统和业务系统的关键内存区间预值、文件系统预值或者注册表预值的变化值。[0014] 本发明所述的防止系统被入侵的方法中,在根据所述安全策略执行预先设定的操作后,还包括步骤:根据所执行的预先设定的操作,产生相应的告警信息。[0015] 本发明解决其技术问题所采用的另一技术方案是:[0016] 提供一种入侵防御系统,该入侵防御系统安装在虚拟机管理器层中,与虚拟机的操作系统隔离,该入侵防御系统包括:[0017] 安全策略设置模块,用于预先设置安全策略;[0018] 检测模块,用于在该防御系统启动后,检测在虚拟机中运行的操作系统和业务系统的安全状态的变化是否符合预先设置的安全策略,所述业务系统安装在所述操作系统中;[0019] 安全策略执行模块,用于在所述安全状态的变化不符合所述安全策略时,根据所述安全策略执行预先设定的操作。[0020] 本发明所述的入侵防御系统中,所述预先设定的操作包括恢复所述操作系统和业务系统,以及关闭所述操作系统和业务系统。[0021] 本发明所述的入侵防御系统中,所述安全策略设置模块可进一步用于设置同时检测多个虚拟机中运行的操作系统和业务系统的安全状态的变化。[0022] 本发明所述的入侵防御系统中,所述安全状态的变化至少包括所述操作系统和业务系统的关键内存区间预值、文件系统预值或者注册表预值的变化值。[0023] 本发明所述的入侵防御系统中,该入侵防御系统还包括告警模块,用于根据所执行的预先设定的操作,产生相应的告警信息。[0024] 本发明解决其技术问题所采用的第三技术方案是:[0025] 提供一种安装有入侵防御系统的计算机,该计算机设有虚拟机层和虚拟机管理器层,其中虚拟机层设有至少一个虚拟机,所述入侵防御系统安装在所述虚拟机管理器层中,所述入侵防御系统为上文所述的入侵防御系统。[0026] 本发明产生的有益效果是:本发明通过将入侵防御系统安装在虚拟机管理器层中,与虚拟机中的操作系统相隔离,通过入侵防御系统检测在虚拟机中运行的操作系统和业务系统的安全状态的变化是否符合预先设置的安全策略,若安全状态的变化不符合安全策略,则根据安全策略执行预先设定的操作。本发明的技术方案中,安装于虚拟机管理器层中的侵防御系统不依赖于虚拟机的操作系统,不受操作系统漏洞的影响,能够很好地监控虚拟机中的操作系统,防止非法程序入侵,提高了虚拟机操作系统的安全性。附图说明[0027] 下面将结合附图及实施例对本发明作进一步说明,附图中:[0028] 图1 是本发明实施例基于虚拟机管理器的入侵防御系统VMMIPS 的安装位置示意[0029] 图2 是本发明实施例防止系统被入侵的方法流程图;[0030] 图3 是本发明实施例入侵防御系统的结构示意图;[0031] 图4 是本发明实施例安装有入侵防御系统的计算机结构示意图。具体实施方式[0032] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。[0033] 本发明方案的实现需要业务服务器及业务系统所运行的CPU 支持硬件虚拟化技术,包括但不限于Intel 的VT(Intel Virtualization Technology,Intel 虚拟化技术)技术或AMD 的Pacifica 虚拟技术。一台计算机中可以设置一个或者多个虚拟机。本发明实施例中,企业的业务服务器的操作系统可安装运行在其中一个虚拟机中,并在业务服务器的操作系统中安装应用系统,即业务系统,如SQL Server(关系数据库管理系统)等。[0034] 本发明实施例防止计算机系统被入侵的方法,主要包括以下步骤:[0035] 启动入侵防御系统,该入侵防御系统为基于虚拟机的管理器的入侵防御系统(VMMIPS:Virtual Machine Monitor-based Intrusion Prevention System),安装在虚拟机管理器(VMM :Virtual Machine Monitor)层中,与虚拟机的操作系统隔离;如图1 所示,入侵防御系统安装在计算机CPU 中的虚拟机管理器层,与虚拟机层(虚拟机层包括多个虚拟机)通过计算机CPU 的硬件虚拟化技术特性隔离,使入侵防御系统独立于虚拟机的操作系统。[0036] 通过该入侵防御系统检测在虚拟机中运行的操作系统和业务系统的安全状态的变化是否符合预先设置的安全策略,业务系统安装在操作系统中;[0037] 若安全状态的变化不符合安全策略,则根据安全策略执行预先设定的操作。[0038] 本发明实施例通过设置在虚拟机管理层中的入侵防御系统来监控运行在虚拟机中的操作系统和业务系统,其中虚拟机管理层与虚拟机隔离,入侵防御系统独立于操作系统,不受操作系统漏洞的影响,可保护主机操作系统和业务系统不被攻击者入侵,安全可靠。[0039] 进一步地,本发明实施例中,预先设定的操作包括恢复操作系统和业务系统,以及关闭操作系统和业务系统。在系统受到非法入侵时,通过上述操作可以保护操作系统即业务系统的安全性。[0040] 进一步地,本发明实施例中,在设置所述安全策略时,可设置入侵防御系统同时检测多个虚拟机中运行的操作系统和业务系统的安全状态的变化。[0041] 进一步地,本发明实施例中,安全状态的变化至少包括操作系统和业务系统的关键内存区间预值、文件系统预值或者注册表预值的变化值,在变化值超过相应的预设值时,就执行相应的操作。[0042] 进一步地,本发明实施例中,在根据安全策略执行预先设定的操作后,还包括步骤:根据所执行的预先设定的操作,产生相应的告警信息。[0043] 本发明实施例中,将基于虚拟机管理器的入侵防御系统可以做成软件安装在虚拟机管理器层中,与虚拟机层隔离,如图2 所示,本发明实施例防止系统被入侵的方法包括以下步骤:[0044] S201、运行VMMIPS 软件;[0045] S202、在入侵防御系统中设定要保护的虚拟机和相应的安全策略;该安全策略可以规定如何检测虚拟机及运行在虚拟机中的操作系统和业务系统的安全状态,该安全策略所检测的安全状态包括但不限于:虚拟机及运行在虚拟机中操作系统和业务系统的关键内存区间预值、文件系统预值、注册表预值等中的一种或者多种。在上述各个值的变化值超过预设值时,则执行安全策略中设定的相应操作。[0046] S203、在虚拟机中启动操作系统和业务系统。[0047] S204、入侵防御系统检测虚拟机中的操作系统和业务系统是否符合预先设置的安全策略。[0048] S205、根据预先设置的安全策略判断是否要求恢复运行在虚拟机中的操作系统和业务系统。[0049] S206、若根据预先设置的安全策略要求恢复运行在虚拟机中的操作系统和业务系统,则使用重置等方式恢复运行在虚拟机中的操作系统和业务系统,并告警给入侵防御系统的管理员。[0050] S207、若根据预先设置的安全策略无需恢复运行在虚拟机中的操作系统和业务系统,则关闭运行在虚拟机中的操作系统和业务系统,并告警给入侵防御系统的管理员。[0051] 如图3 所示,本发明实施例的入侵防御系统用于实现上述防止系统被入侵的方法,入侵防御系统安装在虚拟机管理层中,包括:[0052] 安全策略设置模块221,用于预先设置安全策略;在本发明实施例中,该安全策略可以规定如何检测虚拟机及运行在虚拟机中的操作系统和业务系统的安全状态,该安全策略所检测的安全状态包括但不限于:虚拟机及运行在虚拟机中操作系统和业务系统的关键内存区间预值、文件系统预值、注册表预值等中的一种或者多种。[0053] 检测模块222,用于检测在虚拟机中运行的操作系统和业务系统的安全状态的变化是否符合预先设置的安全策略,业务系统安装在操作系统中;在上述各个预值的变化值超过预设值时,则执行安全策略中设定的相应操作。[0054] 安全策略执行模块223,用于在安全状态的变化不符合安全策略时,根据安全策略执行预先设定的操作。在本发明的实施例中,预先设定的操作包括恢复操作系统和业务系统,以及关闭操作系统和业务系统。[0055] 进一步地,本发明实施例中,安全策略设置模块221 可进一步用于设置入侵防御系统同时检测多个虚拟机中运行的操作系统和业务系统的安全状态的变化。[0056] 进一步地,为了及时告知监控虚拟机的情况,该入侵防御系统还包括告警模块224,用于根据所执行的预先设定的操作,产生相应的告警信息。[0057] 如图4 所示,本发明实施例安装有上述入侵防御系统的计算机设有虚拟机层10、虚拟机管理器层20、基础层30 以及输入输出模块40。[0058] 虚拟机层10 包括设置的一个或者多个虚拟机(VM),虚拟机中安装有操作系统(OS)以及业务系统,虚拟机层10 和虚拟机管理器层20 均运行在计算机的CPU 中,但是通过CPU 的硬件虚拟化技术特性隔离,虚拟机管理器层20 包括虚拟机管理器21 以及入侵防御系统22,入侵防御系统22 的具体组成部分在上文已有详细描述,在此不赘述。[0059] 基础层30 为支持入侵防御系统22 运行的基础,包括基础支撑模块,该基础支撑模块用以解析对应的虚拟机操作系统的文件系统、注册表(如有)、关键内存区等。入侵防御系统22 通过基础支撑模块与运行在虚拟机中的操作系统交互。[0060] 输入输出模块40 为包括网络、键盘、显示器、磁盘、串口等输入输出I/O 模块。[0061] 该计算机执行入侵防御主要包括如下步骤(步骤序号已在图4 中标明):[0062] 步骤1 :在输入输出模块40(即I/O 模块)中,通过网络或直接通过键盘显示器输入对入侵防御系统22 的安全策略,即在安全策略设置模块221 中预先设置安全策略,并保存至存储介质(如磁盘、Flash 等)。[0063] 步骤2 :通过安全策略设置模块读取步骤1 的设置。[0064] 步骤3 :VMMIPS 的检测模块222 解析步骤2 所读取的设置,并根据设置内容选择对哪些虚拟机操作系统(VM OS)做安全检测。[0065] 步骤4 :VMMIPS 的检测模块222 根据步骤3 的结果通过虚拟机管理器21 获取要检测的VM OS 或运行在VM OS 中业务系统的信息。[0066] 步骤5 :VMMIPS 的检测模块222 根据步骤4 读取的信息选择对应的支撑模块以解析对应的VM OS 的文件系统、注册表(如有)、关键内存区等。其中“扩展解析”模块用来支持对关键业务系统的解析,如运行在VM OS中的关键业务系统是SQL Server,则扩展解析模块提供对SQL Server 数据格式的解析服务。[0067] 步骤6 :VMMIPS 的检测模块222 使用步骤5 的解析模块读取并检测VM OS 或运行在VM OS 中的业务系统,以获取关键内存区间预值、文件系统预值、注册表预值及其状态变化等信息。[0068] 步骤7 :VMMIPS 的检测模块222 根据步骤6 的检测,调用安全策略执行模块223。[0069] 步骤8、9 :安全策略执行模块223 根据安全策略所设定的指定操作通过虚拟机管理器21 对VM OS 做出管理,在关键内存区间预值、文件系统预值、注册表预值等发生变化,且该变化不符合VMMIPS 安全策略的预设值,则执行该安全策略所设定的动作,如:关机、恢复初始状态或者重启等。[0070] 步骤9 :步骤9 也用来完成虚拟机管理器21 与VM OS 之间的其它通信与管理。步骤10 :安全策略执行模块223 根据安全策略指定的内容指示告警模块224 输出告警信息。[0071] 步骤11 :告警模块224 把告警信息通过输入输出模块40 输出。[0072] 步骤12 :输入输出模块40 通过网络或者直接通过键盘显示器、串口、扬声器等输出告警。[0073] 在虚拟机管理器层安装了基于虚拟机管理器的入侵防御系统VMMIPS,与虚拟机中的操作系统和业务系统相隔离,即使操作系统本身存在漏洞,也可以避免被卸载或直接绕过,从而起到入侵防护的作用,提高操作系统的安全性。[0074] 应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
发明人:郭栋梓
&&&&声明:该技术为以上发明人所有,如果您需要更多类似的资料或文献 请与发明人联系,或与本站联系
&&&&如果您是本信息发明人,请在本条信息下留言,我们会很快给你的联系方式加上,如果侵犯到了您的利益,我们会尽快删除!客服电话:4
&&&&免责声明:信息来自互联网,公益公开查询,支持中国信息事业建设。
您有问题可以给我们留言,我们会第一时间回复您提出的问题.
联系电话:
以上信息费,技术光盘 200 元/张,VCD教学光盘 100 元/张。 邮资另付,咨询电话:4
其他专利的相关资讯
汇款方式联系电话: 133
工行 016850 张仁志
农行 475691 张仁志
建行 021849 张仁志
邮政 19499
更多汇款方式查询:
版权所有 广搜信息技术有限公司 保留所有权利
豫ICP备案号 经营许可证编号:豫B2-加载中,请稍候...
加载中,请稍候...
京 东 价:
¥39.80 [8.3折][定价:¥48.00]
温馨提示:
其它类似商品
正在加载中,请稍候...
正在加载中,请稍候...
正在加载中,请稍候...
虚拟蜜罐:从僵尸网络追踪到入侵检测
¥39.80 [8.3折]
查找同类商品
蜜罐技术已经为网络安全做出了巨大贡献,但物理蜜罐部署的复杂、耗时及昂贵,却常常令人对它望而却步。现在有了一个突破性的解决方案――虚拟蜜罐技术。它具有物理蜜罐技术的诸多特性,但却使你可以在单一的系统中运行成百上千个虚拟蜜罐,同时,虚拟蜜罐的搭建比物理蜜罐更加容易,成本更低,更加易于部署和维护。在这本可实践性极强的书中,两位世界上最重要的蜜罐技术先驱――Provos和Ho1z,为大家系统地讲解了虚拟蜜罐技术。哪怕你以前从来都没有部署过一个蜜罐系统,通过《虚拟蜜罐:从僵尸网络追踪到入侵检测》,你也将会一步一个脚印地在自己的计算机环境中,准确掌握如何部署、配置、使用和维护虚拟蜜罐系统。《虚拟蜜罐:从僵尸网络追踪到入侵检测》的学习将通过一个完整的虚拟蜜罐系统――H0oneyd为案例来进行。这个系统由《虚拟蜜罐:从僵尸网络追踪到入侵检测》作者之一Pr0V0s创建,是一个专业领域内好评如潮的虚拟蜜罐系统。同时,作者还为虚拟蜜罐系统准备了多个实际中使用的应用程序,如网络诱饵、蠕虫探测、垃圾邮件阻止、网络模拟。
对比高交互蜜罐(真实的系统及服务)与低交互蜜罐(用来模拟高交互蜜罐)。
安装与配置蜜罐,模拟多操作系统、应用及网络环境。
使用虚拟蜜罐来捕获蠕虫、僵尸以及其他恶意软件。
使用低交互蜜罐和高交互蜜罐中的技术,生成高性能混合型蜜罐。
在客户端部署蜜罐技术来主动发现危险的网络定位。
掌握攻击者如何识别和规避蜜罐。
解析蜜罐系统定位的网络僵尸及捕获的恶意软件。
预测物理蜜罐及虚拟蜜罐的进化趋势。
《虚拟蜜罐:从僵尸网络追踪到入侵检测》全面而详细地介绍蜜罐技术的概念、分类及应用,及低交互蜜罐、高交互蜜罐、混合蜜罐以及客户端蜜罐的实现机理与部署应用方式;结合具体的工具,尤其是开源工具,阐述各类蜜罐的建立、配置和应用;介绍蜜罐在恶意软件捕获、僵尸网络追踪中的应用;通过案例分析,结合实际讨论蜜罐的作用与应用效果。此外,《虚拟蜜罐:从僵尸网络追踪到入侵检测》还介绍了攻击者识别蜜罐的方法。上述内容有利于我们了解恶意软件、僵尸网络的工作机理和过程,有助于理解蜜罐技术在网络防御中的作用,把握与敌手对抗过程中使用蜜罐的优势与不足,为我们构建坚实的主动网络防御系统提供非常有益的指南。
不论是对网络安全研究者来讲,还是对于网络安全管理者来讲;不论是对网络安全感兴趣准备涉足这一领域的初学者,还是对长期从事网络安全管理工作的资深工程师,《虚拟蜜罐:从僵尸网络追踪到入侵检测》确实是一部难得的宝典。
Provos,谷歌高级工程师,他开发了Honeyd蜜罐系统――一个开源的虚拟蜜罐系统,这个系统获得了Network
World颁发的最高发明奖,他还是OpenSSH的创建者之一,他获得了汉堡大学数学博士学位,密歇根大学计算机科学与工程学博士学位。
Holz,德国曼海姆大学分布式系统可靠性实验室博士生,他是德国蜜网项目的奠基者之一,也是蜜网研究联盟指导委员会成员。
这是当今最好的蜜罐技术参考资料,从低交互蜜罐,到僵尸网络,再到恶意软件,Niels
Provos和Tborstea
Hoiz通过本书,分享了他们在网络安全尖端领域之专业的知识、深刻的见解,以及令人叹为以止的才智。如果您想学习最新的蜜罐技术,了解它们到底是什么、如何工作以及它到底能为您带来什么,至少是现在,没有比这本书更好的了。
――蜜网项目创始人Lances
Provos和Holz写的这本书,坏家伙们肯定不希望你们阅读。然而,任何对网络安全技术持有严肃态度的人,书架上绝不会没有这本书。
D.Rubin,博士,约翰霍普金斯大学计算机科学教授,信息安全研究所技术总监,独立安全评估公司创始人和总裁
“专业、见解深刻并充满才智的一本书,为读者揭开了蜜罐世界的面纱,”
Gemini系统公司信息安全业务部负责人
“这是本年度必读的安全书籍之一。”
Peiukari,
Airscanner移动安全公司CEO《安全卫生》一书的作者
“无疑这是蜜罐领域最具权威的著作之一,它内容全面,文笔流畅,作者从-个行家的视角来审视虚拟蜜罐,帮助我们建立和理解原本很复杂的技术,”
――Stufan
Secorvo安全顾问
“无论是收集用于研究和防御的信息,还是隔离企业内部爆发的恶意软件,或者出于兴趣在家里观察黑客活动,在这本书里你会发现很多实际的骗术,展现了蜜罐的神奇!”
――Dugsong,Arbor网络首席安全架构师
“Provos和Holz写的这本书,坏家伙们不希望你们阅读,对蜜罐详实而全面的讨论为我们提供了一步一步的指示――抓住攻击者的破绽,识破他们的把戏,并哄骗他们对安全产生一种错觉,不管你是一个从业者、一个教育工作者或是一名学生,这本书提供了大量的有价值的东西,本书涵盖了蜜罐的基本理论,但主要内容还是指导你如何做――建立蜜罐,配置它们,最有效地使用陷阱,同时保持实际系统的安全,自从发明防火墙以来,还没有一个像它一样有用的工具,在无休止的攻防竞赛中为安全专家提供了保护计算机系统安全的优势,《虚拟蜜罐》是一本必读书,应放在任何认真对待安全问题的人的书架上,”
D.Rubin,博士,约翰霍普金斯大学计算机科学教授,信息安全研究所技术总监,独立安全评估公司创始人和总裁
译者序前言致谢作者简介第1章
蜜罐和网络背景1.1
TCP/IP协议简介1.2
蜜罐背景1.2.1
高交互蜜罐1.2.2
低交互蜜罐1.2
3物理蜜罐1.2.4
虚拟蜜罐1.2.5
法律方面1.3
商业工具1.3.1
tcpdump1.3.2
Wireshark1.3.3
高交互蜜罐2.1
优点和缺点2.2
VMware2.2.1
不同的VMware版本2.2.2
VMware虚拟网络2.2.3
建立一个虚拟高交互蜜罐2.2.4
创建一个虚拟蜜罐2.2.5
添加附加监视软件2.2.6
把虚拟蜜罐连接到互联网2.2.7
建立一个虚拟高交互蜜网2.3
用户模式Linux2.3.1
安装和设置2.3.3
运行时标志和配置2.3.4
监视基于UML的蜜罐2.3.5
把虚拟蜜罐连接到Internet2.3.6
建立一个虚拟高交互蜜网2.4
Argos2.4.1
安装和设置Argos蜜罐2.5
保护你的蜜罐2.5.1
蜜墙概述2.5.2
蜜墙的安装2.6
低交互蜜罐3.1
优点和缺点3.2
欺骗工具包3.3
LaBrea3.3.1
安装和设置3.3.2
TinyHoneypot3.4.1
捕获日志3.4.3
会话日志3.4.4
Netfilter日志3.4.5
GHH――Google入侵蜜罐3.5.1
一般安装3.5.2
设置透明链接3.5.3
访问日志3.6
.HoP――一个基于Web的欺骗架构3.6.1
保护你的低交互蜜罐3.7.1
chroot“禁闭室3.7.2
Systrace3.8
Itoneyd――基础篇4.1
安装和设置4.2
设计概述4.2.1
仅通过网络交互4.2.2
多IP地址4.2.3
欺骗指纹识别工具4.3
接收网络数据4.4
运行时标志4.5
create4.5.2
delete4.5.6
include4.6
Itoneyd实验4.6.1
本地Itoneyd实验4.6.2
把Honeyd整合到生产网络中4.7
数据包级日志4.8.2
服务级日志4.9
Honeyd――高级篇5.1
高级配置5.1.1
tarpit5.1.3
annotate5.2
模拟服务5.2.1
脚本语言5.2.2
内部Python服务5.5
动态模板5.6
路由拓扑5.7
Honeydstats5.8
Honeyctl5.9
Honeycomb5.10
用蜜罐收集恶意软件6.1
恶意软件入门6.2
Nepenthes――一个收集恶意软件的蜜罐解决方案6.2.1
Nepenthes体系结构6.2.2
局限性6.2.3
安装和设置6.2.4
命令行标志6.2.6
分配多个IP地址6.2.7
灵活的部署6.2.8
捕获新的漏洞利用程序6.2.9
实现漏洞模块6.2.1
0结果6.2.1
1经验体会6.3
Honeytrap6.3.1
安装和配置6.3.3
运行Honeytrap6.4
获得恶意软件的其他蜜罐解决方案6.4.1
Multlpot6.4.2
了解恶意网络流量6.5
小结,第7章
混合系统7.1
Potemkin7.3
RolePlayer7.4
研究总结7.5
构建自己的混合蜜罐系统7.5.1
NAT和高交互蜜罐7.5.2Honeyd和高交互蜜罐7.6
客户端蜜罐8.1
深入了解客户端的威胁8.1.1
详解MS04.0408.1.2
其他类型客户端攻击8.1.3
客户端蜜罐8.2
低交互客户端蜜罐8.2.1
了解恶意网站8.2.2.HoneyC8.3
高交互客户端蜜罐8.3.1
高交互客户端蜜罐的设计8.3.2
Client:8.3.3
Capture-HPC8.3.4
其他方法8.4.1
互联网上间谍软件的研究8.4.2
Advisor8.4.4
进一步的研究8.5
检测蜜罐9.1
检测低交互蜜罐9.2
检测高交互蜜罐9.2.1
检测和禁用Sebek9.2.2
检测蜜墙9.2.3
逃避蜜网记录9.2.4
VMware和其他虚拟机9.2.5
用户模式Linux9.3
检测Rootkits9.4
小结第10章
案例研究10.1
Blast-o-Mat:使用Nepenthes检测被感染的客户端10.1.1
动机10.1.2
Nepenthes作为入侵检测系统的一部分10.1.3
降低被感染系统的威胁10.1.4
一个新型木马:Haxdoor10.1.5
使用Blast-o-Mat的经验10.1.6
基于Nepenthes的轻量级入侵检测系统10.1.7
搜索蠕虫10.3
对RedHat8.0的攻击10.3.1
攻击概述10.3.2
攻击时间表10.3.3
攻击工具10.3.4
攻击评价10.4
对Windows2000的攻击10.4.1
攻击概述10.4.2
攻击时间表10.4.3
攻击工具10.4.4
攻击评价10.5
对SUSE9.1的攻击10.5.1
攻击概述10.5.2
攻击时间表10.5.3
攻击工具10.5.4
攻击评价10.6
小结第11章
追踪僵尸网络11.1
僵尸程序和僵尸网络11.1.1
僵尸程序举例11.1.2
僵尸程序形式的间谍软件11.1.3
僵尸网络控制结构11.1.4
僵尸网络引起的DDAS攻击11.2
追踪僵尸网络11.3
案例研究11.3.1
Mocbot和MS06.04011.3.2
其他的观察结果11.4
防御僵尸程序11.5
小结第12章
Sandbox分析恶意软件12.1
Sandbox概述12.2
基于行为的恶意软件分析12.2.1
代码分析12.2.2
行为分析12.2.3
API拦截12.2.4
代码注入12.3
Sandbox――系统描述12.4
结果12.4.1
实例分析报告12.4.2
大规模分析12.5
小结参考文献
这是当今最好的蜜罐技术参考资料,从低交互蜜罐,到僵尸网络,再到恶意软件,Niels
Provos和Tborstea
Hoiz通过本书,分享了他们在网络安全尖端领域之专业的知识、深刻的见解,以及令人叹为以止的才智。如果您想学习最新的蜜罐技术,了解它们到底是什么、如何工作以及它到底能为您带来什么,至少是现在,没有比这本书更好的了。
――蜜网项目创始人Lances
Provos和Holz写的这本书,坏家伙们肯定不希望你们阅读。然而,任何对网络安全技术持有严肃态度的人,书架上绝不会没有这本书。
D.Rubin,博士,约翰霍普金斯大学计算机科学教授,信息安全研究所技术总监,独立安全评估公司创始人和总裁
“专业、见解深刻并充满才智的一本书,为读者揭开了蜜罐世界的面纱,”
Gemini系统公司信息安全业务部负责人
“这是本年度必读的安全书籍之一。”
Peiukari,
Airscanner移动安全公司CEO《安全卫生》一书的作者
“无疑这是蜜罐领域最具权威的著作之一,它内容全面,文笔流畅,作者从-个行家的视角来审视虚拟蜜罐,帮助我们建立和理解原本很复杂的技术,”
――Stufan
Secorvo安全顾问
“无论是收集用于研究和防御的信息,还是隔离企业内部爆发的恶意软件,或者出于兴趣在家里观察黑客活动,在这本书里你会发现很多实际的骗术,展现了蜜罐的神奇!”
――Dugsong,Arbor网络首席安全架构师
“Provos和Holz写的这本书,坏家伙们不希望你们阅读,对蜜罐详实而全面的讨论为我们提供了一步一步的指示――抓住攻击者的破绽,识破他们的把戏,并哄骗他们对安全产生一种错觉,不管你是一个从业者、一个教育工作者或是一名学生,这本书提供了大量的有价值的东西,本书涵盖了蜜罐的基本理论,但主要内容还是指导你如何做――建立蜜罐,配置它们,最有效地使用陷阱,同时保持实际系统的安全,自从发明防火墙以来,还没有一个像它一样有用的工具,在无休止的攻防竞赛中为安全专家提供了保护计算机系统安全的优势,《虚拟蜜罐》是一本必读书,应放在任何认真对待安全问题的人的书架上,”
D.Rubin,博士,约翰霍普金斯大学计算机科学教授,信息安全研究所技术总监,独立安全评估公司创始人和总裁
正在加载中,请稍候...
正在加载中,请稍候...
正在加载中,请稍候...
正在加载中,请稍候...
正在加载中,请稍候...
正在加载中,请稍候...
正在加载中,请稍候...
七日畅销榜
新书热卖榜
