蜜罐文件系统的智能内核级中间件研究
作者单位:华中科技大学
学位级别:硕士
导师姓名:黄本雄
授予年度:2011年
学科分类:0839[工学-网络空间安全] 08[工学]
摘 要:作为一种重要的安全研究工具和方法,蜜罐被许多组织和商业机构用来进行安全研究和防护。借助蜜罐及蜜罐组成的网络,企业和组织能够及时发现当前网络环境中安全问题的焦点以及新近出现的攻击手段,以便在此基础之上做出应对策略。 在如何完善蜜罐体系结构方面,已有很多相关研究。文件系统,作为蜜罐系统中的重要一环,也是安全领域内的一个研究热点。然而,到目前为止,大多数有关文件系统的研究都是以访问控制,加密,审计和取证等为目的,而不是为了应用在蜜罐系统上。另一方面,在如何利用蜜罐文件系统本身来更有效地发掘潜在的攻击这一点上,也鲜有相关的论述,我们提出了一种文件系统中间件,该中间件在隐秘地捕获并记录各类文件操作的同时,能对各类操作进行上下文分析,并根据分析结果智能化地给出对应的文件操作响应,从而最大化蜜罐对于发现攻击、保护系统安全的价值。 我们设计的中间件是基于Linux虚拟文件系统,并处于虚拟文件系统和底层文件系统之间。通过截获上层的文件操作并操纵它们,我们的中间件可以控制整个系统范围内的文件操作,它能记录,跟踪,拒绝甚至重定向文件访问操作,而实施这些控制的时机是由中间件中的智能分析模块决定的。 在本文的后半部分,我们给出了中间件系统的一些验证性的实验和测试,同时还对由于引入中间件对系统所带来性能影响进行评估,以确保它不至于明显降低系统性能。我们的中间件工作在内核环境,因此它对上层是透明的,更不易被发现,因此在真实环境下也具有更好的效果。