XiaoMi-AI文件搜索系统
World File Search Systemhoneypot
分析Honeypo
摘要 - 在一个以不断升级的数字威胁格局为主导的时代,积极的网络安全措施越来越多。本文利用了全球网络联盟提供的全面数据集,其中包括从全球分布式蜜饯收集的网络攻击记录。该研究追求两个主要目标:进行集群分析以揭示攻击模式并开发预测模型以估计网络攻击的数量。从探索性数据分析开始,研究提供了对跨蜜罐位置攻击特征的见解,然后采用先进的聚类技术来识别常见模式。为此,还对恶意软件进行了分析,特别注意Virustotal恶意软件数据库未识别或未认识的人,因为它们对组织构成了主要风险。这项研究的最后一个方面是开发旨在预测网络攻击事件的预测模型,为网络安全内的资源分配和战略规划提供宝贵的支持。
为工业控制系统生成蜜罐流量
摘要 保护关键基础设施资产是一项重要但极其困难且昂贵的任务。从历史上看,诱饵已被非常有效地用于分散攻击者的注意力,在某些情况下,还可以说服攻击者透露他们的攻击策略。一些研究人员提出使用蜜罐来保护可编程逻辑控制器,特别是关键基础设施中使用的控制器。但是,大多数这些蜜罐都是等待潜在攻击者的静态系统。为了有效,蜜罐诱饵需要尽可能逼真。本章介绍了一个概念验证蜜罐网络流量生成器,它模拟了正在运行的真实控制系统。使用西门子 APOGEE 楼宇自动化系统对单子网和双子网实例进行的实验表明,所提出的流量生成器支持诱饵楼宇自动化网络中的蜜罐集成、流量匹配和路由。
为工业控制系统生成蜜罐流量
摘要 保护关键基础设施资产是一项重要但极其困难且昂贵的任务。从历史上看,诱饵已被非常有效地用于分散攻击者的注意力,在某些情况下,还可以说服攻击者透露他们的攻击策略。一些研究人员已经提出使用蜜罐来保护可编程逻辑控制器,特别是关键基础设施中使用的控制器。然而,大多数这些蜜罐都是等待潜在攻击者的静态系统。为了有效,蜜罐诱饵需要尽可能逼真。本章介绍了一个概念验证蜜罐网络流量生成器,它模仿了正在运行的真实控制系统。使用西门子 APOGEE 楼宇自动化系统对单子网和双子网实例进行的实验表明,所提出的流量生成器支持诱饵楼宇自动化网络中的蜜罐集成、流量匹配和路由。
用于检测网络攻击的人工智能蜜罐系统
目标:利用机器学习分析攻击日志,实时检测网络威胁,提高准确性和响应速度。假设:我们假设,通过在硬投票分类器中集成使用随机森林和XGBoost的组合机器学习方法,将蜜罐系统集成到系统中,我们期望能够增强其检测能力。这种人工智能驱动的蜜罐将通过动态分析网络流量并识别异常模式,更准确地检测新型复杂的网络攻击。与传统蜜罐系统相比,该系统将显著减少误报和漏报,同时更有效地适应不断变化的实时威胁。
蜜罐和网络欺骗作为检测针对关键基础设施的网络攻击的工具
摘要 乌克兰关键基础设施和工业物联网网络遭受网络攻击的威胁不断增长,这要求我们寻找一种有效的解决方案来检测和应对此类威胁。乌克兰网络已经成为网络攻击新战术、方法和工具的试验场。对这些攻击的研究、详细分析和分析将有助于更好地了解俄罗斯黑客的工具和方法。构建蜜罐/蜜网网络的现代方法以及网络欺骗平台可以作为此类信息的有效来源。然而,这种系统没有通用的解决方案,它们的有效性直接取决于部署它们的专家的资质和对其功能的深入了解。正确使用高度交互的蜜罐系统和欺骗平台可以让您构建一个可信的蜜罐系统,该系统将收集有关攻击事实和攻击者行为的信息。这些信息的分析将能够提高网络安全水平,并成为进一步起诉网络犯罪分子的证据来源。本文概述了在通用网络和工业物联网网络中使用蜜罐/蜜网解决方案和网络欺骗的特点。
使用蜂蜜加密的密码管理器安全性
摘要:密码管理器是安全存储和管理多个密码的关键工具。但是,它们可以成为试图获得未经授权访问敏感用户数据的攻击者的目标。在本文中,我们通过将蜂蜜加密算法与蜜罐技术相结合,提出了一种密码管理器安全性的方法。通过在密码管理器的授权过程中实现蜂蜜加密,我们可以有效地将攻击者转移到honeypot上,其中包含伪造/蜂蜜密码的列表。Honeypot设计为高度互动,使我们能够收集有关攻击者的宝贵信息,例如其IP地址和MAC地址。此信息对于进一步的分析和采取适当的措施来减轻安全漏洞至关重要。我们提出的系统为密码管理人员提供了额外的安全层,从而使他们在未经授权的访问尝试中更加健壮。
引入蜜罐的模拟容器 - 景观
许多基于防御的保护策略,以防止对IT基础设施的攻击,并且被证明是有效的。防火墙,入侵检测系统(IDS),网络细分和严格的身份验证和更新策略至少在企业网络上是预期的。尽管采取了这些措施,但仍可能存在可穿透的差距,最终将被攻击者发现。这意味着有一个不对称的后卫必须一直成功,而攻击者只能成功一次。可以使用欺骗技术来解决此问题,其中提出了错误的目标,目的是揭露攻击者的行动。欺骗性的另一个问题是恶意内部人士的威胁。最常见的欺骗技术是蜜罐,它们模拟网络上的主机,目的是在浪费At Tacker的资源时提高互动的警报。从历史上看,蜜罐被部署为裸机服务或虚拟机。随着持续的基础架构迁移到云的迁移,OS级虚拟化(例如Linux容器(LXC)或Docker容器)已获得动力,原因有几个。容器提供类似于虚拟机的服务的简单部署,同时更轻巧,因为多个容器可以共享相同的内核和图像。,基于容器的应用程序比虚拟机提出了更好的可伸缩性,因为可以快速按需启动更多的容器实例。在这项工作中,我们提出了一个新颖的Docker Honeypot在学术界以及开源社区中的几部作品利用了容器的优势用于Honeypot用例。尽管大多数作品都集中在传统蜜罐的易于部署上[1] [2] [3],但开放源项目Whaler,模拟了一个脆弱的Docker容器,而Honeypot Dockpot则启动了在传入的SSH连接上的容器。
远程桌面协议攻击的行为特征
远程桌面协议 (RDP) 因支持远程访问和管理 Windows 系统而广受欢迎;然而,攻击者可以利用 RDP 对使用它的关键系统造成危害。检测和分类 RDP 攻击是一项挑战,因为大多数 RDP 流量都是加密的,并且在手动解密 RDP 流量后,并不总是清楚哪些系统连接是恶意的。在这项研究中,我们使用开源工具,使用我们控制的电网蜜罐生成和分析 RDP 攻击数据。我们开发了通过恶意签名、Windows 事件日志条目和网络流量元数据检测和表征 RDP 攻击的方法。对我们的蜜罐的四个实例收集的实际攻击数据进行表征方法的测试和评估表明,我们可以有效地划分良性和恶意 RDP 流量,并对未受保护或配置错误的 Windows 系统上的 RDP 攻击的严重程度进行分类。攻击模式和严重程度级别的分类可以让防御者了解 RDP 攻击中的对抗行为。我们的结果还可以帮助保护国家关键基础设施,包括国防部系统。