基于扫描器的低交互式蜜罐识别方法的研究与实现的中期报告

基于扫描器的低交互式蜜罐识别方法的研究与实现的中期报告一、研究背景蜜罐是一种计算机安全工具，它可以模拟真实系统并捕获攻击者的攻击行为。蜜罐有许多用途，如情报收集、攻击检测和攻击分析。通过研究攻击者的行

基于扫描器的低交互式蜜罐识别方法的研究与实现的 中期报告 一、研究背景 蜜罐是一种计算机安全工具，它可以模拟真实系统并捕获攻击者的 攻击行为。蜜罐有许多用途，如情报收集、攻击检测和攻击分析。通过 研究攻击者的行为和技术，可以提高安全意识，优化安全策略，提高安 全防护能力。 对于蜜罐的识别是攻击者的一项重要任务，因为一旦攻击者识别了 蜜罐，他们就会避开蜜罐，转而攻击真实的系统，从而破坏真实系统的 安全。 因此，为了尽可能地提高蜜罐的隐蔽性，需要使用一种有效的识别 方法，以防止攻击者检测到蜜罐。 二、研究内容 本文提出了一种基于扫描器的低交互式蜜罐识别方法。该方法通过 监测扫描器与蜜罐的交互行为，判断扫描器是否是攻击者，并进一步确 定是否是蜜罐。 具体步骤如下： 1. HTTPTCP 监测扫描器与蜜罐之间的数据交互情况，包括请求、 连接请求等。 2. IPIP 判断扫描器的来源和目的地。如果源地址为已知的扫描器 地址，则可以判断该扫描器是攻击者。 3. IP 判断扫描器的目的地是否是已知的蜜罐地址或者蜜罐用于模拟 的端口。如果是，说明扫描器正在扫描蜜罐，可以判断该扫描器是蜜 罐。