28、蜜罐数据库与僵尸网络防御系统的研究与挑战

蜜罐数据库与僵尸网络防御系统的研究与挑战

在当今的网络安全领域，蜜罐数据库和僵尸网络防御系统是两个重要的研究方向。蜜罐数据库可用于增强警报关联技术，而僵尸网络与分布式计算机防御系统之间的交互则需要有效的模型来进行评估和预测。

蜜罐数据库实验

探索了四个蜜罐数据库，它们包含有关恶意软件特征和可疑基于Web服务器安全配置文件的信息。
- SGNET v1和v2 ：SGNET v1是分布式蜜罐部署，借助ScriptGen、Argos和Nepenthes等工具，旨在全面了解互联网攻击和恶意软件。它收集恶意软件传播策略以及全球威胁态势的相关信息。之后开发了增强版SGNET v2。
- HARMUR v1和v2 ：HARMUR v1是恶意URL历史存档，是一个安全数据集，旨在探索与Web相关威胁的安全动态和上下文信息。它能从托管可疑域的基于Web服务器中提取安全信息，并可检索跟踪服务器上报告的威胁。同样，开发者也开发了HARMUR v2。

这些蜜罐数据库最初是在WOMBAT项目中开发的，还开发了一个名为WAPI（Wombat API）的公共API，用于从高级蜜罐数据库中查询信息。数据集收集的信息是面向对象的，WAPI协议规范基于对象、属性、方法和引用四个概念，这些概念的聚合可提供由不同数据集生成的安全对象（如IP地址）的信息。

实验结果与评估

在实验中，基于警报的基本特征（如源地址或端口）进行警报丰富化处理。例如，根据警报源的IP地址，可收集潜在根本原因的更多细节，还会考虑潜在检测到的恶意软件的哈希值等额外特征。

检查警报集中报告的源