《网络空间欺骗:构筑欺骗防御的科学基石》一3.3.3 现场分析-阿里云开发者社区

开发者社区> 华章出版社> 正文
登录阅读全文

《网络空间欺骗:构筑欺骗防御的科学基石》一3.3.3 现场分析

简介: 本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一3.3.3 现场分析,本节书摘来华章计算机《网络空间欺骗:构筑欺骗防御的科学基石》一书中的第3章,第3.3.3节, Cyber Deception: Building the Scientific Foundation 苏西尔·贾乔迪亚(Sushil Jajodia)V. S.苏夫拉曼尼(V. S. Subrahmanian)[美] 维平·斯沃尔(Vipin Swarup) 著 克利夫·王(Cliff Wang) 马多贺 雷程 译 译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

3.3.3 现场分析
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一3.3.3 现场分析,在识别出有意义的可执行文件之后,它们通过典型网络测试环境被重新运行。我们的实验平台布局如图3.8所示,每个系统都通过使用Oracle VM VirtualBox和GNS3进行虚拟化。客户端系统运行恶意或控制(良性)软件并进行本地策略,入侵检测系统(IDS)则收集网络度量结果。尽管入侵检测系统通过配置后可使用Snort,但在假设隐蔽的恶意软件至少可以避免通用安全产品的检测条件下,其度量数据可以被忽略。
screenshot
在客户端系统上,Perfmon(Windows性能监视器)用于收集与可执行文件行为相关的数据。Perfmon提供了大量的可度量的数据,我们的列表是专门针对所感兴趣的恶意软件活动类型进行归纳的。表3.1显示了这些测量的列表。在Perfmon以及Microsoft开发库(MSDN)[27]中提供了对度量的完整描述。
screenshot
入侵检测系统通过原始数据包捕获程序tcpdump收集网络数据。与Perfmon不同的是,它不需要解析收集的数据,要进行分析的是捕获的网络流量。

原文标题:网络空间欺骗:构筑欺骗防御的科学基石一3.3.3 现场分析

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:

华章出版社

官方博客
最新文章
相关文章
官网链接