3.3.3 现场分析
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一3.3.3 现场分析,在识别出有意义的可执行文件之后,它们通过典型网络测试环境被重新运行。我们的实验平台布局如图3.8所示,每个系统都通过使用Oracle VM VirtualBox和GNS3进行虚拟化。客户端系统运行恶意或控制(良性)软件并进行本地策略,入侵检测系统(IDS)则收集网络度量结果。尽管入侵检测系统通过配置后可使用Snort,但在假设隐蔽的恶意软件至少可以避免通用安全产品的检测条件下,其度量数据可以被忽略。
在客户端系统上,Perfmon(Windows性能监视器)用于收集与可执行文件行为相关的数据。Perfmon提供了大量的可度量的数据,我们的列表是专门针对所感兴趣的恶意软件活动类型进行归纳的。表3.1显示了这些测量的列表。在Perfmon以及Microsoft开发库(MSDN)[27]中提供了对度量的完整描述。
入侵检测系统通过原始数据包捕获程序tcpdump收集网络数据。与Perfmon不同的是,它不需要解析收集的数据,要进行分析的是捕获的网络流量。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一3.3.3 现场分析
