功能需求:
1、能够识别网络节点的身份(知道谁是蜜罐谁是正常节点)
2、能够制作运行多个蜜罐的虚拟机(可以按照协议进行分类,如HTTP、SSH、Telnet三个协议各自对应一个虚拟机,每个虚拟机内运行着对应协议的服务,比如HTTP虚拟机内运行着http的蜜罐服务和http的正常服务)
3、能够基于boofuzz工具为HTTP、SSH、Telnet构造畸形包,并在第二步中进行实验,以挑选出具有最佳性能的畸形包(该畸形包具有使得相同协议的蜜罐服务和正常服务之间的行为相差巨大,同类服务之间行为相差小,且各类服务内的分布集中的特点)
4、能够将第三步得到的畸形包向已知的蜜罐节点发包,将得到的响应形成机器学习所需训练的黑数据,将模型进行训练。
5、能够向实网发送畸形包并利用训练好的模型对这步得到的相应进行分类,对比本方法的实验结果和一直的如Censys、钟馗之眼等扫描软件结果之间的差异
有没有大圣有能够帮帮忙
流程:
1、前期准备
1.1 HoneypotShip
1.2 非蜜罐节点
2、boofuzz
2.1 利用协议模糊测试得到畸形包
3.客户端将接收到的结果解密后显示到终端上.
2.2 利用畸形包在构造的服务器中获得对应的响应包
2.3 为每个畸形包得到的响应包计算相似度(用文本相似程度衡量两个请求包的相似情况:字段对齐,字段向量化)
2.4 根据各畸形包的Jaccard距离矩阵找出最佳畸形包
3、机器学习识别
3.1 使用机器学习的必要性
3.2 失去“标准答案”以致和“好学生”的对比失去意义
3.1 利用Fofa/Shodan/ZoomEye扫描ternet中蜜罐
3.2 向上节得到的蜜罐节点发送SSH、HTTP的畸形包
3.3 向Internet发送HTTP、SSH畸形包
3.4 比对结果中可能出现的情况