相关工作
woot15-paper-pa.pdf
IoTPOT 对物联网设备的telnet协议进行仿真,只做协议的仿真的蜜罐,被识别度高,且没有其他服务。
10.1109@JIOT.2019.2956173.pdf
针对物联网设备的UpNp服务的SOAP协议进行仿真。
IoTCandyJar
IoTCandyJar 这个思路就强到离谱了,想要做一个高互动性的iot蜜罐,就先做一个大扫描器去互联网上找到各种iot设备,通过与他们进行交互,将他们的反馈记录下来,作为数据集供他们的蜜罐进行机器学习,,然后使用马尔科夫决策过程来响应攻击者的探测,最终实现智能交互。但它对加密流量很难生效,对登录之前的响应都可以捕获,但登录之后流量的他响应不了。
Honware
这个就跟星哥说的那个思路一样,论文是用firmadyne实现自动化仿真,搭建一个蜜罐。
论文里还对qemu使用的linux镜像进行了patch,修改了异常处理的函数,这点是值得借鉴的,单纯的仿真不能确保稳定性,很容易崩,通过这种方法对内核的异常处理,网络配置等一些配置进行修改,可以提高一点仿真成功率以及固件仿真的稳定性。
想法
感觉蜜罐这个东西还是挺适合用到项目中的,如果要做全网资产扫描的话,加上蜜罐捕获到的攻击ip,可以做一些威胁情报分析。开始想的时候有点钻牛角尖了,老想着找一个新的思路,不跟其他人重复的那种。但想了这一两个星期,发现自己能想到的东西,也总会有人已经做过了,自己研究这个领域的时间并没有那么久,在这么短的时间就想搞个新东西有点太不现实。把自己从其他领域得到的思路代入到这个领域套用有可能会有不错的效果。
先想一下能做的东西,
实现一个难被识别,高交互,高仿真度的不是基于协议模拟的IOT蜜罐,以此为基础做一套完整的入侵检测系统,形成联动。
实现这个东西的方法可能做不到什么创新了,所有论文没有代码是开源的,蜜罐想要尽力做可能能做到一个跟honware差不多的产品,加入firmae对于仿真的改进应该能把它仿真的成功率提高不少,honware只支持mips跟arm架构的仿真,虽然在我们实现的时候可以加入其他架构,但产品主要也都集中在这两种架构里,意义没有那么大。看一下有做蜜罐跟入侵检测联动的,如果把它细化到iot领域,那可能就是一套新东西了吧。
若有收获,就点个赞吧
0 人点赞
