主動入侵響應(yīng)蜜罐系統(tǒng)的研究.pdf

1、現(xiàn)有的安全措施大都是基于已知的事實(shí)和攻擊模式，被動的進(jìn)行防御，對于復(fù)雜而多變的黑客攻擊就顯得力不從心。如何使網(wǎng)絡(luò)安全防御體系從靜態(tài)到動態(tài)、防御措施由被動變主動是研究的新課題。由此，一種更主動、更有效的信息安全技術(shù)——蜜罐技術(shù)，進(jìn)入了人們的視野。但是，僅僅依靠一種技術(shù)解決網(wǎng)絡(luò)安全問題是不可能的。因此，本文將重點(diǎn)研究如何將蜜罐技術(shù)與傳統(tǒng)安全技術(shù)加以有機(jī)的結(jié)合。
　　 蜜罐是網(wǎng)絡(luò)安全領(lǐng)域內(nèi)的新技術(shù)。蜜網(wǎng)項目組的創(chuàng)始人Lance Spi

2、tzner的蜜罐定義：蜜罐是一種安全資源，它的價值就在于被攻擊者攻擊、探測和攻陷。它開放明顯的安全漏洞以吸引攻擊者的攻擊，同時監(jiān)視黑客的行為，記錄黑客的攻擊信息，以便進(jìn)一步分析。依據(jù)記錄的日志，我們可以發(fā)現(xiàn)新的入侵行為和系統(tǒng)的安全漏洞，據(jù)此及時修補(bǔ)發(fā)現(xiàn)的系統(tǒng)安全漏洞，確保網(wǎng)絡(luò)安全。
　　 論文首先介紹了網(wǎng)絡(luò)安全的相關(guān)技術(shù)和知識，詳細(xì)討論了防火墻技術(shù)、入侵檢測技術(shù)和蜜罐honeyd的體系結(jié)構(gòu)、工作方式，剖析了各自的優(yōu)缺點(diǎn)，為提出主

3、動入侵響應(yīng)蜜罐系統(tǒng)奠定了理論基礎(chǔ)。
　　 選用開源軟件honeyd作為蜜罐系統(tǒng)。Honeyd是一款目前應(yīng)用廣泛、功能強(qiáng)大、輕型的蜜罐工具。它具備在協(xié)議棧模擬多個操作系統(tǒng)、模擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、指紋匹配、重定向等功能，并很好地解決了交互級別與自身安全之間的矛盾。基于對honeyd的功能模塊、數(shù)據(jù)包處理、網(wǎng)絡(luò)模擬等模塊詳細(xì)分析的基礎(chǔ)上，完善了honeyd對TCP三次握手的模擬，增加了SYN/ACK的重傳功能，使其模擬的系統(tǒng)更真實(shí)。同時，

4、修改了honeyd的日志存儲功能，實(shí)現(xiàn)了遠(yuǎn)程日志存儲。最后，將honeyd應(yīng)用到對抗msblast蠕蟲的實(shí)驗(yàn)。
　　 論文的核心部分詳細(xì)說明了主動入侵響應(yīng)蜜罐系統(tǒng)是如何將蜜罐的模擬服務(wù)技術(shù)、防火墻的數(shù)據(jù)控制功能與網(wǎng)絡(luò)的異常檢測技術(shù)相結(jié)合，優(yōu)勢互補(bǔ)，使得蜜罐系統(tǒng)能夠?qū)崟r的檢測網(wǎng)絡(luò)內(nèi)發(fā)生的入侵危險，并進(jìn)行實(shí)時預(yù)警，達(dá)到了讓蜜罐系統(tǒng)既具有研究價值又具有實(shí)時報警功能的目的。該系統(tǒng)同時還引入了web管理模塊，使得對蜜罐系統(tǒng)的數(shù)據(jù)控制、數(shù)據(jù)