基于密网技术的校园网安全系统的研究与实现.doc

基于密网技术的校园网安全系统的研究与实现 摘要：近年来，随着互联网的快速发展, 越来越多的应用通过网络来实现, 同时网络的安全也面临着巨大的考验。校园网作为一个特殊的网络群体，也面临诸多问题和挑战。本文将针对如何确保校园网的安全问题做一些深入的研究和分析，从而提出蜜罐技术作为一种校园网络安全问题的解决方案。 关键词：蜜罐 密网 校园网络 中图分类号：tp393 文献标识码：a 文章编号：1007-9416(2012)02-0225-01 蜜罐技术将主动防御引入到网络安全中来，已经越来越受到重视。但是，蜜罐和蜜网也不能代替原来的网络防护体系，它只是一种增强网络现有安全性的的技术，同时蜜罐技术也存在着诸多的问题。 目前蜜罐技术正处于高速发展的阶段，通过本项目的研究，希望可以达到跟踪最新的网络安全技术的目的，并且解决目前蜜罐技术中数据日志容易被黑客发现并修改或删除，不能安全有效的保存的问题。 1、蜜罐的部署 在大多数情况下，如果一个网络系统受到试探型的攻击，将整个网络进行扫描，以识别潜在的目标。一旦计算机网络内的任何电脑被损害，网络蜜罐系统将在很短的时间内发现入侵行为。好的蜜罐系统应该可以提供一些可受到攻击的服务，以及这些服务是如何受到攻击，攻击时所采用的攻击工具和信息，如攻击的实际目的等。 首先，若把蜜罐置于防火墙之前，这样不会给内部网络增加任何安全风险，也很容易就可以消除出现在防火墙后面任何一台失陷主机的可能性(因为蜜罐主机很容易被黑客攻陷)。 其次，若把蜜罐置于防火墙之后，则有可能给内部网络带来新的安全威胁，尤其是当内部网络与蜜罐之间没有额外的防火墙进行保护时的情形。前文已经讲述了，蜜罐系统通常就是一个诱骗系统，可以提供大量的诱骗服务，所以必须要对防火墙的规则进行有效的修改，把正常进出内部网络的通信流量与进出蜜罐系统的通信流量加以区分，否则一旦黑客攻陷蜜罐，整个网络内部就将暴露无疑。 最好的解决方案就是将蜜罐运行在自己的dmz中，但要同时确保dmz内的其他服务器的安全性，所以只需提供所必要的服务，然而蜜罐通常会尽可能多的伪装服务。dmz同其他任何网络的连接都用防火墙进行隔离，根据自身的需要，防火墙可以与internet进行连接。这种部署方案解决了蜜罐的严格控制与运行环境灵活性之间的矛盾，很好的实现网络安全。 2、蜜网技术发展趋势 2.1 提高蜜网的可移植性 目前的操作系统各种各样，大部分蜜网只能够在特定的操作系统下工作。因此，能够跨平台工作的蜜网成为安全工作者关注的焦点。如果蜜网可以在任何操作系统下生效，蜜网的适用范围变得更宽使用者的范围就会不断增加。 2.2 提高蜜网的交互性 在尽量降低风险的情况下，提高蜜网与入侵者之间的交互程度。蜜网如果仅仅支持简单的交互行为，就可能被入侵者很快发现并迅速全身而退。所以蜜网技术不断进步的过程中，必须尽量提高与入侵者之间的交互程度，以便更好地了解入侵者行为并得出结论。 2.3 降低蜜网的风险 如何降低蜜网引入的风险，一直都是蜜网使用者们关注的问题之一，想要获得更多的有价值的信息和数据，又要系统保持足够的安全，这的确很难。交互的程度越高，模拟得越像，自己陷入危险的概率就越大。 3、基于蜜网的校园网络安全系统构架 根据校园网络的安全状况和实际情况，本文中我们设计了基于蜜网技术的校园网络安全系统，该架构包括两个模块，即数据捕获模块，数据控制模块。 (1)外部防火墙是校园网络与internet网络互连的一道的防线，可以对大部分的来自校园网络外部的入侵行为进行隔离，同时借助访问控制策略对外部的通信通过进行严格控制，而对内部的通信则使用安全访问控制策略予以通过。(2)内部防火墙部署在虚拟蜜网内，蜜网系统对网络黑客攻击者的行为数据捕获，主要是使用日志的方式进行记录。在对防火墙的设置方面，内部防火墙与外部防火墙的设置截然相反，对所有进入蜜网内部防火墙的网络攻击入侵行为赋予最大限度的放行，主要目的是为了让蜜罐系统能够尽可能多的捕获采集相关的可疑数据，然而对所有的出境的通信则是通过访问控制策略进行严格控制，避免网络攻击者攻陷蜜罐系统后，把蜜罐主机作为跳板，进入校园网其他系统，并对其他正常的系统发进攻。同时在蜜网内部防火墙的内部也安装了网络嗅探器等，对进入内部防火墙系统的每一个数据包做记录。(3)实时入侵检测系统对入侵行为进行实时监测，来检测黑客攻击，一旦发现攻击行为实时报警并提醒，从实际系统的连接重定向把入侵者的攻击转移到蜜网系统上来。(4)蜜网上日志篡改可能由入侵者作为，所以添加一个日志分析机的远程备份。每天把蜜罐系统捕获记录的所有各项日志和摘要信息，实时发送到远程日志系统。(5)蜜网系统，用于提供各种欺骗系统，可以模拟的有作业系统，服务流程，协议，应用软件漏洞，操作系统等，对入侵者的行为进行详细的