分析“蜜罐”技术在网络安全中的应用.pdfVIP

维普资讯 防雷、通信、通讯与电子I学界 分析 “蜜罐’’技术在网络安全中的应用 口陈宾生 摘 要：本文针对 蜜“罐”在网络安全中的应用进行分析，强调 蜜“罐”对网络安全起到重要性的作用。 关键词：蜜罐；功能；蜜网；发展 前 言 2 “蜜罐”技术概述 随着计算机网络发展越来越快，网络安全也随之下降，在 2．1 “蜜罐”的定义 保护网络安全上，传统的方法是利用防火墙 ，比较普遍的防火 一 个 “honeypnt”就是一个设计用来观测黑客如何探测并 墙、防毒软件及其运行机制、监察入侵活动和 内容过滤等已对 最终入侵系统的系统。它意味着包含一些并不威胁本部门机密 网络安全起不了很大的作用了。然而，目前还有一种称为”蜜 的数据或应用程序而同时对于黑客来说又共有很大诱惑力的 罐”(honeypot)的系统 ，它与防火墙技术有一定的区别 ，则是要 这样的一个系统，也就是放置在你网络上的一台计算机，表面 让黑客误 以为 已经成功侵入 网络 ，并且让黑客继续 “为所欲 看来像一台普通的机器 ，但同时通过一些特殊配置来引诱潜在 为”，目的在于拖延时间，以便网络保安系统和人员能够把黑客 的黑客并捕获它们的踪迹。我们要弄清楚一台蜜罐和一台没有 “抓住”。本文试就”蜜罐”技术及其在网络安全中的应用作一探 任何防范措施的计算机的区别，虽然这两者都有可能被入侵破 讨 。 坏，但是本质却完全不同，蜜罐是网络管理员经过周密布置而 设下的 “黑匣子”，看似漏洞百出却尽在掌握之中，它收集的入 1防火墙技术的局限性和脆弱性 侵数据十分有价值；而后者，根本就是送给入侵者的礼物，即使 防火墙是网络上使用最多的安全设备，是网络安全 的重要 被入侵也不一定查得到痕迹 。因此，蜜网项 目组 (TheHon— 基石。但防火墙不是万能的。据不完全统计，防火墙的攻破率已 eynetProject)的创始人 LanceSpitzner给出了对蜜罐的权威 经超过47％。传统防火墙技术有一定的局限性和脆弱性。一是 定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。 防火墙不能解决来 自内部网络的攻击和安全问题。二是防火墙 2．2 “蜜罐”的系统结构 不能防止策略配置不当或错误配置引起的安全威胁。三是防火 “蜜罐”是某一运行环境下的特殊软件，它主要由入侵检 墙不能防止利用标准网络协议 中的缺陷进行的攻击。四是防火 测、入侵重定向、模拟脆弱性、行为记录、数据融合、行为分析、 墙不能防止利用服务器系统漏洞所进行的攻击。五是防火墙不 行为控制等 7个模块构成。其中入侵重定向、模拟脆弱性是 蜜“ 能防止数据驱动式的攻击。六是防火墙的操作系统、防火墙软 罐”系统与普通防火墙的最大区别。入侵重定向模块把入侵行 件不能保证没有漏洞。七是防火墙无法解决TCP／IP等协议的 为引向经脆弱性模拟 的”蜜罐”系统，由行为记录模块对入侵行 漏洞。八是防火墙无法区分恶意命令还是善意命令，恶意流量 为进行详细记录，并经数据融合后，给行为分析模块提供一个 还是善意流量。有很多命令对管理员而言，是一项合法命令 ，而 高效、简洁的数据源供其分析。在整个过程中行为控制模块对 在黑客手里就可能是一个危险的命令。 入侵行为进行控制，防止入侵者在系统内进行破坏，同时也防 种通信方式在配 电网中的混合使用就难以避免。在现场设计实 可根据地形配以无线扩频或电力线载波。 施过程中，通信方式的选用应遵循 “先进性、实用性、可行性、可 · 主干道上光 Mode