文献综述参考范本2.doc

PAGE  PAGE 10 文 献 综 述 （ 届） 蜜罐技术 学生姓名 学 号 院 系 工学院计算机系 专 业 指导教师 完成日期 蜜罐技术 摘 要: 综述了蜜罐技术的发展，虚拟蜜罐（主动防御体系）的实现，所要用到的相关网络安全技术以及前景 关键词: 蜜罐；网络安全；虚拟蜜罐 主动防御 引言 计算机网络技术飞速发展，并且已经渗透到我们的经济、文化、政治、军事和日常生活中。然而在以信息为核心的网络中，高频率的黑客入侵事件、正在增加的计算机犯罪给我们的网络安全带来强劲的挑战。近些年，虽然杀毒软件，防火墙，以及入侵检测系统应运而生，并在各个领域得到了广泛运用，但是它们对网络的检测是基于规则的，被动的，对于新的攻击无能为力，并且无法跟踪攻击者。所以单纯的防火墙与入侵检测系统在高要求的网络坏境中已经不能满足要求。 1 蜜罐技术的发展 1.1国外的蜜罐技术 蜜罐思想最早的提出是在1988年加州大学伯克利分校的Clifford Stoll 博士发表了一篇题为 “Stalking the Wily Hacker”的论文[1]，随后Bill Cheswick写了关于蜜罐的名为“An Evening with Berferd in Which a Cracker Is Lured,Endured,and Studied”的论文，系统的提出了蜜罐的思想。各种蜜罐产品慢慢出现比如DTK、CyberCop Sting、NetFacade等等。直到1999年HoneyNet项目的创建可以说为蜜罐在安全领域的地位打下了非常坚实的基础，这个项目成功的展现了蜜罐技术在研究和检测攻击方面的价值。他们的系列文献“Know Your Enemy”展示了他们的技术信息和研究成果。随着各种商业蜜罐工具存在着交互度低，容易被黑客识别等问题，安全研究人员需要一个完整的蜜网体系。蜜网构成一个黑客诱捕网络体系架构。现在the honeynet project 依然是最具实力的研究蜜罐的非盈利行组织。 1.2国内的蜜罐技术 在国内，一个组织推动着蜜罐技术的发展，它就是北大计算机研究所“狩猎女神”项目组（）。2004 年 9 月 , 狩猎女神项目启动，三个月后他们就部署了一个Gen II蜜网,并连入 Internet。2005年2月22日Mr.Lance Spitzner宣布蜜网研究联盟接收狩猎女神项目，在这几年来，这个组织成果丰富，它也掌握着我国最先进的蜜网技术以及软件工具[2]。 2 蜜罐概述以及应用技术 2.1蜜罐概述 蜜罐技术是一种主动的防御技术，也是一种安全资源，其存在的价值或者说目的在于被探测、攻击。所以建立它的人故意让其存在着漏洞或者说缺陷用于引诱攻击者进入受控的蜜罐，进行一系列的破坏活动，然后我们的蜜罐系统利用各种监控技术捕获攻击者的行为和信息，了解攻击者所采用的攻击技术、攻击工具、攻击目的，攻击者的位置等。我们可以通过这些用于：一，了解系统未知的漏洞或攻击技术并加以修复 。二， 为学习黑客技术提供实例，易于初学者了解，掌握。三，跟踪攻击者为以后的法律追究提供证据 四，混淆攻击者以保护目标主机的正常运行[1,2,3]。 2.2蜜罐要用到的相关技术 一般的蜜罐都需要四个基本的模块：网络欺骗技术，数据收集技术，数据分析技术，数据控制技术。 2.2.1伪装技术或者说网络欺骗技术 对于蜜罐主机由于它负责与入侵者交互并且它是捕捉入侵者信息的主要场所，如果蜜罐主机是真实的主机系统当然好，能够更好的吸引攻击者来入侵，但是由于存在一定的风险，万一被攻破主机操作系统会受到影响，如果采用虚拟机技术如vmware不但能很好的伪装成蜜罐而且也解决了上面的问题。 由于蜜罐系统并没有被授权任务，所以蜜罐系统的网络流量会很少。进出系统的一般都是攻击或者扫描流量，有些攻击者比较小心，会利用工具扫描系统网络流量，发现异常会怀疑系统真实性并马上离开，所以要虚拟网络流量使流量分析不能检测到欺骗。 还有ip空间欺骗技术：一块网卡上分配多个ip地址来增加攻击者的搜索空间 虚拟系统动态配置，因为真实系统的系统状态总是随时间在变的。万一攻击者发现系统状态不变，会引起怀疑然后离开蜜罐。 添加网络服务往往能在黑客面前暴露漏洞引诱他们来进行攻击 伪装技术的目的是使入侵者相信存在有价值的、可利用的安全弱点。 2.2.2数据采集技术 数据采集是蜜罐的核心功能模块。它的目标是捕捉攻击者从扫描，探测，攻击到攻陷蜜罐