引入蜜罐技术局域网安全探究.docVIP

引入蜜罐技术局域网安全探究【 摘 要 】 由于网络攻击行为的日益复杂多样，传统的网络安全系统无法全面有效地对局域网进行防护。本文介绍了蜜罐技术的运行机制，并将之引入局域网安全体系，扬长补短，提出了更为积极主动的局域网安全防御思路。 【 关键词 】 蜜罐；局域网；防火墙；入侵检测 A Study on the Security of LAN Combined with Honeypot Technology Qiang Liang (Shanghai University of Electric Power, Modern Education Technology Center Shanghai 201300) 【 Abstract 】 With the development and widely application of network, network attacks have become more and more complicated. Traditional network security system can not protect LAN effectively. This article introduces the principle of honeypot, which is combined with LAN security system. Base on this, a more active LAN security defense structure is established. 【 Keywords 】 honeypot; LAN; firewall; intrusion detection 0 引言 随着互联网技术的深入发展与应用领域的全面拓宽，针对已有协议与新兴技术包含的漏洞，各类病毒、蠕虫、木马应运而生，其变种产生的时间越来越短，而网络传播速度则越来越快。传统的样本捕获方式被动迟缓，已经逐渐不能适应目前的网络发展态势。据不完全统计，配置完善的防火墙平均能拦截仅仅53%的恶意访问。安全维护人员不得不寻求更为积极迅速的防御方法，蜜罐技术的引入就是其中一项代表性思路。 1 传统局域网安全技术的特点及其局限 网络安全涉及范围较广，传统的局域网安全防御主要包括病毒防护、防火墙、入侵检测、信息加密和CA认证等安全技术。 病毒防护系统包括对操作系统的安全配置及相关杀毒软件，主要是针对个人主机提供保护，对在网络传播的病毒则力有不逮。 防火墙是两个网络之间进行访问控制的装置，安装在内外网之间的保护措施，对进出网络的数据包按照预设规则进行过滤选择。防火墙的预设规则完全建立在已知入侵模式的基础上，对于新型的攻击方式无计可施。 入侵检测系统（IDS）对网络系统关键点进行信息采集，通过检测分析，从中发现违反安全策略的行为。入侵检测是一种相对主动的安全防御措施，一般分为误用检测和异常检测。前者是将已知的攻击以特征码的形式存储在规则库中，若当前行为特征与已有规则匹配，则判为入侵行为。这样做准确率较高，但无法发现新型攻击与伪装过的攻击。而目前已有的检测方式，无论是基于特征匹配还是协议分析，对新型攻击行为的辨识度很低，会导致较高的漏报率。异常检测是将正常访问的行为特征存储在规则库中，若当前访问行为与已有规则偏差足够大，则判为异常。这种检测方式能够发现新型攻击，但由于检测系统通常面对的是海量通信信息，形式多样且多变，因此会导致较高的误报率。 数据加密是对传输或存储中的数据按照一定算法进行转换，从而提高数据传输的安全性、保证其完整性的技术。CA认证的作用是检查证书持有者的身份是否合法，并签发证书，防止伪造和篡改。 综上所述，我们不难发现，以上安全技术多数都是在面临攻击时，针对已知的病毒攻击特征进行过滤和防护的静态技术，但是对于未知的攻击手段却缺乏迅速有效的检测方法与防护措施。为了应对日益更新的病毒变种与层出不穷的攻击手段，网络安全防御系统需要引入一种能够获取新型病毒的有效特征及攻击行为模式的方法。蜜罐技术恰好提供了这样一种更为动的防御思路。 2 蜜罐技术(honeypot) 国际“蜜网项目组” 创始人Lance Spitzner将蜜罐定义为一种人为预设的安全资源，其作用就在于被扫描、攻击和攻陷。该定义表明蜜罐本质上是一种入侵诱骗技术。它通常伪装成真实可信的网络资源，并暴露各种显而易见的系统漏洞，提供脆弱的保护或不设保护，以此吸引攻击。同时作为情报收集系统，对恶意行为进行监视、收集和分析。蜜罐能够自动地检测新型病毒与攻击手段，从而事先防范，阻止其爆发。捕获的病毒样本作为重要数据，不仅可以维护本地局域网的安全，甚至能够达到整个互联网共同免疫的效果。蜜罐