一种基于蜜网的网络安全防御技术.pdfVIP

一种基于蜜网的网络安全防御技术1 王铁方，李涛，孙飞显，梁刚，龚勋，蒋亚平 四川大学计算机学院（610065） Email:wangtiefang@163.com 摘 要:传统的网络安全模型如防火墙和入侵检测等都是基于被动防御的技术，基于主动防 御的蜜网技术虽然在一定程度上克服了传统安全模型被动防御的缺陷，然而入侵者仍能通过 蜜网对内部网络和外部网络进行攻击，因此蜜网本身也存在一定的不安全因素。本文提出了 一种基于蜜网的网络安全防御技术——用DMZ(非武装区)和两层防火墙来防止内部网络被入 侵，用 NIDS （网络入侵检测系统）和流量控制的方法来防止外部网络被攻击，从而较好地 解决了传统网络安全模型存在的一些缺陷。 关键字： 蜜网;蜜罐;防火墙;入侵检测 中图分类号：TP393.08 文献类别码：A 1．传统安全模型存在的问题 防火墙技术和入侵检测技术都属于传统的安全模型，它们都存在很多的问题，问题 的根源在于它们所采取的安全策略，即都是先考虑系统可能会出现哪些问题，然后对问 题逐一分析解决[1]。之所以采取这样的安全策略的主要原因在于它们所遵循的理论体系： 若主体对客体的访问符合预定的控制规则，便允许其进入或认为它合法。从控制论角度 来看，这是一个开环控制系统，没有反馈。这种基于静态、被动安全策略的网络防御技 术，不可能对网络中的远程攻击和威胁做出必要、快速的反应。在当今网络攻击手段不 断翻新的情况下，就目前防火墙和入侵检测技术而言，上述问题很难在现有的理论框架 体系内得以解决，引入一种新的技术来弥补传统网络安全模型的不足，并进一步提高网 [2] 络的安全防御水平是极其必要的，于是蜜网技术就应运而生了 。 蜜网技术与防火墙、入侵检测技术的区别是：前者引进了主动控制、人工智能等思 想，如机器学习、人工免疫、数据挖掘，模糊理论和遗传算法等方法[3][4]。蜜网改变了传 统网络安全防御的方法，更具主动性、交互性和学习性[5][6]。网络安全管理员通过蜜网能 更详尽地学习、了解入侵者的思路、所用的网络工具和攻击目的[7][8]，从而更好地了解他 们所遭遇的威胁，进而及时采取相应措施，进而使网络安全管理员在与入侵者的“游击 战”中获得更大的主动权。 然而，最初的蜜网技术也存在着一定的缺陷，例如：它们对防火墙和入侵检测的设 置不够完善，从而使得蜜罐易被攻陷，反而成为攻击者攻击本系统和其它系统的跳板， [9][10][11][12] 这是网络用户最不希望发生的 。 据此，本文提出了一种新的、主动的、基于蜜网的网络安全防御技术，它克服了传 1本文承蒙国家自然科学基金(编及教育部博士点基金（编号20030610003 号）资助。 - 1 - 统网络安全模型的不足，是网络安全中较好的一种解决方案。 2．基于蜜网的网络安全防御模型 2.1 数学描述 为了更准确地描述该网络安全防御模型D，用五元组定义如下： D=(I,V,R,L,C) （1） 其中，I 为入侵行为的集合，V 为诱骗环境即网络应用服务协议的集合，R 为 I→V 的幂集的映射即入侵行为重定向，L 为入侵行为记录集合，C 为控制规则的集合。 定义入侵记录L ⊂{t,x ,y ,s | t ∈T ,x (a,b) ∈P ,y ∈Ω,s ∈Ω} ，其中 t 为提取入侵 记录的时刻（发生网络入侵的时刻）；x 为遭到捕获的侵入网络的 IP 包，x.b 为原始的数 据（原始的 IP 包），x.a 为对原始的数据进行初步分析提取的数据，可作为以后研究入 侵策略用，y 为t 时刻的网络环境现状，可以是当时的CPU 利用率、系统进程状况等。s 为模型对t,