基于Libpcap的低交互Honeypot诱捕蜜罐的研究与设计.PDFVIP

第２６卷第８期　　　 计算机应用与软件 Ｖｏｌ２６Ｎｏ．８ ２００９年８月　　 ＣｏｍｐｕｔｅｒＡｐｐｌｉｃａｔｉｏｎｓａｎｄＳｏｆｔｗａｒｅ Ａｕｇ．２００９ 基于Ｌｉｂｐｃａｐ的低交互Ｈｏｎｅｙｐｏｔ诱捕蜜罐的研究与设计 王　斐　陆建德 （苏州大学计算机科学与技术学院　江苏苏州２１５００６） 摘　要　　随着计算机网络中攻击风险日益严峻，安全系统面对威胁必须迅速反应以减少损失。提出一种在主动网络防御体系中 的Ｈｏｎｅｙｐｏｔ诱捕蜜罐方案，采用Ｌｉｂｐｃａｐ底层信包捕获及套接字编程，在Ｌｉｎｕｘ平台上研究、设计实现一种模拟一定数量特定服务的 低交互Ｈｏｎｅｙｐｏｔ诱捕蜜罐，实现对自动扫描、病毒等攻击的诱捕，弥补了传统防火墙和入侵检测系统的不足，以尽早发现潜在攻击， 提高网络安全性，有效保护网络资源安全。 关键词　　Ｌｉｂｐｃａｐ　Ｌｉｎｕｘ　蜜罐　诱捕 ＲＥＳＥＡＲＣＨＡＮＤＤＥＳＩＧＮＯＦＬＯＷＩＮＴＥＲＡＣＴＩＶＥＨＯＮＥＹＰＯＴＴＲＡＰＢＡＳＥＤＯＮＬＩＢＰＣＡＰ ＷａｎｇＦｅｉ　ＬｕＪｉａｎｄｅ （ＳｃｈｏｏｌｏｆＣｏｍｐｕｔｅｒＳｃｉｅｎｃｅａｎｄＴｅｃｈｎｏｌｏｇｙ，ＳｏｏｃｈｏｗＵｎｉｖｅｒｓｉｔｙ，Ｓｕｚｈｏｕ２１５００６，Ｊｉａｎｇｓｕ，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ　　　Ｗｉｔｈｔｈｅｓｈａｒｐｒｉｓｅｏｆａｔｔａｃｋｓｉｎｃｏｍｐｕｔｅｒｎｅｔｗｏｒｋ，ｓｅｃｕｒｉｔｙｓｙｓｔｅｍｍｕｓｔｑｕｉｃｋｌｙｒｅａｃｔｔｏｉｍｐｅｎｄｉｎｇｔｈｒｅａｔｓｉｎｏｒｄｅｒｔｏｍｉｔｉ ｇａｔｅｄａｍａｇｅｓ．ＴｈｉｓｐａｐｅｒｉｎｔｒｏｄｕｃｅｓａＨｏｎｅｙｐｏｔｔｒａｐｓｃｈｅｍｅｉｎａｃｔｉｖｅｎｅｔｗｏｒｋｄｅｆｅｎｓｅｓｙｓｔｅｍ，ｗｈｉｃｈｅｍｐｌｏｙｅｄｔｈｅｂｏｔｔｏｍｐａｃｋｅｔｃａｐｔｕｒｅ ｐａｃｋａｇｅｓｏｆＬｉｂｐｃａｐａｎｄｓｏｃｋｅｔｐｒｏｇｒａｍｍｉｎｇ，ｄｅｓｉｇｎｅｄａｎｄｒｅａｌｉｚｅｄｏｎＬｉｎｕｘｐｌａｔｆｏｒｍａｌｏｗｉｎｔｅｒａｃｔｉｖｅＨｏｎｅｙｐｏｔｔｒａｐｓｉｍｕｌａｔｉｎｇｓｏｍｅｓｐｅｃｉｆｉｃ ｓｅｒｖｉｃｅｓｔｏｔｒａｐｔｈｅａｔｔａｃｋｓｓｕｃｈａｓａｕｔｏｓｃａｎ，ｖｉｒｕｓｅｓ，ｅｔｃ．Ｔｈｅｓｃｈｅｍｅｈａｓｍａｄｅｕｐｔｈｅｄｅｆｉｃｉｅｎｃｙｏｆｔｒａｄｉｔｉｏｎａｌｆｉｒｅｗａｌｌａｎｄｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎ ｓｙｓｔｅｍ，ｓｏａｓｔｏｄｅｔｅｃｔｌａｔｅｎｔａｔｔａｃｋｓａｓｓｏｏｎａｓｐｏｓｓｉｂｌｅ，ｅｎｈａｎｃｅｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙａｎｄｅｆｆｅｃｔｉｖｅｌｙｐｒｏｔｅｃｔｎｅｔｗｏｒｋｒｅｓｏｕｒｃｅｓ． Ｋｅｙｗｏｒｄｓ　　Ｌｉｂｐｃａｐ　Ｌｉｎｕｘ　Ｈｏｎｅｙｐｏｔ　Ｔｒａｐ 保护网络资源安全。 ０　引　言 １　Ｈｏｎｅｙｐｏｔ分析 网络入侵检测系统ＮＩＤＳ虽然在入侵行为的检测方面取得 了很大的成功，但自身存在难以克服的局限：漏报、错报、数据整 Ｈｏｎｅｙｐｏｔ是一种安全资源，其价值体现在被探测、攻击或者 合。ＮＩＤＳ的规则库如果没有及时更新，对新的漏洞和攻击方式 摧毁的时候。Ｈｏｎｅｙｐｏｔ根据与攻击者的交互程度可分为以下 就可能漏报；对于一些合法的网络访问，由于与某些非法访问具 三种： 有部分的相似，ＮＩＤＳ很可能会判断错误，产生错报；ＮＩＤＳ需要 低交互度Ｈｏｎｅｙｐｏｔ　它不运行真实操作系统的真实应用服 收集大量的数据，如何从大量的数据中为攻击检测和确认提供 务，而用专门设计的蜜罐诱捕程序模拟这些服务，使其对外呈现 有用的信息，进行数据整合，也是传统ＮＩＤＳ未能有效解决的难 真实应用服务的基本功能，攻击者于是与这些模拟服务进行预 题［１］。作为ＮＩＤＳ的有益补充，