基于Honeypot安全防御机制的校园网安全系统研究与设计.docVIP

基于Honeypot安全防御机制的校园网安全系统研究与设计 　　摘要:随着我国信息化进程不断发展, 扩大了了网络信息共享范围, 提高了信息流动的速度, 促进了我们办公自动化的效率, 但是在我们享受和利用信息化建设速度提供这些便利的同时, 计算机网络安全问题也日益突现。蜜罐技术是一种采用了主动防御的网络安全技术, 部署蜜罐的目的就是吸引攻击者来攻击, 捕获攻击者在蜜罐系统上的活动数据, 从而更好地研究攻击者的行为和动机,研究入侵者所使用的攻击工具、策略和方法。 　　关键词:校园网络安全;安全防御机制;蜜罐;蜜网 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)33-9234-03 　　随着基于计算机网络技术的现代教育手段应用的日益广泛, 各地建设校园网的热情空前高涨。校园网的普及对加快信息处理、合理配置教育资源、充分利用优质教育资源、提高工作效率、减轻劳动强度、实现资源共享都起到了不可估量的作用,信息安全问题也日益突出。 作为从局域网基础上发展起来的校园网也面对这样的安全问题。 因此, 解决网络安全问题刻不容缓。网络与信息安全技术的核心问题是对计算机系统和网络进行有效地防护。网络安全涉及面很广, 从技术层面上讲主要包括防火墙技术、入侵检测技术、病毒防护技术、数据加密和认证技术、蜜罐技术等, 这些安全技术中, 大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护。而可以采取主动的方式的蜜罐技术就是用特有的特征吸引攻击者, 同时对攻击者的各种攻击行为进行分析并找到有效的对付方法。结合蜜罐构建的网络安全防御系统, 可使网络防御者化被动为主动, 更好地研究入侵者的行为和动机, 从而更好地保护校园网络。 　　1 蜜罐的定义及分类 　　“蜜罐”的思想最早由Clifford Stoll 于1988 年6 月提出,作者在跟踪黑客的过程中,利用了一些包含虚假信息的文件作为黑客“诱饵”来检测入侵。明确提出蜜罐是Lance Spitzner 给出的定义:蜜罐是一种安全资源,其价值在于被探测、攻击或者摧毁。蜜罐是一种预先配置好的系统,系统内含有各种伪造而且有价值的文件和信息,用于引诱黑客对系统进行攻击和入侵。蜜罐系统可以记录黑客进入系统的一切信息,同时还具有混浠黑客攻击目标的功能,可以用来保护服务主机的正常运行。蜜罐系统收集到的信息可以作为跟踪、研究黑客现有技术的重要资料,可以用来查找并确定黑客的来源;还可以用来分析黑客攻击的目标,对可能被攻击的系统提前做好防护工作。 　　蜜罐在编写新的IDS特征库、发现系统漏洞、分析分布式拒绝服务(DDOS)攻击等方面是很有价值的。蜜罐本身并不直接增强网络的安全性,将蜜罐和现有的安全防卫手段如入侵检测系统(IDS)、防火墙(Firewall)、杀毒软件等结合使用,可以有效提高系统安全性。 　　按照蜜罐实现时,允许操作系统与入侵者交互的复杂程度,蜜罐系统可以划分为低交互级蜜罐系统、中交互级蜜罐系统和高交互级蜜罐系统。 　　1) 低交互级蜜罐系统:典型的低交互级蜜罐仅提供一些简单的虚拟服务,例如在特定的端口监听记录所有进入的数据包。这类蜜罐没有向入侵者提供可以远程登录的真实操作系统,因此风险最低,但是蜜罐所扮演的角色是非常被动的,就象一个单向连接,只有信息从外界流向本机,而没有回应信息发出,无法捕捉到复杂协议下的通讯过程,所能收集到的信息有限。 　　2) 中交互级蜜罐系统:中交互级蜜罐系统也不提供真实的操作系统,但是却为入侵者提供了更多复杂的诱骗进程,模拟了更多更复杂的特定服务,使攻击者误认为是一个真正的操作系统,能够收集更多数据。但同时也增加了蜜罐的风险,因此要确保在模拟服务和漏洞时不产生新的真实漏洞,而给黑客攻击真实系统的机会。 　　3) 高交互级蜜罐系统:高交互蜜罐提供了真实的操作系统和服务,可以了解黑客运行的全部动作,获得更多有用信息,但遭受攻击的可能性大,引入了更高风险,结构较复杂。高交互蜜罐系统部署的代价最高,需要系统管理员的连续监控。不可控制的蜜罐对任何组织来说没有任何意义甚至可能成为网络中最大的安全隐患。 　　从具体实现的角度,可以分为物理蜜罐和虚拟蜜罐。 　　1) 物理蜜罐:物理蜜罐通常是一台或多台真实的在网络上存在的主机,这些主机上运行着真实的操作系统,拥有自己的IP 地址,提供真实的网络服务来吸引攻击。 　　2) 虚拟蜜罐:虚拟蜜罐通常用的是虚拟的机器、虚拟的操作系统,它会响应发送到虚拟蜜罐的网络数据流,提供模拟的网络服务等。 　　2 蜜罐的配置模式 　　1) 诱骗服务(deception service) 　　 诱骗服务是指在特定的IP服务端口帧听并像应用服务程序那样对各种网络请求进行应答的应用程序。DTK就是这样的一个服务性