基于蜜网技术校园网络安全防御研究.docVIP

基于蜜网技术校园网络安全防御研究 　　摘 要：当前，计算机网络技术在校园中被普遍应用，校园网络安全日益受到人们的重视。对此，对基于蜜网技术的校园网络安全防御展开了研究，对蜜网技术进行了概述，并详细介绍了校园网络安全防御中蜜网技术的实现，旨在为有关方面提供帮助。 　　关键词：蜜网技术；校园网络；安全防御；数据控制 　　中图分类号：TP393.18 文献标识码：A DOI：10.15913/j.cnki.kjycx.2016.16.092 　　随着计算机网络技术的不断发展，计算机网络技术已经深入到社会的方方面面中，计算机网络安全也成为了社会广泛关注的问题，而校园网络安全问题更是人们关注的重点。在校园网络安全防御系统中，应用蜜网技术能够对已知和未知的新型入侵手段进行预警、有效地防护和主动预防，具有主动防御功能，能够有效地保证校园网络的安全。基于此，笔者对基于蜜网技术的校园网络安全防御进行介绍。 　　1 蜜网技术 　　蜜网（Honeynet）技术是由Honeynet项目组（The Honeynet Project）提出并倡导的一种对攻击行为进行捕获和分析的新技术，从本质上来讲，仍然是一种蜜罐技术。要成功地建立一个Honeynet，需要面临数据控制、数据捕获和数据分析3个问题。 　　数据控制代表一种规则，你必须能够确定你的信息包能够发送到什么地方。数据控制是对攻击者在Honeynet中对第三方发起的攻击行为进行限制的机制，用以降低部署Honeynet所带来的安全风险。数据捕获，即监控和记录攻击者在Honeynet内的所有行为，最大的挑战在于搜集尽可能多的数据，而又不被攻击者所察觉。数据分析则是对捕获到的攻击数据进行整理和融合，以辅助安全专家从中分析出这些数据背后蕴涵的攻击工具、方法、技术和动机。 　　2 蜜罐技术在网络安全防御中的实现 　　在本文的研究中，根据我院校园网络环境的实际要求，通过使用虚拟软件（VMWare）和物理计算机建立一个混合虚拟Honeynet，从而减少了物理计算机的需要。VMWare宿主主机（物理计算机）配置Honeywall网关和控制机，在主机中的虚拟机中配置2台基于Linux和Windows的蜜罐，并使用一台物理计算机部署为Windows的蜜罐。部署的虚拟Honeynet如图1所示。 　　2.1 数据控制的实现 　　数据控制的策略主要是对流经系统的数据进行控制。首先，让攻击者顺利进入并攻击系统是部署虚拟Honeynet的目的之一，因此对流入的虚拟Honeynet的数据不作任何限制；然而，为了降低虚拟Honeynet的风险，防止攻击者将虚拟Honeynet作为跳板攻击其他正常系统，应对虚拟Honeynet外出的连接作流量限制，并且还要分析数据包抑制攻击数据包的传播。 　　在部署的Honeynet中，数据控制的第一个策略是将所有流向192.168.x.0/24的数据都导向Honeywall宿主主机。虚拟Honeynet中的2个蜜罐对于攻击者是隐蔽的，攻击者在攻击时不知道哪个是真实的系统。在防火墙中，所有主机访问校园内网路由器中192.168.0.x/24字段的数据均通过eth0导向Honeywall宿主主机（192.168.216.5），通过设置Iptables模块完成数据流量导向，设置如下： 　　[root@hnroot]#Iptables-PINPUTDROP 　　[root@hnroot]#Iptables-PFORWARDDROP 　　[root@hnroot]#Iptables-POUTPUTACCEPT 　　[root@hnroot]#Iptables-AFORWARD-Ieth0-d192.168.0.2/24 -jACCEPT 　　数据控制的第二个策略是在部署的虚拟Honeynet中对流出的数据流量进行了限制，每分钟流出的TCP、UDP、ICMP和其他协议数据包不超过20个，同时，防火墙是否将包发给Snort-inline，Snort-inline对已知攻击包设置方式为Replace。如果流出数据流量超过20个/min或发现已知攻击时，系统将通过Swatch产生Email报警发送给宿主主机（管理机）。具体实现如图2数据控制机制所示。 　　2.2 数据捕获的实现 　　数据捕获是蜜网的一个重要目的。如果没有捕获到数据，那么蜜网只能是一堆浪费网络带宽、金钱的废铁而已。蜜网通过3个层次来捕获数据，即Honeywall的日志记录、Snort记录的网络流和Sebek捕获的系统活动。 　　把蜜墙、Snort及sebek上收集到的数据捕获，经过处理后放到数据库和pcap文件中，为后续的数据分析提供资料。 　　2.2.1 Honeywall的日志记录 　　Honeywall