蜜罐与入侵检测在DDoS攻击防御中应用的研究-计算机应用技术专业毕业论文.docxVIP

- - III - 目 录 摘 要 I Abstract II 1 绪论 1 1.1 研究背景和意义 1 1.2 论文的主要内容 2 1.3 论文的组织结构 2 TOC \o 1-2 \h \z \u 2 DDoS 攻击分析 3 DoS 攻击原理 3 DDoS 攻击原理 3 DDoS 攻击模式 5 2.3.1 针对网络连接的攻击 5 2.3.2 利用目标自身的资源攻击 5 2.3.3 消耗带宽攻击 6 2.3.4 其他方式的资源消耗攻击 7 2.4 DDoS 攻击使用的常用工具 8 2.5 DDoS 的检测 9 2.6 DDoS 攻击的防御现状 9 2.7 小结 10 3 蜜罐技术研究 11 3.1 蜜罐概述 11 3.1.1 问题的提出 11 3.1.2 蜜罐的发展 11 3.1.3 蜜罐的定义 15 3.2 蜜罐的分类 16 3.2.1 基于产品的设计目的分类 16 3.2.2 基于交互层次分类 16 - - PAGE IV - 3.2.3 基于服务提供方式分类 17 3.3 蜜罐的基本配置 18 3.4 蜜罐信息的收集 19 3.5 蜜罐的作用 20 3.6 小结 21 4 系统防御模型的设计 22 4.1 传统安全模型存在的问题 22 4.2 现有模型分析 22 4.3 系统模型的框架设计 25 4.4 系统总体流程分析 26 4.5 具体模块设计 27 4.5.1 防火墙设计 27 4.5.2 虚拟蜜罐设计 27 4.5.3 入侵检测设计 29 4.5.4 转发器设计 29 4.5.5 服务器群安全设计 30 4.5.6 内部蜜罐设计 31 4.6 小结 33 5 系统防御模型的实现 34 5.1 模型硬件需求 34 5.2 模型软件需求 34 5.2.1 虚拟蜜罐配置实现 34 5.2.2 入侵检测配置实现 37 5.2.3 网桥配置实现 40 5.2.4 蜜墙流量控制实现 41 5.2.5 数据捕获收集及分析配置实现 42 5.2.6 日志管理实现 47 5.2.7 自动告警实现 48 5.3 系统之间的协同工作 49 5.3.1 虚拟蜜罐与入侵检测系统 49 5.3.2 内部蜜罐与入侵检测系统 49 5.4 小结 50 6 系统测试 51 6.1 测试目的 51 6.2 测试过程 51 6.2.1 扫描探测捕获测试 51 6.2.2 大流量攻击测试 52 6.2.3 sebek 捕获测试 54 6.2.4 数据控制测试 54 6.3 测试结果分析 56 6.4 小结 57 结 论 58 参 考 文 献 59 作 者 简 历 62 学位论文数据集 64 - - PAGE 10 - 1 绪论 1.1 研究背景和意义 随着计算机和网络技术的迅速发展，Internet 的规模不断扩大，网络已逐渐成为 人们生活中的一部分。根据 2009 年 6 月中国互联网络信息中心 CNNIC(China Internet Network Information Center)发布的《第 24 次中国互联网络发展状况统计报告》[1] 显示，我国上网用户规模达到 3.38 亿。面对如此众多的上网用户，除了完善网络基 础设施，创新发展网络技术之外，网络安全无疑是人们越来越关注的问题。当代社 会，网络所占据的地位越来越重，而一旦网络遭到攻击甚至破坏，那么所造成的损 失将会是惨重的。 目前，网络安全的威胁主要来自黑客（Hacker）入侵、计算机病毒（Virus）和 拒绝服务 DoS（Denies of Service）攻击三个方面。其中，以拒绝服务攻击 DoS 攻 击为基础，不断发展形成的分布式拒绝服务 DDoS（Distributed Denial of Service） 攻击因其易于攻击、难于防范和跟踪而日益猖獗，更加重了对网络安全的威胁。 2000 年美国著名商业网站 Yahoo、eBay、CNN 等遭到 DDoS 攻击致使 10 多亿 美元的损失[2]；2002 年，位于英国、美国、日本、瑞典等国家和地区的 13 个根名 服务器，遭受了大规模，尤其复杂的 DDoS 攻击。此次攻击造成了 9 台服务器瘫痪， 整个袭击持续一个小时[3]；2003 年 SQL Slammer Worm 攻击企业网站的数据库，造 成美洲和亚洲地区的网络严重瘫痪；2005 年 8848 电子商务网站遭到 DDoS 攻击， 服务中断达 27 小时。根据 Arbor2008 年的全球互联网安全分析报告，DDoS 攻击与 僵尸网络已成为互联网服务提供商的最大威胁。尤其是僵尸网络为 DDoS 提供了攻 击所需的“火力”：