基于网络蜜罐技术的校园网络安全方法研究 .pdfVIP

基于网络蜜罐技术的校园网络安全方法研究

[摘要]信息时代的到来需要计算机网络安全防护由被动防御转为主动防御，

从而使蜜罐技术在网络对抗中日益受到重视。蜜罐是深入了解黑客的一种有效手

段，并且可以提高网络安全防护水平。本文通过分析校园网安全现状和安全设计

原则，通过Winsock编程，构建设计校园网蜜罐系统，并通过测试验证了蜜罐系

统在校园网中部署的可行性。

[关键词]网络安全蜜罐技术系统设计

一、校园网络安全现状与安全设计原则

（一）校园网络安全现状

从网络安全的角度来看，整个网络分为三大部分，第一部分为重点信息安全

保护区；第二部分为校园网普通网络区域；第三部分为外部网络区域。国内校园

网的安全问题有其历史原因，因为意识与资金的原因，以及对技术的偏好和运营

意识的不足，普遍都存在“重技术、轻安全、轻管理”的倾向，常常只是在内部网

与互连网之间放一个防火墙就万事大吉，有些甚至直接连接互连网，这就给病毒、

黑客提供了充分施展身手的空间。

校园网现在的工作系统大多是基于客户/服务器模式和Intenret/Intranet网络

计算模式的分布式应用。在这样一个分布式应用的环境中，学校的数据库服务器、

电子邮件服务器、WWW服务器、文件服务器、应用服务器等等每一个都是一个

供人出入的“门户”，只要有一个“门户”没有完全保护好，“黑客”就会通过这道门

进入系统，窃取或破坏所有系统资源。如何保证和加强网络的安全性和保密性对

于校园网的正常、安全运行至关重要。

（二）校园网安全设计原则

1．安全性。网络应在具有开放性的同时，保证其安全性。要制定合适的安

全策略，建立有效的网络安全制度；对资源访问控制进行实时有效的监控，保证

通信传递的安全性。

2．高可靠性。为保证信息能够及时可靠地发布，信息中心的系统应能保障

不间断运行，在系统设计上应考虑关键部件采用冗余设计和容错技术，通讯子网

间应留有备用信道。

3．开放性。网络信息中心所采用的技术遵循国际标准，不仅要和现有的设

备能够完全互连互通，而且能与未来网络技术发展相适应，因此网络系统须采用

支持局域网、广域网、路由等国际标准协议。

4．可扩展性。要充分考虑到今后网络的发展，在网络、服务器以及软件系

统的设计上保证系统性能能够平滑升级，保护现有投资。

二、基于蜜罐系统若干关键技术研究

（一）蜜罐的分类

牺牲型蜜罐就是一台简单的为某种特定攻击设计的计算机。牺牲型蜜罐实际

上是放置在易受攻击地点，假扮为攻击的受害者，它为攻击者提供了极好的攻击

目标。

外观型蜜罐技术仅仅对网络服务进行仿真而不会导致机器真正被攻击，从而

蜜罐的安全不会受到威胁。外观型蜜罐也具有牺牲型蜜罐的弱点，但是它们不会

提供牺牲型蜜罐那么多的数据。

测量型蜜罐建立在牺牲型蜜罐和外观型蜜罐的基础之上，测量型蜜罐为攻击

者提供高度可信的系统。由于记录攻击信息的原因，测量型蜜罐非常容易访问但

是很难绕过。与此同时，高级的测量型蜜罐还防止攻击者将系统作为进一步攻击

的跳板。

（二）蜜罐系统设计思想

蜜罐系统要确定蜜罐的交互级别，因为研究型蜜罐是高交互的蜜罐系统。使

用蜜罐的目的是希望了解黑客的攻击方式，这就要求采集尽量完整的黑客活动信

息。显然，仿真技术不适合的需要，它所采集的到信息量太少、太单一。在高交

互级别上应当提供给攻击者一个真实的操作系统与之交互，这样黑客不易发觉蜜

罐主机的身份。

（三）蜜罐系统设计关键技术

1．端口重定向技术。端口重定向的特性允许终端会话期间运行的应用程序

访问客户端上的串行与并行端口。重定向技术可以分为两类，一类是客户端重定

向，一类是服务器端重定向。实现重定向是为了让Hacker进入一个模拟的服务，

从而使Hacker入侵的是一个蜜罐系统，而真实操作系统的服务并没有开启。

2．数据控制。蜜罐系统本身就可以模拟成一个操作系统，可以把其本身设

定成为易攻破的一台主机，例如，开放一些端口和设置脆弱口令，并设定出相应

的回应程序，如在LINUX中的SHELL，和FTP程序，当攻击者“入侵”进入系统

（这里所指是HONEYPOT虚拟出来的系统）后，就相当于攻击者进入一个设定

“陷阱”，那么攻击者所做一切都在其监视之中。

3．数据捕获。数据捕获是蜜罐系统的意义所在，完整的数据