主動入侵響應蜜罐系統(tǒng)的研究.pdf

1、現(xiàn)有的安全措施大都是基于已知的事實和攻擊模式，被動的進行防御，對于復雜而多變的黑客攻擊就顯得力不從心。如何使網絡安全防御體系從靜態(tài)到動態(tài)、防御措施由被動變主動是研究的新課題。由此，一種更主動、更有效的信息安全技術——蜜罐技術，進入了人們的視野。但是，僅僅依靠一種技術解決網絡安全問題是不可能的。因此，本文將重點研究如何將蜜罐技術與傳統(tǒng)安全技術加以有機的結合。
　　 蜜罐是網絡安全領域內的新技術。蜜網項目組的創(chuàng)始人Lance Spi

2、tzner的蜜罐定義：蜜罐是一種安全資源，它的價值就在于被攻擊者攻擊、探測和攻陷。它開放明顯的安全漏洞以吸引攻擊者的攻擊，同時監(jiān)視黑客的行為，記錄黑客的攻擊信息，以便進一步分析。依據記錄的日志，我們可以發(fā)現(xiàn)新的入侵行為和系統(tǒng)的安全漏洞，據此及時修補發(fā)現(xiàn)的系統(tǒng)安全漏洞，確保網絡安全。
　　 論文首先介紹了網絡安全的相關技術和知識，詳細討論了防火墻技術、入侵檢測技術和蜜罐honeyd的體系結構、工作方式，剖析了各自的優(yōu)缺點，為提出主

3、動入侵響應蜜罐系統(tǒng)奠定了理論基礎。
　　 選用開源軟件honeyd作為蜜罐系統(tǒng)。Honeyd是一款目前應用廣泛、功能強大、輕型的蜜罐工具。它具備在協(xié)議棧模擬多個操作系統(tǒng)、模擬網絡拓撲結構、指紋匹配、重定向等功能，并很好地解決了交互級別與自身安全之間的矛盾。基于對honeyd的功能模塊、數(shù)據包處理、網絡模擬等模塊詳細分析的基礎上，完善了honeyd對TCP三次握手的模擬，增加了SYN/ACK的重傳功能，使其模擬的系統(tǒng)更真實。同時，

4、修改了honeyd的日志存儲功能，實現(xiàn)了遠程日志存儲。最后，將honeyd應用到對抗msblast蠕蟲的實驗。
　　 論文的核心部分詳細說明了主動入侵響應蜜罐系統(tǒng)是如何將蜜罐的模擬服務技術、防火墻的數(shù)據控制功能與網絡的異常檢測技術相結合，優(yōu)勢互補，使得蜜罐系統(tǒng)能夠實時的檢測網絡內發(fā)生的入侵危險，并進行實時預警，達到了讓蜜罐系統(tǒng)既具有研究價值又具有實時報警功能的目的。該系統(tǒng)同時還引入了web管理模塊，使得對蜜罐系統(tǒng)的數(shù)據控制、數(shù)據