Honeynet最新技术研究.pdfVIP

维普资讯 第 9卷 ·第 3期 宿 州 教 育 学 院 学 报 Vo1．9．No．3 2006年 6月 JOurna1ofSuzhouEducat1on Inst1tute Jun．2∞6 Honeynet~新技术研究 徐桂云 (宿州学院 安徽 ·宿州 234000) 摘【 要】介绍了目前国际上最先进的网络陷阱蛮罐技术，探讨了陷阱网络蜜网系统这一主动防御技术的实现原理厦功能， 进一步研兜了其采用的先进技术。并时其最新技术进行了展望。 关【■~]Honeypot Honeynet 网络安全 网络陷阱 【中朋分类号]TP393．08 文【献标识码】A 【iJl~]1009--8534(2006 一 、 引育 COSwitch等。也就是说 ，每个陷阱机都是标准的机器，运行的 防火墙是 目前网络上使用最多的安全设备和软件。可是 。 都是真实完整的操作系统及应用程序，且不同的系统平台上 单纯的防火墙策略已经无法满足许多行业对安全的需要，何 运行着不同的服务 ．如 Linux的DNS服务 ，WindowsNT的 况防火墙的攻破率已经超过 48％。并且是在攻击者对网络进 Web服务或SolaxiB的兀P服务等，使建立的网络环境看上去 行攻击时才能对系统进行被动的防护。本文介绍的国际上最 更加真实可信①。 先进的网络陷阱蜜罐(Honeypot)~专门为吸引并诱骗那些试图 路由器具有访问控制的作用。主要用它防止 ICMP攻击或 非法闯人他人计算机系统的人(如电脑黑客等)而设计的诱骗 者其它一些欺骗性的攻击。仅仅允许源地址是网内部分的主 系统．通过模拟一个或多个易受攻击的主机，通过模拟运行服 机向外发包 ，放在这里 ，使得整个网络看起来更真实 (还可以 务和开放端 日来模拟真实机器。给攻击者提供一个容易攻击 在防火墙与蜜网之间再放置了一个路由器使防火墙 “消失”)。 的目标 ，拖延攻击者对真正 目标的攻击，让攻击者在蜜罐上浪 防火墙是主要的控制进出连接的工具。允许所有进人的 费时间，攻击者在蜜罐中呆的时间越长，攻击者所使用的技术 连接，控制出去的连接，对从密罐 (Honeypot)向因特网发起的 就暴露得越多 ，就为追踪攻击者提供更多有用的线索，为计算 连接进行跟踪．对任一陷阱机外发连接数做了限制，具体做法 机取证提供更多有力的证据 是利用DynamicIPmbleScripts来检查一个陷阱机有多少外发 = 、Honeynet的设计与实现 连接。当某个陷阱机达到这个上限时，就配置防火墙将超出的 简单的密罐已无法掌握人侵者的最新攻击技术。由多个 连接断开。同时，发送相关的警示信息报警通知系统管理员， 系统和多个攻击检测应用组成的Honeynet系统就应运而生 以告知该陷阱机被阻塞了。 了，然而。Honeynet系统的应用和功能发挥是一个相当复杂的 IDS也是一个重要的数据捕获设备．它捕获和记录网络中 工程，Honeypot的技术和网络陷阱的分布结构方式直接影响 的每个数据包及有效载荷，同时在发现一些可疑举动的时候 着Honeynet系统的效力，准确地网络陷阱布置才能充分发挥 报警。本身不易被发现。 其相应的功能。为了让Honeynet系统更加有效地抵御电脑黑 管理控制台可以对 网络中所有的陷阱机进行远程监视 ， 客的攻击。在此 。具体设计给出了一种全新的Honeynet系统拓 并根据人侵的不同程度提出警报。监控的主要内容一般包括： 朴结构．如图1所示。 用户行为跟踪识别、进程监控、网络连接监控和文件系统使用 情况监控。例如，是否被安装了木马程序、嗅探器，是否被利用 作为攻击跳