蜜罐技术在网络安全中的设计与应用.pdf 73页

论文题目蜜罐技术在网络安全中的设计与应用专业学位类别工程硕士学号200992231926作者姓名陈颢指导教师顾小丰高工万方数据 分类号密级注1UDC1.学位论文蜜罐技术在网络安全中的设计与应用（题名和副题名）陈颢（作者姓名）指导教师顾小丰高工电子科技大学成都王鑫高工潍坊市天硕科技中心潍坊（姓名、职称、单位名称）申请学位级别硕士专业学位类别工程硕士工程领域名称软件工程提交论文日期2012.09论文答辩日期2012.11学位授予单位和日期电子科技大学2012年12月日答辩委员会主席评阅人注1：注明《国际十进分类法UDC》的类号。万方数据 HONEYPOTTECHNOLOGYINNETWORKSECURITYDESIGNANDAPPLICATIONAThesisSubmittedtoUniversityofElectronicScienceandTechnologyofChinaMajor:SoftwareEngineeringAuthor:ChenHaoAdvisor:GuXiaofengSchool:SchoolofComputerScienceandEngineering万方数据 独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。作者签名：日期：年月日论文使用授权本学位论文作者完全了解电子科技大学有关保留、使用学位论文的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。（保密的学位论文在解密后应遵守此规定）作者签名：导师签名：日期：年月日万方数据 摘要摘要计算机网络在当今世界的触角已经延伸到地球的每一个角落,并在水电、交通运输及其各个领域中越来越多的影响着我们的生活，因为它已经成为像电力等人们的工作方式和生活方式中一个不可分割的组成部分。越来越深的了解计算机网络，就会知道对知识网络和网络的不断袭击，网络的扩张已经带来更多的信息和网络的不安全，这严重威胁到网络安全。有效保护计算机系统或网络是信息安全技术的核心。它涉及到很多技术来保护网络安全的攻击，攻击网络攻击者的技术水平，加密和认证技术，防火墙，数据，技术，防病毒,入侵检测技术，这些技术都是被动的保护系统。信息时代需要从被动防御向主动防御的计算机网络的安全性，所以对蜜罐技术的网络已经得到了越来越多的关注。蜜罐深入了解黑客和有效的手段，水平的网络安全。本文讨论了蜜罐与蜜蜜罐网高级形式，工作原理和具体的。首先，网络安全、网络安全，攻击类型，方法，和一个新的网络安全技术解决方案的蜜罐。其次，详细讨论的蜜罐在内，现有的蜜罐系统的研究现状比较分类的蜜罐叙述了蜂蜜网；这种工作模式，数据的收集和数据控制。本文还讨论了利用DTK开源工具包进行蜜罐设计及其应用，并实践了Telnet服务的实例应用。测试结果显示蜜罐技术已经安全员黑客和病毒的有效工具，有特殊配置的蜜罐蠕虫攻击前后的比较，可以发现蠕虫病毒系统注册表文件的详细数据包，通过详细信息可以发现嗅探器、蠕虫病毒侵入。关键词：网络安全，蜜罐，蜜网，入侵检测I万方数据 ABSTRACTABSTRACTThetentaclesofcomputernetworksintoday"sworldhasbeenextendedtoeverycorneroftheearth,andhydropower,transportation,anditsleadershipincreasinglyaffectourlives,becauseithasbecomelikeelectricityandotherpeople"sworkandlifestyleanintegralpart.Deeperunderstandingofcomputernetworks,willknowtheconstantattacksofknowledgenetworksandnetwork,networkexpansionhasbroughtmoreinformationandnetworkinsecurity,aseriousthreattonetworksecurity.Effectiveprotectionofthecomputersystemornetworkisthecoreofinformationsecuritytechnology.Itinvolvesalotoftechnologytoprotectnetworksecurityattacks,attacksonthenetworktheattacker"sleveloftechnology,encryptionandauthenticationtechnology,firewall,data,technology,anti-virus,intrusiondetectiontechnology,thesetechnologiesarepassiveprotectionsystems.Withtheadventoftheinformationage,thecomputernetworksecuogyismoreregardedasaneffectivewaytoattack.Honeypottechnologyprovidesaneffectivewayforin-depthunderstandingofhacking,canimprovetheorganization"snetworksecurity.Thispaperdiscussesthetechnologyofhoneypotandworkingmechanismandrealizationmethodsadvancedformofhoneynet.Firstly,thispaperintroducessthepresentsituation,ofinternetsatfety,Thesafetyquestionsofinternetandthekindsofattacks,method,andspeakoutanewwayofhoneypot.second,analysethehoneypotwork.TheauthordiscussedthedesignandapplicationofhoneypotbymakeuseofDTKApacheToolkit,andpracticedTelnetservice.Testresultsshowthat:thehoneypothasbecomeoneofeffectivetoolsforthesecurityofficerdealwithhackersandwormvirus.Comparethebeforewiththeafterofanattackwhichmadebywormvirustoaspeciallyconfiguredhoneypot,itshowsthatthedetailsofsystemregistryrevisionandnewlybuiltdocumentwhichattackedbywormvirus.Thewormvirusdetailedintrusioncanbefindbythecaptureofpacketsniffersoftware.Keywords:NetworkSecurity,Honeypot,Honeynet,IntrusionDetectionⅡ万方数据 目录目录第一章绪论................................................................................................................................................11.1课题的研究背景及意义...................................................................................................................11.1.1课题的研究背景.........................................................................................................................11.1.2课题研究的目的和意义............................................................................................................21.2国内外研究现状及成果...................................................................................................................31.2.1国外的研究成果........................................................................................................................31.2.2国内发展的现状........................................................................................................................41.3课题主要研究目标及内容...............................................................................................................51.3.1课题研究目标............................................................................................................................51.3.2课题研究内容............................................................................................................................51.4论文章节结构...................................................................................................................................6第二章蜜罐蜜网技术的概念和技术分析................................................................................................72.1蜜罐的概念.......................................................................................................................................72.2蜜网的概念........................................................................................................................................72.3蜜罐技术的发展历程........................................................................................................................82.4蜜罐的安全价值................................................................................................................................92.5蜜罐所面临的法律问题..................................................................................................................112.6网络安全的威胁..............................................................................................................................122.7蜜罐蜜网技术概念.........................................................................................................................132.7.1蜜罐的配置..............................................................................................................................132.7.2蜜罐的具体分类以及蜜罐体现的安全价值...........................................................................152.7.3蜜罐的配置模式.......................................................................................................................162.7.4蜜罐的信息收集.......................................................................................................................172.8本章小结..........................................................................................................................................19第三章弱化系统配置下蜜罐如何防止蠕虫病毒入侵实验..................................................................203.1弱化系统配置蜜罐..........................................................................................................................203.1.1安装虚拟的操作系统并且加固宿主机的系统......................................................................203.1.2安装注册表的监视软件..........................................................................................................203.2蠕虫,入侵检测及分析.....................................................................................................................213.2.1检测和分析入侵过程..............................................................................................................213.2.2病毒感染的结果分析..............................................................................................................243.2.3对蠕虫病毒入侵系统测试的结论..........................................................................................253.3本章小结.........................................................................................................................................26第四章基于DTK蜜罐的实例应用.......................................................................................................274.1基于DTK蜜罐的设计及应用........................................................................................................274.1.1DTK欺骗工具包.....................................................................................................................27III万方数据 电子科技大学硕士学位论文4.1.2DTK的工作原理.....................................................................................................................274.1.3DTK的缺点和优点..................................................................................................................284.2系统平台选择..................................................................................................................................284.2.1开发平台Linux........................................................................................................................284.2.2解决方法...................................................................................................................................294.2.3开发语言C...............................................................................................................................304.3系统的设计与实现..........................................................................................................................314.3.1系统的概述...............................................................................................................................314.3.2响应的模块..............................................................................................................................324.4一种TELNET服务的实例应用........................................................................................................324.4.1Telnet服务简介.........................................................................................................................324.4.2Telnet的应用过程.....................................................................................................................334.5WINDOWS下蜜罐系统的设计与实现.............................................................................................364.5.1系统概述..................................................................................................................................364.5.2Telnet协议................................................................................................................................374.5.3关键的技术...............................................................................................................................404.6测试系统的结果及分析.................................................................................................................404.7本章小结.........................................................................................................................................43第五章蜜罐在校园网络中的应用..........................................................................................................445.1系统综述..........................................................................................................................................445.2功能模块.........................................................................................................................................445.2.1监听记录的模块.......................................................................................................................445.2.2数据控制模块...........................................................................................................................455.2.3通信交互的模块.......................................................................................................................465.2.4响应模块..................................................................................................................................475.2.5数据捕获模块...........................................................................................................................475.3安全控制.........................................................................................................................................485.3.1防火墙的数据控制..................................................................................................................485.3.2路由器数据的控制...................................................................................................................495.3.3程序初始化modulethis模块...................................................................................................495.3.4击键捕获程序...........................................................................................................................505.4日志管理MODULEDATA...................................................................................................................515.5测试结果分析..................................................................................................................................535.6本章小结..........................................................................................................................................56第六章总结与展望..................................................................................................................................576.1工作总结.........................................................................................................................................576.2优势、不足与展望..........................................................................................................................58致谢..........................................................................................................................................................61参考文献....................................................................................................................................................62IV万方数据 第一章绪论第一章绪论1.1课题的研究背景及意义1.1.1课题的研究背景计算机网络在当今世界的触角已经延伸到地球的每一个角落，并在水电、交通运输及其各个领导中越来越的影响着我们的生活，因为它已经成为像电力等人们的工作方式和生活方式中一个不可分割的组成部分。越来越深的了解计算机网络，就会知道对知识网络和网络的不断袭击，网络的扩张已经带来更多的信息和网络的不安全，这严重威胁到网络安全。由于互联网上的开放性，存在缺陷和安全漏洞和软件配置和许多不同的操作系统，被默认安装在互联网上，另一方面，广大网民在加强安全的方面不具有真正的安全意识，没有及时安装必要的补丁，或者安装一个防火墙，这些引起互联网上很大的安全问题。另外，还有一个方面是网络的攻击技术的飞速的发展，在特定的服务里的攻击以及网络蠕虫的攻击中，它的攻击结果是把每个攻击的主机做为跳板，真是的目标是在互联网上攻击其他的主机。此外，黑客的目的已经不同于早期的纯粹的能力和兴趣的方面，更多的是为了为了国家的利益和商业的利益。同时，攻击者可以登录上互联网找到最新的攻击工具和脚本，而不再需要很多的专业技能和技术，例如可以从互联网上找到比如PacketStorm的网络站点，那上面有。这些工具和脚本是由高级黑客开发，利用这些可以更容易的让攻击者变得日益强大，这是对网络安全来说具有非常大的有害影响。值得注意的趋势是：相互融合的多种攻击工具和脚本，比如说大量的内核后门工具包（Rootkit），以及能够集成多种攻击的脚本并且能够提供易用接口的攻击框架（比如在2004年的DEFCON黑客大会中被广泛关注的Metasploit）的出现。有效保护计算机系统或网络是信息安全技术的核心。它涉及到很多技术来保护网络安全的攻击，攻击网络攻击者的技术水平，加密和认证技术，防火墙，数1万方数据 电子科技大学硕士学位论文据，技术，防病毒,入侵检测技术，这些技术都是被动的保护系统。我们的研究的蜜罐技术，可以采取积极主动的保护。顾名思义，蜜罐技术，以达到保护的目的，分析对于入侵者采用吸引攻击的攻击行为，以此来找到行之有效的方法来保护系统。蜜罐系统主要是记录系统的行为和操作，以及监测专家对蜜罐的网络安全系统的使用，面对攻击者通过的安全专家精心伪装使用的系统，可以不被察觉的监测目标系统，从而获取攻击者所有的行动信息。通常情况下，为了吸引攻击者，网络安全专家在蜜罐系统中故意将一些假的敏感信息放置在网络中作为攻击诱饵。经过这样的一番准备之后，当攻击者正在为攻入目标系统而得意的时候，在目标系统之中的包括执行的操作、输入的字符等等的一切行为，都已经被蜜罐系统记录。然后，通过分析和研究记录，蜜罐系统可以得到关于攻击者的很多信息，比如攻击手段、工具以及其目的和水平等等，还可以获得攻击者的下一个攻击的目标或者是攻击者的活动范围，通过相关信息可以起到保护目标系统的作用。同时，蜜罐系统技术设计者最开始的目的之一是把在蜜罐系统中记录的信息作为对攻击者入侵时的铁证。同时，蜜罐系统是企图把攻击者从核心的关键的系统上引诱出去的诱骗系统。这些诱骗系统中布满了实际上是诱饵但看起来非常有用的信息，当系统检测到有人对蜜罐系统上这些诱饵进行访问的时候，很有可能就是有攻击者了。1.1.2课题研究的目的和意义1、课题研究目的：为了要有效地维修网络系统的安全，攻击者的意图理解、技术、技能。蜜罐的价值就在于对被其攻击的攻击人扫描以及攻击和攻陷等行为进行的监视、监测以及分析。蜜罐技术是一种可以了解黑客的手段，它对于攻击者常用的攻击策略和攻击工具是比较有效的。2、课题研究的意义：蜜罐技术具有节省资源、配置灵活以及针对性强的特点，它将主动防御的概念引入到网络的安全中，但是在日常的信息网络安全中，蜜罐和蜂蜜网是没有其他的网络安全防护系统，增强面子只是被现有的网络安全技术。网络信息的安全性，保证最重要的是要防止犯罪意识和管理水平的提高，在这个系统立刻，立即关闭相关服务维修。蜜罐系统情报技术的应用充分发挥必要的技术，采用蜜罐和网络安全防护技术结合的建设，更安全，可靠的网络安全防卫系统。2万方数据 第一章绪论1.2国内外研究现状及成果1.2.1国外的研究成果用于网络上的蜜罐技术可以迷惑攻击者，也可以消耗攻击者拥有的资源，还可以大大增加攻击者的工作量，而且还可以追踪攻击者的行为，事先掌握他的目的，从而进行有效地制止，以此对攻击者形成威慑力量。由于蜜罐技术的主动防御方法，以及能够对攻击者造成损害和威胁的这些优点，网络安全研究上的重点已经转到网络上的蜜罐技术，而且已经实际的网络系统安全中初步使用。许多安全研究人员开始注意到了蜜罐技术，因为它是传统的网络防护技术，如入侵检测，防火墙，身份认证等以外的一项新技术，用于保护网络安全。入侵检测、防火墙、身份认证和其他传统，被动安全战略中的网络保护技术，它做出及时反应黑客行为，对比蜜罐技术，采用积极防御的战略，很好地解决这些问题。蜜罐技术不仅可以捕捉攻击，分析和了解攻击者的动机和手段，并可以分析从研究发现的结果，一种新的攻击工具和系统漏洞，并能及时以采取适当措施减少有效性的攻击工具，也可以弥补系统漏洞。基于蜜罐系统诸多优势，国外出现了一些蜜罐系统的商业产品和免费的开源工具，比如NielsProvos开发的Honeyd、FredCohen所开发的DTK（欺骗工具包）等是免费开源工具，而比如KFSensor、SmokeDetector、Specter、Mantrap、NetFacade等商业的蜜罐的产品，这些产品和工具，已被用于很多方面，而且均取得了不俗的效果。然而，因为蜜罐系统工具，就是在一个虚拟的操作系统和虚拟的网络服务进行模拟和运作的，因此，相比之下，黑客之间，相互作用的程度降低，所以更容易找出其问题。要想解决这个问题，研究人员在复杂密集的网络中，设计了一个陷阱，一个用来诱捕黑客入侵的网络体系架构，该架构里，我们可以让它包含有一个或多个蜜罐，并且在提供多种工具来方便对攻击的信息进行采集和分析的同时，以此来保证网络的高度的可控性。现在国外还出现了很多的研究蜜罐的组织，如FloridaHoneyNetProject，PaladionNetworksHoneynetProject-India，InternetSystematicsLabHoneynetProject，如表1-1所示。3万方数据 电子科技大学硕士学位论文表1-1蜜罐研究组织研究组织的名称研究组织的网址PaladionNetworksHoneynetProject-Indiahttp://paladion.net/honeynet/InternetSystematicsLabHoneynetProjecthttp://www.epmhs.gr/honeynetMexicoHoneynetProjecthttp://zaro.aldstra.net.mx/honeynet.htmlNetForensicsHoneynethttp://www.netforensics.com/honeynet1.htmlAzusaPacificUniversityHoneynethttp://home.apu.edu/~bmccarty/honeynet.htmlBrazilianHonetnetProjecthttp://www.lac.inpe.br/security/honeynet/IrishhoneynetProjecthttp://www.honeynet.ie/HoneynetProjectattheUniversityofTexasathttp://honeynet.overt.org/AustinNorwegianHoneynetProjecthttp://www..honeynet.no/UKHoneynetProjecthttp://www.honeynet.org.uk/WestPointHoneynetprojecthttp://www.itoc.usma.edu/honeynet/PakistanHoneynetProjecthttp://www.honeynet.org.pk/HoneynetProjectnetworkhttp://www.honeynet.org/FloridaHoneyNetProjecthttp://www.floridahoneynet.org/1.2.2国内发展的现状2004年9月，北大的电子计算机研究所的信息安全研究中心开启了狩猎女神项目。同年12月部署了一个名为GenII的蜜网，并且将其连入Internet中。第二年的1月26日，研究者提交了加入蜜网研究联盟的申请，同年2月22日，Mr.Lance4万方数据 第一章绪论Spitzner（蜜网研究联盟和蜜网项目组的创始人）宣布，联盟正式接收狩猎女神项目。2005年1月北京大学计算机研究所信息安全工程研究中心所跟进的蜜网研究项目狩猎女神项目向世界“蜜网研究联盟”提出加入申请，同年2月，正式成为该联盟组织的隶属于中国的第一支的科研团队。狩猎女神项目的研究目标主要有以下三个方面：1、为学生提供网络攻击和防御的实验环境，使学生提高动手实践能力和加深对网络攻击和防御部署的蜜罐蜜网分析攻击技术方面的理解。2、黑客攻击和恶意代码部署蜜网数据的基础和知识，入侵检测和关联，分析和捕捉研究。3、对现有的蜜网技术，提出自己的看法和观点的基础上，实现相关的研究方向（如Honeyfarm），以此来加快蜜网技术的发展。目前，狩猎女神项目部还提出了第二代蜜网框架和蜜罐虚拟系统，除了部署在蜜罐中，狩猎女神项目还提供了一个虚拟的蜜网作为学生攻击和防御的实验平台。1.3课题主要研究目标及内容1.3.1课题研究目标通过论述蜜罐蜜网技术的工程原理和具体方法的高级形式。了解到攻击者使用的方法、工具及攻击的出发点等信息。利用DTK开源工具包进行蜜罐设计及其应用，现实蜜罐防止黑客攻击的过程和独特方式，实践了Telnet服务的实例应用以及蜜罐在校园网中的应用，展示防护的人性化和可靠性。1.3.2课题研究内容信息时代需要，从被动防御转向主动防御的计算机网络的安全性，对蜜罐的网络已经受到越来越多的关注。蜜罐深入了解黑客的有效手段，可以提高网络的安全级别。本文讨论了蜜罐技术，先进的形式，工作原理和具体实现。首先介绍了网络安全，网络安全问题和攻击类型，方法，以及一个新的网络安全解决方案基于蜜罐技术的存在状态。第二，蜜罐研究现有蜜罐系统的蜜罐系统的比较和分类的蜜罐技术细节；蜜网数据采集数据控制。讨论了利用DTK开源工具包进行蜜罐设计及其应用，并实践了Telnet服务的5万方数据 电子科技大学硕士学位论文实例应用以及蜜罐在校园网中的应用。1.4论文章节结构全文共分为六章，结构如下：第一章绪论。第二章蜜罐蜜网技术的概念及技术分析。第三章弱化系统配置下蜜罐如何防止蠕虫病毒入侵实验。第四章基于DTK蜜罐的实例应用。第五章蜜罐在校园网络中的应用。第六章总结与展望。前两章主要介绍蜜罐蜜网技术的概念和意义，课题研究的历史背景和目的以及国内外相关技术的发展和研究成果。三至四重点介绍了蜜罐蜜网的系统配置和技术分析，并通过DTK蜜罐系统以及windows下蜜罐系统的搭建与测试，详细阐述了蜜罐蜜网的系统配置，工作原理，关键技术和运行方式。并用实例充分肯定了蜜罐蜜网技术成为有效网络安全防护手段的可靠性。第五章则结合校园网络安全现状，在校园网络中引入了蜜罐技术，将主动防御加入进网络安全防护中。在校园网络中，用C语言在LINUX下设计实现一个虚拟主机蜜罐系统，并在校园中使用，测试证明蜜罐系统起到了很好的作用和效果。第六章则是对蜜罐蜜网技术未来发展的展望和期待。6万方数据 第二章蜜罐蜜网技术的概念和技术分析第二章蜜罐蜜网技术的概念和技术分析2.1蜜罐的概念首先，我们在这里提出蜜罐的概念。蜜罐技术专家L．Spizner给出了蜜罐的定义：蜜罐本身是一种资源，它的目的和价值就是被攻击或者被捕获，他指出，蜜罐就是用来被攻击、被利用然后最终被破坏的，它不能修复安全问题，但它还提供了宝贵的人使用蜜罐的额外信息。蜜罐技术并不直接提高来计算机网络的安全性，但它是一个不可替代的主动防御的区别于传统安全政策的防御技术。蜜罐是一种工具，用户想要做的，取决于用户如何使用这个工具。蜜罐可以模拟，但也可为其他应用程序和系统，创建一个监禁攻击人并把他困在当中的一个环境，是一个标准的系统。如果蜜罐受到攻击，不管它如何建立和使用蜜罐，它的作用都将发挥它的作用。同时，为了使攻击方便，蜜罐会参与网页设置、域名服务器（DomainNameServer，DNS）或电子邮件转发服务等领域。以及其他流行的应用中。蜜罐系统是最重要的功能，具体的制度和运行记录和监测的行为，精心伪装成目标系统的网络安全专家，攻击者并不清楚自己在被系统监视。正常情况下，网络安全专家，以吸引蜜罐系统的攻击，留下了安全漏洞或后门，将提出一个蜜罐系统上的攻击者得到许多诀窍信息，该倡议吸引攻击baitof的过程中，敏感信息必须是虚假信息。通过蜜罐系统对攻击者聊天记录的跟踪和监控，网络管理员便能轻易的掌控攻击者的攻击手段、工具以及其攻击的目、攻击水平等，并通过这些信息可以了解攻击者和攻击者的下一个目标并跟踪活动的范围。这个信息在一定程度上也有证据起诉攻击。当然，这仅仅是一个其他应用程序系统的一种模仿，它还可以制造攻击者被困的环境，只要受到攻击，那么蜜罐都将发挥自己应由的作用。2.2蜜网的概念我们再来说说蜜网的概念，蜜网，英文是Honeynet，它是蜜罐技术的发展和延伸，它是在一台或者多台的蜜罐主机的基础上，结合路由器、防火墙以及入侵7万方数据 电子科技大学硕士学位论文检测系统组成的网络系统，它是一种高度交互性的蜜罐。蜜网（Honeynet），可以在合理记录攻击者行动的同时，尽量排除或者减小对因特网Internet上的其它系统造成的风险。蜜网Honeynet，是一组在一个人或者一个组织的控制之下honeypot的集合，这些honeypot可以在一个honeynet上运行多种不同的操作系统，也可以有一个或多个不同的服务。2.3蜜罐技术的发展历程蜜罐技术的发展，通过以下三个发展阶段。第一阶段，概念的形成。我们在这里提出蜜罐的概念。蜜罐技术专家L．Spizner给出了蜜罐的定义：蜜罐本身是一种资源，它的目的和价值就是被攻击或者被捕获，他指出，蜜罐就是用来被攻击、被利用然后最终被破坏的，它不能修复安全问题，但它还提供了宝贵的人使用蜜罐的额外信息。蜜罐技术并不直接提高来计算机网络的安全性，但它是一个不可替代的主动防御的区别于传统安全政策的防御技术。自1998年左右，这期间，“蜜罐”是局限于一个在20世纪90年代初蜜罐概念的想法，通过对诱骗黑客使网络管理应用从而达到追踪的目的。该时期的蜜罐实质上是黑客用来攻击的系统和设备。第二阶段，可是说是蜜罐蜜网技术的奠基阶段，为了使蜜罐系统得到更高效的发展，许多政府组织和科研公司都开始研发成熟的蜜罐产品。第一个被公开发布出来的蜜罐工具包是由著名的安全专家FredCohen创建的DTK（DeceptionToolkit）。DTK的0.1版本在1997年11月发布的，它是一种免费且可靠的蜜罐解决方案。DTK由C语言和Perl语言编写完成，部署在UNIX系统上，虚拟UNIX系统漏洞，记录这些漏洞被攻击者攻击的信息。1998年，随着蜜罐的价值倍受重视，出现了第一个商业蜜罐产品：CyberCopSting。该产品由SecureNetworkInc.的AlfredHuger开发，于1998年被NAI购买。该产品与DTK相比，具有以下特性：例如其运行于Windows平台，这使得该系统的部署获得了很大空间和简化；另外该产品可以在同一时间模拟不同类型的系统，这使得用户可以创建一个模拟网络。1998年，MartyRoesch也开发了一个与Sting类似的产品，称为NetFacade。虽然此产品在商业方面并不吃香，但是，这个产品的开发过程衍生出了一个非常重要的开放源代码项目：Snort。可以看出，1998年是蜜罐大发展的一年，而到了1999年，HoneyNet项目的创建被视为是为蜜罐在安全领域中打下了坚实基础的一8万方数据 第二章蜜罐蜜网技术的概念和技术分析个标志。该项目是由几十名安全专家开发的一个非商业性质的项目，在这个项目中提出了HoneyNet这种高级蜜罐形式。项目在创建后很长一段时间，HoneyNet成功的发挥着自己在这类技术中的价值。并且这个项目的技术信息和研究成果通过KnowYourEnemy（了解你的敌人）系列文章得到了广泛的传播，使得蜜罐的理念逐步深入人心。从1998年开始到2000年，蜜罐技术逐渐开始开发出一些开源工具，比如NielsProvos开发的Honeyd、FredCohen所开发的DTK（欺骗工具包）等来专门用来欺骗黑客，与此同时，这一时期还出现了比如Specter、KFSensor等的一些商业的蜜罐产品。这一时期的蜜罐可以被称为虚拟蜜罐，蜜罐工具是指以欺骗黑客可以发展成一个模拟的虚拟的操作系统和网络服务，以此来应对黑客的入侵。正是这些虚拟蜜罐工具的出现，才使蜜罐部署更加方便快捷。第三阶段，蜜罐技术的发展的互动程度之低，容易被黑客工具，虚拟蜜罐识别问题，后2000，安全研究人员开始使用真正的主人，建立蜜罐工具的研究，蜜罐系统开始成为了一个强大的数据收集、控制、分析工具，且被纳入到蜜罐蜜网系统中，这使得研究人员能够很容易了解个跟踪黑客的入侵，以及记录他们的攻击行为。2000年到2001年间，网络蠕虫病毒开始疯狂性蔓延，蜜罐的终于开始体现自己的价值。在应对传播速度很快的恶意软件时，安全厂商和安全组织非常需要一种有效的获取资源、样本和了解其行为模式的手段信息，而蜜罐为这种需求的首选。众多知名的安全组织都通过部署模拟特定Windows系统漏洞的蜜罐，用来捕获蠕虫病毒，并对其进行分析和研究。在2002年1月8日，一个Solaris蜜罐捕获到了一个未知exploit，这是首个有书面记载的捕获未知exploit的记录。这一事件对安全领域产生了很大的触动，也使得很多安全专家大跌眼镜。这一事件表明蜜罐技术在防御未知威胁上有着非常有效的作用。截止到今日，蜜罐已经得了很多的实际应用，在安全领域中的作用也越来越重要。2.4蜜罐的安全价值网络安全就是将处于网络中的用户永远都不可能忽视的各种网络的威胁降至最低，而网络安全就是降低网络组织受到的网络威胁，并且保护网络组织中的信息资源。蜜罐技术并不是代替其它安全防护比如入侵检测系统、防火墙等的工具。蜜罐技术是一种的强大的工具，以加强现有的安全，它是一个了解黑客工具的策9万方数据 电子科技大学硕士学位论文[6]略和对工具的理解。我们从三个方面来研究蜜罐的安全实现价值。（1）检测蜜罐本身有着很强的检测能力。系统和组织者面临着许多可疑的网络攻击和网络正常的交通网络，例如，想要从系统日志中千兆网络的网络行为中检测出攻击，甚至还可以检测系统已经失密，这些都是非常困难的事情。专门设计用于攻击检测工具，入侵检测的系统（IDS）发生的误报使系统的管理员的工作变得极其繁重。IDS的探测器认为那些合法的网络行为也具备了入侵攻击的行为特征，因而产生误报。所以警告发送到管理员的系统和处理系统的管理要求。这些高误报率，入侵检测的系统的系统管理员每天都要花费时间处理这些报警信息，但是，在网络攻击时，系统管理员会大力处理很多“误报”，从而放弃真正的攻击，进而也就放弃了这些攻击所采取攻势。虚假通报率高，往往会使入侵检测系统丢失闹钟功能。但是，蜜罐大大低于误报率众多的入侵检测的系统IDS的工具。另外，IDS没有检测到的攻击属于漏报。目前的入侵检测的系统（IDS）是不能够有效检测攻击方法的新类型。在入侵检测系统（IDS），同时不断开发，一直在研究和开发的攻击、他们散布的各种新的IDS逃避策略，并继续开发出各种不被IDS检测的攻击技术。漏报的问题可以被蜜罐技术所解决，它也很难被攻击者新的方法攻击。蜜罐的主要目的实际上是在未知的攻击，并在出现新的攻击时使用蜜罐技术检测出来。受攻击的蜜罐系统管理员不需要特别担心检测引擎的修订和更新签名数据库，因为蜜罐技术最希望看到如何进行的攻击。事实上，蜜罐系统，在某种意义上来说，就是是一个越来越复杂的安全测试工具。（2）防护防止恶意攻击，尽可能防止威胁是安全保护人员的任务。蜜罐做出的保护贡献很小，因为它没有把那些入侵者拒之门外。有些外部安全的产品防护可以关闭不需要的或者是不安全的，也可以通过强制认证机制，只合法用户的访问及服务起到保护作用。但蜜罐终归是妥协为目的，它不会拒绝入侵者，相反，蜜罐是要分析和记录闯入系统的数据。很明显，诱骗蜜罐是一个攻击的防护方法，攻击的技巧可以让攻击人花费资源和时间来攻击蜜罐，达到防止攻击实际资源的目的。换句话说，攻击者将被蜜10万方数据 第二章蜜罐蜜网技术的概念和技术分析罐吸引，攻击演习，在一定程度上，这确实保证了网络资源不受攻击。诱骗蜜罐在很大意义上，的确提供了安全方面的防护，但如果想要获得更为稳定的保护，还是要选择专门的安全产品予以配合使用。（3）响应一般说来，如果系统已经遭到入侵，蜜罐予以回应，于是便记录下了入侵者发生活动的所有数据。然而，系统管理员将不能够分辨出数据之间的差别，然后有可能不做处理。作为系统管理员，当我们登录到web服务器上时，发现所有的用户都登记在网站上，如果此时，我们正是在遭受感染的系统上使用，那就很难做到侵略者攻击的行为证据的收集了。蜜罐提供一个低数据污染的系统，该系统可以随时脱机工作，可以有效地解决，甚至消除这两个问题。例如，一共有三个服务器已经失密，系统管理者可以访问的系统，因此明确具体的问题，还不知道的系统是损坏到什么程度，攻击者使用攻击的策略和行为，以及攻击者在系统中仍然存在与否。识别系统投入工作，在这个时候，作为一个蜜罐系统，系统管理员可以脱机状态。经过分析系统管理者以外不知道进入系统侵入者，他，错误的事，那个信息显示，系统管理者的其他服务器的安全问题的解决，将来性的好工作，为防止类似的网络攻击。2.5蜜罐所面临的法律问题在发展的过程中的蜜罐，难免会碰到一些国家的法律规定，这些法律规定了由蜜罐收集的证据是不能用来作为控方出示的证据。因为首先，凡涉及到蜜罐，他们会认为这就是“诱饵”。法律定义的内容是：如果是无意违反法律，法律执业者或他们的代理人引诱或劝诱下触犯法律。其次，在蜜罐将参与所谓的侵犯隐私的法律。许多发达的国家在欧洲和美国的国家法律明确界定，以保护个人隐私，如法律将保护隐私的网络流量，但没有直接的法律蜜罐。蜜罐“录音”设备，这可能涉及到隐私问题。第三，蜜罐技术是最有可能导致法律问题，使用蜜罐是由第三方发起的网络攻击。当第三方系统被黑客或破坏袭击，第三方可能对部署的蜜罐蜜罐网络的诉讼。因此，我们必须避免这种情况的发生，采取有效措施，以避免风险。它必须有一定的漏洞，漏洞，会疏忽。建立一个蜜罐必须面对这三个问题，即：责任，陷阱和隐私。陷阱是指技术11万方数据 电子科技大学硕士学位论文水平的管理员设置蜜罐，蜜罐本身上设置了很多漏洞，是不够全面，不到位，隐藏一旦入侵者识破，后果是非常严重的。2.6网络安全的威胁现在的网络资源和平台，每时每刻，都面对着来自自身或者黑客的威胁和安以下是我们的详细讨论。1、安全缺陷计算机的硬件资源容易受到人为破坏和自然灾害，数据信息和软件资源容易受到非授权用户的复制、篡改和破坏以及电脑病毒入侵。下面是一些普遍存在的安全问题、安全缺陷和安全漏洞。（1）电磁泄露和电磁辐射：当进行信息处理时，电脑和外围的设备就会产生电磁的泄露，这就是电磁辐射。网络设备和计算机网络传输介质的电磁辐射造成的信息泄露，其广泛分布的多向性，这是一个严重的问题。（2）人员素质导致的安全漏洞。网络与信息安全最重要的保证是全面提高员工的技术和道德水平。安全方面里最重要的因素是人。管理的法律和实现管理以及使用的技术都需要靠人来实现。（3）技术的被动性以及缺少安全标准导致的安全漏洞。首先，安全标准的缺失，会造成管理的混乱，同时也让攻击更容易成功。其次，中国大陆所用的芯片以及我们自己开发的芯片，都要送往国外加工。因此，引进国外设备，将带来不容小觑的安全漏洞。此外，中国加入世贸组织后，网络将会更加开放，黑客的攻击事件也将会更多。对此，我们应该有足够的技术和心理上的准备。2、恶意攻击恶意攻击，就是有目的的破坏。被动的攻击，是不会干扰到正常的网络工作信息系统，恶意攻击具备的特征主要有以下几个方面：（1）严重性：恶意攻击关系到的金融资产的网络信息，其结果是使企业、金融机构遭受巨大的经济损失，甚至是破产，同样的金融机构和企业的不稳定也给社会带来动荡。（2）智能性：从事恶意攻击的人员在攻击前都是经过了精心策划和周密的预谋的，他们大多数都具备熟练的操作技能和相当高的专业技术。（3）多样性：近些年，经济利益的诱惑，在电子金融和电子商务领域尤为明12万方数据 第二章蜜罐蜜网技术的概念和技术分析显。包括使用自动结算系统洗钱和逃税行为、在网络上，商业间谍的盈利目的等等。恶意攻击的发展趋势是互联网络上的犯罪团伙的高科技犯罪。（4）隐蔽性：恶意攻击在正常情况下的隐蔽性是非常强的，它不会轻易受到怀疑，检测的技术难度也很大。因为在软件中的犯罪证据是以信息和数据的形式出现的，如果没有相对高的专业技术水平，很难取得检测证据，而犯罪者则可以通过网络很轻松的毁掉犯罪的证据。电脑犯罪的领域不是那么明显，像一个传统的犯罪的现场。今后，目标的要求是，继续加强对网络的安全机制，网络犯罪也将需要更加强大的技术力量，这是计算机网络安全的更大的挑战。下面简要介绍一些有代表性的恶意攻击：（1）商业间谍：在大多数情况下，商业间谍活动是一种恶意攻击的群体行为。互联网上收集到的其他国家的情报，从而获得有利的信息，技术等。（2）窃听：允许监视器接受网上传输的所有数据帧传输的网络架构使得在未经授权访问或数据线上的窃听不易被发现。在广播网络中，双绞线或同轴电缆基带窃听是非常容易的，阅读在线信息和通信监视器的安装也是很容易的。（3）信息战：信息战可以说是一种国家的行为的恶意攻击。这是一个没有硝烟的战争，以控制信息为目标。（4）假冒：允许网帧的源地址由节点自己来选取或者改变的很多网络适配器，使得假冒变得比较容易。当一个实体构成另一个实体的时候，就出现了假冒。（5）干扰：干扰可能是由已损坏的继续发送的数据包造成的，或者是已经被蓄意改变的节点造成。频繁滋扰电子邮件是一个典型的干扰形式。干扰数据产生一个中断服务到其他节点的服务。（6）病毒：随着计算机技术和网络的不断发展，计算机病毒已经严重威胁电脑系统及网络。现在世界上有成千上万种的计算机病毒，计算机的病毒的数量已有相当庞大，新的病毒仍然层出不穷。2.7蜜罐蜜网技术概念2.7.1蜜罐的配置蜜罐可以放置在一个标准服务器能够放置的任何地方，并不需要一个特定的支撑环境。我们可以依据所需要的服务，选择位置。如图2-1显示了通常放置的三个位13万方数据 电子科技大学硕士学位论文置：1、防火墙的前面；2、在DMZ中；3、防火墙的后面。图2-1蜜罐在系统中的配置方法如果内部网络和蜜罐之间没有额外的防火墙保护，把蜜罐配置在防火墙后，会给内部网络引入新的安全威胁。因为蜜罐需要提供大量的伪装服务，这是必要的牺牲修改防火墙规则，进出内部网络的交流和沟通的honeypot之间的差异。如果蜜罐被破坏整个网络内将完全暴露在人们面前攻击。如果把蜜罐配置在防火墙前，消除在防火墙后面出现的由于被攻陷的一台失陷的蜜罐的主机的可能性的同时不会增加内部的网络的安全风险。而且它不产生和吸引端口扫描或网络攻击造成的交通，如专利，如果你不能找到一个内部的攻击，那么它无法找到内部的攻击。相比较而言，最好的解决办法是在DMZ中运行到蜜罐，只需要提供必要的服14万方数据 第二章蜜罐蜜网技术的概念和技术分析务，以确保其他DMZ中的服务器是安全的。DMZ的防火墙来隔离与其它网络的连接，需要与互联网连接的防火墙。这种布局有解决蜜罐之间的矛盾，严格控制，灵活的经营环境，实现了系统的安全性的最高水平。2.7.2蜜罐的具体分类以及蜜罐体现的安全价值研究人员和安全专家自从首次互连，就已广泛使用蜜罐工具，对蜜罐技术进行不同的分类依据不同的标准。可以肯定的是，使用蜜罐技术是基于安全价值上的考虑，不会取代其他安全工具，如系统侦听和防火墙等。在这里，以安全方面的价值来探索蜜罐技术。我们可以将分为研究型的蜜罐和产品型的蜜罐作为蜜罐设计的最终目标。1、研究型的蜜罐研究型的蜜罐的设计目的是获取和研究攻击信息。这类蜜罐是让研究机构面对网络威胁，收集恶意攻击者的信息，找出更好的方式来对付这些威胁，它不会提高特定组织的安全性，但与此相反，它通常用于安全研究机构和军队。基于攻击和蜜罐技术的相互作用，能分为高互动蜜罐、双向性蜜罐，低互动蜜罐三种类型，同时也体现了蜜罐三个发展过程。（1）高交互蜜罐，优势体现在实际系统的攻击，其操作系统是一个真正的系统，攻击者攻击时，它ROOT权限会导致系统到数据由confusedbut的真实性时，它的攻击行为将被记录。高交互蜜罐入侵的可能性越来越高，这是它的缺点，如果整个高交互蜜罐是侵入性的，它会成为下一个攻击的跳板。在国内和国外自由蜜罐系统，DTK公用，转炉，首页-蜜罐，幽灵，Honeyd的，大眼，SMOKEDETECTOR，NETFACADE，LABREATARPIT，KFSENSOR，互锁，微小的蜜罐蜜网网站等十四种。（2）中交互的蜜罐，提供了更多的信息互动，它模拟了一个真正的操作系统，并且从这个真正的操作系统的行为的攻击行为获得的信息。双向性蜜罐模拟行为，表面和真正的操作系统是没有区别的。因为它是利用模拟真正的系统来提供的有吸引力的目标。（3）低交互的蜜罐，它是最安全的蜜罐类型。是对各种系统和服务的模拟，它的特点是蜜罐攻击提供的仿真模拟所显示出的所有的攻击弱点和对象都不是真正的产品系统，因为其服务是模拟行为，因此，在蜜罐的情报都能获得非常有限，只是一个简单的反应攻击者。2、产品型的蜜罐15万方数据 电子科技大学硕士学位论文产品型的蜜罐的目的是为了减轻机构受到攻击人的攻击，蜜罐加强了保护组织的保安措施。它通常用在商业机构的网络。他们所做的工作是检测和对付恶意攻击者。（1）产品型的蜜罐中保护的贡献是比较小的，这类类型的蜜罐希望有人进入系统，记录和分析信息，蜜罐不会拒绝攻击，蜜罐本身设计的就是妥协，所以它不会把入侵者拒之门外。（2）这类蜜罐提供了一个低数据污染的系统，我们可以随时在脱机状态下对入侵行为进行响应。这就意味着，如果系统遭到破坏，那么系统管理员可以把系统中不能脱机工作的产品提供的服务在一个时间内全部停止，在这个时间上我们可以对遭到破坏的系统的数据进行分析和鉴定，这类蜜罐允许系统管理员分析脱机状态下的系统的数据，同时我们可以把分析出来的数据以及丰富的经验和结果应用到以后的系统中。（3）虽然产品型蜜罐它防护的功能比较弱，但不能忽视的是它强大的检测功能，许多机构都希望在众多的系统日志里检测可疑行为，这是非常困难的。由于存在误报和漏报的入侵检测系统，系统管理员疲于处理各种假警报和警告。蜜罐原则上没有有效的行为，任何连接到蜜罐的连接应被扫描、拦截或攻击，它的作用体现在误报率远远比大多数的IDS工具低，也不需要小心签名数据库更新检测引擎的修改，从而简化测试的过程，降低误报率和漏报率。蜜罐已经成为一个复杂的安全测试工具。2.7.3蜜罐的配置模式1、用户模式的服务器（usermodeserver）用户模式的服务器运行在主机上，事实上，一个用户进程，以模拟真实服务器。操作和服务体系，为每个应用程序作为一个单独的IP地址的具体例子的真实主机。互联网用户发送一个请求到用户模式的服务器地址，收到请求，服务器主机，立刻转发用户模式服务器。用户模式服务器，嵌入在主机操作系统中的空间应用的一个过程，这种模式的成功取决于欺骗进入攻击范围。蜜罐被落下，尽管用户服务器模式用户的进程，流程管理人可以关闭只要。另一种是在IDS在同一服务器上的“防火墙”的重点。其优势体现在系统管理员在用户主机上拥有绝对的控制，它的局限性，并不适用于所有的操作系统。2、弱化系统（weakenedsystem）16万方数据 第二章蜜罐蜜网技术的概念和技术分析由于黑客会设下获取电脑的日志和审查功能的陷阱，所以我们需要对日志记录进行异地存储以及备份，方法就是运行其他额外的记录系统，它的前提条件是外部互联网的电脑运行了没有打上补丁的微软Windows或者是RedHatLinux。这个条件使得攻击人轻松进入系统，也使得我们收集攻击数据更加有效。缺点是高额的维护却只能有低的收益。3、诱骗服务（deceptionservice）诱骗服务是指服务端口监视器特定的IP应用服务响应网络请求的应用程序。在DTK是一个有吸引力的进攻战术的可执行文件，攻击者可能会受到欺骗到这种服务的模仿，攻击脆弱的系统，从信息记录在这个过程中的行为，提供了一个合理的攻击入侵系统的响应，允许系统产生一种虚假的安全感。因此，如果我们诱骗服务配置模式FTP服务的攻击，攻击者发起的连接到TCP/21端口，您将收到一个FTP识别蜜罐发出。在这个时候，如果攻击者引诱服务攻击，FTP，然后他会攻击FTP服务访问系统。系统管理者记录详细的攻击。4、强化系统（hardenedsystem）强化制度相同减弱系统，提供真实的环境。但是，系统已经伪装成一个看起来充分安全的系统。所以当攻击人受到诱骗而攻击蜜罐时，蜜罐就可以在最短的时间内收集需要的信息，这需要系统的管理员具有较高的蜜罐的专业技术。如果是攻击的人有很高的技术水平，攻击人将控制系统，并把这个系统作为攻击其他系统的跳板。2.7.4蜜罐的信息收集数据收集是设置蜜罐的另一项技术挑战。当我们察觉到有攻击者进入到蜜罐的时候，接下来的任务就是数据的收集。蜜罐的监控者想要对黑客的行为清清楚楚，只要做到记录下进出系统的每个数据包就可以了。但是日志文件受到攻击人的攻击是非常容易的，当受到攻击以后，攻击人就会把日志文件删除，所以我们需要采取得办法是随时监控日志的服务器的同时，在让蜜罐在同一个网络上向防御机制比较完善的远程系统的日志服务器上发送一个日志备份。因为攻击一旦采用了新的手法闯入服务器，那蜜罐就要发挥它的作用。蜜罐本身的日志文件也是很好的数据来源。数据收集的任务由于黑帽子群体不断使用加密技术而变得难度很大。计算机安全专家建议他们接受赞成使用SSH和其他加密协议，以确保通信的网络的监控。17万方数据 电子科技大学硕士学位论文蜜网实际修改的是目标电脑里的操作系统，它的作用是对付密码计算，它可以把电脑中的操作系统的文件的传输以及键入的字符和其它信息记录到另一个监控系统日志里。蜜网计划采用了一种隐蔽技术，以防止攻击者可能会发现这类日志。比如说把敲入的字符隐藏到NetBIOS的广播数据包里。蜜罐技术是离不开数据收集的。因此要情报进行分析，我们首先必须收集数据。收集的数据，通过积极收集情报的方法，根据实体信息采集，信息收集。1、主动方式的信息收集这种方式的信息的收集，主导权和特殊服务机问卷调查，调查结果显示，地址或个人资料，这些信息中多有价值的信息可以找到，这个建议调查攻击，之后迅速离开系统。网络通信指纹、whois和finger、口扫描是几种常见的可利用的服务。但是其中的某些方法有可能会被入侵者检测，所以它的风险也是比较大的。下面再介绍两种被动的收集蜜罐中信息的方法，信息是机器本身的数据和数据网络中，信息取得第三者的要求。2、本体的情报收集基基于主机收集的数据可以存储在一个隐藏分区的蜜罐，但这个基于主机的收集系统管理者检查数据。有问题，内存的本地保留日志空间不足，监控系统将减少相互作用的程度。当然，攻击或黑客的理解日志的领域，他们会认为日志文件，日志文件的攻击者控制的方式来控制，然后在日志文件中的数据是不可靠的数据。所以，本地存储的数据是不可靠的数据，信赖的个人信息安全的地方长距离的记忆。同样，黑客攻击和发现机制的记录，攻击者是“伪”的日志数据，或者干脆停止过程下降，但是蜜罐的数据，他应该这样。这个方法可以使用连续数据存储的远程服务器并行串行火线，设备，与通用串行总线和网络数据包传输网络，通过远程服务器卡日志。同样，我们也可以考虑使用特殊的记录，例如卡等硬件设备，硬件设备，这些计划没有实现。3、基于网络的信息收集如上所述，收集情报，那是实体的位置，根据它的实体，信息的收集，这个可以很容易导致攻击的人的意识，一旦信息的收集，那被终止。基于此，基于web的信息收集出现。收集这些信息是一种无形的方式执行，它没有把收集机制作为基础设制在蜜罐上，它只能进行分析，但不能改变。基于web的信息收集，这是难以发现和难以终止，因此比基于主机的信息收集更安全。此收集的信息的方式，防火墙，防火墙的设定文件的具体数据，从而记录的一切行为的数据。也是一种方法是安装入侵检测系统，通过可疑的测试检查的数据包。18万方数据 第二章蜜罐蜜网技术的概念和技术分析大多数的入侵检测系统可以配置为另外的文件可记录可疑的谈话，协议明文解析形式记录。2.8本章小结本章节介绍的蜜蜜罐网络技术的概念，发展的过程中，安全价值，法律风险和蜜罐蜜网的技术分析，重点阐述了其蜜罐的分类、系统部署及配置方式，为接下来蜜罐系统的搭建及测试，做好了前期准备工作。19万方数据 电子科技大学硕士学位论文第三章弱化系统配置下蜜罐如何防止蠕虫病毒入侵实验本论文研究的是以弱化系统的方式配置高交互的一个蜜罐系统。前面我们主要介绍了四种配置方式的蜜罐，主要有用户模式服务（UserModeService）、弱化系统（WeakenedSystem）、诱骗服务（DeceptionService）、强化系统（HardenedSystem）。在宿主机上用一个虚拟的操作系统软件VMWare运行发挥在Windows2000Professional客户机操作系统中的漏洞的最新补丁。它的主要配置步骤如下：3.1弱化系统配置蜜罐3.1.1安装虚拟的操作系统并且加固宿主机的系统防止危害扩大到宿主机的系统，我们给宿主机的系统装上补丁程序，同时安装杀毒软件，并启动实时监控。同时软件安装Windows2000专业虚拟机操作系统，而升级的最新补丁、补丁安装发动机。是大的风险，恶意攻击的人更有利于诱导进入系统，我们收集的攻击。安装包捕获软件的虚拟机采集进出的网络数据包，攻击者使用的攻击技术，使用的工具，利用系统的漏洞，通过分析数据包可以理解。主机上的网络数据包嗅探器软件的安装。3.1.2安装注册表的监视软件regsnap是由LastBit发展注册表快照找到增加，删除和修改注册表监控软件的关键。计算机上运行Windows系统，注册表的操作非常频繁，保护系统的核心数据。很多你想在系统启动时自动运行的病毒和木马程序，必须修改注册表。RegSnap还可以被用来报告系统内的其他案件，如文件系统的子目录下的系统，以及在Windows系统目录中的变化，包括替换，删除，文件的更改，Windows系统配置文件SYSTEM.INI变化和win.ini，修改，删除，什么附加内容的变化，以及自动批处理文件autoexec.bat文件已被修改，和其他的变化。客户端安装后Regsnap需要生成一个系统完整的快照，并保存到控制。20万方数据 第三章弱化系统配置下蜜罐如何防止蠕虫病毒入侵实验通过上述一系列的操作，我们可以简单的蜜罐系统配置平台上。蜜罐系统启动一个操作系统的虚拟，伐木工具和日志服务器安装捕获数据包捕获软件，蜜罐系统连接到互联网，等待，黑客全部完成。3.2蠕虫,入侵检测及分析3.2.1检测和分析入侵过程嗅探软件，配置蜜罐系统连接到互联网，不时的虚拟主机的IP221.10.91.117，135端口扫描体蜜罐网络，有时伴有基本输入输出系统，从扫描137139。在网络中存在的大量随机扫描。几个小时后，攻击者在蜜罐系统的攻击和扫描的IP地址221.10.90.75，它就会开始扫描蜜罐的基础上，就是的epmap端口扫描端口135。攻击蜜罐135端口的攻击后，成立了一个dcerpc连接到蜜罐系统发送一个数据包，这个包显然是带有恶意代码。分析捕获的数据协议的结果。可以发现在windowsrpcdcom接口缓冲区溢出漏洞，该漏洞可是135（TCP/UDP），139，593，445，等这些端口攻击。几百个字节，用于Windows的DCOM参数打交道时提交一份长文件名参数可以不检查它的长度，这样势必导致堆溢出，让RPCSS服务崩溃。因此，结构性提交要实现这一目标的数据，可行的方法是基于本地系统权限运行系统代码。在这方面，攻击可以偷，修改或删除系统安装的攻击行为，还可以使用系统权限，以创建一个新帐户，以实现控制系统的目的。攻击的蜜罐rpcdcom接口缓冲区溢出攻击成功了时，这个系统，实施的代码包含在DCERPC包，这个代码一定是攻击人故意留下的破坏系统的恶意的代码，经过对这个代码的检查，发现这个代码有无可能是被种下的后门程序，同时也可以发现这个代码是否把系统的本机破坏并且感染等信息。检查执行代码后的系统发现，系统的本机没有被破坏和感染，所以按照预先的设计，这个程序应该向攻击人发出一个请求，这个请求是向攻击人发送的，目的是请求攻击人向这个系统发送一个程序，这个程序是一个可以破坏系统并感染系统的病毒程序，叫做蠕虫病毒，也就是Winregs32.exe病毒，它是一个可执行的文件。当攻击人收到这个发送过来的请求之后，立即做出反应，并利用一种TFTP21万方数据 电子科技大学硕士学位论文的协议向系统的主机传送这个病毒程序，也就是传送Winregs32.exe的病毒程序，也就是蠕虫病毒程序的可执行文件。这个过程中，蜜罐系统所监听捕获采集到的数据如图3-1所示：图3-1蜜罐系统发出请求攻击人传送的蠕虫病毒Winregs32.exe所收集的数据，图3-1的要求winregs32蠕虫攻击的蜜罐系统。transmissionthe执行上述过程，软昆虫，立即执行，执行过程中，第一个服务器调查的IP地址。它的域名是test.chung.li，第二步是建立和主机IP是213.173.188.209的主机的IRC的连接。其中实时捕获到的数据如图4-2所示：22万方数据 第三章弱化系统配置下蜜罐如何防止蠕虫病毒入侵实验图3-2蜜罐系统建立的与213.173.188.209的IRC链接建立IRC的链接如果成功，那么通过这个IRC的链接，IP为213.173.188.209的主机就会把指令发送到蠕虫，即：#puked6：$advscandcom135150110000–研发–这个命令的意思，蜜罐系统，建立150线上的所有电脑网络221.10.0.0/16主机的扫描，扫描寻找在场的所有系统上的主机端口135vulnerabilities。配置蜜罐主机命令，命令和指示开始221.10.0.0/16扫描扫描网络电脑主机，以便找到电脑主机135端口漏洞，CPU将满负荷工作，其利用率将达到100％，这是一个对系统资源的显着流失。在这一点上，该蠕虫已经完成入侵和感染的蜜罐系统，而立即执行。微软的WindowsDCOMRPC接口，使用TCP135端口的缓冲区溢出漏洞，这个蠕虫病毒的可执行文件可以向扫描的网络中的所有存在漏洞的电脑主机发起攻击，也就是所有23万方数据 电子科技大学硕士学位论文网络上存在端口135的这个漏洞的电脑主机都将被这个蠕虫病毒感染和破坏，所有存在着这个漏洞的其他的电脑主机受到攻击以后，这个蠕虫病毒的可执行程度会把这个蠕虫病毒的程序上传到受到攻击的电脑主机上，并让这个受到感染破坏的电脑主机成为新的攻击源，再继续在网络上为攻击者和黑客服务来达到他们的目的，那就是继续攻击网络上其他的电脑主机，从而是整个网络处于崩溃和瘫痪的状态。这就是蠕虫病毒程序自我繁殖和自动攻击性的特点，它在网络上的繁殖及对系统主机的破坏性是巨大的，后果也是非常严重的。所以，系统管理员一定充分认识到这种蠕虫病毒对网络主机及系统的破坏性，并同时采取一定的措施来规避这种蠕虫病毒在网络上的危害。3.2.2病毒感染的结果分析蠕虫程序，系统在Regsnap使用nfection损坏，系统管理员可以生成一个完整的新的系统快照，完成这一新的系统快照，点击F5的开放Comparesnapshots窗口同时开放的的第一generationsnapshot保存文件，然后“确定“，它会生成一个结果文件的对比。文件比较结果的内容，可以发现：在C文件中的文件列表中的WINNTSYSTEM32*“部分的统计有不同的文件，它是一个新的文件，winregs32.exe文件的文件名。在的相同的的的的时间中，发现一个真正的注册表的统计资料的报告，由比较的结果文件中和，被在好几个地方中增加在“HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWindows下CURRENTVERSION..运行”一个新的的信息的的数目，这些的信息被在如图3-3所示的，三个主要的关键信息。另外，通过比对结果文件，发现Regsnap里还报告出有些注册表的键值也有变化，这些注册表的键值都有被修改的信息。这些被修改的注册表的键值说明了这个蠕虫病毒侵入系统主机以后，通过修改注册表的方式，这个蠕虫的病毒程序实现了在系统启动时就自动运行蠕虫病毒，这也是蠕虫病毒的目的和特点，通过自我繁殖的特点，来使网络上的其他主机自动感染和被破坏。24万方数据 第三章弱化系统配置下蜜罐如何防止蠕虫病毒入侵实验图3-3注册表里新增加的主键的详细信息3.2.3对蠕虫病毒入侵系统测试的结论通过以上对蠕虫病毒的入侵过程的检测和分析，可以得出系统在经过蠕虫病毒入侵之后，蜜罐系统发挥的作用，从而得出蜜罐系统经过测试以后的结论。蜜罐系统经过特殊配置以后，当蠕虫病毒程序入侵系统主机以后，蜜罐系统检测出蠕虫病毒进入系统主机，通过预先设计的程序来记录蠕虫病毒进入系统的行为信息，通过分析记录下的信息，得出被蠕虫病毒程序攻击前后的系统文件的变化，生成一个比对文件，之前和之后的蠕虫病毒生成的文件比较，可以发现蠕虫程序修改25万方数据 电子科技大学硕士学位论文注册表和文件系统的主机，这些变化主要是在主机系统在新的文件，以及注册表里键值的修改情况。通过这些被修改的信息，利用数据包的嗅探软件，来对蠕虫病毒程序进入系统主机的行为进行捕获采集，通过对蠕虫病毒程序进入主机的行为捕获采集的信息，通过分析这些信息，可以发现蠕虫病毒程序进入系统主机的详细入侵的步骤。综上，安全人员对付黑客和蠕虫病毒的有效工具就是蜜罐。3.3本章小结本章研究的主要是以弱化系统的方式来配置一个高交互的蜜罐系统。并且详细的说明了它的配置步骤。为接下来所做的的蠕虫病毒攻击实验，搭建好蜜罐系统的测试平台。之后重点阐述了以弱化系统搭建的高交互蜜罐系统，对于蠕虫病毒入侵的检测与分析。测试发现系统已经详细掌握并记录了蠕虫病毒入侵的完整步骤和手段，为网络信息安全防护，提供了坚实的依据和数据基础。26万方数据 第四章基于DTK蜜罐的实例应用第四章基于DTK蜜罐的实例应用4.1基于DTK蜜罐的设计及应用4.1.1DTK欺骗工具包DTK的主要目的是引诱攻击者。DTK（DeceptionToolkit，欺骗工具包）是由FredCohen开发的并且是开放源码的蜜罐技术，它组合了Perl程序和C源码。DTK监听输入并做出似乎真的存在缺陷的反应。DTK皆在使系统在攻击者看来好像存在许多已知的缺陷。并在攻击者攻击的同时记录下攻击者所有的行为，并向攻击者提供合理的应答，使攻击者产生出一个错觉，那就是这个系统是不安全的，是可以被攻击的。4.1.2DTK的工作原理DTK它能虚拟任何服务，实际上它是一个有穷的状态机的集合，它可以很容易地模仿许多服务程序的功能优势。它可以监视攻击者的输入行为，并做出相应的反应，给攻击者一个错觉，似乎这个系统是真的有缺陷的。我们要想轻易发现攻击者，可以设置一个具有欺骗性质的状态机，然后发现攻击者恶意攻击的程度和意图。发送伪造的电子邮件响应服务，例如＃国家：国家的名字。＃输入：除了无启动错误，注意，这些关键字。＃NextState：未来国家的名称。＃退出：1号出口的手段继续。国家公告程序名称的参数，＃运行程序名通知管理员＃其他：其输入前进入状态，国家NexStat退出LF/文件匹配的行动，如果匹配的＃国家/章EXP/NexStat退出LF/FILEAction，如果章张正则表达式匹配触发任何输入的地方liput。状态机从状态0给提供虚假的e-mail服务器220all.网，sendmail8.1.2/中期计划，并且诱导供应商输入直升机，如果攻击者直升机，状态的状态转移到2机状态，输入任何信息，国家机器的无视的行为和行为请求继续等待。如果人进入HELO请求，管理员提供虚假的密码文件，然后状态机是模仿一个系统有一个很大的漏洞，然后攻击者通过诱骗，输入/猫spasswd/状态机跳跃状态4，运行27万方数据 电子科技大学硕士学位论文notify.银行卡充值，电子邮件程序，这个时候成长，管理人以外攻击者的行为。然后断开应采取的攻击，并做出错误的反应。4.1.3DTK的缺点和优点DTK的缺点是：根据攻击者的输入是有限制的，在此基础上，它是模仿易受攻击的系统的行为出反应输出。这使得在欺骗类型的丰富性上有很大的限制。另一个问题是，它是很容易区分，从实际的计算机应用环境和能力的有限状态机是由少数状态组成的。因此来说，DTK对大多数的自动攻击的工具是适用的，但它可以很容易地和一个真正的攻击者区分。DTK它的优点是能够有效的增加攻击者的工作量。增加攻击者的工作量得同时也可以让我们追踪到攻击人进入系统的目的，并同时在攻击人察觉到攻击的弱点之前先于攻击人做出反应。DTK公用的优点是，它可以产生发酵乳的效果。所以，如果有一个人，他使用DTK公用，然后他可以看到提前攻击;相同的，如果一些人使用DTK公用的，那么我们可能会攻击人可以耗尽所有的资源，结果只能攻击没有成功的人;也被很多人使用的DTK攻击的人会花一百倍的时间和精力是很难打破系统，这个过程也有高风险，他们被发现。DTK另外一个意想不到的效果是它可以防止拒绝服务攻击。DTK的有穷的状态反应服务的实现只需要很少的状态信息，就可以产生相关的执行以及存储的影响。DTK的设计意图是通过超时设定和输入限制，来抵御资源耗尽攻击。同时我们可以更加清晰的看到更有水平的攻击，通过减少“噪音”水平的攻击，并且来追捕它们。4.2系统平台选择4.2.1开发平台LinuxLinux是由LinusTorvalds的（他是在芬兰赫尔辛基大学的学生）编写的计算机业余爱好者。他的目的是设计的Minix替代（这是由名为AndrewTannebaum计算机操作系统的教授教书面），操作系统，在个人电脑上的x86系列CPU的操作28万方数据 第四章基于DTK蜜罐的实例应用系统，和Unix操作系统的全部功能系统。Linux是免费和自由传播的类UNIX操作系统，它主要是基于Intelx86系列CPU的计算机上。Linux系统程序员来自世界各地的设计，其目的是建立一个没有任何商业软件的版权制约的，源代码开放的世界，可以自由使用的UNIX兼容产品。与Windows相比选择Linux作为开发平台的原因如下:1.可应用于多种硬件平台。2.Linux可选配置，不需要任何许可或业务合作关系。3.它是免费的，源代码可以发现。这是最有吸引力的。毫无疑问，这将节省大量的开发成本。4.它自身内置的网络支持。5.Linux的高度模块化很容易添加组件。6.Linux在台式机上的成功，使我们看到了linux的嵌入式系统中的辉煌前景。设计时的难点主要是：（1），同时收集尽可能多的资料，以避免黑客检测。（2）黑客加密保护传输通道。电脑上安装了没有添加目标的暗号化服务，并且黑客将被自动安装，如SSH，GUI客户端，或SSL加密和其他服务。网络数据收集工具，如果没有钥匙，不能被检测到的运行数据。（3）收集的数据和信息将通过秘密通道在数据采集服务器蜂蜜墙.4.2.2解决方法1、隐藏抓包工具隐藏的捕获为tooldata工具，模块的系统的基础上，这个系统启动，动态卢德从核心，从而成为内核工作的一部分。捕捉程序模块加载到内核，加载模块的信息被记录在创纪录的负载模块安装模块列表内，如果用户需要查询proc文件系统，由动态内存模块文件查看下产生的。会有系统调用sys_create_module的（），当特权用户root调用的/sbin/insmod命令加载模块，它包含了新的负载模块插入structmodule到称为moudle_list模块列表的数据结构。这个函数在Linux2.4的源代码中位于kernel/module.c。这个代码，通过我们清楚地看到的时候，卢德模块被插入，那是一个标头。入侵的蜜罐不同系统漏洞，模拟标题，可疑的陷阱捕获模块，内核模块删除了，29万方数据 电子科技大学硕士学位论文因此，在蜜罐正在失去作用。所以，为了达到目的隐藏模块，我们的模块卢德模块删除，名单指针经历表中找到，甚至找不到模块代码：4.2.3开发语言C到目前为止，C语言是世界上使用最广泛的，在最流行的高层次的编程语言，作业系统和硬件的场合运作的需要，使用的系统方案的优势能不能去超越其他高层次的语言，，在许多大型应用程序编写。数值计算的高级语言C优势明显，可移植，具有很强的绘图能力，同时在数据处理方面也很强大，所以，非常适合编写系统软件。C语言的特点主要有：1，C语言的可移植，应用范围。这个语言突出的优点，并且各种操作系统，操作系统分区的那样，但它也适用于各种型号。2，C语言编程自由，并不需要一个非常严格的语法限制。C语言不同的是，从严格的高层次语言，能够检查出几乎所有的语法错误的语法检查。C语言给作家的自由空间是非常大的。3，数据结构。C数据类型，主要是整数，真实，人物，结构类型，数组类型，联合类型，指针类型，等等。而且，C语言还引入了指针概念，因此其图形功能十分强大，逻辑判断和计算功能也都很强，还可支持多种显示器主机和驱动器。另外，C语言还可以用来实现非常复杂的数据类型运算使程式，因此它的实用效率非常高。4，操作员。括号内的转让，投操作，加工，总种数34，计算的运营商类型，式类型多样化的活用，不同的运营商为了能够实现，经营的其他高级语言。5、C语言可以象汇编语言一样对计算机最基本的三个工作单元字节、位和地址来进行操作，可以直接访问物理地址，用来编写系统软件，也可以直接对硬件来进行操作。6、C语言它是结构式的语言。这种结构化的方式让程序的层次变得很清楚和简洁，因此便于实用和维护。代码和数据的分隔化是结构式语言的显著特点，除了必要的信息交流，程序中的各个部分是彼此独立的。C语言具有条件语句和多种循环，利用这些语句和循环，可以函数的形式提供给用户并控制程序流向，使程序完全结构化。7、C语言一共有9种控制语句以及32个关键字，序主要用小写字母表示，可30万方数据 第四章基于DTK蜜罐的实例应用以自由书写。所以C语言用起来灵活方便、节奏紧凑。它可以把高级语言的基本语句、结构结合低级语言的实用性，都很清晰的表现出来。4.3系统的设计与实现4.3.1系统的概述本系统基于Linux的服务器而建立的，而且是以DTK为核心开发的。系统的开放性是以虚拟服务为诱饵，诱导黑客进入系统，同时保护真正的系统资源不受侵入，黑客侵入行为的过程可以被记录并分析得出黑客的攻击目的。整个系统如图4-1所示，是由为客户提供服务的模块、响应的模块以及监听记录的模块三部分组成。图4-1系统体系结构31万方数据 电子科技大学硕士学位论文4.3.2响应的模块响应的模块主要实现的是对黑客的攻击而做出的相应响应。它实现的主要有以下几个方面：一是依据黑客的攻击信息来得到相应的响应内容。二是依据服务的端口号来找到相应的响应文件。响应文件的内容主要包括这六项，Input、Next、#State、Cont、Message、CRLF。其中Input表示的是输入的信息，但是不包括START，NOTICE，!，NIL，ERROR这些关键字，#State表示的是状态名，Next表示的是下一个状态名，CRLF表示的是套接字模块所导出的常量，Cont表示的是是否需要继续（0表示退出，1表示继续），Message则表示的是输出的消息也就是要返回给黑客的响应信息。4.4一种Telnet服务的实例应用4.4.1Telnet服务简介Telnet用于Internet的远程登录。它允许用户通过互联网络进入的其他主机，这种连通可以是在同一个区域里的电脑之间的连接，或是在世界各区域内里已通过网络相互连接的电脑。一般，被联通的计算机，为网络上所有用户提供服务的计算机，我们称之为服务器(英文是Servers)，而我们在使用时的计算机，我们称之为客户机(英文是Customer)。一旦服务器与客户机连通后，客户机将享有服务器所为其提供的所有服务，用户运行交互过程(注册进入，执行命令)，也可以进入很多的其他的服务器，比如说寻找某个索引。网上不同的主机提供的各种服务都可以被授权使用。Telnet的工作方法是：当开始运行Telnet的时候，一个应用系统是由两部分组成的，一部分是由“server”以及“client”组成的。“server”，是运行在网络计算机上所提供的服务的系统，我们把它称为服务器。“client”，是Telnet简介里所说的客户机，另一部分则是由该网络的使用，还使用了的服务器，服务器为客户提供通信工具。这是客户无法以下几点：1服务器和网络，建立建立连接；2、格式和标准输入，服务器发送；32万方数据 第四章基于DTK蜜罐的实例应用3从服务器，受到一定的基准，输出格式；4，后表示输出格式输出。服务器软件，主机上的服务是运行系统软件，也就是说，如果服务的操作系统，相应的服务可以提供。如果这个服务调用的时候，那以下动作：1网络软件，通知，注意到那连接的准备；2、标准格式的要求。3，服务的要求。4，发送一个标准格式，接收方的客户；5、继续等待。服务器的操作能够处理必须注意电脑的各种各样的客人，这些客户可以运行在amigasMacintosh服务器和计算机，各种设备。服务器必须有一套通信的规则，通常，我们一起这个规则被称为“协议”。应用层协议，这两者的应用层协议的实现。当然，所有类型的计算机，谁都编写客户端。但是，只要客户网络通信和遵守协议，所以可以输入，服务器。用户可以使用其他网络工具，它是许多不同的系统，他他们的工作。一个应用层协议，允许服务器和客户不同的数据集，必要，也通知的服务器和客户，使用相互通信。他们通常一行的开头几个打工的文本程序完成。例如，客户端服务器发送，“文本」的命令，分享到那屏幕上就会显示“TXT”后边的其他的数据。而如果，我们一开始以“CMD”开始的一行，那就表明，这些信息是从服务软件传到客户软件上的。由于在信息传送到达的时候，这些控制的信号是已经去掉了，所以使用者是看不到。4.4.2Telnet的应用过程旨在提供一个简单的用户远程登录telnet到欺骗的实施过程中的系统如下：第1步：启动“蜜罐系统。真正的Telnet服务在Linux系统上关闭，启动蜜罐系统，单击“远程登录”按钮，打开虚拟的远程访问服务，在同一时间，该系统处于监听状态，等待黑客。系统的运行界面如图4-2所示。33万方数据 电子科技大学硕士学位论文图4-2蜜罐系统运行界面第二步：当攻击者以检测Telnet服务漏洞，1攻击者使用Telnet命令登录到系统，然后根据“的Telnet服务响应文件的蜜罐系统接收攻击者的请求，，这三条响应，到第2步攻击者返回登录信息，攻击者的屏幕上，会有一个正常的登录屏幕，要求攻击正常输入登录账号和密码。此时蜜罐系统记录保存的攻击行为。事实是，没有真正的黑客登陆服务，但模拟一个Telnet服务，它提供了一个真正的服务响应信息，但事实并非如此，因此将进一步诱导攻击者的入侵。攻击者可34万方数据 第四章基于DTK蜜罐的实例应用以运行在图4-3所示的界面。图4-3攻击者运行界面第三步：当攻击者输入一个有效的用户ID和密码，攻击者登陆到远程成功，蜜罐系统可以模拟一个DF，LS，密码或如命令！为了实现将返回有关蜜罐系统的操作，攻击者的输入相应的信息的基础上。在同一时间，蜜罐系统会攻击那些攻击的记录和保存。一旦攻击者进入用户ID或密码无效，那么蜜罐系统将返回到第二步，重新攻击着陆。35万方数据 电子科技大学硕士学位论文第四步：对记录文件，也就是log文件进行分析，日志的记录如下所示：127.0.0.123231998/04/0205:34:2380418041:1listen.plS0---+3--8041:1-S1root---+1--8041:1-S2toor---+2--8041:1-S3ls---+2--8041:1-S3df---+4--8041:1-S3cat/etc/passwd---+0--8041:1-S4NOTICE//dtk/notify.pl234Emailfredatall.netJustsentaPasswordfiletoanattacker-t!从左到右日志的记录依次是：IP地址，端口，服务提供的端口，日期，时间，以及处理进程的ID，处理者进程的ID与现场号，处理程序名以及处理服务的有穷状态机的状态号、有时候包括输入，有时候包括DTK的行动指示。压缩形式用“-”来表示，它代表的是和第一行相同的内容，以此来节省空间。“+X”表示的是和上一条记录的时间的间隔。其中标示符：Init，WeClose，andTheyQuit表示的是欺骗处理程序的重新初始化或者是因为超时、使用约束以及有穷状态机的处理终止、远程主机断开连接等等导致的和DTK连接的关闭。当输入有效用户ID的时候，要注意攻击者所经历的状态，它是从初始状态S0到S1的；输入有效的口令的时候的状态是跳转到S2；敲入命令以后则跳转到S3；最后再跳转到S4来提供一个假的口令文件，并且以Email的方式来通知管理员。接下来我们要讨论的是在Windows下蜜罐系统的设计及应用。4.5Windows下蜜罐系统的设计与实现4.5.1系统概述Windows下的蜜罐系统设计，建立一个视窗系统基础上，开发语言是语言和实现过程对外开放的世界，虚拟的操作系统，远程注册服务，黑客诱导进入我们designhoneypot系统，同时，它从另一方面，保护了真实的系统资源不受侵犯，记录黑客进入侵入系统的行为过程，可以分析记录下的数据，得出黑客的攻击行为信息。整个系统是由三部分组成：监听记录模块、通信交互模块以及响应模块，其中的虚拟Telnet36万方数据 第四章基于DTK蜜罐的实例应用服务是由通信交互模块以及响应模块构成（见图4-4）。图4-4蜜罐系统体系结构4.5.2Telnet协议Telnet它可以让用户通过网络在上网的电脑键盘前进入的已上网的另一台电脑，从而让它们发生互联，并用Internet来远程登录。Telnet的工作方法：当开始运行Telnet时，一个应用系统的结构：“顾客”，是客户，另一部分是“服务器”，网络上的电脑运行提供服务的系统，称为服务器。和网络则是提供两者（Clinet与Server）通信的工具。37万方数据 电子科技大学硕士学位论文Telnet的作用是以模拟终端的方式，让用户登录到Internet的某台主机上。如果连接成功，那么这些个人计算机就好比是远程计算机的一个终端，能够像使用自己的计算机一样输入命令，并可以运行远程计算机当中的程序。Telnet是远程登录程序，它的工作原理是由运行在要登录的远程计算机，即服务器端上的Telnet服务器程序以及运行在用户的本地计算机，即客户端上的Telnet客户程序所组成。服务器端安装的服务器程序是具有遵循相同的网络终端协议的应答登录请求的功能，客户端安装的客户程序是可以发出请求的终端软件。访问远地一台主机的资源可以采用远程登录，就像是它的一个终端用户一样登陆。但是它的要求是必须在远端的主机上有全功能的帐号，比如口令及用户名。当访问Telnet的服务器的站点的时候，需要用到以下内容：1、Telnet网点的地址。Telnet由运行在用户的本地计算机上的Telnet客户程序和运行在要登录的远程计算机上的Telnet服务嚣程序所组成，它是远程登录程序。2、端口号。利用端口可以使用户所登录的Telnet服务器同时处理多个Telnet对话的时候找到相应的Telnet连接。3、Telnet客户机地址。如果是拨号用户它可以自动获取动态的IP地址。但是通常Telnet客户机地址是主机的地址，有时候也用IP地址来表示用户已经接入Internet的网络。Telnet的协议是Internet远程登陆服务的TCP/IP协议族中的一个标准协议，它把本地用户使用的计算机应用Telnet协议远程主机系统终端。以下的基本服务：（1）Telnet对称的处理连接的两端，也就是Telnet不强迫客户机在屏幕上显示出输出，也不强迫客户机从键盘上输入。（2）Telnet同包括网络客户端服务器协商机制，同时提供了一套标准的选择。（3）Telnet客户机程序只需要构造出使用的标准接口的程序，不需要详细的了解远程系统，Telnet为远程的系统定义了一个网络的虚拟终端提供一个标准接口。Telnet协议可以工作在任何终端或者是任何主机、任何操作系统之间。该协议的规范是RFC854【Postel和Reynolds1983a】，它定义了一种叫做网络虚拟终端NVT（NetworkVirtualTerminal）的通用字符终端。NVT连接的双方，也就是服务器和客户机，必须把它们NVT和物理终端进行相互转换，它是一个虚拟的设备。Telnet命令Telnet流量均使用带内信令的方向。十进制的255字节0xFF的称为国际综艺38万方数据 第四章基于DTK蜜罐的实例应用合家欢“（”解释为“命令），是将其解释为一个命令。后面的一个字节这个字节是命令字节。在下面一节中我们将会讲到的数据流是NVTASCII，它是7字节的格式，就是255的这个数据字节是不能在Telnet上进行传输的。实际上，在Reynolds1983b和RFC856Postel中定义了，在Telnet中是有一个二进制选项的，其实这个选项是允许数据以8bit进行传输的，但是这方面我们没有做讨论。所以如果我们要发送的数据是255，那么就必须要发送两个连续的字节255。下面表4-1中列出了所有的Telnet命令。表4-1当前一个字节是IAC（255）时的Telnet命令集名称代码(十进制)描述EOF236文件结束符SUSP237挂起当前进程（作业控制）ABORT238异常中止进程EOR239记录结束符SE240子选项结束NOP241无操作DM242数据标记BRK243中断IP244中断进程AO245异常中止输出AYT246对方是否还在运行？EC247转义字符EL248删除行GA249继续进行SB250子选项开始WILL251选项协商（图26-9）WONT252选项协商39万方数据 电子科技大学硕士学位论文DO253选项协商DONT254选项协商IAC255数据字节255NVTASCII网间网协议族都使用NVTASCII，术语NVTASCII代表的是7bit的ASCII字符集。7位字符发送8位格式，该位的最高位为0。行结束字符是Rn来表示，以表明两个字符CR（回车），并随后由LF（换行）序列。分离CRR，两个字符的序列，它们是CR和随后以NUL（字节0）。4.5.3关键的技术1、实现监听记录黑客的攻击行为是利用函数getpeername（在WINSOCK库中）来存取地址和端口黑客接受信息情报，实现函数的黑客攻击的蜜罐系统。2、实现多个黑客同时入侵系统时，采用多线程技术分别创建每个攻击者的独立线程来阻止攻击。3、实现虚拟的telnet服务，也就是Linux下telnet服务的模拟，包括模拟登录、命令、环境等。4.6测试系统的结果及分析40万方数据 第四章基于DTK蜜罐的实例应用图4-5蜜罐系统运行界面41万方数据 电子科技大学硕士学位论文图4-6黑客运行界面42万方数据 第四章基于DTK蜜罐的实例应用为了测试的蜜罐系统，该系统运行在图4-5显示，黑客攻击的运行，如图4-6。黑客通过远程登录系统，然而，操作系统，黑客方面，显示操作信息系统的黑客的响应，黑客的击键和主机实时显示。我们日志文件打开看，你在同一画面上的内容，实时监控信息系统，每一个黑客的连接，可以记录不同的记录。所以，好网络的蜜罐系统的功能。4.7本章小结本章主要阐述，在Linus体统平台下，采用DTK技术来设计蜜罐系统，并用Telnet服务的实例作为应用，展示该蜜罐系统是如何系统虚拟了Telnet服务、FTP服务、web服务、POP3服务、DNS服务等大多数的Linux系统下的服务，成功发现黑客的攻击和侵入，以及如何“诱敌深入”的全过程。以及描述了在windows下所设计搭建的蜜罐系统，如何虚拟telnet服务并利用线程技术来对付攻击者，并对监听和记录黑客攻击记录和手段的全过程。43万方数据 电子科技大学硕士学位论文第五章蜜罐在校园网络中的应用5.1系统综述此校园网是目前在网络的普及，不断提高工作效率，信息处理速度，教育资源的合理配置和使用，教育资源共享，降低劳动强度。但是信息安全与资源共享本身就是一对天生的矛盾体，信息安全问题也就进一步突出。因为局域网是互联网的一种体现方式，由于校园网也是从局域网的技术发展起来的，所以也同样有严重的安全问题。目前，面临的网络安全威胁主要有病毒恶意攻击、黑客恶意攻击、非授权访问、破坏数据完成性、减缓系统响应时间、影响系统正常运行等。为保证学生在网络学习中身心健康和教育资源及信息的安全和规范，避免学生从网络学习中接触到一些不良的信息，现在刻不容缓的是校园的网络安全问题。越来越多的得到国内外权威专家和众多研究机构的肯定及重视的一种主动的新型的网络安全防御技术，就是蜜罐技术。本章节重点讲述，在调研校园网络之后，决定采用的系统平台是前几章介绍的操作系统，采用的开发语言为c语言，蜜罐系统吸引黑客，打开一个虚拟操作系统下，和其他服务，这些服务是向校园网以及外部开放的，开放这些服务的目的是对实时系统资源保护和保护，同时让黑客攻击行为时，详细的信息。数据捕获模块，一数据控制模块和日志管理模块。全部的蜜罐系统。下面是蜜罐系统处理的全部过程：5.2功能模块5.2.1监听记录的模块监测记录模块的目的很简单，是由捕获的数据，信息和行为的所有的侵略者的记录，这些分析记录，帮助我们，使用的入侵的战略分析使用的工具，的黑客Headand等。实施过程中是包之间的黑客和蜜罐的数据包捕获每个黑客称为黑客的IP地址的日志文件，以创建一个日志文件，而在同一时间，在蜜罐以下记录数据44万方数据 第五章蜜罐在校园网络中的应用包中包含的信息交流。虚拟服务不提供任何实际的作用，不要有太多的数据收集，它收集的数据是非常大的，黑客攻击，所以被记录的信息，没错，具有很高的价值。一个int的接收字符*PCH，常量整数n大小常量整数nSecs黑客在蜜罐系统的攻击发出的功能，使用sockaddr_ingetpeeraddr（sockaddr_in入港集团）功能得到了黑客的地址，港口，系统信息（同）功能得到日期，时间攻击。5.2.2数据控制模块数据控制模块首先要确定的是数据控制的对象，数据控制的主要目标是使用未经授权的资源对象采取防御措施，目的是防止非法和未经授权的访问的系统资源。数据控制代表了一种规则，切当蜜罐主机被入侵后，要将确定的信息发送出去。整个系统各功能模块的核心是数据控制的子系统，它的目的是检测入侵者的行为，从而防止它在系统内部破坏。在比赛之间的蜜罐系统的过程中，也可能有损害的蜜罐系统这种可能性，一旦蜜罐系统被攻破以后，入侵者就会对系统进行修改，从而改变系统的功能，那系统也就失去了可以诱骗入侵者得功能。但是，对于蜜罐系统的控制和防护液不能太过严格，如果为了规避风险而严格设置，容易使攻击者产生警觉，如果攻击者产生怀疑，那么欺骗的逼真度也就降低了。所以在种情况下，可以对一定的时间段外出的连接数进行限制，同时也可以给网络上发表一些正常的外观，和类似的数据采集数据，控制可以用分层系统实现，数据流的结构示意图如5-1所示：45万方数据 电子科技大学硕士学位论文图5-1数据控制的网络流向图5.2.3通信交互的模块实质上，这个系统，是一种在虚的Telnet服务，他虚拟在Linux系统下，所以通信交互的模块要实现的功能主要有以下几方面：（1）黑客和黑客建立连接，同时，创建一个线程别的黑客连接。（2）创建一个线程，同时启动服务等待黑客检测、入侵，重定向技术使用的端口，并利用相应的虚拟服务系统接口。（3）连接，黑客创建，记录，并接受黑客，同时响应模块的响应消息发送给黑客。接收一个int（字符*constint的PCH，N-constint的纳秒）函数来获取黑客获得的信息（AcceptProc，pParam）使用_beginthread函数创建一个线程，等待黑客连接使用一个int发送（常量字符*PCHconstintnSize，constintnSecs）46万方数据 第五章蜜罐在校园网络中的应用功能和返回到黑客的响应。5.2.4响应模块适当的反应，根据黑客的“蜜罐系统的输入，并作出相应的反应黑客。例如，假设，蜜罐系统的IP地址为210.40.7.140，使用Telypxy.net客户端工具，黑客telnet210.40.7.140蜜罐回到虚拟服务体系，你的输入用户名和密码，黑客黑客和网络攻击的蜜罐应答系统模块建立连接的登录信息。虚拟Linux系统Telnet服务的命令，响应模块的一部分，如表5-1所示。表5-1虚拟Telnet服务的部分命令Table5-1VirtualLinuxsystemTelnetServicessegmentcommand命令功能cd..Returntotheparentdirectorycatalog返回到当前目录的父目录lsListsadirectorycontents列出某个目录中的内容pwdDisplayusersinthepositionofthewholepath显示用户所在位置的完整路径exitOutofservice退出服务dirListsadirectorycontents列出某个目录中的内容cd××Switchxdirectorypath切换到××目录路径5.2.5数据捕获模块系统捕获主要在蜜罐中得到体现，蜜罐模拟真实系统的环境与未知的入侵者的攻击进行交互，对攻击者行为进行数据捕获，用于系统和模拟信息根据黑客的指令正确显示，使得黑客不会找到他们的虚假成分。蜜罐系统功能测试，其主要目的是实现蜜罐系统功能是否需要的程序初始化模块，程序。-负责计划的启动和退出和电话个子程序。String.c从网络中抓取数据包，从其中解码出序列，组合。数据捕获模块程序的划分和执行如关系图5-2所示：47万方数据 电子科技大学硕士学位论文图5-2数据捕获模块划分的计划和执行关系图5.3安全控制5.3.1防火墙的数据控制48万方数据 第五章蜜罐在校园网络中的应用所有到蜜罐连接组成的入侵检测系统的面向来，所以如果你想隔绝外部网络直接来访问蜜罐，就需要把所有的IP地址为蜜罐所在主机的网络都脱离开，方法是通过配置防火墙，这样就可以使蜜罐放心的和入侵者进行交互，分析它的路径和信息，这就是防火墙数据控制的第一步。本系统对蜜罐外出的连接进行限制，采用的方式通过防火墙“宽进严出”的方式，通过防火墙上设置的一个合理的阈值对蜜罐机器连接数量进行限制，防火墙对所有蜜罐系统主机发出的连接进行跟踪，当数量达到设置的阈值时，便阻塞那些信息，这就是防火墙数据控制的第二个手段。5.3.2路由器数据的控制路由器的控制顾名思义是由路由器来完成的，它主要是其通过访问控制能对发出的数据包进行过滤。所有的网络系统的数据包的导入必须通过路由器和防火墙，如果路由器和防火墙一起，那么就可以有效的队外出的数据包进行过滤，又不会产生怀疑。5.3.3程序初始化modulethis模块程序初始化模块的目标是达到蜜罐数据包捕获和分析的电脑代码，功能主要如下：1.子网掩码的初始化2.系统信号与进程的响应设置3.TCP/IP协议初始化4.命令行参数解释5.版本信息的显示6.网络监听的探测及打开7.守护程序的进入8.包处理器的设置9.sting.c子程序的调用10.可变函数系统资源的占用退出程序初始化模块的功能流程图如图5-3所示：49万方数据 电子科技大学硕士学位论文图5-3程序初始化模块函数流程图5.3.4击键捕获程序击键捕获的这程序是网络陷阱系统关键中风提取程序，主要功能是：1.对以太网数据包解码，分析50万方数据 第五章蜜罐在校园网络中的应用2.对数据包的IP进行解码3.如果含有ipoption，对其interpretation4.数据包的部分decoding5.如果含有TCP选项，在对其进行解读本程序的流程图如图5-4所示：图5-4击键捕获流程图5.4日志管理moduledata捕获所有侵略者的行动记录捕获，捕获记录最后的目的是用来对黑客的入侵51万方数据 电子科技大学硕士学位论文工具、行为、路径、目的、策略等进行分析。这也就是日志记录模块的实现功能。记录文件主要保存信息为日期、时间、IP地址、端口等内容。所有记录的信息都有较高的价值。远程日志服务器是一台经过加固的计算机，它的日志管理主要对蜜罐主机捕获的数据备份和分析，通过建立一个远程服务器可以提高日志文件的真实性和完整性，因为它的安全性能比一般的网络服务器要高出很多。在这个系统中，程序是一个网络日志。蜜罐系统记录子程序，接受蜜罐数据采集传输数据和保存原始网络，然后输入数据库。日志管理模块流程如图5-5所示：图5-5日志管理模块程序流程52万方数据 第五章蜜罐在校园网络中的应用5.5测试结果分析蜜罐系统选定在校园网内进行功能测试，并且对校园网的主动安全系统中分析攻击案例，这个攻击案例中捕获了大量的攻击者的信息，为我们提供了大量的实验数据。测试时使用的硬件是一个高性能的服务器，该服务器的主动防御系统平台，它的配置是这样的：处理器2英特尔中央处理器，内存，2块100G硬盘，100M/1000M网卡，使用校园IP为192.168.0.208的实验主机作为测试机。测试过程按照预定的测试用例，逐条进行检测，进行测试后的行为记录。1.两个蜜罐的IP地址分别为192.168.0.100、192.168.0.1202.被攻击主机IP为192.168.0.2003.操作系统利用WINDOWS自带的DOS系统。图5-6黑客运行界面53万方数据 电子科技大学硕士学位论文图5-5是黑客连接成功后，最后显示信息的黑客，黑客在系统显示一个黑客操作按键和主机信息，在一个记录文件，可以在屏幕上看到相同内容的信息监测系统，黑客可以分别记录不同的连接。1.远程连接功能：使用校园网中两台计算机，一个模拟蜜罐，另一台攻击连接，然后进行多台计算机模拟攻击。2.日志记录功能：当多台机器进行攻击时，输入蜜罐模拟LINUX部分命令，此时蜜罐系统是否可以准确记录黑客行径。图5-6监控界面显示出蜜罐的记录，通过图示，可以看出蜜罐系统运行成功。图5-7蜜罐系统的运行界面54万方数据 第五章蜜罐在校园网络中的应用经过上面的测试，得出的结论是在校园网中蜜罐系统的部署是可行的，通过一定环境下的多种测试，验证达到了我们所期望的目的，那就是通过对校园网的蜜罐系统的部署，可以让攻击者得攻击机器准确的与我们配置的蜜罐系统进行连接，同时可以实时的记录下攻击者的行为信息，对系统命令方面，还可以通过进一步的设置，使虚拟系统可以变得像是真的真实系统的模拟，如此可以更好的保护真实的主机，同时，继续准确记录和搜集入侵者的更多信息，以下图5-8便是入侵日志：图5-8捕获入侵日志55万方数据 电子科技大学硕士学位论文5.6本章小结本章结合校园网络安全现状，在校园网络中引入了蜜罐技术，将主动防御加入进网络安全防护中。用c语言在设计高校校园网络虚拟主机的蜜罐系统的实现，经过测试使用之后，证明蜜罐系统起到了非常好的效果和作用。56万方数据 第六章总结与展望第六章总结与展望6.1工作总结本文论述了蜜罐技术及蜜罐的高级形式蜜网的工作原理和具体实现方法。前期，参考了大量的文献和国内外资料，详细了解了蜜罐蜜网技术的研究背景，发展历程、技术特点及现阶段国内外对于该技术的研究成果。并仔细研究了蜜罐蜜网技术准确概念，具体分类和系统配置等相关情况。同时，还了解了蜜罐蜜网技术的相关安全价值，网络安全面临的威胁以及蜜罐蜜网技术或面临哪些相关法律问题等。于是，利用先前研究并掌握的理论基础，在Linux系统平台下，采用DTK技术设计搭建了一种蜜罐系统，并运用Telnet服务的实例，测试并检验了黑客入侵和攻击的情况。最后，结合校园网络安全现状，在校园网络中引入了蜜罐技术，将主动防御加入进网络安全防护中。校园网络，使用的语言在设计和实施一个虚拟主机的蜜罐系统，并在校园中使用，试验证明该系统起到了很好的作用和效果。试验结果表明，该系统：蜜罐系统可以有效虚拟web服务、FTP服务、POP3服务、Telnet服务、DNS服务等大多数Linux系统下的服务，成功发现黑客的攻击和侵入，以及如何“诱敌深入”的全过程。之后，又在windows下设计搭建的蜜罐系统。测试结果显示：系统可以成功虚拟telnet服务并利用线程技术来对付攻击者，并对监听和记录黑客攻击记录和手段的全过程。这为日后网络安全的防护，已经积累非常坚实的；理论基础和数据依据。之后，又采用弱化配置出一种高交互型蜜罐技术，利用蠕虫病毒入侵来测试蜜罐如何监控并记录蠕虫病毒详细入侵步骤和数据记录。测试的结果显示出：通过一个特殊配置的蜜罐比较蠕虫攻击之前和之后，可以发现在新的蠕虫病毒的系统文件，修改注册表。使用数据包嗅探器捕捉软件可以发现蠕虫入侵步骤详细。由此可知，蜜罐已经成为安全人员对付蠕毒和黑客的有效工具。57万方数据 电子科技大学硕士学位论文最终的结论：蜜罐技术能够对攻击者造成威胁和损害，是一种主动的防御方法。网络蜜罐可以加重攻击者的工作量，消耗攻击者的资源，迷惑跟踪攻击者，通过记录跟踪的数据可以事先掌握攻击人的下一行为，并有效地制止攻击人的破坏，并对攻击人构成直接威胁。由于蜜罐技术的优点网络蜜罐技术已经开始用在实际的网络系统安全之中，并逐渐成为网络安全研究的重点。6.2优势、不足与展望基于蜜罐技术的原则，蜜罐技术具有以下优点：（1）少数高度分析值集：蜜罐系统，大幅度减少的数据分析的优越性之一。通常的网站或邮件服务器，通常攻击流量是一个法律流程。大多数在蜜罐和数据是攻击流量。（2）误报率非常低（接近0）：蜜罐技术在保护功能相对较弱，但是，它有一个强大的探测能力。有些人认为，入侵检测系统（IDS），入侵检测。IDS的假阳性，假阴性率比较高，经常会有注意，通报。蜜罐，假阳性率远比很多入侵检测工具的市场，其表面优势。（3）资源要求低，投入低产出时，突然增加的安全资源枯竭导致资源衰竭。如果您使用了防火墙，很容易使容易在连接到数据库溢出失败。因此，它可以不再发挥监视机能。关于这个问题，蜜罐，一般的互换性。（4）原则是简单，简单，常常意思：简单实用的honeypot最大的优点，无需制定复杂和新颖的算法，不需要维护的签名数据库，。系统，在一般情况下，其工作的可靠性更是更多的性。传统的蜜罐，蜜罐，如收集数据的正确性，有许多好处，不依赖于复杂，检测技术【2】减少假阴性率，假阳性率。蜜罐收集新手段、方法的攻击，但大多数人入侵检测系统特色的方法以外匹配检测已知的攻击。但是，广泛应用，传统的蜜罐暴露了主要有三个方面：（1）蜜罐技术是监测和分析攻击蜜罐与入侵检测系统能够绕过监听整个网络监控和其他技术观。识别：配备蜜罐的安全是非常重要的。避免让大家知道，设置陷阱，这是减少或故意不攻击那。当然。自动化攻击工具（例如蠕虫）外。一些低互动蜜罐，这种独特的特性，模拟，不法分子，身份的蜜罐很容易识别，使得它容易受到攻击。58万方数据 第六章总结与展望（2）蜜罐技术不能直接保护信息系统中的漏洞可能被攻击者利用带来一些安全隐患。限制：蜜罐技术有它的局限性，它只能监测和分析对蜜罐的攻击，入侵检测系统，其监测范围有限，这是无法绕过检测听和其他技术监控，并听取了整个网络系统。（3）加密通道（IPSEC，SSH，SSL等）的攻击者的活动增加，需要花费时间破译了数据采集，分析攻击行为增加了困难。此外，在风险：这是一个不容忽视的问题。交替蜜罐高，所以如果损坏或使用利用者，攻击，并用它来消灭和控制其他系统。因此，他们当攻击者。”蜜罐。正常情况下，其他的机制应使用，避免这种情况的发生与第三方用户减少损失不需要运营商特别注意加强预防。技术基础上的欺骗网络防卫在相信不久的将来将是人们关注的热点。对于网络的安全，Honeypot也有着很大价值，特别是蜜罐在入侵检测方面，能够弥补现存的大部分入侵检测系统的主要缺点的特点。但是，蜜罐实现网络安全，只能和其它现有的网络安全技术结合，才能发挥作用，因为它不是一种解决问题的方案，它只是一种工具。虽然蜜罐技术的不断发展，经过近20读通过，以网络和信息安全保护扮演一个小角色。从以上可以看出，蜜罐的问题和不足，网络和信息安全的大应用仍然多的问题困扰着。蜜罐在未来的发展中发挥更大的作用，开发和更新必须持续。（1）结合其他技术：没有什么可以存在的优点和蜜罐技术开发优势的同时，各种不同的观点和可持续增长。蜜罐攻击检测与分析有其优势，但我们还应当指出的是，攻击者会使用相关的手段处理检测和避免蜜罐。因此，我们的网络不安全，IDS，FIRWALL，加密技术这个缺点，期待他们的完美结合蜜罐。（2）适用多平台服务蜜罐：网络系统平台，不只是简单的同形平台，各种复杂的异构平台。蜜罐技术更好的发挥，这是必要的，它不仅适用的平台，在相同的构造，但相关的异性平台。这款式多平台的数据分析，中间件，和很好的算法的融合，大实用价值。[4]（3）提高隐蔽性和伪装系统：蜜罐和蜜罐技术，系统平台（特别是客户），比较安全第一门户网站。风险高的状态的系统平台，整个网络系统相对弱。所以，有必要加强和提高系统的安全性，隐瞒和伪装是特别重要的。（4）网络的重要性互动的安全是必要的，以获得更多的价值，但也需要保持足够的安全系统是一个麻烦的事情。在一般情况下，互动程度越高，越容易下降到危险距离，从而增加了风险系数。重视和加强互动的网络安全，这是一个不可59万方数据 电子科技大学硕士学位论文或缺的重要组成部分。蜜罐随着网络入侵类型的多样化发展，也必须进行多样化的演绎，否则它就有可能无法面对入侵者的肆虐。因为蜜罐就像是活跃在安全领域的虚拟演员，一举一动，都是通过网络管理员来设计的，所以这就对网络管理员的技术能力提出了更高的要求。蜜罐相对其他安全机制，具有配置灵活，使用简单，占用的资源少，并可以用在复杂的环境中工作的特点，此外蜜罐收集数据和信息，也是一个很好的目标和研究价值，它可以被用来作为一个独立的安全工具，也可以是其它使用联合安全机制。蜜罐为整个网络的安全注入了新鲜的血液。当然，任何事物的存在都有优点和缺点，蜜罐技术的发展也伴随着各种不同的角度。蜜罐的缺点，主要是在数据收集方面是狭隘的，它还引入了一个新的风险。所以在面对不断改进的黑客技术，蜜罐技术还需要不断的更新和完善。通过诱导，蜜罐技术让黑客们误入歧途，耗费他们的精力，从而为我们加强防范而赢得时间。我们通过蜜网可以检验我们的安全策略是否正确，防线是否牢固，在受到攻击的时候知道是谁在使坏，他的目标到底是什么。蜜罐的引入使我们和黑客之间处在一个相互斗智的平台counter-intelligence，而不是处处遭到黑枪的被动地位。我们的网络是不安全，防火墙，入侵检测系统，加密技术都有其缺陷，所以如果把它们和蜜罐技术完美结合起来，那才是对网络安全的最好的礼物。蜜罐技术一定会在网络的安全中发挥出非常重要的作用，我们有理由相信，一场世界上声势浩大的蜜罐技术的行动必将到来。60万方数据 致谢致谢本论文能够完成，要非常感谢我的导师顾小丰教授，是他的悉心指导以及帮助才使我的论文得以顺利完成。顾小丰老师的思想缜密、知识渊博以及严谨的工作作风都深深影响了我，这会让我受益终身。论文的每次改进都凝结着顾老师辛勤的汗水以及培养，在这里我要再次向顾小丰老师表达我最诚挚的谢意。同时，也要衷心感谢电子科技大学和山东教育基地的各位领导、老师和同学们，在学习以及完成论文期间都给了我很大帮助。感谢我的同学们两年来对我的支持和关心，这将是我未来人生道路上一笔最宝贵的财富。另外还要感谢对将要对本论文进行评审以及提出宝贵意见的各位专家老师们，谢谢你们的辛勤工作及努力。我要感谢我的家人以及一切支持我的人。在你们的不断支持鼓励下，我才能够不断克服重重困难，向着目标不断努力，最终顺利的完成论文。最后，由于个人能力有限，文中难免会出现疏漏，请老师和学生批评，本人会不胜感激。61万方数据 电子科技大学硕士学位论文参考文献[1]熊华,郭世泽,等.网络安全—取证与蜜罐.北京:人民邮电出版社,2003.[2]李辉,等.蜜罐技术及其应用.网络安全技术与应用.2004.8.P40-42[3]戴云，范平志．入侵检测系统研究综述．计算机工程与应用，2002，（４）：17[4]诸葛建伟，蜜罐及蜜网技术简介.http://www.icst.pku.edu.cn/honeynetweb/reports/蜜罐及蜜网技术简介.pdf[5]卿斯汉，蒋建春.网络攻防技术原理与实践.科学出版社.2004.1[6]杨奕.基于入侵诱骗技术的网络安全研究与实现.计算机应用研究.2004.3.P230-232[7]崔志磊，等.一种全新的网络安全策略—蜜罐及其技术.计算机应用与软件.2004.2.P99-101[8]刘飞，史晓敏.蜜罐安全技术研究.高性能计算技术.2005.10.P14-18[9]胡昌振，等．面向２１世纪网络安全与防护.北京：北京希望电子出版社.1999.6[10]戴云，范平志．入侵检测系统研究综述．计算机工程与应用.2009（４）：17[11]曹爱娟，刘宝旭，许榕生.网络陷阱与诱捕防御技术综述.计算机工程.2004（９）：01.P1-3[12][美]LincolnD.Stein著，王超，刘云译.Perl网络编程.清华大学出版社.2002.3[13]马晓光，等.Perl5编程技巧与实例分析.中国水利水电出版社.2001.4[14]（美）W.RichardStevens著，范建华等译.TCP/IP详解卷1：协议.机械工业出版社.2000.4P293-315[15]（美）LanceSpitzner著，邓云佳译.Honeypot:追踪黑客.北京:清华大学出版社.2004.9[16]李江,张峰,秦志光.Telnet和FTP协议下跟踪用户操作的一种方法.计算机应用.2003.8.P133-135[17]锁廷锋,马士尧.网络欺骗技术.信息网络安全.2003.162万方数据 参考文献[18]许榕生,刘宝旭,杨泽东著.黑客攻击技术揭秘.机械工业出版社.2002[19]段珊珊,李昕.基于欺骗的网络安全技术.计算机时代.2003.9.P9-10[20]赵双红,刘寿强,夏娟.基于诱骗式蜜罐系统设计与应用.计算机安全.2003.10.P19-22[21]崔继强,乔佩利.虚拟蜜罐honeyd的分析和研究.机电信息.2004年第13期.P27-29[22]基于主动防御的蜜罐技术研究的综述2011年张毅[23]梁兴柱．网络安全蜜罐技术研究与实现［Ｄ］．大庆石油学院硕士学位论2006年[24]姚东铌．蜜罐技术的原理及现状研究［Ｊ］．企业导报，2010年[25]L.Spitzner，“Honeypot-DefinitionsandValueofHoneypots”2005，http：//www.tracking-hackers.com/papers/honeypots.html[26]L.Spitzner，”Honeypots：CatchingtheInsiderThreat”，Proceedingsofthe19thAnnualComputerSecurityApplicationsConference，LasVegas，Nevada，USA，December08–12，2003[27][3]KnowYourEnemy：Honeynets-12November，2005，http：//www.honeynet.org/papers/honeynet/index.html[28][4]KnowYourEnemy：GenIIHoneynets-03November，2005，http：//www.honeynet.org/papers/honeynet/index.html[29][5][美]JonathanCorbet，AlessandroRubini，GregKroah-Hartman．LinuxrdDeviceDrivers，3Edition．O`REILLY，2006.01[30][6][美]KurtWall等著、张辉译．GNU/Linux编程指南（第二版）．清华大学出版社，2005.0863万方数据