基于協(xié)同的虛擬蜜網(wǎng)實(shí)現(xiàn)與分析.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)入侵的方法和手段也日益豐富,傳統(tǒng)的靜態(tài)防御、被動(dòng)防御很難滿足當(dāng)前網(wǎng)絡(luò)安全的需求?；诿劬W(wǎng)(honeynet)技術(shù)的主動(dòng)防御的安全體系逐漸成為網(wǎng)絡(luò)安全技術(shù)研究關(guān)注的焦點(diǎn)。
　　 蜜網(wǎng)(honeynet)技術(shù)主要是通過(guò)設(shè)置一個(gè)專門(mén)讓黑客攻擊的應(yīng)用系統(tǒng),在黑客攻擊時(shí),記錄黑客的活動(dòng),了解黑客攻擊的方法和手段,從而發(fā)現(xiàn)潛在的威脅。虛擬蜜網(wǎng)則是一種可以讓我們?cè)趩我坏臋C(jī)器上運(yùn)行蜜網(wǎng)所有組成部分的解決方案,也就是在

2、同一硬件平臺(tái)上運(yùn)行多個(gè)操作系統(tǒng)和多種網(wǎng)絡(luò)服務(wù)的虛擬網(wǎng)絡(luò)環(huán)境。蜜網(wǎng)系統(tǒng)協(xié)同則是將蜜網(wǎng)中的蜜罐、IDS、防火墻等組成部分根據(jù)一定的規(guī)則協(xié)同聯(lián)動(dòng),從而達(dá)到蜜網(wǎng)整體安全控制的目的。
　　 本文主要論述了蜜罐和蜜網(wǎng)的工作原理及具體實(shí)現(xiàn),詳細(xì)闡述了蜜網(wǎng)的工作方式,蜜網(wǎng)的數(shù)據(jù)控制、數(shù)據(jù)捕獲、數(shù)據(jù)收集和數(shù)據(jù)分析四大核心需求。同時(shí),在對(duì)蜜網(wǎng)體系中防火墻、入侵檢測(cè)系統(tǒng)、蜜罐各組成部分協(xié)同工作研究的基礎(chǔ)上,設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于Windows平臺(tái)的基于

3、協(xié)同的虛擬蜜網(wǎng)系統(tǒng)。在該系統(tǒng)中,蜜罐與IDS協(xié)同聯(lián)動(dòng)得到入侵規(guī)則,當(dāng)IDS檢測(cè)到入侵行為后,及時(shí)通知防火墻,阻斷黑客入侵,蜜罐把記錄的入侵行為傳送到日志服務(wù)器。系統(tǒng)對(duì)日志進(jìn)行分析并提取入侵規(guī)則,再將新規(guī)則添加到IDS規(guī)則庫(kù)中,從而使IDS可以檢測(cè)出新的入侵行為。我們對(duì)這個(gè)系統(tǒng)進(jìn)行了一系列的測(cè)試、實(shí)驗(yàn),并把這個(gè)系統(tǒng)應(yīng)用在河南省三門(mén)峽中等專業(yè)學(xué)校校園網(wǎng)中,取得較好的效果。我們對(duì)其捕獲數(shù)據(jù)進(jìn)行了分析,通過(guò)分析,發(fā)現(xiàn)了黑客攻擊的基本特點(diǎn),對(duì)黑客