關(guān)于蜜罐的兩種機制研究和設計.pdf

1、蜜罐是一種網(wǎng)絡安全技術(shù)，它主要目的是通過偽裝成真實系統(tǒng)或服務來誘騙攻擊者攻擊。蜜罐能主動誘惑攻擊，克服了防火墻靜態(tài)防御的缺點；又因為只作為誘餌，沒有其它用途，所有進出蜜罐的數(shù)據(jù)都是可疑的，這樣就彌補了入侵檢測系統(tǒng)高誤報率和高漏報率的缺陷。蜜罐有著許多其它網(wǎng)絡安全技術(shù)無法比擬的優(yōu)點，已經(jīng)成為當前網(wǎng)絡安全領(lǐng)域里研究的熱點。 本文提出欺騙端口系統(tǒng)（Decoy Port System DPS）來解決蜜罐收集和研究攻擊行為只局限于自身而不

2、適用于網(wǎng)絡問題。該系統(tǒng)安裝在非蜜罐主機上，它能接收Snort系統(tǒng)的入侵檢測報警通知，響應通知來切斷后續(xù)攻擊，黑客再次攻擊時將攻擊重定向到蜜罐；還能用欺騙端口模擬服務，吸引攻擊并將攻擊重定向到蜜罐，給黑客以已成功攻陷該非蜜罐主機的假象；并改進重定向避免了指紋識別等問題。本文設計了一種Snort輸出插件，該插件可以格式化入侵數(shù)據(jù)形成通知發(fā)送給欺騙端口系統(tǒng)。實驗結(jié)果表明，欺騙端口系統(tǒng)有效地將Snort系統(tǒng)檢測到的和模擬服務端口吸引到的攻擊平滑

3、地重定向到蜜罐。 本文提出動態(tài)連接重定向思想解決了傳統(tǒng)連接限制方法在阻止黑客攻陷蜜罐后向外入侵方面所帶來的安全和效率問題。該思想描述了連接限制方法帶來的一些弊端；討論蜜罐之間相互重定向存在的問題，并加以改進；然后實例闡述了linux系統(tǒng)dnat實現(xiàn)重定向的原理。利用基于netfilter/iptables的linux防火墻設置iptables規(guī)則，防火墻根據(jù)IP和端口等包頭特征將向外的攻擊流動態(tài)地轉(zhuǎn)移到其他蜜罐上來實現(xiàn)該思想。實