（计算机应用技术专业论文）主动防御系统在校园网中的应用研究.pdf

硕士论文主动防御系统在校园网的应用研究 摘要 随着科技的进步，计算机和网络技术也在不断发展，国际互联网，尤其是作为其重 要组成部分的教育网的发展和应用也是非常迅速的和不断成熟的，给我们的工作学习带 来了方便。但是在校园网络给我们带来便捷的同时，其安全问题也逐渐浮出水面。尤其 是近年来互联网上各种新的攻击手段层出不穷，校园网络中也多次爆发大规模的安全事 件，造成了学校信息管理系统无法正常使用、重要数据被破坏等严重后果。因此，如何 加强校园网安全性，是当前国内各高校需要探讨和解决的问题。 目前比较主流的网络防御技术主要有身份认证、防火墙、入侵检测等，但是这些防 御技术都是基于已知的攻击行为的特征，通过相应的规则匹配来进行防护行动的，是被 动的防御技术，而在应对未知的攻击行为时不很很好的进行防御。在现在各种新的攻击 手段层出不穷的情况下，网络防御技术始终处在被动追赶的状态。为此，我们要化被动 为主动，采用一套基于主动防御技术的防御系统进行校园网的安全防御。 本文以蜜网技术这一新型的主动防御技术为基础，通过研究蜜网、防火墙、入侵检 测和数据库等技术，基于南通职业大学的网络拓扑结构设计了一个校园网的主动防御系 统，而且基于开源软件实现了该系统，并在校园网中应用了该系统的功能。 根据该系统的应用情况和结果分析，我们认为该系统能较好地对未知的攻击做出检 测，并且能够详细而有效地收集攻击者的活动信息，对帮助校园网安全管理员有针对性 的对未知攻击做出防御策略起到了很好的效果。 最后对校园网主动防御系统提出了继续研究的方向。 关键字：校园网，主动防御，蜜网，入侵检测 a b s t r a c t 硕士论文 a b s t r a c t w i t ht h ea d v a n c ei nt e c h n o l o g y , c o m p u t e ra n dn e t w o r kt e c h n o l o g ya r ea l s od e v e l o p i n g t h ed e v e l o p m e n ta n da p p l i c a t i o no fi n t e m e ta n de d u c a t i o nn e t w o r k , a l li m p o r t a n tp a r to f i n t e m e t , i sv e r yf a s ta n dm a t u r i n g ，a n db r i n go u rw o r ka n dl e a r n i n gt of a c i l i t a t e h o w e v e r ，i n t h ec a m p u sn e t w o r kh a sb r o u g h tu sc o n v e n i e n c e ，a tt h es a n l et i m e ，t h es e c u r i t yi s s u e sh a v e g r a d u a l l ys u r f a c e d i np a r t i c u l a r , i nr e c e n ty e a r sav a r i e t yo fn e wm e a n so fn e t w o r ka t t a c k a p p e a r e di nt h ei n t e m e t , a n dl a r g e - s c a l es a f e t ye v e n t sm a n yt i m e sb r o k eo u ti nc a m p u s n e t w o r k ，t h a tm a k es e r i o u sc o n s e q u e n c e s ，s u c ha st h es c h o o li n f o r m a t i o nm a n a g e m e n ts y s t e m c a nn o tn o r m a lu s ea n d i m p o r t a n td a t aw a sd e s t r u c t t h e r e f o r e ，h o wt os t r e n g t h e nt h ec a m p u s n e t w o r ks e c u r i t y , i st h ed o m e s t i cc o l l e g e sa n du n i v e r s i t i e sn e e dt ob ee x p l o r e da n dr e s o l v e d a tp r e s e n t , t h em a i n s t r e a mn e t w o r kd e f e n s et e c h n o l o g ym a i n l yw a sa u t h e n t i c a t i o n , f t r e w a l l ，i d s ，e t c b u tt h i si sb a s e do nk n o w nc h a r a c t e r i s t i c so fa g g r e s s i v eb e h a v i o rt h r o u g h t h ea p p r o p r i a t em a t c h i n gr u l e sf o rp r o t e c t i v eo p e r a t i o n s t h i si sap a s s i v ed e f e n s et e c h n o l o g y w h e nb e i n gr e s p o n d e dt ou n k n o w l ln e t w o r ka t t a c k s ，i tf a i l si ns o m en o tv e r yg o o dd e f e n s e i n av a r i e t yo fn e wm e a n so fn e t w o r ka t t a c k s ，t h en e t w o r kd e f e n s et e c h n o l o g yi s a l w a y si n p a s s i v et oc a t c hu pw i 廿1t h es t a t e t ot h i se n d ，w eh a v et ou s eat e c h n i q u eb a s e do nt h ea c t i v e d e f e n s es y s t e mf o r t h ed e f e n s eo ft h ec a m p u sn e t w o r ks e c u r i t yd e f e n s e i nt h i sp a p e r ，b a s e do nt h eh o n e y n e tt e c h n o l o g y , t h en e wi n i t i a t i v ed e f e n s i v et e c h n o l o g y , t h r o u g hr e s e a r c hh o n e y n e t ，f i r e w a l l ，i d sa n dd a t a b a s et e c h n o l o g y , w ed e s i g nae a m p u s n e t w o r ko fa c t i v ed e f e n s es y s t e mb a s e do nt h en a n t o n gv o c a t i o n a l c o l l e g e sn e t w o r k t o p o l o g y , a n dr e a l i z e dt h es y s t e mf o ru s i n go p e ns o u r c es o f t w a r e ，a n da p p l i e dt h es y s t e mi n t h ec a m p u sn e t w o r k a c c o r d i n gt ot h ea p p l i c a t i o no ft h es y s t e ma n dr e s u l t so fa n a l y s i s ，w eb e l i e v et h a tt h e s y s t e mc a nb eb e r e rm a d et od e t e c tu n k n o w na t t a c k s ，a n dt ot h o r o u g h l ya n de f f i c i e n t l yc o l l e c t i n f o r m a t i o no nt h ea c t i v i t i e so fa t t a c k e r s ，a n dm a k eav e r yg o o de f f e c ti nh e l p i n gt h ec a m p u s n e t w o r ks e c u r i t ya d m i n i s t r a t o rt om a k ed e f e n s i v es t r a t e g yt ou n k n o w na t t a c k s f i n a l l y , w eg i v et h ep r o p o s e dd i r e c t i o nt oc o n t i n u es t u d yt h ei n i t i a t i v ed e f e n s es y s t e mo f c a m p u sn e t w o r k k e yw o r d s ：s c h o o ln e t w o r k ，i n i t i a t i v ed e f e n s eh o n e y n e t ，i d s i i 声明 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在 本学位论文中，除了加以标注和致谢的部分外，不包含其他人已经发 表或公布过的研究成果，也不包含我为获得任何教育机构的学位或学 历而使用过的材料。与我一同工作的同事对本学位论文做出的贡献均 已在论文中作了明确的说明。 研究生签名： 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅 或上网公布本学位论文的部分或全部内容，可以向有关部门或机构送 交并授权其保存、借阅或上网公布本学位论文的部分或全部内容。对 于保密论文，按保密的有关规定和程序处理。 研究生签名： 列，罗年妒月e 1 硕士论文主动防御系统在校园网的应用研究 1 绪论 1 1 课题的背景和意义 随着科技的进步，计算机和网络技术也在不断发展，国际互联网，尤其是作为其重 要组成部分的教育网的发展和应用也是非常迅速的和不断成熟的。特别是运行于高等学 校的校园网的不断发展，对提高学校的管理工作的效率和各种资源的共享度起了很重要 的作用。但是在校园网络给我们带来便捷的同时，其安全问题也逐渐浮出水面。尤其是 近年来在互联网上，各种新的攻击手段层出不穷，使得校园网络中经常有大规模的安全 事件爆发，造成了学校信息管理系统无法正常使用、重要数据被破坏等严重后果，这一 切都使校园网的安全问题逐渐被重视起来。因此，如何加强校园网安全性，是当前国内 各高校需要探讨和解决的问题。 与组成互联网的其他网络，如公众网、企业网不同的是，校园网，尤其是高校的校 园网在服务功能、用户群体等方面有着自己独特的所在【lj ： ( 1 ) 高校校园网所提供的服务功能十分多样。一方面，校园网是目前数字化校园 的运行平台，为整个学校的教学、科研和管理等日常工作服务；另一方面，随着校园网 的逐步建设，目前很多高校的校园网已经延伸进校内的学生宿舍和教工公寓，因此，它 还必须提供更多的服务功能，并且要能够进行计费管理。 ( 2 ) 在我国校园网一般仍是一个局域网。但是由于目前国内高校的大规模扩招， 学生人数和教师人数都大大增加，个高校的校园网的使用者一般都超过万人，而因为 职业和年龄的原因，以及高校教学本身的特点，学生和老师都有大量的时间去接触计算 机和互联网的。 ( 3 ) 随着计算机和网络技术，尤其是网络安全技术的发展，新的攻击手段层出不 穷，通过互联网可以越来越方便的获取到现成的攻击软件。由于知识水平的提高，在高 校中许多学生都对计算机技术有浓厚的兴趱，并且水平普遍不低。而高校学生这个群体 因为年龄的原因，他们是一个活跃的群体，也是一个自我约束能力较差的群体。不管是 出于恶意破坏，还是满足自己的好奇心，或者只是为了挑战自我，他们往往会不顾后果 的对校园网进行一定得攻击，这种来自内部的攻击往往会比来自外部的攻击造成更大的 危害，对校园网的威胁更大。 根据公安部公共信息网络安全监察局在2 0 0 8 年所做的0 7 年信息网络安全与计算 机病毒疫情调查分析报告 2 1 ，我们发现2 0 0 7 年学校校园网中发生安全事件的高校占所 调查高校的6 0 6 ，这一比例仅次于商务贸易业、制造业和广电新闻业这三个行业，列 第四位。由此可见校园网的安全问题已经到了需要引起注意的地步。 而根据美国计算机安全机构、联邦调查局等权威机构的对2 0 0 7 年的网络安全状况 1 1 绪论硕士论文 的研究表吲3 】：来源于组织内部的网络安全隐患所占比例已经超过了6 0 ，而目前一般 网络对于内部资源的使用和滥用都很少或没有设置相应的工具来进行监视和检测。由此 可知，与目前普遍关注的针对外网的安全防护相比，如何保护内网的安全并没有得到足 够的重视。因此，如何对网络内部的攻击进行防护日益成为网络安全的研究焦点。 现在主要使用的网络安全防护技术主要有身份验证、访问控制、防火墙和入侵检测 等。一般高校校园网都也都安装了基于这些技术的网络安全设备和软件，但是这些软件 设备一般都是用于防止外部网络的攻击，而且网络防火墙的运行依赖于根据已知的攻击 特征设定好的规则库，入侵检测系统则需要根据已知的攻击特征构建的模式库来对非法 连接和攻击的通过特征匹配来进行识别。所以这些安全防护技术可以对已知的网络攻击 产生较好的防护作用，属于被动防御技术。 而对于未知的网络攻击技术，如果其攻击特征在防火墙和入侵检测系统中没有定义 相应规则和模式的，现有的安全防护技术将起不到任何作用。而主动防御技术能够对网 络攻击行为进行牵制和转移，并且通过一定的技术手段，对攻击者进行监控，将攻击者 的攻击行为进行记录和分析，从而能获取第一手资料，了解和掌握未知的攻击技术。因 此，主动防御技术对弥补传统安全防护技术的不足，提高网络的安全防护能力有很好的 学术研究价值和实用价值【4 j 。 1 2 国外研究现状 当前，蜜罐技术是国际上对于主动防御技术的研究热点。蜜罐是一种通过某种技术 手段欺骗入侵者，从而能够采集网络攻击方法，保护真实的主机目标的诱骗技术。到目 前为止，很多的国外网络安全公司和研究机构都重视了对蜜罐技术的研究，并且开发出 了许多商业级蜜罐产品，如s p e c t e r 5 1 、m a n t r a p 6 j 等。 蜜网技术的基础是蜜罐技术，现在经过逐步的发展己经日趋成熟。目前世界上研究 蜜网技术的组织机构主要有两个，分别为：蜜网研究联盟( h o n e y n e tr e s e a r c h a u i a n e y ) 1 7 j 和蜜网项目组( h o n e y n e tp r o j e c t ) 蝎j 。 蜜网研究联盟于在2 0 0 2 年1 月成立的，由世界上多个研究蜜网技术的组织组成的， 并拥有自己独立的组织机构。其主要工作目标希望各个成员组织有关蜜网的研究、开发 和部署的研究成果完全免费向外界，以期得到最大程度的共享。到2 0 0 8 年1 月，该联 盟已经有2 5 个来自不同国家和地区的组织或研究机构加入其中。 蜜网项目组是一个非盈利性的研究组织，其前身是1 9 9 9 年由l a n c es p i t z n e r 等人倡 议发起，并由众多致力于研究网络安全和蜜网技术的志愿者参与的非正式的专门研究和 讨论蜜网技术的邮件组到2 0 0 0 年该邮件组随着核心成员的固定化，逐步转化为蜜网项 目组，并正式以一个组织机构的形式开始了对蜜网技术的研究。其成立的目标【8 】在于为 学习黑客社团所使用的工具、战术和动机，并将这些信息共享给安全防护人员。在1 9 9 9 2 硕士论文主动防御系统在校园网的应用研究 年至2 0 0 1 年期间，蜜网项目组提出并完善了第一代的蜜网结构模型，主要是针对蜜网 技术进行一些原理证明性的实验；在2 0 0 1 年到2 0 0 3 年间对蜜网技术进行发展，提出并 完善了第二代蜜网结构模型，在这期间开始了对于蜜网的数据控制、数据捕获和数据分 析功能的考虑，开发了关键的工具h o n e y w a l l 和s e b e k ；2 0 0 3 年到2 0 0 4 年，其任务主 要是将所有相关的数据控制和数据捕获集中到一张自启动光盘中，这样比较容易部署第 二代蜜网，并规范化收集攻击者的攻击信息；从2 0 0 5 年开始，蜜网项目组的研究重心 开始集中到了如何更好的进行数据捕获和数据分析上，并且对于蜜网的易用性做了更进 一步的研究，并提出了第三代蜜网的结构模型【9 j 。 1 3 国内研究现状 由于我国网络基础设施和互联网发展的原因，我国网络安全的研究也一直比较晚， 而我国对于蜜罐技术的研究起步更加晚，直到2 0 0 1 年国家才对蜜罐技术的正式的国际 级科研立项。一直到2 0 0 3 年，我国的研究人员才开始对蜜网技术进行广泛的研究，全 国各地也出现了很多专门研究蜜网的研究小组。其中北京大学计算机科学与技术研究所 信息安全工程研究中心诸葛建伟博士所主持的“狩猎女神 项目组【5 】对蜜网技术的研究 成就在国内处于领先地位，并且该项目组于2 0 0 5 年2 月正式加入蜜网研究联盟，成为 目前蜜网研究联盟中第一支也是唯一的一支中国研究团队。 “狩猎女神 项目组现阶段的研究实践工作以及未来的研究方向，概括起来主要包 括以下三个方面i l lj ： ( 1 ) 结合国际上对蜜网技术的最新研究成果，在互联网上进行各种蜜网的部署和 维护，并对其捕获到的数据、攻击行为以及最新的攻击软件进行分析，了解互联网中的 新的网络安全威胁，并协助网络安全管理部门对网络安全威胁进行控制。 ( 2 ) 通过设置物理蜜罐和恶意软件自动收集软件，对互联网上广泛传播的恶意软 件进行捕获，并通过深入分析来研究恶意软件捕获和分析的规范化及自动化流程，特别 是对僵尸网络的有关技术加强了研究。 ( 3 ) 对攻击蜜网的数据进行统计分析，并研究出对付这些新攻击方法的实用性工 具，使这些工具能够为大家所使用。 目前“狩猎女神 项目组所部署的蜜网集中融合了蜜网项目组所提出的第三代蜜网 体系结构，h o n e y d 虚拟蜜罐系统，以及c o l l e c t 和n e p e n t h e s 恶意软件自动捕获软件。 1 4 论文所做工作 本论文所做的工作和研究内容主要有以下几方面： ( 1 ) 介绍目前校园网络安全现状，并对现有网络安全防护技术进行分析。 ( 2 ) 介绍蜜罐技术这一国际上主动防御技术研究的主流技术，并且重点介绍了蜜 3 l 绪论硕士论文 罐技术的重要发展成果蜜网技术。 ( 3 ) 结合目前我校校园网络的安全现状，提出校园网主动防御系统的理论模型， 并根据该理论模型，综合被动防御技术和主动防御技术，给出了校园网主动防御系统的 设计方案。 ( 4 ) 结合南通职业大学的网络结构和安全需要，基于开源软件具体实现了校园网 主动防御系统。 ( 5 ) 通过应用实例说明该校园网主动防御系统是如何工作的，并对所获得的资料 进行总结。 1 5 文章结构安排 本论文内容共分为七个章节，具体的组织结构如下： 第1 章：绪论，简要介绍本论文的背景、意义及国内外研究现状，以及作者的研究 工作内容和论文的结构安排。 第2 章：对现有网络安全状况和网路安全技术进行介绍，重点是目前主要的网络威 胁和现有的一些主要的网络安全防护技术。 第3 章：详细介绍了目前国际上在主动防御技术领域的研究热点蜜罐技术，并 重点介绍了蜜罐技术的发展成果蜜网技术。 第4 章：校园网主动防御系统模型及设计。通过对校园网安全问题的研究，结合传 统网络安全技术如防火墙、入侵检测和蜜网技术等内容设计了校园网主动防御系统的模 型并分析该系统中的各个功能模块和各模块之间的相互联系。 第5 章：主动防御系统在南通职业大学校园网中的实现。主要通过现有的开源软件 构建系统的主要模块。 第6 章：主动防御系统在南通职业大学校园网的应用及应用结果。通过对所实现的 主动防御系统在校园网上的一次应用实例来说明系统的运行方法。 第7 章：总结整个论文的工作，并对下一步的工作提出了继续研究的方向。 4 硕士论文 主动防御系统在校园网的应用研究 2 网络安全技术概论 2 1 网络安全现状 所谓的网络安全，就是保护网络和计算机上的数据等资源的安全，这里的资源是指 各种硬件和软件资源。网络安全所涉及的内容比较多，凡是网络上有关针对数据的窃听、 篡改、中断、伪造的相关技术和理论，都属于网络安全研究的范畴i l 2 。 随着目前网络，尤其是互联网中网络攻击技术的不断发展，计算机和网络的信息安 全已经成为全世界各国面临的重大挑战之一。与其他任何犯罪行为一样，对网络产生威 胁的只是小部分人。但是网络犯罪与其他犯罪最大的区别在于一个偷车贼一次可能只能 偷一辆汽车，而一个网络黑客只需要一台非常普通的电脑，单身一人就可以导致极大范 围甚至是全球范围的网络破坏，造成巨大的经济损失。据统计，由于网络安全问题，美 国每年遭受的经济损失已经超过1 7 0 亿美元，其中去年美国由于网络诈骗，使得银行和 消费者遭受的直接损失达到2 4 亿美元，平均每位受害者付出约1 2 0 0 美元的代价；德国、 英国、日本等发达国家每年的损失也在数十亿美元以上；香港去年由于网络诈骗导致直 接损失高达1 4 9 万港元。在现代社会新型犯罪排行榜上，有关计算机和网络的犯罪已经 名列榜首。2 0 0 7 年，在美国计算机安全机构和联邦调查局的联合调查所接触的5 3 2 个组 织中，有6 6 曾遇到过网络安全事件，其中大约4 1 的组织曾遭遇2 0 起，而有2 1 以上的组织曾遭遇到5 起以上【3 】。因为在互联网上提供服务而成为频繁受到攻击的组织 数目也不断增加，其中遭受过拒绝服务攻击( d o s ) 的组织一直在有所上升。调查显示， 在5 3 2 个接受调查的组织中大约有8 0 拥有自己的独立网站，而且其中有3 4 的网站负 责提供电子商务服务，而这些网站在2 0 0 7 年这一年时间里已经发现有2 0 的未经许可 入侵或误用网站现象【6 】。更令人不安的是，有3 6 的组织根本没有意识到或不能很好的 发现自己的网站是否受到损害。根据有关统计，全世界平均每2 0 秒就会发生1 次网络 攻击事件，攻击者一旦发现并找到系统的薄弱环节，在短短的时间内就有可能轻松地攻 破并控制系统。 现在，据公安部统计，我国网络安全事件发生的比例连续三年都成上升趋势，2 0 0 8 年已经达到了6 5 7 。我国计算机网络的安全问题也越来越突出。主要体现在以下几个 方面： ( 1 ) 计算机和网络系统受到病毒的感染和破坏的情况非常突出。根据国家计算机 病毒应急处理中心日常监测结果分析，目前计算机病毒已经呈现出异常活跃的态势。 2 0 0 7 年中大约有9 7 的计算机曾被病毒感染。其中，被感染3 次以上的高达7 0 ，而 且病毒的破坏性逐渐加大，有1 4 的用户被病毒破坏全部数据，5 7 的用户被破坏部分 数据【2 1 0 尤其是2 0 0 7 年的“熊猫烧香 事件，使得病毒背后的产业链浮出水面，病毒 s 2 网络安全技术概论硕士论文 的制造已经呈现出规模化、工业化的趋势。 ( 2 ) 电脑黑客的攻击也成为重要威胁。任何一个网络信息系统都有着自身的致命 的脆弱性和易受攻击性。目前我国9 5 与互联网连接的网络管理中心都曾遭受过境内外 黑客的攻击或侵入，其中银行、金融和证券机构是一直黑客重点攻击的对象。 ( 3 ) 网络安全基础设施面临挑战。面对目前网络安全的严峻形势，我国的网络安 全产品种类还不够丰富，而且现有产品在预测、反应、防范和恢复能力方面仍存在很多 不足。 2 2 常见攻击技术 网络攻击技术【1 3 】主要是指攻击者在进行网络攻击的过程中所使用的技术手段。经过 对目前已知的攻击事件的分析和归纳，我们可以将现有的网络攻击技术分成：扫描、口 令攻击、恶意代码、缓冲区溢出、欺骗、后门、会话劫持、网络监听和拒绝服务等【l 玉1 6 j ， 具体如下： ( 1 ) 扫描：是攻击者通过电脑和网络对网络上多个主机的服务和端口的检查来发 现主机的安全漏洞，并通过查找到的各个漏洞来搜集目标对象上的有用信息。 ( 2 ) 口令攻击：口令攻击是攻击者最常用的攻击手段之一。攻击者在攻击特定主 机时首先通过对主机上的系统常用服务的了解或通过对网络通信进行监听来搜集该主 机上的账号，当找到主机上的账号后，就使用穷举法去尝试密码。一般用户经常用自己 的生日或某个自己熟悉的英文单词作为自己的密码，攻击者可以通过程序来自动地从所 设定的字典库里面找某个单词，以此作为密码来尝试进入到远程的主机系统，如果这个 密码不正确，则从字典库中找下一个单词，一个一个地进行试，一直到找到符合这个用 户名的密码或者把字典中的单词或者可用的组合都用完为止。由于这个找密码的过程一 般都是有计算机自动完成，因此程序一般都可以在很短的时间内把字典的所有单词或者 所有组合都查找一遍。 ( 3 ) 恶意代码：主要指病毒、蠕虫、逻辑炸弹、特洛伊木马等，病毒是一段计算 机程序，他有破坏性、传染性、隐蔽性和攻击性等特点，它通常通过潜伏在某个正常的 程序或者邮件数据中通过网络或者存储器感染其他主机，来破坏其程序或者硬件，从而 影响计算机和网络的正常运行；蠕虫也类似于一种计算机病毒，它可以自我复制并不断 传播，只是它不需要潜伏在宿主程序中，它可以自己生成一个可以自我复制的程序，并 自动地执行；逻辑炸弹是指在当处于某种特定条件下就会被激活的程序，一般都会产生 一些危害；特洛伊木马也是一种程序，和希腊神话中的特洛伊木马有很多的相似之处， 它是隐藏在一些正常程序中的一段代码，但是它一般都会自动连接网络，将一些具有破 坏性的程序或代码带入主机上，从而使攻击者能顺利控制主机。 ( 4 ) 缓冲区溢出：缓冲区是内存中的一个区域，它主要是用来临时存放数据的， 6 硕士论文 主动防御系统在校园网的应用研究 当正在运行的程序想把一些数据临时存放到这个部分，但是这个部分的空间又不够时， 就会出现溢出的情况。缓冲区溢出也是攻击者的一种攻击手段，攻击者向缓冲区中放入 超过缓冲区大小的文件或内容，有意造成缓冲区的溢出，从而破坏程序的堆栈，使得程 序转而执行攻击者的指令，使其达到攻击系统的目的。 ( 5 ) 欺骗：欺骗是指通过扰乱基于i p ( i n t e r a c tp r o t o c 0 1 ) 地址或主机名的信任或认 证的方法从而达到攻击目的的攻击手段。它主要是针对h t t p ( h y p e rt e x tt r a n s f e r p r o t o c 0 1 ) 、f t p ( f i l et r a n s f e rp r o t o c 0 1 ) 、d n s ( d o m a i nn a m es y s t e m ) 等协议的攻击， 通过对这些协议的攻击，攻击者可以窃取到普通用户甚至超级用户的权限，从而完成对 主机的控制，造成巨大危害。目前较流行的是i p 欺骗( 使用其他计算机的i p 地址来获 得信息或者得到某些特权) ，电子邮件欺骗( 电子邮件的发送方地址的欺骗) 、d n s ( d o m a i nn a m es y s t e m ) 欺骗、w e b 欺骗( 主要是电子商务的授权等) 以及非技术类 欺骗等。 ( 6 ) 后门：攻击者所利用的后门可以是在软件开发阶段，程序员在软件内创建的 以便修改程序中缺陷而预留的，也可以是由别的攻击者在攻陷系统之后，为方便其再次 进入而开启的隐蔽通道。一旦后门被发现，攻击者就会利用其绕过系统已经设置好的安 全系统，获取系统的安全存取权限，从而达到攻击的目的。 ( 7 ) 劫持：网络劫持是指攻击者控制了两个实体之间的通信，并且伪装成其中的 一方与另一方进行通信。这种攻击的前提条件是用户账号和密码信息都是以明文方式进 行传输的，但是由于互联网现行的很多协议没有采取任何加密或身份认证技术，如 t e l n e t 、f t p ( f i l et r a n s f e rp r o t o c 0 1 ) 、h 订p ( h y p e rt e x tt r a n s f e rp r o t o c 0 1 ) 、s m t p ( s i m p l e m a i lt r a n s f e rp r o t o c 0 1 ) 等协议，所以攻击者可以很方便地利用数据包截取工具收集到采 用这些协议的账号、密码和所传递的信息。在这种攻击方式中，攻击者首先寻找到一条 现有的两台主机间的连接，然后通过对主机所用的相关顺序号的检测，得到合法用户的 地址信息，然后再模仿其中一台主机的用户地址来劫持该用户的正常通话，这样，主机 会断开与合法用户的连接，攻击者就获得了与合法用户同样的访问权。 ( 8 ) 网络监听：是指通过网络收集到从某一个主机上发出的信息。网络监听在任 何一个位置模式下都可以实施。当信息进行传播的时候，可以利用某些工具，将网络接 口设置在监听的模式下就可以将网络中正在传播的信息截获，从而进行攻击。网络监听 可以直接截获到主机的账号和密码，甚至某些秘密和私人信息，从而破坏网络问的安全。 因为运行监听程序的主机在监听过程中不与其他的主机交换信息，也不会修改在网络中 传输的数据包，它只是被动地接收在网络中传输的信息。因此网络监听是一种很难被侦 测到的攻击行为。 ( 9 ) 拒绝服务d o s ( d e n i a lo f s e r v i c e s ) ：从网络攻击的方法和产生的破坏情况看， 拒绝服务是一种又简单又有效的进攻方式，它是指故意攻击网络协议实现的缺陷，或直 7 2 网络安全技术概论硕士论文 接通过野蛮的网络连接来耗尽被攻击对象的资源，目的就是让目标主机拒绝外界的服务 访问，破坏组织的正常运行，最终使目标主机的部分i n t e r e n t 连接和网络系统失效。典 型的拒绝服务攻击形式主要是资源耗尽和资源过载。d o s 的攻击方法有很多种，最基本 的就是利用合理的服务请求来占用过多的服务资源，使服务超载，从而使合法的用户无 法得到合理的服务。这种攻击会导致网络带宽、文件系统空间容量、开放的进程或者向 内的连接这些网络资源的匮乏，无论主机的处理速度多么快，内存容量多么大，互联网 速度多么快都无法避免这种攻击带来的后果。d d o s ( 分布式拒绝服务攻击) ，它的英文 全称为d i s t r i b u t e dd e n i a lo fs e r v i c e s ，是一种基于d o s 的特殊形式的拒绝服务攻击，它 采用比较特别的体系结构，用很多分布在不同地方的主机同时攻击一个目标，是一种分 布协作的大规模的攻击方式，也是拒绝服务攻击的一种升级和发展。 由于网络及技术的发展和普及，攻击者的水平不断提升。攻击者直接从原始的代码 当中就可以提取未知的漏洞从而得到的攻击方法已经变得越来越多，而且目前攻击者可 以借助的软件的功能也越来越强大，所以只要是了解一些黑客技术的初学者都可以借助 这些攻击软件很轻易地攻陷整个网络系统。 2 3 传统网络安全防御技术 由于目前威胁网络安全的各种攻击技术越来越多，我们就必须要研究一些对付这些 攻击技术的方法和工具。现有的网络安全防御技术【l 7 】主要包括身份认证、访问控制、加 密、防火墙、入侵检测等。目前这些安全防御技术已经构建了一个多层次的网络安全体 系，身份认证和防火墙主要负责“御敌于国门之外”，将攻击着阻挡在系统之外，访问 控制和加密技术使攻击者难于获取信息，或即使获取了信息也无法明白其含义，入侵检 测负责监视网络和系统的运行。下面对这些安全防御技术分别进行简要的介绍。 ( 1 ) 身份认证：任何一个安全的计算机系统都是以身份认证为前提的，用户通过 身份认证向系统证明“我是谁 。常用的用户认证机制主要有用户名密码方式、采用挑 战或应答机制的强用户认证机制、数字签名以及智能卡认证、动态口令等方法。有时我 们还会采用双向认证的方式互相证明身份。 ( 2 ) 访问控制技术：访问控制实质是对资源使用的限制，可以有效防止非授权用 户对系统资源的非授权访问。访问控制依赖于身份认证，根据对用户身份的鉴别，而给 予其相应的访问权限，也可以通过用户组的方式将组成员的关系和相应的访问权限联系 起来。访问控制的功能主要有防止非法的主体进入受保护的网络资源，允许合法用户访 问受保护的网络资源，防止合法的用户对受保护的网络资源进行非授权的访问。访问控 制主要通过口令注册，用户分组控制，文件权限控制三个层次来实现。访问控制分为自 主访问控制和强制访问控制两种方式。访问控制策略是网络安全防范和保护的主要策 略，其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合 8 硕士论文 主动防御系统在校园网的应用研究 才能真正起到保护作用，而访问控制是保证网络安全最重要的核心策略之一。访问控制 策略包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策 略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等7 个方面 的内容。 ( 3 ) 数据加密技术：数据加密简单地说就是把别人看得懂的东西变成别人看不懂 的内容，其目的在于保护数据在网上安全传输，即使数据被窃取，窃取者得到的也是看 不懂的信息，这是一种最基本的网络安全技术。传统的数据加密为置换或替换，使用密 钥将明文中的每一个字符转换为密文中的一个字符。而置换仅将明文的字符按不同的顺 序重新排列。单独使用这两种方法的任意一种都是不够安全的，但是将这两种方法结合 起来就能提供相当高的安全程度。按照收发双方密钥是否相同，加密算法通常可以分为 对称加密和非对称加密两种。对称加密算法中，收发双方使用相同的密钥，例如美国的 d e s ( d a t ae n c r y p t i o ns t a n d a r d ) 、欧洲的i d e a ( i n t e r n a t i o n a ld a t ae n c r y p t i o na l g o r i t h m ) 等，对称加密算法有保密强度高、加密速度快等优点，但其密钥必须通过安全的途径传 送，因此密钥的分发是一个比较关键的问题。在非对称加密算法中，收发双方使用的密 钥互不相同，而且几乎不可能由加密密钥推导出解密密钥，比较著名的公开密钥算法有： r s a ( 由r i v e s t 、s h a m i r 以及a d l e m a n 三个人共同提出的) 、e c c ( e l l i p t i cc u r v e s c r y p t o g r a p h y ) 、背包密码等，其中以r s a 算法应用最为广泛。 ( 4 ) 防火墙技术：防火墙是是目前网络安全技术中最实用也是最常用的技术，简 单地说，防火墙就好比中国古代的长城，它的作用是抵御外来者的入侵，在我们网络安 全中的防火墙是一种采用计算机硬件和软件相结合的技术，应用到产品是常见的一个或 一组网络设备。它对网络的保护方式也可以认为是在内网与外网之间构造了一个附加的 保护层，成为数据进出内外网络的必经之道，这样就可以对流经的数据进行检测，对危 险的数据进行限制，从而保护内部网络，实现对内网的保护。防火墙主要由过滤器 ( f i l t e r ) 、网关( 内部网关i n t e r n a lg a t a w a y 、外网网关b a s t i o nh o s t ) 等部分组成，各部 分协同工作。防火墙的所基于的技术大致有三种：包过滤( p a c k e tf i l t e r i n g ) 技术，电 路网关( c i r c u i tg a t e w a y ) 技术和应用网关( a p p l i c a t i o ng m e w a y ) 技术。现在主流的防火 墙主要采用应用网关技术为主、包过滤技术为辅的方式来构建系统。 ( 5 ) 入侵检测( i d s ) ：i d s 英文全称为i n t r u s i o nd e t e c t i o ns y s t e m ，它对进出网络 或系统的数据进行捕获，通过对捕获到的数据进行分析，来发现网络或系统是否被攻击。 入侵检测分为主机型入侵检测系统和网络型检测系统；数据检测的常用方法是统计异常 发现和模式匹配。 以上技术中已经有比较成熟的网络安全产品的是防火墙和入侵检测。但它们都是基 于已知的攻击特征运行的，都有一定得缺陷。对于被动防御的防火墙，攻击者可以通过 查找它的漏洞来绕过其安全设置，而且防火墙对内部网络的攻击是无法防护的，此外， 9 2 网络安全技术概论 硕士论文 防火墙所能提供的网络数据控制手段也比较单一，不能满足复杂网络系统的要求。入侵 检测系统虽然已经有了一定主动性，但是因为很多的网络攻击其实都是基于正常的网络 连接进行的，所以有时候入侵检测系统会产生漏报或误报。 2 4 主动防御技术 根据前文的分析，目前主流的网络防护技术都是比较被动的防御手段，一般都是在 系统受到攻击之后才发现现有系统的防护手段的缺点，然后再弥补缺点，提高安全防御 水平，接着等待下一次有效攻击的出现。“与危险同行”仅有防范是远远不够的，更重 要的是找到入侵者或疏于防范的责任人，让他们付出应有的代价，并以此警示后人。毛 泽东早就谈及“积极防御”的问题，从战略上看，进攻才是最好的防御。我们不能消极 的等待攻击者的攻击，要主动出击，获取攻击技术的相关资料，了解其发展动向，及时 发现现有防御系统的漏洞，并及时弥补，才可能避免或减少损失。所谓主动防御系统， 就是用特有的特征吸引攻击者，同时对攻击者的各种攻击行为进行分析并找到有效的对 付方法的网络安全防护系统。 要构建安全有效的主动防御系统，我们在现有的安全防御技术外，还需要有一种新 的技术能帮助我们了解攻击者的攻击手段、所用工具等第一手资料，尤其是有关一些全 新的攻击技术的技术资料。这样我们可以通过所获取的资料，在新的攻击技术广为传播 之前就能找到有针对性的防御方法。蜜罐技术正是我们所需要的这种新的安全防御技 术。 它其实是一种网络欺骗技术，通过架设真实或虚拟的计算机系统，并在其上存放一 些虚假的或是不重要的信息，误导攻击者认为这些系统中存在着一些有价值的信息，从 而引诱其进行攻击。同时，这个计算机系统可以记录下攻击者所有的攻击活动，并且如 果需要，可以通过一定的设置来增加攻击者的工作量或者入侵系统的复杂度，从而使我 们了解真实系统的缺陷，并能及时地对防御漏洞进行修补。 首先，蜜罐系统就是一个专门让攻击者进行入侵攻击的系统，只有被攻击才能体现 它存在的价值。在蜜罐系统中的任何网络活动都可能与攻击者的攻击有关，不论攻击者 在蜜罐上做什么样的探测、攻击，其几乎所有的活动就会在蜜罐的日志中有所记录。 其次，蜜罐技术中可以包含类似于重定向的技术，将攻击者原本对正常工作主机的 攻击转移到对蜜罐主机的攻击，从而保护了我们真实的工作网络，又耗费了攻击者的时 间和资源。而且蜜罐系统可以通过防火墙来控制蜜罐主机的对外连接，这样即使系统被 攻击者攻陷，我们也可以防止攻击者利用蜜罐主机来攻击网络中其它正常的系统。 最后，在蜜罐系统中，几乎所有记录下来的数据都是攻击者的活动，没有别的数据 的干扰，方便我们通过统计和分析及时发现攻击者的攻击攻击，这样就可以在最快的时 间之内对系统漏洞进行有效地修补，提高了对外界网络防护的反应能力。另外，蜜罐系 1 0 硕士论文 主动防御系统在校园网的应用研究 统所收集到的入侵者的活动信息还可以作为入侵证据或用于追踪入侵者。 3 蜜罐和蜜网技术硕士论文 3 蜜罐和蜜网技术 3 1 蜜罐 3 1 1 蜜罐的起源和定义 “蜜罐做为网络安全的特定名词，第一次是在c l i f f o r ds t o u 所著的mc u c k o o se g g ) ) 1 9 】中出现的，这本出版于1 9 9 0 年的小说描写的是一个公司的网络管理员追踪并 发现一起商业间谍案的故事。蜜罐，英文名称为h o n e y p o t ，蜜罐就是一台没有进行任何 安全防范措施或只有一些简单防范手段并且连接到互联网上的计算机，但是与一般的计 算机不同的是，在它的内部一般会运行着很多网络服务和特殊用途的“自我暴露程序 。 要诱惑黑熊上钩，蜂蜜就必不可少。蜜罐的定义有好几种版本，在这里我们采用l a n c e s p i t z n e r 给出的蜜罐定义【7 1 1 2 0 1 ：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。 从这句话我们就可以知道，蜜罐不提供任何有用的网络服务，它只是等待着网络攻击的 到来，所有在蜜罐系统进出的网络流量都意味着一次新的网络攻击的进行。 一个合格的蜜罐系统应该至少有如下功能：发现攻击、产生警告、记录、欺骗、协 助调查。另外还有一些功能是由管理员去完成，例如在必要时候根据蜜罐收集的证据来 对攻击者进行反击。而其中最为重要的功能就是对系统中所有的活动数据进行监视、记 录、统计和分析。网络安全管理员通过对系统的精心伪装，使攻击者在进入到目标系统 后仍不知道自己的行为是在监控之下的，为了吸引攻击者，蜜罐系统通常会有一些故意 布置的后门以吸引攻击者上钩，或者存放一些攻击者所需要的敏感信息来吸引攻击者。 蜜罐系统就好比是一个情报收集系统，其所收集到的信息我们除了能用来作为分析和研 究攻击技术的重要资料，提高系统自身防御能力外，还可以用来对攻击者的定位，作为 对攻击者进行起诉的证据。 网络的开放性和资源的可监视性是蜜罐系统的基本构造思想【2 1 1 。网络一开始就是为 了资源的共享，而且开