基于蜜网技术的校园网安全系统的研究与实现硕士论文选.doc

XXXX 大 学 2007 级工程硕士研究生选题报告选题 名称：基于蜜网技术的校园网安全系统的研究与实现 学 院：计算机学院 学科 专业：计算机技术 研究生姓名： 导师 姓名： XXXX大学学位管理办公室制2009年 11 月 30 日 填 注：工程硕士向学院送交选题报告时，同时提交工程硕士培养计划（可在研究生院主页表格下载中下载）1. 课题的背景和意义随着互联网的快速发展, 越来越多的应用通过网络来实现, 同时网络的安全也面临着巨大的考验。美国CERT（计算机应急响应组）统计的安全事件数量以每年翻番的惊人指数级增长，在2003 年已经达到了137,529 次。导致互联网目前如此糟糕的安全状况的原因有很多，一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷，同时，大部分的网络使用者还未真正拥有安全意识，也还很少进行安全加强工作，如及时打补丁、安装防火墙和其他安全工具等，从而导致了目前的互联网具有巨大的安全隐患。另一方面，随着网络攻击技术的发展，特别是Ddos攻击、跳板攻击及互联网蠕虫的盛行，互联网上的每一台主机都已经成为攻击的目标。同时攻击者也不再需要很多的专业技术和技巧，他们可以很方便地从互联网上找到所需的最新攻击脚本和工具,而这些由高级黑客们开发的攻击脚本和工具越来越容易使用，功能也越来越强，能够造成的破坏也越来越大。在此种环境下，作为互联网的重要组成部分教育网络特别是高等学校的教育网络也幸免于难。根据2006 年全国信息网络安全状况与计算机病毒疫情调查分析报告统计，校园网络发生安全事件的比例达到了60.6%，仅次于商业贸易、制造和广电新闻，由此可见校园网安全问题不容忽视。因此，作为高等院校如何构筑可靠的校园网络安全体系，成了当前高校急需考虑的问题。目前，随着互联网的发展，互联网攻击的手段也越来越简单、越来越普遍，攻击工具的功能却越来越强。高校有相当数量计算机技术水平较高的学生，不管这些活跃群体处于恶意破坏还是满足好奇之心，他们的攻击相比来自外部的攻击更为可怕，威胁更大。而且，各种类型网站和程序的应用，造成病毒泛滥，也形成对校园网络安全的严重冲击。针对如此严重的安全威胁，而我们却仍然对黑客社团所知甚少。当网络被攻陷破坏后，我们甚至还不知道对手是谁（黑客、脚本小子还是蠕虫？），对他们使用了哪些工具、以何种方式达成攻击目标，以及为什么进行攻击更是一无所知。 “知己知彼，百战不殆”，安全防护工作者，无论是安全研究人员、安全产品研发人员、安全管理人员和安全响应服务人员，都需要首先对黑客社团有深入的了解，包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。只有在充分了解对手的前提下，我们才能更有效地维护互联网安全。目前主流的网络信息安全的防护技术有防火墙、入侵检测等，校园网络由于资金或观念等方面的原因，大多都用之防范外网的攻击，对来自内部的威胁没有良好的防范手段。而且防火墙依赖于现成的规则库，入侵检测系统需要现成的模式库，通过进行匹配来识别非法连接和攻击，就是说这两种技术都是被动的手段，都依赖于事先对非法连接、非法访问有一个清楚的认识，它们对已知的攻击将起到十分重要的作用，但是对于未知攻击，还没有在防火墙规则库和入侵检测模式库中建立规则和模式定义的攻击、非法行为，防火墙和入侵检测技术(IDS)显得力不从心, 这就需要引入一种全新的主动入侵防护 ( Intrusion Prevention System, IPS) 技术, 蜜网技术 (Honeynet) 的出现有望使得目前这种现状得到改善。它通过构造一个有着明显安全漏洞的系统来引诱入侵者对其进行攻击, 让攻击者将时间和精力都费在蜜网中,从而使他们远离真正的网络。因此，对蜜网技术的研究具有很高的学术意义和实用意义。2. 国内外研究现状Honeynet(蜜网)是honeypot(蜜罐)领域一相对较新的概念，1999年8月发表的一篇文章如何构建honeynet，首先提出了honeynet的概念。简单的说就是一个或者多个蜜罐组成的网络系统。随着蜜罐技术不断发展，后又形成了“蜜网项目组”，更深层次的开发蜜网技术。为了取得更大范围的蜜网工作，以及获得更多的蜜网项目信息，扩展蜜网在互联网上的应用和研究，2002年又成立了“蜜网研究联盟”。 该联盟致力于对honeynet技术的提高和进一步开发，促进不同研究组织对honeynet的研究和部署。截止到2007年1月初，已经有个来自23个不同国家和地区的组织加入到该联盟。蜜网项目组初期(1999年至2001年)就提出了第一代蜜网的结构模型，主要研究蜜罐系统模型的试验和蜜罐理论的验证，并且验证了蜜网的可行性和有效性。蜜网中期(2002年至2004年)的研究提出了第二代蜜网结构模型，研究的核心放在简化蜜网的应用上，着重考虑了数据控制、数据捕获、数据分析。初期的蜜网功能虽然强大，但是实用性较差，有很多版本都是基于命令行的安装，有些功能具体到用户来说不实用或者是根本就不需要的，所以经过中期的研究，在延续了蜜网初期的强大功能基础上，将蜜网所需要的工具软件都集中在一张自启动盘上，使得蜜网的应用扩展到教育、商业、军事等领域。从2005年至今，蜜网项目组研究的重点转移到数据捕获和数据分析上，并且一直致力于提高蜜网的易用性，同时随着研究的深入提出了第三代蜜网结构模型。目前，对蜜罐及蜜网技术的研究集中在以下三个方面：动态蜜罐技术(dynamic honeypot)：能自动配置一些虚拟蜜罐，并根据网络状态，动态地进行自适应；蜜场技术(honey farm)：用于大型分布式网络，蜜场是安全操作中心，控制操作所有的蜜罐；蜜标技术(honeytoken)：蜜罐概念的扩展，使用一些正常情况下永远都不会使用的信息内容作为诱饵。国内的蜜网技术研究开展的比较晚，对蜜网的研究才刚刚起步，还没有多少系统论述的文章，但是已经出现了少量的文献和一些具体的蜜网系统。北大蜜网的狩猎女神项目组就是少数系统研究蜜网系统的组织。狩猎女神项目组 (The Artemis Project)是北京大学计算机科学技术研究所信息安全工程研究中心推进的蜜网研究项目，项目组于2004 年9 月份启动，12 月份在互联网上依照第二代蜜网技术部署了蜜网，捕获并深入分析了包括黑客攻击、蠕虫传播和僵尸网络活动在内的许多攻击案例。项目组于2005 年2 月份被接收成为世界蜜网研究联盟的成员，成为国内第一支参与该联盟的团队，被蜜网研究联盟主席Lance Spitzner 命名为Chinese Honeynet Project。狩猎女神项目是北大计算机研究所的一个重点研究项目，项目组目前的研究内容包括：使用最新的蜜网技术对黑客攻击和恶意软件活动进行全面深入的跟踪和分析；研发功能更强的攻击数据关联工具，以提高蜜网技术框架的数据分析能力。目前狩猎女神项目部署的蜜网融合了“蜜网项目组”最新提出的第三代蜜网框架、honeyd虚拟蜜罐系统、以及mwcollect和nepenthes恶意软件自动捕获软件。3. 研究内容1）介绍分析现有被动防御系统的优缺点。2）介绍蜜罐技术工作原理，分类，和与之相关技术。3）根据校园网络的现状和今后将会遇到的一些问题，分析校园网络应该具备哪些安全措施，提出基于主动策略的校园网络安全系统的建设思路。4）研究利用主动策略的校园网络安全系统与传统的网络安全技术相结合的办法来提高网络安全性能。5）分步设计并实现基于蜜罐技术的校园网安全系统。4. 技术路线运用蜜罐和蜜网在校园网中部署能够捕获攻击者的攻击，收集攻击数据，分析和抑制攻击的主动防御的安全系统。该系统结合IDS、防火墙和蜜罐技术，相互补充，进一步提高我们校园网络的防御能力。安全系统主要由4 个模块组成，它们分别是数据捕获模块、数据控制模块、日志模块和响应模块。数据捕获模块捕获系统的一切数据包括网络数据和系统数据；数据控制模块作为系统的控制中心，控制一切可疑行为，并协调各部分工作；日志模块专门负责对系统产生的日志进行统计分析，以获取攻击者的动机、方法和工具等信息；响应模块则对可疑行为进行自动的响应。我们的安全模型是基于网络的，它的网络拓扑结构如下：图1 基于蜜罐技术的校园网安全系统网络结构(1) 外部防火墙作为校园网络的第一道防线，将大部分的入侵行为进行隔离。该防火墙采用的策略是：对入境的通信严格控制，而对出境的通信则按安全策略放行。(2) 内部防火墙在安全系统内，入侵行为记录进行更为详细的日志记录，这里的出入境数据都是可疑的。内部防火墙的设置与外部防火墙恰巧相反，即对入境的通信放宽，以便收集更多的数据、证据；而对出境的通信则按安全策略严格控制，防止入侵者利用该系统作为跳板，对其它系统进行进一步的攻击，但也应该允许必要的出境数据，以免被入侵者识破陷阱。同时在该防火墙上实现入侵检测的功能。为了更进一步收集数据，在内部防火墙的内部安装嗅探器，对进入系统的每一个数据包都做记录。(3) 蜜罐网络的主机提供各种服务，并且运行一个日志代理，将主机的行为进行记录，定期向日志服务器报告，提高系统的安全性。(4) 日志服务器收集各数据源，包括防火墙日志、入侵检测日志，主机记录日志、嗅探器的数据，将收集到的数据按照统一的格式进行分类、归纳，以供分析利用。系统的网络接口配置成为二层的网桥，连接校园网和系统，不会对网络数据包进行TTL 递减和网络路由，也不会提供本身的MAC 地址，因此对攻击者而言，我们的系统是完全不可见的。数据控制模块在网桥上，所有进出的数据包都要首先经过它的处理。它对数据包头和内容进行分析处理，一旦发现异常情况激活日志模块并丢弃数据包。由于要将本系统对其它正常的系统的威胁降低到最小程度，因此我们要严格控制系统向外发送的数据包。本模块的各种行为都是由控制模块定义好的，如果没有特别的定义，那么它将采取缺省的行为。蜜罐主机是一个真实的系统，上面提供各种服务及虚假信息，以引诱攻击者的攻击。一旦攻击者探测或进入主机，我们的数据捕获模块则对攻击者的网络数据和在主机上的行为数据进行捕获。日志模块主要用于抓取数据控制模块和数据捕获模块发送过来的任何数据包。因为这些数据包很有可能是攻击行为，将它们记录下来对于获得攻击者的第一手资料，尽快地分析出攻击行为有很大帮助。响应模块主要用来监视日志模块的情况，我们将定义一系列的响应报警事件，每个事件定义不同的报警级别。比如当外部的主机访问蜜罐主机时，则触发一级报警事件；当蜜罐主机主动发起外部连接的时候，这时有可能意味着主机已被入侵，则触发更高一级的报警事件。我们的报警响应方式可以是响铃、邮件或是短信等方式提醒管理员注意。5. 预期成果(1)通过分析现有校园网网络安全防御体系的缺点，提出了利用主动防御工具一蜜罐构建校园网络主动安全防御系统。(2)介绍了蜜罐和蜜网的发展现状和技术研究，通过研究设计并实现了一个主动安全网络系统。在这个系统中，利用Linux的防火墙网桥功能对外部网络与蜜罐网络进行桥接，利用防火墙和网络入侵检测系统对蜜罐网络进行数据控制和捕获，不让攻击者易察觉受到了监视。我们还利用系统活动捕获工具Sebek对攻击者在蜜罐上的活动进行捕获，加强了对攻击者活动的监控。把该系统部署在校园网内部，提高了对内部网络攻击行为的了解和控制，对攻击有一定的预警作用。(3)主动安全系统的基本功能主要有:了解攻击者攻击的技术和方法;发现系统的弱点和漏洞;收集攻击者攻击的证据;对攻击进行预警。6. 研究进度安排准备阶段设计开发阶段测试阶段实施阶段撰写论文初稿完成论文2009.11 2009.122010.1 2010.32010.4 2010.52010.6 2010.82010.9 2010.102010.10 - 2010.12收集资料，了解各种攻击技术，研究蜜罐和蜜网技术工作原理及相关知识，系统总体框架设计。安全系统测试与分析系统构建及实现完成论文初稿完善论文，答辩7. 参考文献1 李浪，李仁发，李肯立. 校园网主动防御体系模型. 科学技术与工程.2006.1.pp148-1502 诸葛建伟，张芳芳，吴智发. 斗志斗勇战黑客最新蜜罐与蜜网技术及应用. 电脑安全专家.2005.73 胡道远，阂京华. 网络安全.清华大学出版社.2003.74 尹佳勇，刘寿强，蒋建勋. 从IDS 到IPS 的主动防御体系研究. 计算机安全.2003.9.pp22.245 薛静锋，宁宇鹏. 入侵检测技术. 机械工业出版社.2004.pp4-256 宋劲松等译. Snort2.0 入侵检测. 国防工业出版社.20047 李之棠.动态蜜罐技术分析与设计J.华中禾胶大学学报(自然科学版)，20058 刘宝旭，曹爱娟，许榕生.陷阱网络技术综述J.网络安全技术与应用，2003(1):65一699 马莉波，段海新，李星. 蜜罐部署分析. 大连理工大学学报.2005.1010 柳亚鑫，吴智发，诸葛建伟. 基于Vmware 的第三代虚拟Honeynet 部署以及攻击实例分析.2005.8 . /honeynetweb/reports/基于Vmware 的第三代虚拟Honeynet 部署以及攻击实例分析.pdf11 唐世伟，梁兴柱，司国海. 基于虚拟机技术的产品型蜜网设计与实现. 大庆石油学院学报.2005.1012 吴智发. 基于Vmware workstation 的虚拟Honeynet. 2005.4 13 吴世忠等译. 黑客防范手册. 机械工业出版社.2006.pp29-31.60-1014 应锦鑫，曹元大. 利用蜜罐技术捕捉来自内部的威胁. 网络安全.2005.115 邱慧. “请君入瓮”-论蜜罐技术及其在保障校园网安全中的应用. 甘肃农业.200616 诸葛建伟，吴智发，张芳芳，叶志远，邹维. 利用蜜网技术深入剖析互联网安全威胁. 中国计算机大会(CNCC2005) .2005.1017 诸葛建伟，韩心慧，叶志远，邹维. 僵尸网络的发现与跟踪. 全国网络与信息安全技术研讨会.2005.818 王春海. 虚拟机配置与应用完全手册. 人民邮电出版社.2003.pp6-32 240-24519 王璐，秦志光. 业务蜜网技术与应用. 计算机应用.2004,24(3)20 吴震. 入侵诱骗技术中诱骗环境的研究与实现. 计算机应用研究.200321 黄肠，胡伟栋，陈克非. 网络攻击与安全防护的分类研究. 计算机工程.200222 唐正军. 网络入侵检测系统的设计与实现. 电子工业出版社.200223 黄鑫，申传宁，吴鲁加. 网络安全技术教程一攻击与防范. 中国电力出版社.200224 曹爱娟,刘宝旭,许榕生. 网络陷阱与诱捕防御技术综述 J . 计算机工程, 2004 (5).25 贺庆涛,马永强,唐华安. 蜜网系统的研究与设计 J 成都信息工程学院学报, 2005 (10).26 王旅. 新一代蜜网技术剖析 J . 航空计算技术, 200427 夏威. 主动的网络安全防御技术蜜网技术. 职大学报,2005, 228 王铁方,李涛. 蜜网与防火墙及入侵检测的无缝结合的研究与实现. 四川师范大学学报( 自然科学版) , 2005, 129 张家喜. 一种全新的陷阱网络系统的设计与实现. 池州师专学报, 2005, 1030 诸葛建伟, 徐辉, 潘爱民. 基于面向对象方法的攻击知识模型. 计算机研究与发展, 2004, 41(7).31 夏春和，吴震.入侵诱骗模型的研究与建立J.计算机应用研究，2002，19(4):76一7932 陈雷霆，文立玉，李志刚.信息安全评估研究仁J.电子科技大学学报，2005，(03)33 庞辽军.秘密共享技术及其应用研究D.西安电子科技大学，200634 赵洪彪.信息安全策略概述J.计算机安全，2003，(03)35 詹挺.陷阱系统的研究与设计J.贵州工业大学学报(自然科学版)，2004，33卷，6期，36 (美)LaneeSpitzner著，邓云佳译.Honeypot:追踪黑客.北京:清华大学出版社，2004.937 许榕生，刘宝旭，杨泽东著.黑客攻击技术揭秘M.机械工业出版社，200238 吴震.入侵诱骗技术中诱骗环境的研究与实现J.计算机应用研究，2003，9(5)39 锁廷锋，马士尧.网络欺骗技术J.信息网络安全，2003，140 杨守君.黑客技术与网络安全M.北京:中国对外翻译出版社，2000:6一1341 诸葛建伟.蜜罐与蜜罐系统技术简介.北大狩猎女神项目组技术报告，200442 崔志磊，房岚，陶文林一种全新的网络安全策略蜜罐及其技术J.计算机应用与软件，2004，21(2)43 卿斯汉，蒋建春.网络攻防技术原理与实践M.科学出版社，2004，144 何全胜，姚国祥.网络安全需求分析及安全策略研究J.计算机工程，2000，645 赵双红，刘寿强，夏娟.基于诱骗式蜜罐系统设计与应用J.计算机安全，2003，2046 李江，张峰，秦志光.Telnet和一1FTP协议下跟踪用户操作的一种方法J.计算机应用，2003.8:133一13547 蒋宗礼，姜守旭.形式语言与自动机理论仁M.北京清华大学出版社，2003:89一9048 张文波，王成.浅析Linux系统的网络安全策略和措施J.吉林师范大学学报，2003，2:636549 王璐，秦志光.业务蜜网技术与应用J.计算机应用，2004，24(3)50 蒋春芳.建模仿真在网络安全中的应用仁J.网络安全技术与应用，200351 张芳芳.DTK欺骗工具包介绍.北大狩猎女神项目组技术报告，200452 胡建伟，杨绍全.欺骗网络体系框架研究J.网络安全技术与应用，2004.3:20一2353 熊明辉，蔡皖东.高交互型蜜罐的设计与实现J.信息安全与通信保密，2005.254 杨奕.基于入侵诱骗技术的网络安全研究与实现J.计算机应用研究.2004.3.P23一23255 阮耀平，易江波，赵战生.计算机系统入侵检测模型与方法J计算机工程，1999，25(9) 56 段珊珊，李听.基于欺骗的网络安全技术J.计算机时代，2003.9:9一1057 李晓钱张玉清.Linux内核防火墙底层结构分析J.计算机工程与应用，2002 58 裴建.防火墙的局限性和脆弱性及蜜罐技术的研究J.科技情报开发与经济，2005，巧59 曹爱娟，刘宝旭，许榕生.抵御DDoS攻击的陷阱系统J.计算机工程，200460 唐世伟，梁兴柱.基于虚拟机技术的产品型蜜网设计与实现J.大庆石油学院，200561 程杰仁，殷建平，唐勇，吕绍和.基于代理的Honeypot系统的分布式模型C.2000年全国理论计算机科学学术年会论文集，东北师范大学学报2005，32(8):228一23062 Lindqvist U, Jonsson E, How to systematically classify computer security intrusions. In Proceedings of the 1997 IEEE Symposium on Security and Privacy, Oakland, CA, IEEE Computer Society Press, 1997, 154163.63 LaneeSpitzner.TheValueofHoneypots.PartTwo:HoneypotSolutionsandLegal Issues. 200664 2004 CSI/FBI COMPUTER CRIME AND SECURITY SURVEY./65 NeoWorx. Specter . .66 Network Associates Technology,Inc.CyberCop Sting.http: /www. 67 Recourse Technologies, Inc.Mantrap. http:/www. recourse. com.199968 L.Spitzner.The Honeynet Project: Trapping the Hackers IEEE Security & Privacy vol. 1. no.2.2003.pp15-2369 Aleph One, Smashing the stack for fun and profit,Phrack Magazine, 7(49), November 1996.70 Clifford Stoll.The Cuckoos Egg:Tracking a Spy Through the Maze of Computer Espionage.Pocket.2000.1071 L. Spitzner. “Honeypot - Definitions and Value of Honeypots”. 2003.05.72 L. Spitzner . Dynamic Honeypots,. 2003.09.15 . 73 Lance Spitzner. 邓云佳译. honeypot:追踪黑客. 清华大学出版社74 The Honeynet Project. 曲向丽 潘莉译. 黑客大揭密. 中国电力出版社75 Bill Cheswick. An Evening with Berferd In Which a Cracker is Lured,Endured,and Studied .Proceedings of the Winter 1992 Usenix conference .1992 ./who/ches/papers/berferd.ps76 Honevnet Project . Know Your Enemy: Defining Virtual Honeynets-Different types of Virtual .2003.1 . 77 user-mode-linux . /78 The Tcpdump Group . tcpdump . 79 Kendall K, A database of computer attacks for the evaluation of intrusion detection systems Master thesis, Department of Electrical Engineering and Computer Science, Massachusetts Institute of Technology, 1999.80 The Honeynet Project. Know Your Enemy Honeywall CDROM. /papers/cdrom/index.html. 200481 the netfilter/iptables project. netfilter/iptables project homepage. http:/www. netfilter. org85 Dark Spyrit AKA Barnaby Jack, Win32 buffer overflows (location, exploitation and prevention), Phrack Magazine, 55(15), May 2000.83 Cheon Y. A Runtime Assertion Checker for the Java Modeling Lan2 guage. Technical Report 03209, Department of Computer Science, Io2 wa St