同时加固服务器来提高网络安全防护水平。
1 蜜罐技术
蜜罐(Honeypot)这一概念最初出现在1990年出版的一本小说枟TheCuckoo’sEgg枠中,这本小说描述了主人公作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。蜜网项目组(TheHoneynetProject)的创始人LanceSpitzner‘给出了蜜罐的定义:蜜罐是一种安全资源,其价值在于被扫描和攻击。这个定义表明蜜罐并无其他实际作用,但是所有流入和流出蜜罐的网络流量都可能预示了扫描和攻击,而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析[1-3]。
蜜罐最为重要的功能是对系统中所有操作和行为进行监视和记录,网络管理员可以通过精心的伪装,使得攻击者在进入到目标系统后仍不知道自己所有的行为已经处于系统的监视下。为了吸引攻击者,通常在蜜罐系统上留下一些安全后门以吸引攻击者上钩,或者放置一些网络攻击者希望得到的敏感信息,当然这些信息都是虚假的信息。另外一些蜜罐系统对攻击者的聊天内容进行记录,管理员通过研究和分析这些记录,可以得到攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息,还能对攻击者的活动范围以及下一个攻击目标进行了解,同时在某种程度上,这些信息将会成为对攻击者进行起诉的证据。
2 蜜 网
蜜罐技术发展成果之一就是出现了蜜网(Honeynet),实质上仍是一种蜜罐技术。蜜网是一种对攻击者进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务以及信息诱使攻击者对它们进行攻击,减少对实际系统所造成的安全威胁。
蜜网是由多个蜜罐以及防火墙、入侵防御系统、系统行为记录、自动报警、辅助分析等一系列系统和工具所组成的一整套体系结构,这种体系结构创建了一个高度可控的网络,使得安全研究人员可以控制和监视其中的所有攻击活动,从而去了解攻击者的攻击工具、方法和动机;蜜网也是一种高交互型的用来获取广泛的安全信息的蜜罐,高交互意味着蜜网是用真实的系统,应用程序以及服务来与攻击者进行交互。
蜜网体系结构具有3大关键需求:数据控制、数据捕获和数据分析。数据控制是对攻击者在蜜网中对第三方发起的攻击行为进行限制的机制,用以降低部署蜜网所带来的安全风险,这时既要给入侵者一定的操作权限,同时也要其拒绝所有攻击其它机器的行为,这就需要一个自由度和安全性的权衡。数据捕获,即监控和记录攻击者在蜜网内的所有行为,最大的挑战在于要搜集尽可能多的数据,而又不被攻击者所察觉。数据分析则是对捕获到的攻击数据进行整理和融合,以辅助网络管理员从中分析出这些数据背后蕴涵的攻击工具、方法、技术和动机。
3 基于蜜罐技术的校园网络安全系统方案
根据上述的蜜罐技术分析及校园网络的特点,转被动防御为主动防御,构建基于蜜罐技术的校园网络安全方案,其结构如图1所示。
该系统将蜜罐服务器、入侵检测系统、日志服务器和双层防火墙有机地结合为一个整体,极大地提高了校园网络系统的安全防御能力。蜜罐服务器容纳利用VMware虚拟出来的操作系统例如Windows和Linux等,通过日志代理软件将记录入侵者的攻击行为传输给日志服务器;入侵检测系统对所有进出蜜网的数据进行捕获和控制,然后对所捕获信息加以分析,以便获取关于入侵者的相关攻击信息;针对系统日志被入侵者破坏的情况设立远程日志服务器,由其收集各数据源,包括防火墙日志、入侵检测日志,主机记录日志、嗅探器的数据,将收集到的数据按照统一的格式进行分类、归纳,以供分析利用;外网防火墙对入网的信息严格控制,将大部分的入侵行为进行隔离,内网防火墙用于隔离蜜网,避免蜜网被攻破后产生的连锁反应;防火墙中可以嵌入Agent子系统使入侵检测系统、蜜网和防火墙联动,Agent是以主动方式代表用户完成一定操作的计算机软件,一个Agent具有承担一定任务和求解某些问题的能力,能够决策如何及时完成任务和提交结果,同时能对环境的变化自主进行一些灵活的自动化反应的计算机程序。防火墙、蜜网、入侵检测系统三者通过Agent分工协作,共同完成防御外部攻击的任务,因为各个系统之间的联动和信息共享,以及不同侧重点的任务相互配合,可以缩短处理时间,同时提高收集数据的准确性。
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库基于蜜罐技术的校园网络安全系统方案设计(2)在线全文阅读。
相关推荐: