原创《Honeyd在网络防御中的应用实践》:这是一篇与Honeyd论文范文相关的免费优秀学术论文范文资料,为你的论文写作提供参考。
摘 要:Honeyd是一个小巧的用于在网络上创建虚拟主机的后台程序.通过精心配置,将Honeyd引入到网络安全防御体系中,可在無需增加安全设备的情况下利用虚拟技术快速搭建网络入侵防御平台,对各类网络攻击行为进行监控,还可起到迷惑及拖延网络入侵的作用,弥补传统安全产品的不足.
关键词:Honeyd;虚拟蜜罐;蜜罐;主动防御;网络安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2018)01-0078-03
Abstract: Honeyd is a all daemon that creates virtual hosts on a network. By carefully configuring, Honeyd is introduced into the network security defense system, The network intrusion prevention platform can be quickly built without increasing the security equipment, it can monitor all kinds of network attack, and can also confuse and delay the network intrusion, which makes up for the shortage of traditional safety products.
Key word: Honeyd; virtual honeypot; honeypot; active defense; network security
1 蜜罐技术简介
1.1 蜜罐的定义
蜜罐是一种在互联网上运行的计算机系统,是网络管理员经过精心设计而部署下的诱捕网络攻击者的一个陷阱.“蜜网项目组”创始人Lance Spitzner将蜜罐定义为:“蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷”.
蜜罐系统是安全人员利用蜜罐技术模拟一个或多个存在漏洞的仿真主机及开放相应端口,故意暴露在攻击者的视野下,是专门为吸引并诱骗非法入侵者而设计的.蜜罐并没有向外界提供真正有价值的服务,正常用户不会与蜜罐产生数据流,因此所有与蜜罐系统发生的交互行为都被当做疑似入侵的可疑行为.
蜜罐还有迷惑及拖延网络攻击者对真正目标实施攻击的用途,将蜜罐部署在真实网络环境中,混淆网络攻击者对网络目标的识别和攻击,以此来消耗攻击者的时间.
1.2 蜜罐的价值
1.2.1 蜜罐的优势
蜜罐的核心价值在于监测、监控和分析攻击活动,作为新型的主动防御技术,在网络安全应用中有其优势:
1) 数据低污染,监测准确率高.蜜罐自身不对外提供任何实质性的系统服务,它只针对试图进行非法攻击的行为产生记录,是一个低数据污染的系统,安全监测的准确率高且漏报率小.
2) 部署成本较低,易于实现.蜜罐系统部署简单,配置灵活,搭建真实蜜罐环境或使用虚拟蜜罐环境在部署和实现上都相对简单且易于管理和维护,所耗资源极少.
3) 使用简单,适用性强.蜜罐系统对攻击行为的监测不会局限于某种特定的攻击技术或攻击行为,具有较好的适应能力,不需要维护特征数据库,也无需通过复杂算法来实现,能捕获新的攻击技术和方法供安全人员进行分析.
1.2.2 蜜罐的缺陷
蜜罐作为整个安全防御体系的一部分,也有其自身一些缺陷:
1) 模拟的局限性.蜜罐设计或模拟出存在漏洞的系统,与真实系统相比还是存在差别,技术较高的攻击者利用反蜜罐技术能识别出蜜罐的存在.
2) 数据收集范围有限.蜜罐仅记录与蜜罐系统产生交互的数据流,一旦攻击者发现并绕过蜜罐对其他网络设备实施攻击,蜜罐也将无法发捕捉到攻击者的信息.
3) 面临一定风险.为尽可能多地收集入侵者的信息,包括攻击所用的工具、实施攻击的思路和方法等,安全管理人员主动将蜜罐暴露在网络中,提供一些虚拟的服务以诱导入侵者对其进行攻击.但如果蜜罐被识破,安装蜜罐系统的主机系统存在被入侵者攻陷的风险,有可能成为攻击者对蜜罐主机所在网络实施攻击的跳板.
1.3 虚拟蜜罐技术
蜜罐按其实现方式可分成物理蜜罐与虚拟蜜罐,两者本质上是一致的.相比较而言,物理蜜罐的部署需要投入大量的硬件设备且每台设备都需要单独进行配置.而虚拟蜜罐则可通过虚拟化技术在一台硬件设备上实现多个蜜罐的部署.
1.3.1 Honeyd蜜罐简介
Honeyd[1]是一个虚拟蜜罐构建框架工具,可根据安全需要来配置及构建虚拟蜜罐主机和由虚拟蜜罐主机虚拟出来的复杂诱骗网络.它是具有低交互性、保护性的虚拟蜜罐系统框架,是一个小巧的用于创建虚拟的网络上的主机的后台程序,能让一台物理主机在一个模拟的局域网环境中配有多个地址(最多可以达到65536个),还可以依照一个简单的配置文件虚拟出真实主机上任何类型的服务.网络上其他主机可以对虚拟的主机进行ping、traceroute等网络操作.
2 Honeyd工作原理
Honeyd 主要系统部件包括[2]:包分配器、协议处理器、系统配置数据库、日志数据库和路由部件,如图1所示:
从图1的体系机构可以得知honeyd的大致工作流程为:由包分发器接受所有感兴趣的网络流量,根据事先设计好的配置,创建不同的服务进程来处理流量,作为交互响应发往网络的数据包被个性引擎进行修改,根据不同类型的操作系统特征伪装成真实操作系统.三个重要特征决定了的整体行为:对方只能从网络中与交互;给定配置的数量,可以模拟等量的虚拟主机;通过改变每个输出数据包与配置的操作系统特征相匹配,从而可以欺骗指纹识别工具[3].
Honeyd论文参考资料:
结论:Honeyd在网络防御中的应用实践为关于对写作Honeyd论文范文与课题研究的大学硕士、相关本科毕业论文Honeyd论文开题报告范文和相关文献综述及职称论文参考文献资料下载有帮助。
