文献综述参考范本2.docx

《文献综述参考范本2.docx》由会员分享，可在线阅读，更多相关《文献综述参考范本2.docx（9页珍藏版）》请在三一办公上搜索。

1、文献综述（ 届）蜜罐技术学生姓名学 号院 系工学院计算机系专 业指导教师完成日期蜜罐技术摘 要：综述了蜜罐技术的发展，虚拟蜜罐（主动防御体系）的实现，所要用到的 关网络安全技术以及前景关键词：蜜罐；网络安全；虚拟蜜罐主动防御引言计算机网络技术飞速发展，并且已经渗透到我们的经济、文化、政治、军事和日 常生活中。然而在以信息为核心的网络中，高频率的黑客入侵事件、正在增加的计算 机犯罪给我们的网络安全带来强劲的挑战。近些年，虽然杀毒软件，防火墙，以及入 侵检测系统应运而生，并在各个领域得到了广泛运用，但是它们对网络的检测是基于 规则的，被动的，对于新的攻击无能为力，并且无法跟踪攻击者。所以单纯的防火

2、墙 与入侵检测系统在高要求的网坏境中已经不能满足要求。1蜜罐技术的发展1.1国外的蜜罐技术蜜罐思想最早的提出是在1988年加州大学伯克利分校白Clifford StollW 士发表了 一篇题为“Stalking the Wily Hack”r的论文t1，随后Bill CheswicJ写了关于蜜罐的名 为 “An Evening with Berferd in Which a Cracker Is Lured,Endured,and StUdied论文， 系统的提出了蜜罐的思想。各种蜜罐产品慢慢出现比如DTK、CyberCop Sting、 NetFacade等等。直到1999年HoneyNet

3、项目的创建可以说为蜜罐在安全领域的地倒 下了非常坚实的基础这个项目成功的展现了蜜5技术在研究和检测晰方面的价值 他们的系列文献Know Your Enemy”展示了他们的技术信息和研究成果。随着路 商业蜜罐工具存在着交互度低，容易被黑客识别等问题，安全研究人员需要一个完整 的蜜网体系。蜜网构成一个黑客诱捕网络体系架构。现在the honeynet project依然是 最具实力的研究蜜罐的非盈利组织。1.2国内的蜜罐技术在国内，一个组织推动着蜜罐技术的发展，它就是北大计算机研究所昔女神 项目组（。2004年9月，狩猎女神项目启动，三个后 他们就部署了 一个Gen II蜜网，并连入Interne

4、t 2005年2月22日Mr.Lance Spitznelt 布蜜网研究联盟接收狩猎女神项目，在这几年来，这个组织成果丰富，它也掌握着我 国最先进的蜜网技术以及软件具。2蜜罐概述以及应用技术2.1蜜罐概述蜜罐技术是一种主动的防御技术，也是一种安全资源，其存在的价值或者说目的 在于被探测、攻击。所以建立它的人故意让其存在着漏洞或者说缺陷用于引诱攻击者 进入受控的蜜罐，进行一系列的破坏活动，然后我们的蜜罐系统利用各种监控技术捕 获攻击者的行为和信息，了解攻击者所采用的攻击技术、攻击工具、攻击目的，攻击 者的位置等。我们可以通过这些用于：一，了解系统未知的漏洞或攻击技术并加以修 复。二，为学习黑客技

5、术提供实例，易于初学者了解，掌握。三，跟踪攻击者为以 后的法律追究提供证据四，混淆攻击者以保护目标主机的正常运行123。2.2蜜罐要用到的相关技术一般的蜜罐都需要四个基本的模块：网络欺骗技术，数据收集技术，数据分析技 术，数据控制技术。2.2.1伪装技术或者说网络欺骗技术对于蜜罐主机由于它负责与入侵者交互并且它是捕捉入侵者信息的主要场所，如 果蜜罐主机是真实的主机系统当然好，能够更好的吸引攻击者来入侵，但是由于存在 一定的风险，万一被攻破主机操作系统会受到影响，如果采用虚拟机技术如ftware 不但能很好的伪装成蜜罐而且解决了上面的问题。由于蜜罐系统并没有被授权任务，所以蜜罐系统的网络流量会很

6、少。进出系统的 一般都是攻击或者扫描流量，有些攻击者比较小心，会利用工具扫描系统网络流量， 发现异常会怀疑系统真实性并马上离开，所以要虚拟网络流量使流量分析不能检测到 欺骗。还有ip空间欺骗技术：一块畔上分配多个p地址来增加攻击者的攥空间虚拟系统动态配置，因为真实系统的系统状态总是随时间在变的。万一攻击者发 现系统状态不变，会引起怀疑后离开蜜罐。添加网络服务往往能在黑客面暴露漏洞引诱他们来!行攻击伪装技术的目的是使入侵者相存在有价值的、可利用的安全弱点。2.2.2数据采集技术数据采集是蜜罐的核心功能模块。它的目标是捕捉攻击者从扫描，探测，攻击到攻陷蜜罐主机离开蜜罐的所有动。现在的蜜罐采集技术尊

7、上在其他的安全工J的 基础上进行的，在外层是由防火墙（比如天网）来完成的，它对出入蜜罐的网络连接 进行日志的记录，日志被保存在防火墙本地，防止被黑客删除，第二层是由入侵检测 系统（IDS）来完成，它抓取蜜罐系绷所有的网络包存放在IDS本地，最里层的记 录由蜜罐主机完成，主要是蜜罐主机的所有系统日志所有用户击键序0和屏幕显示 这些信息最好备份到日志服务器。这里也可以用至如匕argus监控网络流数据，snort 入侵检测报警，pof得知对方机器系统信息。2.2.3数据分析技术它是蜜罐技术中的难点。要从大量的网络数据中提取出攻击行为的特征和模型是 相当困难的。它主要包舌网络协议分析网络行为分析攻击特

8、征分析和入侵报警等 数据分析对捕获的各种攻击数据进行融合与挖掘，分析黑客的工具、策略及动机，提 取未知攻击的特征，或为研究或管理人员提供实时信息需要用到相关工具口 ethereal2.2.4数据控制技术蜜罐作为黑客的攻击目标，总会有一定的风险。如果蜜罐被彻底的攻破，那么将 得不到任何有价值的信息。而且蜜罐系统也许会被作为攻击别人的跳板。所以我们要 对蜜罐向外发出的连接进行控制一般要靠两层控制一是靠防火墙隅jU外出的连接 二是通过利用路由器的访问控制能，对外出的数胞进行控制3,4。2.3蜜罐的分类蜜罐按照用途来分分为产品型罐与研究型蜜罐按照与攻击者所能达到的交互程度来划分为低交互型蜜罐、中交互型

9、蜜罐和高交 互型蜜罐2,5,6。2.4蜜罐的位置图1-1蜜罐布局如图1-1蜜罐布局所示：蜜罐1部署在防火墙之外用于检测系统漏洞扫描探测和瑚等，但不能对内部 网络进行保护，优点是防火墙、IDS、DMZ等不用进行调整，缺点是蜜罐被攻破勺 几率提升蜜罐2部署在服务器之间，用于混淆攻击者而且当攻击者扫描服务器时，蜜罐 2可以检测到该行为，并通过与攻者的交互取证其攻击行为蜜罐3部署在intranet中用于检测来自1 ntraiet内部的攻击蜜罐4部署在防火墙之后，目标是检测响应突破安全防线后威脱阻止攻击行 为蔓延。2.5蜜罐的优缺点优点：1误报率少。由于蜜罐系统未被授权任务，且它的自身流量都是欺骗黑客的

10、 所以实际进出蜜罐的流量都是有攻击性质的2对于未知的攻击，也许防火瑞和IDS都不能做出反应，但是使用蜜罐支术 在极大大部分情况下能够收集新的攻击与方法。3构建一个蜜罐系统的成本随软件和硬件技术的糜在逐渐降低缺点：1可被识别性，蜜罐系统毕竟不是拓的系统，尤其是对于一些低交互饕 罐，有可能被黑客识别。2有显微镜效应，对于正在攻击的蜜罐，我们能了解攻击者的行为，但 是要是不是在攻击蜜罐，我们无法得知攻击的行为T3风险性：一山还有一山高，再的蜜罐系统也有可敝攻破73实现一个基于网页的蜜罐系统实例一原理：给虚拟系统打上各种补丁。例如震荡波补丁冲击波补丁等等一一 打上，打造一个入侵者从服务本身缺陷来入侵的

11、可皆性几乎为0的系统。最后在这 个系统中安装I I S等第三方发布软件，架设W e b服务等。然后有意对外开放一蝎 在程序漏洞，（例如存在SQL注射）的Web程序，引诱入侵者前来 从而通过W e b日志等分析入侵者的作案手法。步骤一：安装vmware 6.0虚拟机软件，并且1建一个windows 2000 sever!勺虚拟机， 网络选择桥接。步骤二：在虚拟机上安装windows 2000 sevejS作系统。并打上相关补丁步骤三：安装IIS架设web服务器以对外开放veb服务。并放入有漏洞的网页。一段时间后，在 c. wlnnt system32logfiles.、W3SVC4中存放的是Wi

12、ndows 2000的IIS服务中的web日志，日志的命名方式是以时间1名的。例如ex101122它的 意思是 2010 年 11 月 22 日，打开日志发现：Mozilla/ 4 O+(compatibIe +MsIE+6 0+Wind0ws+NT+5 0)2004-06-30 06 1440 10 1 0 14 10. 10. 4. 114 80 GET/ data/ dvbbs6 mdb一 200。说明10.10.4.114下载了网页的数据库。在日志中还存在SQL注射的痕迹。因为10.10.4.114还提交了等式1=1和不等式 1=2,来查看返回结果，大概是因为他无法解数据库中的管理5的

13、用户名或者密码 日志中还存在2004-06-30 06 = 21:63 10J0.1.4 - 10.10.4.!14 SD POST /叩脸卿-200 MoLilla/4.0 +fcompatible: +MSIE+6.0:眼+NT+52004-0630 06;2:35 10. 10J.4 一 10.10,4.114 80 POST /uplFaa/admin! .asp - 200 Mozilla/4,0 +(compitibfe ； +M 引E+6,0 ；+Wintkn戏+NT+5.0)2004-06-30 06 ： 22 ：40 !0. JO. 1 .4 - 10 JO.4.114 B0

14、 POST /uploadF&ce/adninl Pisp - R00 Mnzilli/4.0+ ；+M 引 E+6.0 ； +Win 前盛+NT+5.0)004-06-50勰 10J0J .4 - 10.10,4,1 I 4 0 POST /uploadFate/ilminJ. asp200图1-2上传脚本文件如图1-2,入侵者采用了post手法，表明其用了工具上传了一些字符应该是木马，打开网页目录，的确发现 admi n1.asp的脚本文件将其删去。实例一能够发现入侵者，但是存在缺点。比如说没有报警系统，没有配置日志服务器，对进出系统的流量没有行监测，且日志的选择有一定的复杂性等等实例二原

15、理：不给这个虚拟系统打任何补丁，而是对其中可能遭到入侵者或病毒修改 的系统文件进行伪装.从而全面学习各中漏洞的入侵利用方例如通过3 3 8 9端口 入侵，输入法漏洞入侵等简单的入侵方法准备条件:Comlog1 01 (急藏在后台记录3md.exe行为的程序不会在进程中显示；ActivePerl MSWin32(Window下的 per I 解析器),Remote Administrator 款国外的远程 控制软件！步骤一：安装Comlog1.01步骤二：建立一个目录用来放cmd.exe的命令步骤三：安装activePerl以便给系统增力Perl的运行环境安装完成后就可以运ficmd命令行下的命

16、令，看是否在相关目录已经记录了。如黑客用ipconfig/al查看了侵入机的网络配置婀1-3图1-3 cmd命令行在机器目录下生成了黑客所使过的命令如图1-4图1-4 cmdOg1.01记录cmd命令将clg改成txt就可以查看黑客使用的命令了。步骤四：安装Remote Administrator在主机安装客户端配置蜜罐主机jp,和连接端口，在蜜罐主机安装服务器端配置密码。然后可以在本机中查看蜜罐虚拟机的一举一动如图 1-5 与 1-6。图1-5输入密码监控蜜罐图1-6屏幕监控这样一个典型的windowsT研究漏洞的HONEYPOT完成了冏7.小结蜜罐系统是由防守者主动吸引黑客进入的一个使防守

17、者具有主动优势的战场。 这个战场是有防守者搭建的，具有成熟功能的系统。用于捕捉并了解攻击者的行为， 动机，工具和技术。在这场不间断的网络知识与攻防工具的博弈中，将不断出现新的 思想与技术。随着网络攻防技术的发展，这四大模块在时间的浪潮中将不断的得到充实，一些新 的捕获思想与工具，新的数据分析软件与分析视图，新的数据控制机制都将不断丰富 蜜罐技术9。而且在以蜜罐为基础的发展中已经出现了如蜜网，蜜场等新的蜜罐形 式，蜜罐的种类也将多种多样。慢慢的在信息爆炸的今天以蜜罐为基础的保护机制将 在网络安全中扮演一个重要的色参考文献：1 Clifford stoll.STALKINGTHEWI!Y HACK

18、ERM. 1988年加州大学伯克利 分校：1-4陈超妙全兴蜜罐技术研究门计算机安全2009, 34-373 姚东驼蜜罐技术的原理及现状分析.企业导报2010,6 288-2894 谭琼玲浅谈蜜罐系统的实现技术T中国科技信息2010,7 80-825 颜德强梁忠，蒋萌辉蜜罐技术的研究与分柝.福建电脑2010,1 5-66 陈昊,吴启明.入侵检测系统中蜜罐技术的应用.电脑知识与技术2009,25(5) 7125-71267 乔佩利，岳洋.蜜罐技术在网络安全中的应用研究J.哈尔滨理工大学学报， 2009,3(14) 37-408 蓝狐狂人.蜜罐还是陷阱一一打造自己的罐+入侵检测系统J.黑客防线77-829 诸葛建伟蜜罐与蜜网技术J10 John Levine, Richard LaBella, Henry OweDidier Contis, Brian Culver.the use of honeynetsto derect exploited systemsacross large enterprisenetworkM.United States Military Acadey2003