一种基于蜜罐技术的入侵诱骗系统.pdf

华中科技大学硕士学位论文摘要随着Intemet的发展,传统的安全防护手段防火墙、入侵检测、虚拟专用网等在同黑客的斗争中发挥了巨大作用,但是却普遍缺乏网络防御的主动性和时效性。如何使网络安全防御体系由静态转为动态,防御措施从被动变为主动是我们要研究的问题。在详细分析防火墙、IDS与蜜罐的原理、结构和特点的基础上,设计了以蜜罐为主、入侵防御为辅的安全防御框架,实现了一种基于入侵诱骗的主动防御系统。系统采用两层防火墙设计,外防火墙的特点是“严进宽出”,内防火墙的特点是“宽进严出”,IDS放在防火墙之后,用于监视系统的异常,当发现可疑行为或入侵行为时,立刻将检测结果通知入侵行为重定向子系统。入侵行为重定向子系统根据检测结果,通知受可疑攻击的服务器系统,向诱骗主机进行必要的数据反馈,使诱骗主机模拟该受攻击的服务器的状态。由于防火墙能够完成数据控制,限制数据包的外出流量,保证蜜罐系统在被攻破后,不会被当作跳板攻击其他机器。入侵检测系统具有分析入侵行为,对攻击数据进行收集、分析和记录的功能,是防火墙的有力补充。蜜罐系统能够成功地构造一个虚拟网络,转移黑客、蠕虫病毒的注意力,这三者的有力结合使得被保护系统受攻击率降到最低。同时,防火墙日志、IDS日志和蜜罐主机的系统日志的收集,形成“三重捕获”,通过对这些攻击记录的分析,可以更好地理解所遇到的威胁,并且理解如何防止这些威胁,从而在与黑客的战争中获得最大的主动权。关键词:蜜罐,入侵检测系统,网络安全,网络诱骗,网络陷阱华中科技大学硕士学位论文AbstractWiththedevelopmentoftheInteract,thetraditionalinformationsecuritysolutionsuchasfirewall,IntmsionDetectionSystem,workingplaytheimportantroleagainsthacker,,structureandcharacteristicoffirewall,intrusivedetectionsystemandhoneypots,designasecuritydefenseframework,—layerfirewall,thecharacteristicofexternalfirewallis“closed-doorenrolling'’,thecharacteristicofinternalfirewallis‘‘open-doorenrolling”.Intrusivedetectionsystemisafterfirewalltomonitorthesystem’,,theintrusionredirectsubsysteminformstheserversystemthatmaybeattacked,thengivethenecessarydatafeedbacktodecoyserver,,confinepackettraffic,toensurethatwhenhoneypotsystemisbreached,,collect,analysisandrecordtheattackdata,,