【文章內(nèi)容簡介】 und connections42圖54攻擊包抑制測試42Figure 54The Testing of Attack packet suppression42圖55蜜罐上的擊鍵活動43Figure 55Keystroke activity on the honeypot43圖56捕獲的蜜罐擊鍵活動43Figure 56Keystroke activity on the honeypot is being captured43圖57Wireshark捕獲的Sebek日志信息44Figure 57The Sebek log information captured by Wireshark44圖58Sebek記錄的擊鍵活動44Figure 58The keystrokes activity recorded by Sebek44圖59外出連接報警郵件45Figure 59An alarm message of the outgoing connections45圖510外出連接數(shù)限制報警郵件45Figure 510Connection limit warning message to go out45圖511入侵檢測報警信息46Figure 511Alarm of Snort46圖512數(shù)據(jù)包分析47Figure 512The analysis of Network47圖513針對IIS服務(wù)器緩沖區(qū)溢出攻擊的部分日志信息47Figure 513The log of IIS server buffer overflow attack47圖514攻擊者活動記錄48Figure 514The attacker’s activity records48圖515IDS報警Top 1049Figure 515Top10 IDS alarms49圖516端口掃描Top 1049Figure 516Top10 port scanning49XI1 緒論1 緒論1 Introduction（Background and significance of the topic）隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，高校校園網(wǎng)在高校的應(yīng)用也越來越廣泛。校園網(wǎng)絡(luò)的應(yīng)用使高校在教學(xué)、辦公、科研等方面都發(fā)生了翻天覆地的變化，改變了高校傳統(tǒng)的辦公形式和教學(xué)模式，已逐漸成為高校辦公教學(xué)不可或缺的重壓工具。目前，全國各個高校都相繼開始使用了自己的網(wǎng)絡(luò)辦公系統(tǒng)和教學(xué)管理系統(tǒng)等管理平臺，這也使得高校的各項工作都越來越依賴于校園網(wǎng)。校園網(wǎng)絡(luò)平臺的使用使高校在資源配置管理、信息處理、教學(xué)資源共享等方面都起到了積極的推動作用，簡化了工作流程，減輕了勞動強度，節(jié)省了大量的人力物力并提高了工作效率，為高校的發(fā)展做出了不可磨滅的貢獻。然而凡事都有兩面性，網(wǎng)絡(luò)的發(fā)展在給我們生活工作帶來便捷的同時也同樣帶來了困擾，那就是網(wǎng)絡(luò)安全問題日益顯現(xiàn)，作為網(wǎng)絡(luò)重要組成部分的高校校園網(wǎng)也在面臨越來越嚴峻的網(wǎng)絡(luò)安全問題?！熬钟蚓W(wǎng)是互聯(lián)網(wǎng)的一種主要的存在方式和組成部分，局域網(wǎng)的安全問題在某種意義上反映了所有的網(wǎng)絡(luò)安全問題”[1] ，校園網(wǎng)本身就是一個龐大的局域網(wǎng)，也同樣要面對這樣的安全問題。校園網(wǎng)絡(luò)安全問題主要來自于兩個方面：一方面是數(shù)據(jù)信息安全，攻擊技術(shù)伴隨著信息技術(shù)的發(fā)展也在不斷的走向成熟，越來越多的攻擊工具被開發(fā)出來，各種各樣的病毒也是絡(luò)繹不絕，紛至沓來。加之攻擊的工具軟件可以輕易從網(wǎng)上獲取，使得攻擊者并不需要掌握太多的黑客技術(shù)便可以在任何時間任何地點向目標(biāo)網(wǎng)絡(luò)發(fā)起攻擊。在此種情況下，校園網(wǎng)絡(luò)的攻擊事件也是在所難免，校園網(wǎng)站被惡意修改，辦公平臺無法正常運行、數(shù)據(jù)遭到破壞等惡意攻擊事件頻頻發(fā)生，這些都嚴重威脅到校園網(wǎng)的信息安全，更有甚者造成整個校園網(wǎng)絡(luò)癱瘓而不能正常使用，給辦公和教學(xué)帶來不便。 此外，對于校園網(wǎng)絡(luò)的攻擊也并不僅僅局限于外部的攻擊，來自于校園網(wǎng)絡(luò)內(nèi)部的攻擊也不能忽視，即不僅要防止外部攻擊，而且還要做好內(nèi)部的防護。另一方面，校園網(wǎng)絡(luò)由于經(jīng)費有限，投入不足或安全意識薄弱，不被重視等方面的原因，只是把精力放到網(wǎng)絡(luò)基礎(chǔ)設(shè)施的硬件建設(shè)上，對于網(wǎng)絡(luò)是否安全，是否面臨威脅并沒有太多的關(guān)注，大多校園網(wǎng)都是在內(nèi)網(wǎng)和外網(wǎng)之間放置防火墻來阻止外部的攻擊，對于校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)攻擊沒有任何防護措施，更有甚者許多校園網(wǎng)連外網(wǎng)防火墻都沒有，而是直接面對外部互聯(lián)網(wǎng)，這樣就更給病毒、黑客等有可乘之機，使校園網(wǎng)時刻面臨安全威脅。針對這些情況，如何合理的部署規(guī)劃網(wǎng)絡(luò)，采取更行之有效的網(wǎng)絡(luò)安全技術(shù)，構(gòu)建一個可靠安全的校園網(wǎng)絡(luò)體系結(jié)構(gòu)，已成為高校網(wǎng)絡(luò)發(fā)展過程中需要迫切解決的嚴峻性問題。目前，在我們校園網(wǎng)絡(luò)安全面臨如此嚴重威脅的情況下，我們需要解決的關(guān)鍵問題就是采取何種手段來對校園網(wǎng)絡(luò)進行更有效地安全防護，保障校園網(wǎng)絡(luò)正常運行。現(xiàn)有的常見的網(wǎng)絡(luò)安全技術(shù)像防火墻技術(shù)、入侵檢測技術(shù)等，一定程度上也使得網(wǎng)絡(luò)的安全現(xiàn)狀得以改善，但這些安全技術(shù)都是基于模式識別和特征規(guī)則匹配，依賴于現(xiàn)成的規(guī)則庫，顯然這樣只能檢測和防范已知的攻擊手段，對于未知的新出的攻擊手段卻無能為力。在新型未知的攻擊下，這些安全技術(shù)根本不能檢測出來，只有當(dāng)攻擊進行后通過分析把攻擊的特征寫入特征庫中才能在以后的攻擊中檢測的到，因此在未知攻擊下始終處于被動地位。然而，隨著黑客攻擊技術(shù)的不斷更新變化，攻擊手段的層出不窮，防火墻，入侵檢測這些被動的安全防護技術(shù)更是疲于應(yīng)對。蜜網(wǎng)技術(shù)的出現(xiàn)有望扭轉(zhuǎn)這種被動的局面，它是采取主動方式誘捕攻擊者，同時對攻擊者的各種攻擊行為進行捕獲分析并找到有效的對付方法。蜜網(wǎng)(Honeynet)技術(shù)是一種新型的主動防御網(wǎng)絡(luò)安全技術(shù)，目前已經(jīng)得到國內(nèi)外很多研究組織和機構(gòu)重視，呈良好發(fā)展勢頭，與之相關(guān)的產(chǎn)品和技術(shù)也是在不斷發(fā)展逐漸走向成熟完善。蜜網(wǎng)技術(shù)與傳統(tǒng)的安全技術(shù)不同，是一種主動的防御技術(shù)，在對攻擊檢測、攻擊數(shù)據(jù)捕獲、攻擊數(shù)據(jù)分析等方面有不俗的表現(xiàn)，尤其是未知攻擊方面更凸顯出其優(yōu)越性和可用性。蜜網(wǎng)技術(shù)的出現(xiàn)使得我們能夠捕獲和記錄黑客的活動行為、攻擊手段等有用的信息，甚至是敲了哪些命令，執(zhí)行了哪些程序都能夠捕獲下來，從而幫助安全人員研究和分析攻擊者的相關(guān)信息。這樣，相對于傳統(tǒng)的被動防御技術(shù)來說，蜜網(wǎng)技術(shù)能夠?qū)Ω鞣N攻擊行為包括未知攻擊進行分析記錄，并且對攻擊者進行嚴密監(jiān)視。蜜網(wǎng)技術(shù)若能與傳統(tǒng)的安全技術(shù)相結(jié)合，一定能夠優(yōu)勢互補，揚長避短，最大限度地提高網(wǎng)絡(luò)的安全性能。因此，把蜜網(wǎng)技術(shù)應(yīng)用于校園網(wǎng)安全系統(tǒng)的研究與實現(xiàn)具有較高的學(xué)術(shù)價值和實際意義。（Research Present Situation）Honeynet即蜜網(wǎng)，是由Honeypot(蜜罐)構(gòu)成的一個特殊的網(wǎng)絡(luò)體系結(jié)構(gòu)，是蜜罐研究組織在對蜜罐技術(shù)多年研究的基礎(chǔ)上提出的一個全新的概念，簡單的說蜜網(wǎng)就是由一個或者多個蜜罐組合構(gòu)成的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)。隨著網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，蜜網(wǎng)技術(shù)也逐漸走向成熟，也引起了越來越多的關(guān)注和重視，越來越多的國家和研究機構(gòu)也在陸續(xù)把目光投向蜜網(wǎng)技術(shù)的研究上來。 在目前，國外參與蜜網(wǎng)技術(shù)研究的組織機構(gòu)也有很多家,最具有權(quán)威性知名度比較高的主要有兩個幾即Honeynet Project(蜜網(wǎng)項目組)[2]和Honeynet Research Alliance(蜜網(wǎng)研究聯(lián)盟)[3]。 蜜網(wǎng)項目組是在 2000 年 6 月成立，它的前身是1999年Lance Spitzner等人發(fā)起的一個非正式的Honeynet郵件組，是一個公益志愿非營利的民間組織，該組織致力于研究計算機網(wǎng)絡(luò)安全技術(shù)并不斷向外界發(fā)布和提供相關(guān)的開源工具軟件，尤其是蜜網(wǎng)工具軟件，以供安全研究人員研究使用。蜜網(wǎng)的概念就是該組織于1999年最先提出的。隨著蜜網(wǎng)技術(shù)的不斷發(fā)展，蜜網(wǎng)研究組織也在不斷發(fā)展壯大，2002年1月，蜜網(wǎng)研究聯(lián)盟成立，該聯(lián)盟聯(lián)合了世界多個國家和地區(qū)的蜜網(wǎng)研究組織機構(gòu)，致力于Honeynet技術(shù)的發(fā)展完善和蜜網(wǎng)相關(guān)工具的進一步開發(fā)，使得蜜網(wǎng)技術(shù)的發(fā)展達到了一個新的階段[4]。該聯(lián)盟的出現(xiàn)使得各國的研究機構(gòu)和組織能夠聯(lián)合起來，為各成員互通信息，交流經(jīng)驗，共享資源和成果提供了一個有力的平臺，各成員還可以通過該平臺共同應(yīng)對新型的攻擊手段并制定出最終的解決方案。國內(nèi)對于蜜網(wǎng)技術(shù)的研究起步比較晚，研究機構(gòu)和組織也相對較少，目前還只是處于初級階段，即便如此，國內(nèi)對于蜜網(wǎng)技術(shù)的研究也取得了很大的進步和一定的階段性成果。目前，國內(nèi)從事蜜網(wǎng)研究的組織中最具代表的應(yīng)數(shù)北京大學(xué)的狩獵女神項目組[5]，該項目組是由北京大學(xué)計算機研究所發(fā)起的。2004年9月，該項目組在北大科研所成立。項目組在“蜜網(wǎng)項目組”的蜜網(wǎng)基礎(chǔ)上成功部署了自己的蜜網(wǎng)系統(tǒng)，自項目組啟動以來，通過自己的蜜網(wǎng)系統(tǒng)先后捕獲并深入分析了包括DDos攻擊、蠕蟲病毒、僵尸網(wǎng)絡(luò)等許多攻擊案例，對于國內(nèi)蜜網(wǎng)技術(shù)的發(fā)展起到很大的推動作用。2005年2月狩獵女神項目組加入世界“蜜網(wǎng)研究聯(lián)盟”，成為蜜網(wǎng)研究聯(lián)盟中唯一的中國研究組織。狩獵女神項目是北大計算機研究所的一個重點研究項目，項目組目前的研究內(nèi)容包括：使用最新的蜜網(wǎng)技術(shù)對黑客攻擊和惡意軟件活動進行全面深入的跟蹤和分析；研發(fā)功能更強的攻擊數(shù)據(jù)關(guān)聯(lián)工具，以提高蜜網(wǎng)技術(shù)框架的數(shù)據(jù)分析能力[5]。（The Main Contents in the Paper）論文所研究的主要內(nèi)容可分為以下幾個方面：1) 分析校園網(wǎng)安全現(xiàn)狀、所面臨的安全威脅。2) 介紹傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)及其弊端。3) 介紹蜜罐和蜜網(wǎng)技術(shù)原理，主要分析了蜜網(wǎng)技術(shù)的發(fā)展及其應(yīng)用。4) 使用蜜網(wǎng)技術(shù)結(jié)合傳統(tǒng)的防御技術(shù)設(shè)計校園網(wǎng)安全系統(tǒng)。5) 介紹基于蜜網(wǎng)技術(shù)的校園網(wǎng)安全系統(tǒng)各模塊功能實現(xiàn)。6) 介紹校園網(wǎng)安全系統(tǒng)各模塊功能測試，并部署系統(tǒng)應(yīng)用于校園網(wǎng)中。（Structure Arrangement in the Paper）本論文主要分為六章內(nèi)容容，結(jié)構(gòu)組織如下：第一章：緒論部分，主要闡述了本篇論文選題的背景和意義及當(dāng)前國內(nèi)外對蜜網(wǎng)技術(shù)的研究進展情況，并說明了該論文的主要研究內(nèi)容及組織結(jié)構(gòu)。第二章：蜜罐和蜜網(wǎng)技術(shù),本章內(nèi)容介紹了蜜罐和蜜網(wǎng)技術(shù)的工作原理及發(fā)展概況，對于蜜網(wǎng)技術(shù)的核心需求及實現(xiàn)工具做了更詳細的闡述。第三章：校園網(wǎng)安全系統(tǒng)設(shè)計，本章內(nèi)容是本論文的關(guān)鍵所在，主要介紹了基于蜜網(wǎng)技術(shù)的校園網(wǎng)安全系統(tǒng)的設(shè)計，包括設(shè)計目標(biāo)、設(shè)計模型、設(shè)計結(jié)構(gòu)及功能模塊。第四章：校園網(wǎng)安全系統(tǒng)的實現(xiàn)，在本章內(nèi)容中給出了基于蜜網(wǎng)的校園網(wǎng)安全系統(tǒng)的實現(xiàn)方案，介紹了具體的安全系統(tǒng)的安裝及配置方法，詳細闡述了安全系統(tǒng)的各主要模塊的具體功能實現(xiàn)，包括數(shù)據(jù)控制模塊、數(shù)據(jù)捕獲模塊、日志模塊及響應(yīng)模塊的實現(xiàn)方法。第五章：系統(tǒng)測試及校園網(wǎng)應(yīng)用，本章主要是對安全系統(tǒng)的各模塊功能測試，主要介紹數(shù)據(jù)控制模塊，數(shù)據(jù)捕獲及報警系統(tǒng)的功能測試，最后把安全系統(tǒng)應(yīng)用于校園網(wǎng)中。第六章：結(jié)語，本章內(nèi)容主要是對整篇論文進行歸納總結(jié)，說明論文所完成的工作及有待完善的地方，并對未來要做的工作做了規(guī)劃和展望。32 蜜罐和蜜網(wǎng)技術(shù)2 蜜罐和蜜網(wǎng)技術(shù)2 Honeypot and Honeynet(Honeypot)“蜜罐”一詞最初出現(xiàn)在1990年出版的Clifford Stoll所寫的《The Cuckoo’s Egg》一書中[6]，在這本書里使用大量的篇幅生動詳細地描述了一個公司的網(wǎng)絡(luò)管理員即作者Stoll在公司網(wǎng)絡(luò)管理工作過程中是如何與黑客對峙較量并追蹤、監(jiān)視黑客誓與黑客斗爭到底的一系列真實故事。蜜罐,即honeypot,實質(zhì)上它是一種對攻擊者進行欺騙的技術(shù)，是近年來新興起的基于主動的防御技術(shù)[7]。蜜罐是一種誘捕系統(tǒng)，它的工作原理也很簡單，是通過部署一些安全性相對較差的主機并安裝各種網(wǎng)絡(luò)服務(wù)，以此為誘餌引誘攻擊者的攻擊，迷惑攻擊者，這樣攻擊者就會把攻擊目標(biāo)重點放在蜜罐主機上，這樣攻擊者攻擊的便是蜜罐主機而不是工作網(wǎng)絡(luò)中的真實主機，轉(zhuǎn)移了攻擊者的視線，使攻擊者遠離真正的網(wǎng)絡(luò)服務(wù)系統(tǒng)，從而大大減少對實際主機系統(tǒng)所造成的安全威脅，一定程度上保證了網(wǎng)絡(luò)的安全。值得注意的是蜜罐不僅可以作為誘餌誘使攻擊者的攻擊，更為難得的是它還可以對攻擊者的攻擊活動進行嚴密的監(jiān)控和檢測，通過對攻擊者行為活動的監(jiān)控可以了解掌握攻擊者的攻擊信息，如攻擊者的攻擊工具及攻擊手段，并可推測攻擊者的攻擊企圖和攻擊動機，對攻擊者可以有更深入的了解和認識，從而更好的防御黑客攻擊，保障網(wǎng)絡(luò)安全。盡管蜜罐的概念早就在1990年就被提出，但是完整的權(quán)威的有關(guān)蜜罐的定義卻是在1999年由“蜜網(wǎng)項目組”的創(chuàng)始人Lance Spitzner給出的。定義如下：“蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷”[8]。從Lance Spitzner給出的蜜罐定義我們知道蜜罐的真正作用并不是提供服務(wù)而是把所有的通過蜜罐流入流出的網(wǎng)絡(luò)數(shù)據(jù)包都當(dāng)成是與攻擊者攻擊行為相關(guān)的網(wǎng)絡(luò)掃描、攻擊和入侵。蜜罐的核心價值在于能夠?qū)粽叩墓艋顒舆M行監(jiān)視、檢測和分析。通過蜜罐主機網(wǎng)絡(luò)安全人員可以掌握更多更為深入更為全面的攻擊者的相關(guān)信息，從而分析攻擊者的攻擊活動，更好的保護網(wǎng)絡(luò)安全。蜜罐技術(shù)的出現(xiàn)是網(wǎng)絡(luò)安全技術(shù)的一次重大革命，改變了當(dāng)前的網(wǎng)絡(luò)攻防格局，開創(chuàng)了網(wǎng)絡(luò)防護的新局面，它使得我們對與攻擊者的攻擊由被動防御轉(zhuǎn)為主動的出擊，另外，安全研究人員也能夠通過蜜罐開展主動的有關(guān)網(wǎng)絡(luò)攻防的研究活動，并可以利用蜜罐系統(tǒng)對攻擊者進行嚴格的控制和引導(dǎo)。蜜罐技術(shù)從提出到現(xiàn)在也經(jīng)歷了十幾年的時間，隨著網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，蜜罐技術(shù)也得到了長足的發(fā)展，在逐漸走向完善和成熟，目前蜜罐技術(shù)已經(jīng)具有很高的學(xué)術(shù)價值和應(yīng)用價值。蜜罐技術(shù)的發(fā)展歷程大致可以劃分為以下三個階段。1990年提出了蜜罐這樣一個全新的概念，此時的蜜罐還沒有形成相應(yīng)的產(chǎn)品和工具，僅僅局限于一種通過欺騙技術(shù)來防護網(wǎng)絡(luò)的思想，這一階段的蜜罐實質(zhì)是真正被攻