贺文娟

（安徽科技学院理学院计算机公共教学部，安徽凤阳 233100）

蜜罐技术在校园网系统中的应用研究

贺文娟

（安徽科技学院理学院计算机公共教学部，安徽凤阳 233100）

随着网络技术的发展，网络安全问题日益严重.通过蜜罐技术，建立一个新型的主动防御的校园网安全系统.该系统可诱使攻击者连接蜜罐，进而可以收集到攻击者的相关信息.通过蜜罐技术结合传统的网络安全工具，可以保障校园网的正常运行.

蜜罐；校园网；主动防御

1 引言

校园网作为学校正常运转的重要组成部分之一，对提高工作效率起到了重要的推动作用.但我们在享受网上便捷办公的同时，也面临着校园网的诸多安全问题：蠕虫病毒，拒绝服务，各种网络攻击层出不穷，甚至影响到学校的正常教学工作.因此，构建一个安全的校园网络系统成为众多高校面临的急需解决的问题之一.

目前校园网的安全体系是由传统的网络安全工具搭建，校园网是处于被动防御状态，而蜜罐是一种主动防御技术，蜜罐可以及时发现攻击者的活动，记录下攻击者的攻击方法和攻击工具.通过分析蜜罐中的数据，我们可以得到攻击者的相关信息，及时发现系统漏洞.蜜罐技术结合传统的网络安全技术可以构建一个新型的主动的校园网络安全系统.

2 蜜罐技术

蜜罐的定义是由“蜜罐项目组”的创始人Lance Spitzner给出的：蜜罐是一种安全资源，其价值体现在被黑客探测、攻击或者摧毁的时候[1].蜜罐是事先设置好的系统，在蜜罐中安装各种伪造的有“价值”的信息作为诱饵，等待攻击者的攻击.蜜罐系统收集到的信息是研究攻击者攻击方法、攻击技术和攻击目标的重要资料.蜜罐系统在攻击者看来是非常具有吸引力的系统，由于蜜罐一般不含真实而有价值的数据，因而不会对重要数据和系统构成威胁[2].

攻击者可能会攻击网络上的正常工作系统，如果这个系统带有特定资源，那么被攻击的可能性会比较大.我们可以将蜜罐布置在系统中，将攻击者引入蜜罐，降低正常工作系统被攻击的可能性.并且蜜罐可以记录下攻击者的各种攻击数据，这些数据是研究黑客技术的重要资料.

在蜜罐系统中，布置一些带有漏洞的主机作为诱饵，也可以安装一些网络服务和信息资源引诱攻击者攻击蜜罐系统.蜜罐系统可以监控攻击者的攻击行为，记录下攻击者的攻击过程，通过分析数据，可以知道攻击者的攻击方法，采用的攻击工具和攻击目的，而且对未知的新型攻击也有着很好的防御作用.蜜罐的作用就是用来被探测，被攻击甚至被攻陷.蜜罐本身没有正常的工作，它捕获到的数据都是攻击者的攻击，所以它提供的数据都是有价值的数据.因此蜜罐是其他传统的网络安全工具不能取代的新型的主动防御工具.

3 蜜罐的分类

蜜罐的分类方法有很多种，按照蜜罐与攻击者之间的交互程度可以将蜜罐分为3类：低交互蜜罐、中交互蜜罐和高交互蜜罐.这3种不同的蜜罐也可以说是蜜罐在被入侵程度上的不同，三者之间并没有明确的分界[3].

（1）低交互蜜罐

低交互蜜罐没有提供操作系统，只是通过一些端口监听来实现一些虚拟服务，是一种最简单配置的蜜罐，不能获得通过复杂协议传输的数据.低交互蜜罐系统如图1所示.

（2）中交互蜜罐

中交互蜜罐仍然没有提供真实的操作系统，只是对真实系统的模拟，但是比低交互蜜罐提供了更多的交互信息，可以记录下更复杂些的攻击手段.整个系统有可能被攻击者攻破，所以要定期检查蜜罐系统，及时了解蜜罐状态.中交互蜜罐系统如图2所示.

（3）高交互蜜罐

高交互蜜罐包含一个真实的操作系统，可以提供真实的服务.攻击者可以与操作系统和真实的服务进行交互，高交互蜜罐可以得到更多的攻击者的攻击信息.在构建高交互蜜罐系统时，必须采取有效的措施，防止蜜罐系统被攻陷后，作为攻击者的跳板攻击正常的系统.高交互蜜罐系统如图3所示.

图1 低交互蜜罐系统

图2 中交互蜜罐系统

图3 高交互蜜罐系统

4 基于蜜罐的校园网总体设计

（1）系统设计目标

一方面校园网要防御来自外部的攻击，另一方面对于来自系统内部的攻击也要有相应的安全措施.校园网具有硬件设施投入比较大，而管理和维护方面的投入较少的特点，所以来自内部的攻击更容易造成校园网的瘫痪.因此通过蜜罐技术，结合传统的网络安全工具，设计并构造一个具有主动防御功能的校园网络系统.

（2）系统模型

P2DR模型最早是由ISS公司提出的动态安全模型[4]，安全策略、防护、检测和响应是该模型的四个组成部分.依据P2DR模型建立一个基于蜜罐技术的校园网系统.

新的校园网系统面临七个技术问题：入侵检测、入侵行为控制、入侵行为分析、入侵行为记录、服务模型、行为捕获和数据融合.在安全策略的基础上，发挥已有的网络安全工具的作用，并结合蜜罐技术，提出校园网安全系统模型，如图4所示.

（3）系统结构

依据上面的模型，校园网安全系统由三个模块组成.分别是数据捕获模块、数据控制模块、日志管理模块.系统结构图如图5所示.

①数据捕获模块

蜜罐的作用就是捕获数据.蜜罐是模拟系统，它能使攻击者误认为这是一个真实的系统，诱导攻击者攻击蜜罐系统，蜜罐可以捕获到攻击者的相关数据.由于蜜罐模拟了操作系统的部分指令，我们可以通过测试这些指令来查看蜜罐的功能是否满足系统的要求.Proc.c初始化模块调用其他子程序.String.c击键提取模块作用是从网络中抓取数据包并分析组合成可查看的击键序列.

②数据控制模块

数据控制模块是蜜罐系统的核心模块.如果它被攻破，攻击者就会对蜜罐系统进行修改，更甚者整个系统可能会被攻击者控制.数据控制可以分层来实现功能.本系统中采用防火墙和路由器的双重控制.防火墙允许所有的入站链接，但是对于出站链接进行控制.蜜罐一旦有向外的链接，就说明蜜罐系统很有可能被攻击者攻破.一般情况下，对外链接允许5至10个比较合适.也可以通过路由器的访问控制功能过滤数据包.

③日志管理模块

日志管理模块就是一台计算机，将蜜罐捕获的数据进行远程备份，主要是防止蜜罐系统被攻击者攻破，攻击者将其上的日志删除或者恶意修改.

图4 基于蜜罐系统的校园网安全系统模型

图5 基于蜜罐系统的校园网安全系统结构

5 系统测试

图6 攻击者端运行界面

（1）测试环境

使用虚拟机技术，采用一台配置比较高的计算机作为蜜罐系统，该计算机硬件配置为双核处理器，2G内存，两块硬盘，两块网卡.采用另外一台计算机作为测试主机，IP地址为192.168.51.70.

（2）功能测试

两个蜜罐的IP地址为192.168.51.130、192.168.51.131，被攻击主机的IP地址为192.168.51.200.图6是攻击者端的显示信息，可以得出该系统可以对攻击者进行有效欺骗.

下面测试蜜罐系统是否可以记录下攻击者的攻击行为.图7是蜜罐系统的运行界面，表明蜜罐系统可以正常运行.

6 结语

图7 蜜罐系统的运行界面

通过系统测试，我们验证了在校园网中部署蜜罐的可行性.可以做到让攻击者连接蜜罐，并准确记录下攻击日志.进而可以通过日志的分析，及时掌握攻击者的情况.蜜罐技术结合传统的网络安全工具、防火墙、入侵检测技术，可以建立一个新型的校园网安全系统.

[1]Lance Spiizner.Honeypot：追踪黑客[M].北京：清华大学出版社，2004：20-50.

[2]LanceSpitzner.TheValueofHoneypots.PartOne：DefinitionsandValuesofHoneypots[EB/OL].2006.http：//www.spitzner.net.

[3]诸葛建伟.蜜罐及蜜网技术简介[EB/OL].2006-02-24.http：//read.pudn.com/downloads68/doc/245219/honeypot.pdf.

[4]李江，张峰，秦志光.Telnet和FTP协议下跟踪用户操作的一种方法[J].计算机应用，2003（8）：133-135.

An Applied Research into School Network System Based on Honeypot Technology

HE Wen-juan
(Computer Public Teaching Department of College of Science,Anhui Science and Technology University,Fengyang 233100,China)

With the development of network technology,network security problems have become more and more serious.By means of honeypot technology,a new type of active defense of the school network safety system is created in this paper.This system can make the attacker connect honeypot and collect the attacker's related information.In combination with honeypot technology and traditional network security tools,the normal operation of the school network can be guaranteed.

honeypot;school network;initiative protection

TP393.08

A

1008-2794（2012）10-0121-04

2012-04-12

安徽科技学院青年基金项目“蜜网技术在网络中的应用”（ZRC2011275）

贺文娟（1982—），女，安徽蚌埠人，助教，硕士，研究方向：网络安全，数据库.