摘要摘要近幾年來，隨著經(jīng)濟(jì)與科技的不斷發(fā)展，校園網(wǎng)的規(guī)模得到了迅速的增長(zhǎng)，但同時(shí)校園網(wǎng)的安全問題也變得越來越突出。本文針對(duì)山西大學(xué)商務(wù)學(xué)院的網(wǎng)絡(luò)環(huán)境和面JL盎3,1網(wǎng)的安全威脅；同時(shí)，校園網(wǎng)中一些學(xué)習(xí)網(wǎng)絡(luò)知識(shí)的學(xué)生，尤其是信息安全專業(yè)的學(xué)生，他們具有較高的網(wǎng)絡(luò)知識(shí)水平，并且人數(shù)眾多，求知欲強(qiáng)，將網(wǎng)絡(luò)攻擊作為他們檢驗(yàn)自己所學(xué)知識(shí)的一個(gè)途徑，因而他們也成為校園網(wǎng)中主要潛在的不安全因素。通過使用序列比對(duì)蜜罐系統(tǒng)解決受到來自校內(nèi)外的網(wǎng)絡(luò)攻擊。其目標(biāo)是1用蜜罐系統(tǒng)收集對(duì)校園網(wǎng)攻擊的數(shù)據(jù)，并且進(jìn)行分析和提?。桓鶕?jù)整理好的數(shù)據(jù)對(duì)校園網(wǎng)攻擊進(jìn)行針對(duì)性的防范，減少和消除網(wǎng)絡(luò)中出現(xiàn)的問題，解決了現(xiàn)實(shí)中山西大學(xué)商務(wù)學(xué)院校園網(wǎng)中不安全因素。2在蜜罐系統(tǒng)中提取的寶貴數(shù)據(jù)，可以不斷提高網(wǎng)絡(luò)防御技術(shù)，同時(shí)對(duì)今后的教學(xué)和科研工作都有很大的幫助。大學(xué)校園網(wǎng)安全是一項(xiàng)系統(tǒng)工程，基于核心交換機(jī)的安全策略是其中比較重要的一項(xiàng)，只要長(zhǎng)期有效地堅(jiān)持，合理地配置好網(wǎng)絡(luò)設(shè)備，再將防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)殺毒、蜜罐等系統(tǒng)納入，就可以構(gòu)筑立體動(dòng)態(tài)的有效、安全、靈便的安全網(wǎng)絡(luò)空間，為教學(xué)和科研提供安全高效的保障。網(wǎng)絡(luò)管理方案要充分考慮各種情況，根據(jù)不同情況采取相應(yīng)的措施。針對(duì)山西大學(xué)商務(wù)學(xué)院網(wǎng)絡(luò)安全的需要，為保護(hù)商院網(wǎng)絡(luò)制定了相關(guān)的管理制度和目標(biāo)。本文在商院網(wǎng)絡(luò)安全管理體系模型的基礎(chǔ)上，設(shè)計(jì)了一種基于序列比對(duì)算法的蜜罐系統(tǒng)，進(jìn)而協(xié)助商院校園網(wǎng)站服務(wù)器抵御來黑客的攻擊。蜜罐系統(tǒng)HONEYD是一款用于創(chuàng)建網(wǎng)絡(luò)上虛擬主機(jī)的蜜罐后臺(tái)程序，通過配置可以為虛擬的主機(jī)提供任意服務(wù)。針對(duì)過去HONEYD插件接口是手工編寫腳本程序?yàn)槠淠M網(wǎng)絡(luò)服務(wù)。但由于各種操作會(huì)使腳本的編寫比較復(fù)雜，可用的腳本非常有限。為了增強(qiáng)HONEYD的仿真能力，針對(duì)該問題本文設(shè)計(jì)了一個(gè)腳本自動(dòng)產(chǎn)生模型。模型的實(shí)施過程中，不依賴于己知有關(guān)服務(wù)或協(xié)議的任何信息。該模型有自學(xué)習(xí)的階段，通過自學(xué)習(xí)階段得到了各種參數(shù)，從而提高網(wǎng)絡(luò)防御過程的準(zhǔn)確性。通過對(duì)重排蜜罐系統(tǒng)獲取的會(huì)話信息進(jìn)行提取，將有用的信息作為模擬真實(shí)服務(wù)器的回應(yīng)信息。這樣省去了為模擬特定服務(wù)而編寫特定腳本的過程。模型實(shí)現(xiàn)過程IHTTP/INFO3DOUCOM/網(wǎng)絡(luò)推廣北京T業(yè)，學(xué)T耵碩。學(xué)FP論文中，使用了兩個(gè)算法1序列比對(duì)算法，通過該算法更新和提高了蜜罐系統(tǒng)中服務(wù)器的信息的能力，其思想是獲取協(xié)議會(huì)話過程的語義信息，從而化簡(jiǎn)會(huì)話狀態(tài)機(jī)；2本文提出區(qū)域分析算法，利用單模式匹配算法RK，只針對(duì)固定區(qū)域，而把變異的區(qū)域看作一些未知字符的集合。考慮到會(huì)話信息中頻繁出現(xiàn)的相同字節(jié)區(qū)域及有可能含有特殊語義信息的因素，利用該算法計(jì)算模型中一個(gè)新到來的消息和狀態(tài)機(jī)中某個(gè)轉(zhuǎn)換消息之間的相似度值，選擇相似度值最大的轉(zhuǎn)換消息指向的狀態(tài)作為一個(gè)新的回應(yīng)消息狀態(tài)，提高模型提取信息的有效性。最后，分別對(duì)模型參數(shù)和系統(tǒng)有效性在商院校園網(wǎng)中進(jìn)行了實(shí)驗(yàn)驗(yàn)證，測(cè)試結(jié)果表明，該系統(tǒng)具有一定的有效性。關(guān)鍵詞校園網(wǎng)絡(luò)安全；蜜罐系統(tǒng)；自動(dòng)腳本產(chǎn)生；序列比對(duì)11ABSTRACTABSTRACTWITHTHEFURTHERDEVELOPMENTOFSCIENCEANDECONOMY，THEREHASBEENARAPIDGROWTHOFCAMPUSNETWORKS，ANDCORRESPONDENTLYTHESECURITYOFCAMPUSNETWORKISBECOMINGAMAJORPROBLEMANDISDRAWINGINCREASINGATTENTIONTHEDISSERTATIONFOCUSESONTHENETWORKENVIRONMENTANDEXTERNALTHREATSFACINGTHECAMPUSNETWORKOFBUSINESSCOLLEGEOFSHANXIUNIVERSITYAPARTFROMTHEEXTERNALTHREATS，ITALSOFACESSOMETHREATSFROMINTERNALFACTORSSUCHASSOMEOFCOLLEGESTUDENTS，WHOACQUIREDSOMEPROFESSIONALKNOWLEDGEABOUTNETWORK，AREEAGERTODOSOMEKINDSOFATTACKTHECAMPUSNETWORKASAWAYTESTINGWHATTHEYHAVELEARNEDINMYDISSERTATION，AWAYOFAHONEYPOTSYSTEMBASEDONTHESEQUENCEALIGNMENTALGORITHM，ISUTILIZEDTOFIGHTBACKATTACKSINTERNALANDEXTERNALBYDOINGTHISTHEFOLLOWINGPURPOSESCANBEACHIEVE1COLLECTANDANALYZEDATAONCAMPUSATTACKSSOASTODIMINISHANDELIMINATENETWORKSPROBLEMSANDSAFEGUARDTHESECURITYOFCAMPUSNETWORK2THECOLLECTEDDATACANBEUSEDINTHEFUTURETEACHINGPROCESSSECURITYOFCAMPUSNETWORKISASYSTEMATICTASK，WHERESECURITYSTRATEGYBASEDONCOREEXCHANGEPLAYSANIMPORTANTROLE，ONLYBYALLOCATINGNETWORKDEVICES，ANDFIREWALLS、INTRUSIONDETECTIONSYSTEMS、NETWORKANTIVIRUS、HONEYPOTSYSTEMS，CANWESETUPANEFFECTIVE，SECURE，ANDDYNAMICNETSPACE，ANDTHEREFOREPROVIDESECURETEACHINGANDSTUDYINGENVIRONMENTBASEDONTHESPECIFICSITUATIONOFBUSINESSCOLLEGEOFSHANXIUNIVERSITY，SPECIFICOBJECTIVESANDRELATEDMANAGEMENTPRINCIPLESHAVEBEENFORMULATEDTHISDISSERTATION，BASEDONTHEMODELOFNETWORKSECURITYMANAGEMENTSYSTEM，DESIGNSAHONEYDSYSTEMBASEDONTHESEQUENCEALIGNMENTALGORITHMTODEFENDTHEATTACKSFROMHACKERSHONEYDISADAEMONWHICHCANCREATEHTTP/INFO3DOUCOM/網(wǎng)絡(luò)推廣北京T、II人學(xué)T稗碩T學(xué)位論文VIRTUALHOSTSONINTERNETWECANPROVIDEANYSERVICEFORTHEVIRTUALHOSTTHROUGHCONFIGURINGTHEHONEYDINORDERTOENHANCETHESIMULATECAPACITYOFTHEHONEY，PEOPLEALWAYSWRITESCRIPTBYHANDFORSIMULATINGTHENETWORKSERVICESUSINGTHEPLUGININTERFACEPROVIDEDBYHONEYDHOWEVER，DUETOTHEDIVERSITYOFTHEFINGERPRINTFORDIFFERENTOPERATESYSTEMS，THESCRIPTCANBEUSEDAREVERYLIMITEDWEDESIGNEDANAUTOMATEDSCRIPTGENERATIONMODELINTHEMODELWEDONTDEPENDONANYKNOWNINFORMATIONABOUTTHEDAEMONIMPLEMENTINGTHESERVICE，NORABOUTTHEPROTOCOL，SIMPLYSIMULATETHEREALSERVERSRESPONSETHROUGHREPLAYANDOBTAINTHEUSEFULINFORMATIONFROMPROTOCOLSESSIONSOWENEEDNTWRITETHESCRIPTFORTHESERVICEWEPREPARETOSIMULATEDURINGTHEIMPLEMENTATIONOFTHEMODEL，WEUSETWOALGORITHMS1SEQUENCEALIGNMENTALGORITHM，WEUSEITTOOBTAINTHESEMANTICINFORMATIONFROMTHEPROTOCOLSESSIONANDTHENSIMPLIFYTHECONVERSATIONSTATEMACHINE2REGIONANALYSISALGORITHM，WHICHISANEWALGORITHMWEPROVIDEINTHISPAPERWEALSOCONSIDERTHECONVERSATIONBYTESWHICHAREFREQUENTLYAPPEARALWAYSHAVETHESPECIALSEMANTICINFORMATION，SOWEUSETHEREGIONANALYSISALGORITHMTOSIMPLIFYTHECONVERSATIONSTATEMACHINEAGAINTHISCANIMPROVETHEEFFECTIVENESSOFTHEMODELATTHEENDOFMYDISSERTATIONEFFECTIVENESSOFTHESYSTEMANDMODELPARAMETERHAVEBEENTESTEDINTHECAMPUSNETWORKANDTHESYSTEMHASBEENPROVEDEFFECTIVEKEYWORDSCAMPUSNETWORKSECURITYHONEYPOTSYSTEM；AUTOMATICSCRIPTGENERATIONSEQUENCEALIGNMENTIV獨(dú)創(chuàng)性聲明本人聲明所呈交的論文是我個(gè)人在導(dǎo)師指導(dǎo)下進(jìn)行的研究工作及取得的研究成果。盡我所知，除了文中特別加以標(biāo)注和致謝的地方外，論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含為獲得北京工業(yè)大學(xué)或其它教育機(jī)構(gòu)的學(xué)位或證書而使用過的材料。與我一同工作的同志對(duì)本研究所做的任何貢獻(xiàn)均已在論文中作了明確的說明并表示了謝意。簽名關(guān)于論文使用授權(quán)的說明日期本人完全了解北京工業(yè)大學(xué)有關(guān)保留、使用學(xué)位論文的規(guī)定，即學(xué)校有權(quán)保留送交論文的復(fù)印件，允許論文被查閱和借閱；學(xué)校可以公布論文的全部或部分內(nèi)容，可以采用影印、縮印或其他復(fù)制手段保存論文。簽名擬磐HTTP/INFO3DOUCOM/網(wǎng)絡(luò)推廣第L章緒論第1章緒論11論文研究背景和意義111校園網(wǎng)面臨的安全威脅隨著網(wǎng)絡(luò)在校園中普及，校園網(wǎng)已經(jīng)成為我國高校基礎(chǔ)建設(shè)的重要組成部分。充分利用和開發(fā)校園內(nèi)各類信息資源，實(shí)現(xiàn)系院之間、大學(xué)之間的資源共享，科學(xué)計(jì)算和科研合作，促進(jìn)大學(xué)對(duì)外交流等方面都起到了不可估量的作用。對(duì)信息的快速處理、教育資源的配置、利用網(wǎng)絡(luò)資源提高教學(xué)效率、減輕教師的工作負(fù)擔(dān)等提供了較多便利。但是在網(wǎng)絡(luò)中資源共享和網(wǎng)絡(luò)安全一直處于矛盾的對(duì)立面。在高校中網(wǎng)絡(luò)信息安全問題日益突出。安全問題的定義，信息安全的含義主要指信息的完整性、實(shí)用性、安全性、可靠性、不可否認(rèn)性和可控性。完整性保證信息的完整性是信息安全的基本要求，對(duì)信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和不丟失的特性，破壞信息的完整性則是對(duì)信息安全發(fā)動(dòng)的目的之一。實(shí)用性指授權(quán)實(shí)體對(duì)信息資源的正常請(qǐng)求能夠及時(shí)、準(zhǔn)確、安全地得到服務(wù)和響應(yīng)。對(duì)實(shí)用性的攻擊則是阻斷信息的可用性。例如在網(wǎng)絡(luò)環(huán)境下破壞網(wǎng)絡(luò)上有關(guān)系統(tǒng)的正常運(yùn)行就屬于這種類型的攻擊。安全性指對(duì)非授權(quán)的用戶、實(shí)體或進(jìn)程的信息不泄露，獲取和訪問只能是授權(quán)者。這是信息安全最重要的要求?？煽啃灾副ＷC信息系統(tǒng)能以被人們所接受的質(zhì)量水準(zhǔn)待續(xù)地運(yùn)行。不可否認(rèn)性在信息系統(tǒng)的信息交互過程中，確信參與者的真實(shí)同一性，即所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。利用信息源證據(jù)可以防止發(fā)信方不真實(shí)地否認(rèn)已發(fā)送信息，利用遞交接收證據(jù)可以防止收信方事后否認(rèn)已經(jīng)接收的信息。可控性是對(duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控。對(duì)于校園網(wǎng)絡(luò)中經(jīng)常遇見的問題1非法盜版資源眾多，容易使惡意代碼侵入和利用隱藏在網(wǎng)頁中；2一些用戶利用校園網(wǎng)免費(fèi)資源下載媒體、游戲、軟件等，占用了大量的網(wǎng)絡(luò)帶寬，影響校園網(wǎng)的正常應(yīng)用；3互聯(lián)網(wǎng)中的非法北京T業(yè)，學(xué)T行碩卜學(xué)FT淪史內(nèi)容對(duì)在校學(xué)生造成不良影響，許多問題擺在面前，對(duì)校園網(wǎng)的計(jì)算機(jī)系統(tǒng)管理非常困難。112網(wǎng)絡(luò)安全的技術(shù)通過分析網(wǎng)絡(luò)的現(xiàn)狀，結(jié)合山西大學(xué)商務(wù)學(xué)院的實(shí)際情況，對(duì)面臨校園網(wǎng)絡(luò)安全問題提出了以下幾點(diǎn)校園網(wǎng)接通INTERNET后，對(duì)網(wǎng)關(guān)需要進(jìn)行防護(hù)，防止網(wǎng)絡(luò)內(nèi)部進(jìn)行攻擊；網(wǎng)絡(luò)病毒容易對(duì)校園網(wǎng)絡(luò)安全造成巨大影響，可能造成操作系統(tǒng)崩潰、數(shù)據(jù)丟失損壞、網(wǎng)絡(luò)癱瘓等嚴(yán)重后果；出于校園網(wǎng)具有獨(dú)立的信息發(fā)布系統(tǒng)，所以需要對(duì)這些系統(tǒng)進(jìn)行集中的安全防護(hù)，因此重點(diǎn)保證這些系統(tǒng)正常的運(yùn)行；其次，對(duì)各種先進(jìn)技術(shù)應(yīng)積極采用，如虛擬交換網(wǎng)絡(luò)VLAN、防火墻技術(shù)、加密技術(shù)、虛擬專用網(wǎng)絡(luò)VPN技術(shù)、PKI技術(shù)等，并實(shí)現(xiàn)集中統(tǒng)一的配置、監(jiān)控、管理；最后，應(yīng)加強(qiáng)有關(guān)網(wǎng)絡(luò)安全保密的各項(xiàng)制度和規(guī)范的制定，并予以嚴(yán)格實(shí)行。為了便于分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和設(shè)計(jì)網(wǎng)絡(luò)安全解決方案，我們采取對(duì)網(wǎng)絡(luò)制度分層的方法，并且在每個(gè)層面上進(jìn)行細(xì)致的分析，根據(jù)風(fēng)險(xiǎn)分析的結(jié)果設(shè)計(jì)出符合具體實(shí)際的、可行的網(wǎng)絡(luò)安全整體解決方案。在一個(gè)網(wǎng)絡(luò)中防火墻是使用最多的安全設(shè)備，是網(wǎng)絡(luò)安全的重要基石。防火墻廠商為了占領(lǐng)市場(chǎng)，對(duì)防火墻的宣傳越來越多，越宣傳越強(qiáng)，讓一些人無形的形成依賴，市場(chǎng)出現(xiàn)了很多錯(cuò)誤的東西。其中一個(gè)典型的錯(cuò)誤，是把防火墻萬能化。但防火墻的攻破率已經(jīng)超過47。正確認(rèn)識(shí)和使用防火墻，確保網(wǎng)絡(luò)的安全使用，研究防火墻的局限性和脆弱性已經(jīng)十分必要。同時(shí)這種安全都是被動(dòng)防御，而蜜罐技術(shù)就是采取主動(dòng)的方式。顧名思義，就是用特有的特征吸引攻擊者，同時(shí)對(duì)攻擊者的各種攻擊行為進(jìn)行分析并找到有效的對(duì)付辦法。113校園網(wǎng)利用蜜罐技術(shù)的現(xiàn)實(shí)意義基于以上情形，山大商務(wù)學(xué)院曾專門立項(xiàng)進(jìn)行網(wǎng)絡(luò)安全管理系統(tǒng)化設(shè)計(jì)和實(shí)施，本文在此基礎(chǔ)上針對(duì)服務(wù)器安全配置中的不足，設(shè)計(jì)并實(shí)現(xiàn)一種序列比對(duì)蜜罐系統(tǒng)，從而彌補(bǔ)了服務(wù)器的一些漏洞，更加有效的保障了服務(wù)器的安全。針對(duì)該問題，本文設(shè)計(jì)了一個(gè)腳本自動(dòng)產(chǎn)生模型。模型的實(shí)施過程中，不依賴于已知有關(guān)服務(wù)或協(xié)議的任何信息，只需通過重排蜜罐系統(tǒng)獲取的會(huì)話信息并從中獲取有用的信息即可模擬真實(shí)服務(wù)器的回應(yīng)信息。這樣省去了為模擬特定服務(wù)而編寫HTTP/INFO3DOUCOM/網(wǎng)絡(luò)推廣第1審緒I侖特定腳本的過程。12國內(nèi)外研究現(xiàn)狀在1990年出版的一本小說THECUCKOOSEGG中“蜜罐”一詞是最早出現(xiàn)，在這本小說中講述了作者是一個(gè)位網(wǎng)絡(luò)公司的管理員，在一起商業(yè)間諜的事件中是如何追查和發(fā)現(xiàn)的故事。“蜜罐“一詞從出現(xiàn)到今定義有許多種1LANCESPITZNER是“蜜罐項(xiàng)目組”THEHONEYNETPROJECT的創(chuàng)始人，他權(quán)威給出的蜜罐定義蜜罐是一種安全資源，其價(jià)值在于被掃描、攻擊和攻陷【21。從定義中可以看出蜜罐并沒有什么實(shí)際作用，只是對(duì)經(jīng)過蜜罐網(wǎng)絡(luò)數(shù)據(jù)的流量都進(jìn)行了掃描、攻擊和攻陷。而對(duì)這些攻擊活動(dòng)進(jìn)行監(jiān)視、檢測(cè)和分析的作用是蜜罐的核心價(jià)值。2同樣蜜罐也可以這樣定義它是一種其價(jià)值在于被探測(cè)、攻擊、破壞的系統(tǒng)口】。也就是說蜜罐是一種可以用來監(jiān)視和觀察攻擊者行為的系統(tǒng)，所以它的設(shè)計(jì)目是為了使從更價(jià)值的系統(tǒng)避免攻擊而將攻擊者的注意引開，或者說是對(duì)網(wǎng)絡(luò)入侵提供的一種及時(shí)預(yù)警系統(tǒng)1們。蜜罐概念的從出現(xiàn)到今天，“蜜罐”還只是停留在一種思想層面上，通常網(wǎng)絡(luò)管理人員才進(jìn)行應(yīng)用，為達(dá)到追蹤的目的對(duì)黑客欺騙一種手段。此階段的蜜罐，實(shí)質(zhì)上是一些真正被黑客所攻擊的主機(jī)和系統(tǒng)。1998年開始蜜罐技術(shù)在實(shí)際的網(wǎng)絡(luò)中得到了應(yīng)用，網(wǎng)絡(luò)安全研究人員針對(duì)蜜罐思想開發(fā)出一些開源工具，其專門用于欺騙黑客，如FREDCOHEN所研究的DTK欺騙工具包、NIELSPROVOS研究的HONEYD3114151等等，同時(shí)也出現(xiàn)了一些用于商業(yè)像KFSENSOR、SPECTER等的蜜罐軟件產(chǎn)品。本階段的開發(fā)的這些蜜罐工具可以稱為是虛擬蜜罐，即它能夠?qū)F(xiàn)實(shí)的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)模擬成虛擬，并對(duì)黑客做出的攻擊動(dòng)作模擬成真實(shí)的回應(yīng)，從而對(duì)黑客進(jìn)行欺騙。這樣對(duì)部屬蜜罐也變得比較方便。由于虛擬蜜罐工具是存在交互程度低、容易被黑客識(shí)別等問題，安全研究人員在2000年之后對(duì)蜜罐更傾向于實(shí)用真實(shí)的主機(jī)、操作系統(tǒng)和應(yīng)用程序進(jìn)行搭建，與虛擬蜜罐不同之處是，將蜜罐納入到一個(gè)完整的蜜網(wǎng)體系6】【7】81中，并且對(duì)此工具融入了更強(qiáng)大的數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)控制，對(duì)追蹤侵入到蜜罐中的黑客并對(duì)他們的攻擊行為，研究人員能夠方便地進(jìn)行分析。北京T、LI人學(xué)。I程幀LJ掌1T淪艾迄今為止國內(nèi)只有北京大學(xué)計(jì)算機(jī)研究所信息安全工程研究中心在做蜜罐方面的研究，在2004年9月該中心啟動(dòng)了一個(gè)稱作狩獵女神的項(xiàng)引91，2004年12月發(fā)布狩獵女神項(xiàng)目網(wǎng)站，2004年12月，部署了一個(gè)GENII蜜網(wǎng)，并連入因特網(wǎng)，2005年1月26日，提交加入蜜網(wǎng)研究聯(lián)盟申請(qǐng)，2005年2月12日，MRLANCESPITANER，蜜網(wǎng)項(xiàng)目組和蜜網(wǎng)研究聯(lián)盟的創(chuàng)始人，宣布聯(lián)盟接受狩獵女神項(xiàng)目。2005年12月20同I發(fā)布WALLEYEATTACKANDVULNERABILITYINFORMATIONPATCH，2007年11月，項(xiàng)目組發(fā)布開放課題，廣招研究人員參與并開源發(fā)布研究成果。狩獵女神項(xiàng)目CHINESEHONEYNETPROJECT是北京大學(xué)計(jì)算機(jī)研究所信息安全工程研究中心推進(jìn)的蜜網(wǎng)研究項(xiàng)目。網(wǎng)絡(luò)與信息安全技術(shù)的核心問題是對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行有效的防護(hù)。網(wǎng)絡(luò)安全防護(hù)涉及面很廣，從技術(shù)層面上講主要包括防火墻技術(shù)、入侵檢測(cè)技術(shù)，病毒防護(hù)技術(shù)，數(shù)據(jù)加密和認(rèn)證技術(shù)等。在這些安全技術(shù)中，大多數(shù)技術(shù)都是在攻擊者對(duì)網(wǎng)絡(luò)進(jìn)行攻擊時(shí)對(duì)系統(tǒng)進(jìn)行被動(dòng)的防護(hù)。而蜜罐技術(shù)可以采取主動(dòng)的方式。顧名思義，就是用特有的特征吸引攻擊者，同時(shí)對(duì)攻擊者的各種攻擊行為進(jìn)行分析并找到有效的對(duì)付辦法。狩獵女神項(xiàng)目的研究目標(biāo)包括如下三個(gè)方面1、通過部署蜜網(wǎng)，對(duì)惡意代碼及黑客攻擊行為進(jìn)行捕獲和分析，給入侵檢測(cè)與關(guān)聯(lián)研究提供知識(shí)和數(shù)據(jù)基礎(chǔ)。2、為學(xué)生提供一個(gè)網(wǎng)絡(luò)攻防對(duì)抗的實(shí)驗(yàn)環(huán)境，使他們?cè)诓渴鹈劬W(wǎng)以及利用蜜網(wǎng)對(duì)攻擊活動(dòng)進(jìn)行分析的過程中，提高實(shí)踐動(dòng)手能力以及加深對(duì)網(wǎng)絡(luò)攻防對(duì)抗技術(shù)的理解。3、在掌握現(xiàn)有的蜜網(wǎng)技術(shù)的基礎(chǔ)上，能夠在相關(guān)的一些研究方向提出自己的觀點(diǎn)和看法，并加以實(shí)現(xiàn)，促進(jìn)蜜網(wǎng)技術(shù)的發(fā)展。目前，狩獵女神項(xiàng)目部署的蜜網(wǎng)融合了“蜜網(wǎng)項(xiàng)目組”提出的第二代蜜網(wǎng)框架與蜜罐虛擬蜜罐系統(tǒng)，此外，狩獵女神項(xiàng)目提供了虛擬蜜網(wǎng)作為學(xué)生的網(wǎng)絡(luò)攻防對(duì)抗技術(shù)實(shí)驗(yàn)平臺(tái)。13本文主要工作本文由蜜罐、蜜罐技術(shù)和蜜罐系統(tǒng)的概念入手，分重點(diǎn)分層次的提出自己的思想，并針對(duì)山大商務(wù)學(xué)院校園網(wǎng)安全系統(tǒng)中服務(wù)器的安全而設(shè)計(jì)，研究基于序列對(duì)比技術(shù)的蜜罐系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)。論文重點(diǎn)做了以下幾個(gè)方面的工作HTTP/INFO3DOUCOM/網(wǎng)絡(luò)推廣弟1審緒論1、給出了山大商務(wù)學(xué)院校園網(wǎng)安全方案2、對(duì)山大商務(wù)學(xué)院校園網(wǎng)安全蜜罐系統(tǒng)的設(shè)計(jì)3、對(duì)PIPROTOCOLINFORMATICS信息協(xié)議中應(yīng)用的生物信息學(xué)中的序列比對(duì)算法進(jìn)行了分析；4、提出了HONEYD蜜罐系統(tǒng)腳本的自動(dòng)生成模型；5、通過實(shí)驗(yàn)證明了模型的參數(shù)變化及在真實(shí)環(huán)境中模型的有效性。14論文組織結(jié)構(gòu)論文結(jié)構(gòu)如下第1章主要綜述了本文的研究背景和意義，蜜罐技術(shù)的國內(nèi)外研究現(xiàn)狀及本文的主要研究?jī)?nèi)容；第2章介紹商院網(wǎng)絡(luò)環(huán)境以及管理方案；第3章校園網(wǎng)安全蜜罐系統(tǒng)的設(shè)計(jì)并分析HONEYD的工作原理；第4章基于序列比對(duì)方法的蜜罐腳本產(chǎn)生模型的設(shè)計(jì)，該模型由四個(gè)模塊組成，旨在為HONEYD提供使攻擊者可信的腳本信息；第5章實(shí)驗(yàn)分析，分別驗(yàn)證了模型參數(shù)的變化情況和在商院校園網(wǎng)環(huán)境中模型的有效性。第6章總結(jié)和展望研究的過程也是不斷地思考、實(shí)踐驗(yàn)證的過程。通過對(duì)山西大學(xué)商務(wù)學(xué)院校園網(wǎng)分析，結(jié)合蜜罐的研究，為今后在該領(lǐng)域提出了新的目標(biāo)。在論文的最后列舉了一些下一步想要做的工作和要解決的問題。第2章商院網(wǎng)絡(luò)安全管理方案21商院網(wǎng)絡(luò)環(huán)境山大商務(wù)學(xué)院的網(wǎng)絡(luò)結(jié)構(gòu)如圖21所示圈21山丈面務(wù)學(xué)院網(wǎng)絡(luò)結(jié)構(gòu)幽FI畔2IBUS婦SSCOIIEGOSE|WORKS11CNL陀由結(jié)構(gòu)圖可知，該校園網(wǎng)由以下幾部分組成圖書館子網(wǎng)、辦公樓子網(wǎng)、教學(xué)樓于網(wǎng)、信息樓子網(wǎng)、其他樓子網(wǎng)。圖書館、辦公樓、教學(xué)樓、信息樓、其他樓組成了校內(nèi)網(wǎng)，他們之問的相互訪問通過設(shè)在網(wǎng)絡(luò)中心的服務(wù)器群控制，這些校內(nèi)網(wǎng)用戶可以訪問因特網(wǎng)，在子網(wǎng)用戶和路由器之自J設(shè)置了防火墻。下面介紹三種需要保護(hù)的網(wǎng)絡(luò)I、無線接入網(wǎng)無線接入網(wǎng)是全部或部分替有線本地環(huán)路，應(yīng)具備通話質(zhì)量高、可靠性高、保密性強(qiáng)、容量大，而成本要低、維護(hù)方便等，為支持靈活的工作方法，山大商HTTP/INFO3DOUCOM/網(wǎng)絡(luò)推廣北京丁業(yè)，學(xué)T早碩L學(xué)位論文務(wù)學(xué)院提供了小范圍的群移動(dòng)用戶，使用NCTFLOWIOS作為無線接入網(wǎng)的主要設(shè)備。此種訪問方式的主要隱患在于非授權(quán)用戶有可能通過無線接入網(wǎng)接入服務(wù)器訪問學(xué)校內(nèi)部網(wǎng)絡(luò)。破壞學(xué)院相關(guān)數(shù)據(jù)，因此必須限制無線接入網(wǎng)。2、INTEMET訪問山大商務(wù)學(xué)院為校外居住的教師提供了一個(gè)ISPINTERNETSERVICEPROVIDER，互聯(lián)網(wǎng)服務(wù)提供商電路連接到校園網(wǎng)上的一臺(tái)路由器。校外的教師和出差人員就可以通過連接訪問學(xué)院。這個(gè)主機(jī)叫做堡壘主機(jī)，它是一臺(tái)完全暴露給外網(wǎng)攻擊的主機(jī)。它沒有任何防火墻或者包過慮路由器設(shè)備保護(hù)。堡壘主機(jī)執(zhí)行的任務(wù)對(duì)于整個(gè)網(wǎng)絡(luò)安全系統(tǒng)至關(guān)重要。事實(shí)上，防火墻和包過慮路由器也可以被看作堡壘主機(jī)。由于堡壘主機(jī)完全暴露在外網(wǎng)安全威脅之下，需要做許多工作來設(shè)計(jì)和配置堡壘主機(jī)，使它遭到外網(wǎng)攻擊成功的風(fēng)險(xiǎn)性減至最低。其他類型的堡壘主機(jī)包括WEB、MAIL、DNS、FTP服務(wù)器。一些網(wǎng)絡(luò)管理員會(huì)用堡壘主機(jī)做犧牲品來換取網(wǎng)絡(luò)的安全【11】。這些主機(jī)吸引入侵者的注意力，耗費(fèi)攻擊真正網(wǎng)絡(luò)主機(jī)的時(shí)間并且使追蹤入侵企圖變得更加容易。該主機(jī)運(yùn)行著含有山大商務(wù)學(xué)院信息的幾種軟件系統(tǒng)。同時(shí)內(nèi)、外部用戶可以相互轉(zhuǎn)發(fā)電子郵件。3、校園網(wǎng)訪問校園網(wǎng)訪問所涉及的部FJ；FF電教中心、辦公樓的各個(gè)學(xué)院、各系實(shí)驗(yàn)室、圖書館、信息安全實(shí)驗(yàn)室。他們都有自己?jiǎn)为?dú)的服務(wù)器，其中信息安全實(shí)驗(yàn)室有一臺(tái)集中網(wǎng)絡(luò)管理的WINDOWSSERVER2003互聯(lián)網(wǎng)服務(wù)器，負(fù)責(zé)管理、監(jiān)督網(wǎng)絡(luò)基礎(chǔ)設(shè)施、服務(wù)器和工作站之間的連通性，它可以通過TELNET協(xié)議訪問所有的網(wǎng)絡(luò)設(shè)備。對(duì)于校園網(wǎng)訪問，主要隱患在于校園內(nèi)的用戶操作失誤、存心搗亂的關(guān)鍵數(shù)據(jù)泄密以及不良影響。22山大商務(wù)學(xué)院網(wǎng)絡(luò)的安全目標(biāo)和設(shè)計(jì)原則通過對(duì)以上情況的分析，山大商務(wù)學(xué)院制定了相應(yīng)的網(wǎng)絡(luò)安全目標(biāo)1網(wǎng)絡(luò)中心應(yīng)配置功能較強(qiáng)的網(wǎng)絡(luò)管理軟件，可實(shí)現(xiàn)對(duì)校園網(wǎng)主要設(shè)備的遠(yuǎn)程管理。有權(quán)限設(shè)置、虛網(wǎng)VLAN劃分、流量檢測(cè)、故障報(bào)警等功能；2防火墻入侵檢測(cè)和防范系統(tǒng)可實(shí)現(xiàn)對(duì)來自外網(wǎng)和內(nèi)部攻擊的防范，菊章商院FQ絡(luò)安拿管砰方案防止校園內(nèi)部敏感數(shù)據(jù)被竊取和篡改；3防病毒軟件網(wǎng)絡(luò)版防止病毒入侵校園網(wǎng)，可自動(dòng)在線升級(jí)病毒庫定義，最好能在線更新工作站端口的防病毒軟件在線分發(fā)；4電子郵件管理軟件，可進(jìn)行帳戶管理、費(fèi)用管理、內(nèi)容過濾、反垃圾郵件、系統(tǒng)同志等功能5用戶管理系統(tǒng)對(duì)校內(nèi)用戶進(jìn)行身份識(shí)別、權(quán)限分配和設(shè)置，6各系統(tǒng)應(yīng)能提供完善的日志記錄功能對(duì)用戶的對(duì)外訪問進(jìn)行控制和記錄，用戶記錄應(yīng)能保存60天以上。7做好數(shù)據(jù)的備份工作。山西大學(xué)商務(wù)學(xué)院校園網(wǎng)設(shè)計(jì)方案的原則為1先進(jìn)性校園網(wǎng)應(yīng)由先進(jìn)的網(wǎng)絡(luò)體系結(jié)構(gòu)和先進(jìn)的網(wǎng)絡(luò)設(shè)備構(gòu)成，能夠滿足校園網(wǎng)教學(xué)、科研和管理應(yīng)用的需求。2標(biāo)準(zhǔn)化校園網(wǎng)建設(shè)應(yīng)采用國際標(biāo)準(zhǔn)或事實(shí)上的工業(yè)標(biāo)準(zhǔn)，支持網(wǎng)絡(luò)互聯(lián)的開放標(biāo)準(zhǔn)，可實(shí)現(xiàn)多協(xié)議轉(zhuǎn)換，便于不同廠家產(chǎn)品互連。3實(shí)用化采用先進(jìn)而成熟的技術(shù)，不落后也不奢侈，夠用并留有發(fā)展余地，不追求最新的或未經(jīng)實(shí)踐的技術(shù)。4高的可靠性網(wǎng)絡(luò)系統(tǒng)和設(shè)備選型應(yīng)該能夠提供接近電信級(jí)的安全性能，即保證校園網(wǎng)安全運(yùn)行率在999以上。5安全性網(wǎng)絡(luò)系統(tǒng)應(yīng)具有較高的安全性，提供高性能的用戶身份認(rèn)證和訪問授權(quán)管理，有良好的防病毒、防黑客、防垃圾郵件、內(nèi)容過濾功能。6較高的性能價(jià)格LL少花錢、多辦事，盡可能減少不必要的投資。良好的可擴(kuò)充性可保護(hù)前期設(shè)備投資和支持將來的發(fā)展。23商院網(wǎng)絡(luò)管理方案通過以上的安全目標(biāo)和設(shè)計(jì)原則，為山大商務(wù)學(xué)院具體安全管理措施如下231根據(jù)用戶的特性和需求劃分無線接入網(wǎng)無線接入技術(shù)也稱空中接口是無線通信的關(guān)鍵問題。它是指通過無線介質(zhì)將用戶終端與網(wǎng)絡(luò)節(jié)點(diǎn)連接起來，以實(shí)現(xiàn)用戶與網(wǎng)絡(luò)間的信息傳遞。無線信道一9一HTTP/INFO3DOUCOM/網(wǎng)絡(luò)推廣北京T業(yè)，I學(xué)T干罕碩I。學(xué)位論文傳輸?shù)男盘?hào)應(yīng)遵循一定的協(xié)議，這些協(xié)議即構(gòu)成無線接入技術(shù)的主要內(nèi)容。無線接入技術(shù)與有線接入技術(shù)的一個(gè)重要區(qū)別在于可以向用戶提供移動(dòng)接入業(yè)務(wù)。無線接入網(wǎng)是指部分或全部采用無線電波這一傳輸媒質(zhì)連接用戶與交換中心的一種接入技術(shù)。在通信網(wǎng)中，無線接入系統(tǒng)的定位是本地通信網(wǎng)的一部分，是本地有線通信網(wǎng)的延伸、補(bǔ)充和臨時(shí)應(yīng)急系統(tǒng)。將商院無線接入網(wǎng)絡(luò)，由于商院的行政辦公機(jī)構(gòu)分布在同一辦公樓中的不同樓層，因?yàn)閃LAN易安裝、易擴(kuò)展、易管理、易維護(hù)，作為有線局域網(wǎng)絡(luò)地延伸而存在的，各個(gè)系、辦公單位在構(gòu)建其辦公網(wǎng)絡(luò)后，使無線網(wǎng)絡(luò)用戶具有高移動(dòng)性、保密性強(qiáng)、抗干擾等特點(diǎn)。232在校園網(wǎng)出口設(shè)置防火墻防火墻是校園網(wǎng)信息安全保障的核心點(diǎn)，它負(fù)責(zé)校園網(wǎng)中最基本的信息服務(wù)系統(tǒng)的安全，一旦被非法進(jìn)入，存在著內(nèi)容被竊取、泄密、篡改、損壞等巨大風(fēng)險(xiǎn)，屬于安全等級(jí)中最嚴(yán)重的事件。通過部署防火墻，把這些信息系統(tǒng)集中隔離到一個(gè)邏輯安全區(qū)中，在防火墻集中控制點(diǎn)處定制嚴(yán)格的訪問控制策略，實(shí)施嚴(yán)格的數(shù)據(jù)流監(jiān)控。因?yàn)榉阑饓Φ陌踩栽从谄鋬?yōu)秀的訪問控制能力，可做到基于IP、協(xié)議、用戶的訪問控制，能靈活地對(duì)服務(wù)對(duì)象、操縱權(quán)限、服務(wù)范圍進(jìn)行控制。同時(shí)也對(duì)各具體的服務(wù)系統(tǒng)從底層操作系統(tǒng)到應(yīng)用系統(tǒng)做了針對(duì)性的安全優(yōu)化和加強(qiáng)，如停用無關(guān)服務(wù)、啟用系統(tǒng)審計(jì)、精簡(jiǎn)定制系統(tǒng)等。而且對(duì)安全性有特殊要求的服務(wù)系統(tǒng)，在防火墻和服務(wù)系統(tǒng)上也做了較為詳細(xì)的日志記錄，為安全事件的事后取證工作提供依據(jù)，當(dāng)然取證是多因素的綜合，也包括其它手段如IDS、蜜罐等手段的補(bǔ)充。IDSINTRUSIONDETECTIONSYSTEMS，入侵檢測(cè)系統(tǒng)系統(tǒng)是重要的網(wǎng)絡(luò)安全診斷工具，可實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的異常情況、跟蹤安全事件的新動(dòng)向、統(tǒng)計(jì)分析安全歷史記錄等。IDS系統(tǒng)通常把探測(cè)引擎分布式地部署在網(wǎng)絡(luò)的各關(guān)鍵點(diǎn)，然后匯總到控制中心進(jìn)行分析、統(tǒng)計(jì)、顯示、報(bào)警等動(dòng)作。由于外網(wǎng)的攻擊，如網(wǎng)絡(luò)掃描、蠕蟲、DOS等攻擊，只能是被動(dòng)地阻斷或向相關(guān)組織反饋，而對(duì)攻擊源無法處罰，內(nèi)網(wǎng)則由于可利用的監(jiān)控手段多，攻擊源的定位和控制也相對(duì)容目12】勿。校園網(wǎng)所用的防火墻是FORTIGATE一300A，F(xiàn)ORTIGATE300A有兩個(gè)101001000M自適應(yīng)以太網(wǎng)接口，可以升級(jí)到千兆網(wǎng)絡(luò)。它有四個(gè)用戶定義的第2辛商院網(wǎng)絡(luò)立會(huì)管理方棠IOIOOM接口，可以提供冗余的WAN連接，高可靠性和多區(qū)域的特性，允許管理員在劃分其網(wǎng)絡(luò)的區(qū)域時(shí)有更高的靈活性和在不同區(qū)域之間設(shè)置策略【24】。它能有效隔離校園網(wǎng)與外部互聯(lián)網(wǎng)的連接，使之間的訪問連接得到有效控制。針對(duì)重要的網(wǎng)段如院長(zhǎng)辦公室、教務(wù)、財(cái)務(wù)、人事、科研中心、重要實(shí)驗(yàn)室等可以設(shè)置相應(yīng)的隔離網(wǎng)關(guān)，提供最基本的網(wǎng)絡(luò)層的訪問控制。233合理運(yùn)用入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)是主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。目前，實(shí)現(xiàn)入侵檢測(cè)和防火墻之間的聯(lián)動(dòng)有兩種方式。一種是實(shí)現(xiàn)緊密結(jié)合，即把入侵檢測(cè)系統(tǒng)嵌入到防火墻中，即入侵檢測(cè)系統(tǒng)的數(shù)據(jù)來源不再來源于抓包，而是流經(jīng)防火墻的數(shù)據(jù)流。但由于入侵檢測(cè)系統(tǒng)本身也是一個(gè)很龐大的系統(tǒng)，從目前的軟硬件處理能力來看，這種聯(lián)動(dòng)難于達(dá)到預(yù)期效果。第二種方式是通過開放接口來實(shí)現(xiàn)聯(lián)動(dòng)，即防火墻或者入侵檢測(cè)系統(tǒng)開放一個(gè)接口供對(duì)方調(diào)用，按照一定的協(xié)議進(jìn)行通信、警報(bào)和傳輸，這種方式比較靈活，不影響防火墻和入侵檢測(cè)系統(tǒng)的性能。防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)，可以對(duì)網(wǎng)絡(luò)進(jìn)行動(dòng)靜結(jié)合的保護(hù)，對(duì)網(wǎng)絡(luò)行為進(jìn)行細(xì)顆粒的檢查，并對(duì)網(wǎng)絡(luò)內(nèi)外兩個(gè)部分都進(jìn)行可靠管理。234設(shè)置訪問控制管理系統(tǒng)和智能信息過濾系統(tǒng)校園網(wǎng)采用扁平結(jié)構(gòu)設(shè)計(jì)，主干網(wǎng)采用千兆交換網(wǎng)，網(wǎng)絡(luò)中心1樓宇交換機(jī)1桌面三級(jí)互聯(lián)，支持VLANVIRTUALLOCALAREANETWORK，虛擬局域網(wǎng)。整個(gè)網(wǎng)絡(luò)系統(tǒng)采用了2層交換的混合架構(gòu)核心層、匯聚和接入層。核心層采用雙核心冗余備份結(jié)構(gòu)，采用二臺(tái)高性能的可擴(kuò)展萬兆模塊的模塊化路由交換機(jī)未來可以平滑的升級(jí)到萬兆，在交換機(jī)間采用互為冗余備份和負(fù)載均衡的技術(shù)。核心交換機(jī)安裝在校網(wǎng)絡(luò)中心，可為匯聚接入層的交換機(jī)提供大量的千兆接口，為出口的網(wǎng)絡(luò)安全設(shè)備防火墻提供連接，為商務(wù)學(xué)院的校園網(wǎng)提供路由和交換的骨干。當(dāng)一臺(tái)核心交換機(jī)出現(xiàn)故障時(shí)，二臺(tái)交換機(jī)之間會(huì)自動(dòng)進(jìn)行切換，校園網(wǎng)的用戶根本感覺不到故障的存在，使得視頻教學(xué)、給上級(jí)單位的多媒體課程演示等所有的網(wǎng)絡(luò)活動(dòng)能夠不問斷的進(jìn)行，為校園網(wǎng)的可靠運(yùn)行提供了強(qiáng)有力的保障。HTTP/INFO3DOUCOM/網(wǎng)絡(luò)推廣北京T、IF，7學(xué)T干罕碩IJ學(xué)1T論義同時(shí)，核心交換機(jī)上應(yīng)配置雙電源、雙引擎，二個(gè)引擎上均有相同的軟件配置信息，如果一個(gè)引擎出現(xiàn)問題，系統(tǒng)會(huì)自動(dòng)檢測(cè)到并在毫秒的時(shí)間內(nèi)完成自動(dòng)的切換，不會(huì)導(dǎo)致數(shù)據(jù)的丟失，從硬件設(shè)備上保證了核心設(shè)備的穩(wěn)定可靠性。在整個(gè)網(wǎng)絡(luò)系統(tǒng)中，建議采用安全網(wǎng)絡(luò)管理平臺(tái)，保證商務(wù)學(xué)院校園網(wǎng)的安全和有效管理，采用支持8021XRADIUSSNMP的網(wǎng)絡(luò)管理平臺(tái)，實(shí)現(xiàn)所有網(wǎng)絡(luò)設(shè)備的集中統(tǒng)一管理、用戶授權(quán)統(tǒng)一管理以及網(wǎng)絡(luò)流量的統(tǒng)一監(jiān)控。其SAMS校園網(wǎng)安全管理系統(tǒng)由于其管理嚴(yán)謹(jǐn)、科學(xué)合理、功能強(qiáng)大，特別符合高校復(fù)雜網(wǎng)絡(luò)應(yīng)用環(huán)境和高校學(xué)生對(duì)網(wǎng)絡(luò)過度應(yīng)用的情況，能夠防止私接代理、帶寬無限占用，并能提供無線網(wǎng)絡(luò)的有效安全管理，大大減輕了網(wǎng)絡(luò)中心管理人員的工作強(qiáng)度，受到各用戶單位的好評(píng)。235加強(qiáng)服務(wù)器安全服務(wù)器是網(wǎng)絡(luò)上一種為客戶端計(jì)算機(jī)提供各種服務(wù)的高性能的計(jì)算機(jī)，它在網(wǎng)絡(luò)操作系統(tǒng)的控制下，將與其相連的硬盤、磁帶、打印機(jī)、MODEM及各種專用通訊設(shè)備提供給網(wǎng)絡(luò)上的客戶站點(diǎn)共享，也能為網(wǎng)絡(luò)用戶提供集中計(jì)算、信息發(fā)表及數(shù)據(jù)管理等服務(wù)。它的高性能主要體現(xiàn)在高速度的運(yùn)算能力、長(zhǎng)時(shí)間的可靠運(yùn)行、強(qiáng)大的外部數(shù)據(jù)吞吐能力等方面。是校園網(wǎng)的核心設(shè)備，因此要有提高的安全性。WINDOWSSERVER2003是目前最為成熟的網(wǎng)絡(luò)服務(wù)器平臺(tái)，安全性相對(duì)于WINDOWS2000有大大的提高，但是2003默認(rèn)的安全配置不一定適合我們的需要，所以，我們要根據(jù)實(shí)際情況來對(duì)WINDOWSSERVER2003進(jìn)行全面安全配置。本文則在此基礎(chǔ)上從主動(dòng)防御的角度考慮，設(shè)計(jì)了一種序列比對(duì)蜜罐系統(tǒng)來提前發(fā)現(xiàn)攻擊，從而及時(shí)采取相應(yīng)的措施來保護(hù)服務(wù)器。236加強(qiáng)防范，防止病毒泛濫網(wǎng)絡(luò)中心為全校教師和學(xué)生提供一個(gè)統(tǒng)一域名的郵箱賬號(hào)，目前用戶數(shù)規(guī)模高達(dá)2萬多。根據(jù)日常的監(jiān)控統(tǒng)計(jì)，垃圾郵件和高度疑似的垃圾郵件就占了總量的90之多，消耗了大量的系統(tǒng)資源，包括CPU性能、磁盤空間、內(nèi)存、響應(yīng)速度等。垃圾郵件主要分兩大類，一類是病毒造成，另一類是廣告行為。泵2干商院網(wǎng)絡(luò)友傘琶理方案對(duì)于大量泛濫的廣告郵件，采用基于行為分析的垃圾郵件過濾系統(tǒng)，即通過識(shí)別垃圾郵件的行為如分析郵件路由邏輯，反向驗(yàn)證IP地址域，辨別仿冒郵件地址等行為特征進(jìn)行過濾。事實(shí)證明通過這種基于行為方式的過濾，垃圾郵件會(huì)大幅度地降低，根據(jù)對(duì)校園網(wǎng)郵件系統(tǒng)的統(tǒng)計(jì)，最后能到達(dá)用戶的郵件只占郵件總量的510，而且即使是過濾后的郵件，垃圾郵件也能占到一定的比例口。這部分被漏掉的垃圾郵件，一是由于系統(tǒng)不對(duì)內(nèi)容做判斷，另一方面是因?yàn)橛幸恍┬袨闆]能被識(shí)別出來造成的。病毒郵件同樣是垃圾郵件，而且占相當(dāng)大的比例，由于病毒極強(qiáng)的傳染力，導(dǎo)致郵件系統(tǒng)成了散播病毒的源頭，嚴(yán)重威脅著郵件接收者的終端系統(tǒng)，因此在校園網(wǎng)郵件系統(tǒng)的前端我們部署了郵件防病毒網(wǎng)關(guān)，凡是進(jìn)入郵件系統(tǒng)的信件都要經(jīng)防病毒網(wǎng)關(guān)的過濾后，才最終被送到用戶郵箱中。237在防火墻內(nèi)口上捆綁IP和MAC地址IP地址的修改非常容易，而MACMEDIAACCESSCONTROL，介質(zhì)訪問控制地址存儲(chǔ)在網(wǎng)卡中，而且網(wǎng)卡的MAC地址是唯一確定的。因此，為了防止內(nèi)部人員進(jìn)行非法工P盜用例如盜用權(quán)限更高人員的IP地址，以獲得權(quán)限外的信息，可以將內(nèi)部網(wǎng)絡(luò)的IP地址與MAC地址綁定，盜用者即使修改了IP地址，也因MAC地址不匹配而盜用失敗而且由于網(wǎng)卡MAC地址的唯一確定性，可以根據(jù)MAC地址查出使用該MAC地址的網(wǎng)卡，進(jìn)而查出非法盜用者。目前，學(xué)校校園網(wǎng)都采用了MAC地址與IP地址的綁定技術(shù)。許多防火墻硬件防火墻和軟件防火墻為了防止網(wǎng)絡(luò)內(nèi)部的IP地址被盜用，也都內(nèi)置了MAC地址與IP地址的綁定功能。這樣綁定MAC地址和IP地址可以防止內(nèi)部IP地址被盜用。238容錯(cuò)和備份備份是容錯(cuò)的基礎(chǔ)，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將全部或部分?jǐn)?shù)據(jù)集合從應(yīng)用主機(jī)的硬盤或陣列復(fù)制到其它的存儲(chǔ)介質(zhì)的過程。傳統(tǒng)的數(shù)據(jù)備份主要是采用內(nèi)置或外置的磁帶機(jī)進(jìn)行冷備份。但是這種方式只能防止操作失誤等人為故障，而且其恢復(fù)時(shí)間也很長(zhǎng)。隨著技術(shù)的不斷發(fā)展，數(shù)據(jù)的海量增加，不少的企業(yè)開始采用網(wǎng)絡(luò)備份。網(wǎng)絡(luò)備份一般通過專業(yè)的數(shù)據(jù)HTTP/INFO3DOUCOM/網(wǎng)絡(luò)推廣北京TQF人。學(xué)T稃碩I學(xué)位論丈存儲(chǔ)管理軟件結(jié)合相應(yīng)的硬件和存儲(chǔ)設(shè)備來實(shí)現(xiàn)。239日志的記錄對(duì)校園網(wǎng)安全中網(wǎng)絡(luò)管理人員注意日志的收集，在出現(xiàn)安全事故時(shí)，如果有交換機(jī)等設(shè)備的日志信息，就可以通過查看和分析日志，來確定攻擊來源，進(jìn)而對(duì)漏洞采取措施，使損失降到最低。所以，要建立一個(gè)可以運(yùn)行在WINDOWS或LINUX環(huán)境下的日志服務(wù)器軟件可以使用3CDEMON等。在核心交換機(jī)上還要啟用日志記錄，并指定SYSLOG服務(wù)器的IP地址。2310加強(qiáng)內(nèi)部安全管理對(duì)管理人員安全思想應(yīng)進(jìn)行提高，對(duì)網(wǎng)絡(luò)和系統(tǒng)一定要保證運(yùn)轉(zhuǎn)正常，在此基礎(chǔ)上建立嚴(yán)格的校園網(wǎng)管理制度和實(shí)驗(yàn)室上機(jī)管理制度，對(duì)人為因素造成的不安全事情應(yīng)進(jìn)行杜絕。整個(gè)校園網(wǎng)安全的日常管理及維護(hù)應(yīng)該配備相應(yīng)的專業(yè)管理人員負(fù)責(zé)。制訂并實(shí)施系統(tǒng)備份計(jì)劃，建立和完善網(wǎng)絡(luò)故障緊急處理預(yù)案，對(duì)系統(tǒng)完整的數(shù)據(jù)做好備份。對(duì)網(wǎng)絡(luò)監(jiān)控值班和技術(shù)值班應(yīng)實(shí)施24小時(shí)；每一個(gè)環(huán)節(jié)事故處理都要確保，以達(dá)到有備無患，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。第一階段預(yù)備盛食厲兵第二階段確定檢查應(yīng)全面細(xì)致第三階段封閉對(duì)失控的局面應(yīng)冷靜處理第四階段刪除徹底的補(bǔ)救措施第五階段復(fù)原恢復(fù)備份第六階段追蹤對(duì)特定的攻擊是否還會(huì)有第二次24本章小結(jié)本章主要介紹了商院網(wǎng)絡(luò)的總體管理方案，對(duì)三種需要保護(hù)的網(wǎng)絡(luò)分別采取了相應(yīng)的措施來加以保護(hù)。網(wǎng)絡(luò)操作系統(tǒng)是校園網(wǎng)服務(wù)器系統(tǒng)中最重要的組成部分，針對(duì)235中對(duì)服務(wù)器的安全設(shè)置的不足，本文設(shè)計(jì)了一種序列比對(duì)蜜罐系第2章商院網(wǎng)絡(luò)安全管理方案統(tǒng)，將該系統(tǒng)布置在靠近服務(wù)器的地方，能夠提前發(fā)現(xiàn)攻擊，從而及時(shí)采取相應(yīng)的措施加以阻止，使該方案成為更加適合商院實(shí)際情況的，具有可擴(kuò)展性的、唯一的、最優(yōu)的方案。下一章將詳細(xì)介紹蜜罐技術(shù)。HTTP/INFO3DOUCOM/網(wǎng)絡(luò)推廣第3章校同網(wǎng)宜拿蜜罐系統(tǒng)的設(shè)計(jì)第3章校園網(wǎng)安全蜜罐系統(tǒng)的設(shè)計(jì)31蜜罐技術(shù)概述311蜜罐的概念蜜罐的定義是“蜜罐是一個(gè)安全資源，它的價(jià)值在于被探測(cè)、攻擊和損害。“此定義包括以下兩層意思1、蜜罐出現(xiàn)的目的就是要誘騙攻擊者的攻擊，相反不被攻擊者攻擊的蜜罐是沒有意義的。2、蜜罐是不用修補(bǔ)造成的任何損傷，它的作用就是盡最大能力捕獲攻擊者的手段，這些手段中包括受攻擊造成的損傷。蜜罐的設(shè)計(jì)初衷是通過黑客入侵，以此收集數(shù)據(jù)，同時(shí)讓真實(shí)的服務(wù)器避開攻擊，因此一臺(tái)合格的蜜罐要求擁有一下功能發(fā)現(xiàn)攻擊、產(chǎn)生報(bào)警、記錄能力強(qiáng)大、誘騙、調(diào)查。剩下的功能由機(jī)房管理員去操作，那就是根據(jù)蜜罐收集的證據(jù)在必要的時(shí)候來起訴入侵者。蜜罐在網(wǎng)絡(luò)安全資源中的位置如圖31所示圖31蜜罐在網(wǎng)絡(luò)安全資源中的位置FIGURE31HONEYPOTNETWORKSECURITYRESOURCESINTHELOCATIONOF312蜜罐的分類一按照部署目的分類按照部署目的，蜜罐可以分為產(chǎn)品型蜜罐和研究型蜜罐兩類，研究型蜜罐專門用于對(duì)黑客攻擊的捕獲和分析，通過部署研究型蜜罐，研究人員可以對(duì)黑客攻北京T業(yè)人學(xué)T程形L學(xué)位論文擊進(jìn)行追蹤和分析，捕獲黑客的鍵擊記錄，了解到黑客所使用的攻擊工具及攻擊方法，甚至能夠監(jiān)聽到黑客之間的交談，從而掌握他們的心理狀態(tài)等信息。研究型蜜罐需要研究人員投入大量的時(shí)間和精力進(jìn)行攻擊監(jiān)視和分析工作【L41。具有代表性的工具是“蜜網(wǎng)項(xiàng)目組”所推出的第二代蜜網(wǎng)技術(shù)】。而產(chǎn)品型蜜罐的目的在于為一個(gè)組織的網(wǎng)絡(luò)提供安全保護(hù)，包括檢測(cè)攻擊、防止攻擊造成破壞及幫助管理員對(duì)攻擊做出及時(shí)正確的響應(yīng)等功能。一般產(chǎn)品型蜜罐較容易部署，而且不需要管理員投入大量的工作。較具代表性的產(chǎn)品型蜜罐包括前面提到的DTK、HONEYD451等開源工具和KFSENSOR、MANTRAP等一系列的商業(yè)產(chǎn)品【15】。二根據(jù)蜜罐與攻擊者的交互程度分類蜜罐也可以按照其交互度的等級(jí)劃分為低交互蜜罐和高交互蜜罐，交互度反應(yīng)了黑客在蜜罐上進(jìn)行攻擊活動(dòng)的自由度。高交互蜜罐提供完全真實(shí)的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，沒有任何的模擬，從黑客角度上看，高交互蜜罐完全是其垂涎己久的“活靶子”，因此在高交互蜜罐中，我們能夠獲得許多黑客攻擊的信息【4。高交互蜜罐在提升黑客活動(dòng)自由度的同時(shí)，自然地加大了部署和維護(hù)的復(fù)雜度及風(fēng)險(xiǎn)的擴(kuò)大。研究型蜜罐一般都屬于高交互蜜罐，也有部分蜜罐產(chǎn)品如MANTRAP，屬于高交互蜜罐。低交互蜜罐一般僅僅模擬操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，較容易部署且風(fēng)險(xiǎn)較小，但黑客在低交互蜜罐中能夠進(jìn)行的攻擊活動(dòng)較為有限，因此通過低交互蜜罐能夠收集的信息也比較有限，同時(shí)由于低交互蜜罐通常是模擬的虛擬蜜罐，或多或少存在一些容易被黑客所識(shí)別的指紋FINGERPRINTING信息。產(chǎn)品型蜜罐一般屬于低交互蜜罐【371。三根據(jù)實(shí)現(xiàn)方法分類蜜罐還可以按照其實(shí)現(xiàn)方法區(qū)分成物理蜜罐與虛擬蜜罐。物理蜜罐是真實(shí)的網(wǎng)絡(luò)上存在的主機(jī)，運(yùn)行著真實(shí)的操作系統(tǒng)，提供真實(shí)的服務(wù)，擁有自己的口地址；虛擬蜜罐則是由一臺(tái)機(jī)器模擬的，這臺(tái)機(jī)器會(huì)響應(yīng)發(fā)送到虛擬蜜罐的網(wǎng)絡(luò)數(shù)據(jù)流，提供模擬的網(wǎng)絡(luò)服務(wù)等。313蜜罐的作用蜜罐的作用主要表現(xiàn)在下列三個(gè)方面1、蜜罐可以在抵御攻擊上化被動(dòng)為主動(dòng)傳統(tǒng)的防火墻和IDS只限于對(duì)已知攻擊的響應(yīng)，不能預(yù)防未知攻擊，主動(dòng)權(quán)HTTP/INFO3DOUCOM/網(wǎng)絡(luò)推廣第3章校同網(wǎng)安傘蜜罐系統(tǒng)的設(shè)汁掌握在黑客手中，而蜜罐能夠誘惑和欺騙攻擊者，讓他們優(yōu)先攻擊蜜罐而不是世紀(jì)的工作系統(tǒng)。蜜罐從捕獲的數(shù)據(jù)中學(xué)習(xí)攻擊者的動(dòng)機(jī)、方法和工具，這樣就能更好地理解面臨的威脅，贏得了研究對(duì)策定時(shí)間，掌握了主動(dòng)權(quán)；2、蜜罐可以有效地收集攻擊信息由于蜜罐不提供真實(shí)的系統(tǒng)并將任何對(duì)自己的訪問都視為入侵，所以收集到的信息都是與攻擊有關(guān)的，雖然信息量不大，但從中可以迅速找到黑客攻擊的證據(jù)；3、蜜罐可以保護(hù)周邊網(wǎng)絡(luò)的安全由于蜜罐轉(zhuǎn)移了攻擊者的注意力，讓入侵者在蜜罐中逗留了較長(zhǎng)的時(shí)間，網(wǎng)絡(luò)管理員就有足夠的時(shí)間對(duì)入侵做出反應(yīng)，這在一定程度上減小了周邊網(wǎng)絡(luò)被攻擊的風(fēng)險(xiǎn)。314蜜罐的優(yōu)勢(shì)和缺陷一蜜罐的優(yōu)勢(shì)1、數(shù)據(jù)價(jià)值當(dāng)前，眾多的安全組織所面臨的一個(gè)就是如何從收集到的數(shù)據(jù)中獲得由價(jià)值的信息，這些組織每天都收集到大量的數(shù)據(jù)，包括防火墻同志、系統(tǒng)日志和入侵檢測(cè)系統(tǒng)所發(fā)的告警信息。文獻(xiàn)這些數(shù)據(jù)的量是龐大的，大多都是幾兆，甚至以吉比特為單位，從中提出有價(jià)值的信息非常困難。而蜜罐收集的數(shù)據(jù)量很少，但是含金量高，蜜罐的概念決定了可以將噪音降到最低蜜罐沒有任何產(chǎn)品型的功能，任何對(duì)他的訪問都是非法的、可疑的，這些數(shù)據(jù)記錄都是掃描、探測(cè)、攻擊，價(jià)值非常高。蜜罐可以迅速、簡(jiǎn)單、易懂的格式提供所需的信息，這樣反應(yīng)時(shí)間大大縮短。例如HONEYNETPROJECT是研究蜜罐的非官方組織，每天收集到的數(shù)據(jù)不到1M。雖然數(shù)據(jù)量很小，但是包含的信息主要都是可疑的行為。這些數(shù)據(jù)可以用來做統(tǒng)計(jì)模型、趨勢(shì)分析、檢測(cè)攻擊，甚至研究攻擊者。這個(gè)過程如同在顯微鏡下做顯微分析，將捕獲的數(shù)據(jù)放在顯微鏡下做進(jìn)一步、詳細(xì)的審查研究13】。2、資源絕大多數(shù)安全組織所面臨的另J個(gè)難題就是資源的限制，有的甚至是資源的北京T業(yè)人學(xué)T干口順卜學(xué)F_論丈耗盡。例如當(dāng)防火墻的狀態(tài)檢測(cè)表滿的時(shí)候，它就會(huì)強(qiáng)迫阻斷所有的連接。入侵檢測(cè)系統(tǒng)會(huì)因?yàn)榫W(wǎng)絡(luò)流量太大而丟失數(shù)據(jù)包。這些都是網(wǎng)絡(luò)資源耗盡的情況。因?yàn)槊酃扌枰东@和監(jiān)視的網(wǎng)絡(luò)行為很少，一般情況不會(huì)出現(xiàn)資源耗盡的情況。蜜罐只需監(jiān)視其關(guān)心的連接，不存在網(wǎng)絡(luò)流量太大的問題，所以不需要最新的技術(shù)高容量的RAM、高速CPU，這樣就意味著配置蜜罐不需要消耗太多的資源。3、簡(jiǎn)單性蜜罐不需要像IDS一樣維護(hù)特征數(shù)據(jù)庫，配置規(guī)則庫，只要配置好蜜罐放在網(wǎng)絡(luò)中就可以了。對(duì)于一個(gè)系統(tǒng)而言，越簡(jiǎn)單，其工作的可靠性越好。4、投資回報(bào)當(dāng)防火墻成功的將攻擊者拒之門外的時(shí)候，它自己就成了成功的犧牲品。如果投資者在安裝了防火墻的幾年內(nèi)，并沒有遭受到任何攻擊，那么，他們會(huì)懷疑安裝防火墻的必要性。他們很可能不去想沒有遭受攻擊的原因正是因?yàn)榉阑饓λ?。開發(fā)者耗費(fèi)了時(shí)間和資源，而他們都成了成功的受害者。但是，蜜罐卻能夠快速而又重復(fù)的證明自己的價(jià)值。通過捕獲未授權(quán)行為，不但會(huì)讓人們知道攻擊者存在，而且也證明其他安全資源的投資也是F確的。如果投資者認(rèn)為不存在威脅，蜜罐會(huì)證明大量風(fēng)險(xiǎn)的存在。二蜜罐的缺陷1、腳本難以統(tǒng)一蜜罐可以通過模擬網(wǎng)絡(luò)上的某個(gè)服務(wù)來吸引攻擊者的注意，當(dāng)攻擊者向其發(fā)出攻擊時(shí)，從中獲取攻擊者的信息。要達(dá)到欺騙攻擊者的目的，蜜罐系統(tǒng)必需同時(shí)發(fā)給攻擊者可信的回應(yīng)信息，而這些回應(yīng)信息的來源，大多來自于手工編寫的服務(wù)腳本。而且不同系統(tǒng)中的服務(wù)腳本又有差異，很難得到一個(gè)標(biāo)準(zhǔn)的服務(wù)腳本。而且對(duì)于一些專用的協(xié)議，也缺少合適的腳本。針對(duì)該問題，本文中設(shè)計(jì)了一種自動(dòng)生成腳本的模型。2、視野狹窄由于蜜罐系統(tǒng)只能部署在個(gè)別的機(jī)器上，攻擊者闖入網(wǎng)絡(luò)后，可以繞過蜜罐系統(tǒng)，去攻擊其它系統(tǒng)，這種情況下蜜罐系統(tǒng)無法發(fā)現(xiàn)攻擊者。3、指紋由于蜜罐會(huì)有一些專業(yè)特征和行為，使得攻擊者能鑒別出蜜罐的存在。這些一20HTTP/INFO3DOUCOM/網(wǎng)絡(luò)推廣第3幣役L司網(wǎng)發(fā)傘蜜罐系統(tǒng)的設(shè)計(jì)特征和行為就是指紋。例如當(dāng)攻擊者連接到一個(gè)模擬WEB服務(wù)器的蜜罐時(shí)，正常的WEB服務(wù)器應(yīng)該回送一個(gè)用標(biāo)準(zhǔn)HTML語言寫的錯(cuò)誤標(biāo)記。但蜜罐模擬的WEB服務(wù)器將一個(gè)HTML的標(biāo)記拼錯(cuò)了，例如將“LENGTH”評(píng)成“LEGNTH”。這個(gè)錯(cuò)誤對(duì)蜜罐來說就是一個(gè)指紋。還有一種就是蜜罐的錯(cuò)誤配置也能導(dǎo)致自身被暴露。例如一個(gè)蜜罐本身是想模擬NTIISWEB服務(wù)的，但是蜜罐卻有UNIXSOLARIS服務(wù)的特征，這些錯(cuò)誤的特征就成了蜜罐存在的標(biāo)記。4、風(fēng)險(xiǎn)一旦蜜罐被攻擊，就有可能被攻擊者