基于蜜网的网络全防御技术.docVIP

基于蜜网的网络安全防御技术  福建人才网 摘 要：本论文提出了一种基于蜜网的网络安全防御技术,用非武装区和两层防火墙来防止内部网络被入侵，用网络入侵检测系统和两级重定向机制的方法来防止外部网络被攻击，从而较好地解决了对于当前密网部署中存在的不足。 关键词：蜜网;蜜罐;防火墙;入侵检测;重定向;两级 Abstract: This paper proposed an active defense technology based on honeynet . Using DMZ demilitarized zone and two fire-walls to prevent the inner net work from being invaded, and using network intrusion detection system and two - level redirect mechanisms to prevent the outer net work from being attacked . solved many problems in the current honeynet deployment. Key words : honeynet ; firewall; intrusion detection; honeypot ; redirect ;two - level 前言 防火墙技术和入侵检测技术都属于传统的安全模型，它们都存在很多的问题，问题的根源在于它们所采取的安全策略，即都是先考虑系统可能会出现哪些问题，然后对问题逐一分析解决。之所以采取这样的安全策略的主要原因在于它们所遵循的理论体系：若主体对客体的访问符合预定的控制规则，便允许其进入或认为它合法。从控制论角度来看，这是一个开环控制系统，没有反馈。这种基于静态、被动安全策略的网络防御技术，不可能对网络中的远程攻击和威胁做出必要、快速的反应。在当今网络攻击手段不断翻新的情况下，就目前防火墙和入侵检测技术而言，上述问题很难在现有的理论框架体系内得以解决，引入一种新的技术来弥补传统网络安全模型的不足，并进一步提高网络的安全防御水平是极其必要的，于是蜜网技术就应运而生了[3]。蜜网是由若干个能收集和交换信息的蜜罐构成的一个黑客诱捕网络体系架构它是将蜜罐纳入到一个完整的蜜网体系中 ,并融入数据控制、数据捕获和数据采集等元素 ,使得安全研究人员能够方便地追踪入侵到蜜网中的黑客并对他们的攻击行为进行控制和分析[ 6].然而，最初的蜜网技术存在着一定的缺陷，例如：它们对防火墙和入侵检测的设置不够完善，从而使得蜜罐易被攻陷，反而成为攻击者攻击本系统和其它系统的跳板，这是网络用户最不希望发生的。对当前密网部署中存在两个不足之处:一是如果黑客知道密网的存在,从而绕开它去攻击非密网主机,这样密网存在就没有价值;二是如果黑客利用攻陷的蜜罐去攻击外网主机,现在流行的办法采取密网网关来简单限制外出连接数[4]；文中提出两级重定向机制来弥补这两个不足之处,并用两层防火墙构造出更加安全逼真的模拟环境。它克服了传统网络安全模型的不足，是网络安全中较好的一种解决方案。 2．蜜网模型分析与设计 蜜网必须与防火墙及入侵检测有机地结合为一完美的整体，才能发挥系统中各部分的优势。否则所起的作用不会太大，甚至会适得其反。在蜜网模型中，虽然理论上蜜罐可以放置在网络中的任何位置，但其位置的不同而蜜罐起的作用也相距甚远。一般情况下，蜜罐放置的实际位置应遵循既能最大程度地确保系统的安全性，又能充分发挥系统的效率的原则。通常，蜜罐的位置有如下几种方案：[3] 第一种：按从外到内的顺序依次放置：防火墙、入侵检测系统、蜜罐。 好处：蜜罐能够引诱穿透防火墙而进入内部网络的攻击者，减少对实际网络系统的攻击，而蜜网能捕获所有进出蜜罐的数据包；入侵检测系统既能减少攻击者对它的攻击和干扰，从而使其将主要精力放在通过防火墙的漏洞渗透过来攻击的检测上，也能在检测到异常时及时报警，从而启动蜜网的日志系统，将入侵者的攻击信息记录下来；防火墙能追踪从蜜罐往外的每一网络连接,从而监控入侵者。 缺陷：增加了内部网络危险性。因为若内网没被其它的防火墙额外保护，则入侵者就可以通过蜜罐轻易地访问内网，还能利用蜜罐作为跳板攻击其它网络。 第二种：按从外到内的顺序依次放置：入侵检测系统、蜜罐、防火墙。 好处：入侵检测系统可以提前报警，提醒网络安全管理人员作好防范；蜜罐吸引大量来自外部的扫描和攻击，从而减轻了防火墙的负担，保证了内网的安全。 缺陷：不能定位或诱捕来自网络外部的攻击者。因为攻击者只攻击了蜜罐，虽然没有攻击到内网，但使蜜罐失去了大部分的学习功能。将入侵检测系统放置在防火墙外不仅影响系统的流量，而且入侵检测系统