搜索
1XXXX大学2007级工程硕士研究生选题报告选题名称:基于蜜网技术的校园网安全系统的研究与实现学院:计算机学院学科专业:计算机技术研究生姓名:导师姓名:XXXX大学学位管理办公室制2009年11月30日填注:工程硕士向学院送交选题报告时,同时提交《工程硕士培养计划》(可在研究生院主页表格下载中下载)21.课题的背景和意义随着互联网的快速发展,越来越多的应用通过网络来实现,同时网络的安全也面临着巨大的考验。美国CERT(计算机应急响应组)统计的安全事件数量以每年翻番的惊人指数级增长,在2003年已经达到了137,529次。导致互联网目前如此糟糕的安全状况的原因有很多,一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷,同时,大部分的网络使用者还未真正拥有安全意识,也还很少进行安全加强工作,如及时打补丁、安装防火墙和其他安全工具等,从而导致了目前的互联网具有巨大的安全隐患。另一方面,随着网络攻击技术的发展,特别是Ddos攻击、跳板攻击及互联网蠕虫的盛行,互联网上的每一台主机都已经成为攻击的目标。同时攻击者也不再需要很多的专业技术和技巧,他们可以很方便地从互联网上找到所需的最新攻击脚本和工具,而这些由高级黑客们开发的攻击脚本和工具越来越容易使用,功能也越来越强,能够造成的破坏也越来越大。在此种环境下,作为互联网的重要组成部分教育网络特别是高等学校的教育网络也幸免于难。根据《2006年全国信息网络安全状况与计算机病毒疫情调查分析报告》统计,校园网络发生安全事件的比例达到了60.6%,仅次于商业贸易、制造和广电新闻,由此可见校园网安全问题不容忽视。因此,作为高等院校如何构筑可靠的校园网络安全体系,成了当前高校急需考虑的问题。目前,随着互联网的发展,互联网攻击的手段也越来越简单、越来越普遍,攻击工具的功能却越来越强。高校有相当数量计算机技术水平较高的学生,不管这些活跃群体处于恶意破坏还是满足好奇之心,他们的攻击相比来自外部的攻击更为可怕,威胁更大。而且,各种类型网站和程序的应用,造成病毒泛滥,也形成对校园网络安全的严重冲击。针对如此严重的安全威胁,而我们却仍然对黑客社团所知甚少。当网络被攻陷破坏后,我们甚至还不知道对手是谁(黑客、脚本小子还是蠕虫?),对他们使用了哪些工具、以何种方式达成攻击目标,以及为什么进行攻击更是一无所知。“知己知彼,百战不殆”,安全防护工作者,无论是安全研究人员、安全产品研发人员、安全管理人员和安全响应服务人员,都需要首先对黑客社团有深入的了解,包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。只有在充分了解对手的前提下,我们才能更有效地维护互联网安全。目前主流的网络信息安全的防护技术有防火墙、入侵检测等,校园网络由于资金或观念等方面的原因,大多都用之防范外网的攻击,对来自内部的威胁没有良好的防范手段。而且防火墙依赖于现成的规则库,入侵检测系统需要现成的模式库,通过进行匹配来识别非法连接和攻击,就是说这两种技术都是被动的手段,都依赖于事先对非法连接、非法访问有一个清楚的认识,它们对已知的攻击将起到十分重要的作用,但是对于未知攻击,还没有在防火墙规则库和入侵检测模式库中建立规则和模式定义的攻击、非法行为,防火墙和入侵检测技术(IDS)显得力不从心,这就需要引入一种3全新的主动入侵防护(IntrusionPreventionSystem,IPS)技术,蜜网技术(Honeynet)的出现有望使得目前这种现状得到改善。它通过构造一个有着明显安全漏洞的系统来引诱入侵者对其进行攻击,让攻击者将时间和精力都费在蜜网中,从而使他们远离真正的网络。因此,对蜜网技术的研究具有很高的学术意义和实用意义。2.国内外研究现状Honeynet(蜜网)是honeypot(蜜罐)领域一相对较新的概念,1999年8月发表的一篇文章《如何构建honeynet》,首先提出了honeynet的概念。简单的说就是一个或者多个蜜罐组成的网络系统。随着蜜罐技术不断发展,后又形成了“蜜网项目组”,更深层次的开发蜜网技术。为了取得更大范围的蜜网工作,以及获得更多的蜜网项目信息,扩展蜜网在互联网上的应用和研究,2002年又成立了“蜜网研究联盟”。该联盟致力于对honeynet技术的提高和进一步开发,促进不同研究组织对honeynet的研究和部署。截止到2007年1月初,已经有个来自23个不同国家和地区的组织加入到该联盟。蜜网项目组初期(1999年至2001年)就提出了第一代蜜网的结构模型,主要研究蜜罐系统模型的试验和蜜罐理论的验证,并且验证了蜜网的可行性和有效性。蜜网中期(2002年至2004年)的研究提出了第二代蜜网结构模型,研究的核心放在简化蜜网的应用上,着重考虑了数据控制、数据捕获、数据分析。初期的蜜网功能虽然强大,但是实用性较差,有很多版本都是基于命令行的安装,有些功能具体到用户来说不实用或者是根本就不需要的,所以经过中期的研究,在延续了蜜网初期的强大功能基础上,将蜜网所需要的工具软件都集中在一张自启动盘上,使得蜜网的应用扩展到教育、商业、军事等领域。从2005年至今,蜜网项目组研究的重点转移到数据捕获和数据分析上,并且一直致力于提高蜜网的易用性,同时随着研究的深入提出了第三代蜜网结构模型。目前,对蜜罐及蜜网技术的研究集中在以下三个方面:动态蜜罐技术(dynamichoneypot):能自动配置一些虚拟蜜罐,并根据网络状态,动态地进行自适应;蜜场技术(honeyfarm):用于大型分布式网络,蜜场是安全操作中心,控制操作所有的蜜罐;蜜标技术(honeytoken):蜜罐概念的扩展,使用一些正常情况下永远都不会使用的信息内容作为诱饵。国内的蜜网技术研究开展的比较晚,对蜜网的研究才刚刚起步,还没有多少系统论述的文章,但是已经出现了少量的文献和一些具体的蜜网系统。北大蜜网的狩猎女神项目组就是少数系统研究蜜网系统的组织。狩猎女神项目组(TheArtemisProject)是北京大学计算机科学技术研究所信息安全工程研究中心推进的蜜网研究项目,项目组于2004年9月份启动,12月份在互联网上依照第二代蜜网技术部署了蜜网,捕获并深入分析了包括黑客攻击、蠕虫传播和僵尸网络活动在内的许多攻击案例。项目组于2005年2月份被接收成为世界蜜网研究联盟的成员,成为国内第一支参与该联盟的团队,被蜜网研究联盟主席LanceSpitzner命名为ChineseHoneynetProject。狩猎女神项目是北大计算机研究所的一个重点研究项目,项目组目前的研究内容包括:使用最新的蜜网技术对黑客攻击和恶意软件活动进行全面深入的跟踪和分析;研发功能更强的攻击数据关联工具,以提高蜜网技术框架的数据分析能力。目前狩猎女神项目部署的蜜网融合了“蜜网项目组”最新提出的第三代蜜网框架、honeyd虚拟蜜罐系统、以及mwcollect和nepenthes恶意软件自动捕获软件。43.研究内容1)介绍分析现有被动防御系统的优缺点。2)介绍蜜罐技术工作原理,分类,和与之相关技术。3)根据校园网络的现状和今后将会遇到的一些问题,分析校园网络应该具备哪些安全措施,提出基于主动策略的校园网络安全系统的建设思路。4)研究利用主动策略的校园网络安全系统与传统的网络安全技术相结合的办法来提高网络安全性能。5)分步设计并实现基于蜜罐技术的校园网安全系统。4.技术路线运用蜜罐和蜜网在校园网中部署能够捕获攻击者的攻击,收集攻击数据,分析和抑制攻击的主动防御的安全系统。该系统结合IDS、防火墙和蜜罐技术,相互补充,进一步提高我们校园网络的防御能力。安全系统主要由4个模块组成,它们分别是数据捕获模块、数据控制模块、日志模块和响应模块。数据捕获模块捕获系统的一切数据包括网络数据和系统数据;数据控制模块作为系统的控制中心,控制一切可疑行为,并协调各部分工作;日志模块专门负责对系统产生的日志进行统计分析,以获取攻击者的动机、方法和工具等信息;响应模块则对可疑行为进行自动的响应。我们的安全模型是基于网络的,它的网络拓扑结构如下:图1基于蜜罐技术的校园网安全系统网络结构5(1)外部防火墙作为校园网络的第一道防线,将大部分的入侵行为进行隔离。该防火墙采用的策略是:对入境的通信严格控制,而对出境的通信则按安全策略放行。(2)内部防火墙在安全系统内,入侵行为记录进行更为详细的日志记录,这里的出入境数据都是可疑的。内部防火墙的设置与外部防火墙恰巧相反,即对入境的通信放宽,以便收集更多的数据、证据;而对出境的通信则按安全策略严格控制,防止入侵者利用该系统作为跳板,对其它系统进行进一步的攻击,但也应该允许必要的出境数据,以免被入侵者识破陷阱。同时在该防火墙上实现入侵检测的功能。为了更进一步收集数据,在内部防火墙的内部安装嗅探器,对进入系统的每一个数据包都做记录。(3)蜜罐网络的主机提供各种服务,并且运行一个日志代理,将主机的行为进行记录,定期向日志服务器报告,提高系统的安全性。(4)日志服务器收集各数据源,包括防火墙日志、入侵检测日志,主机记录日志、嗅探器的数据,将收集到的数据按照统一的格式进行分类、归纳,以供分析利用。系统的网络接口配置成为二层的网桥,连接校园网和系统,不会对网络数据包进行TTL递减和网络路由,也不会提供本身的MAC地址,因此对攻击者而言,我们的系统是完全不可见的。数据控制模块在网桥上,所有进出的数据包都要首先经过它的处理。它对数据包头和内容进行分析处理,一旦发现异常情况激活日志模块并丢弃数据包。由于要将本系统对其它正常的系统的威胁降低到最小程度,因此我们要严格控制系统向外发送的数据包。本模块的各种行为都是由控制模块定义好的,如果没有特别的定义,那么它将采取缺省的行为。蜜罐主机是一个真实的系统,上面提供各种服务及虚假信息,以引诱攻击者的攻击。一旦攻击者探测或进入主机,我们的数据捕获模块则对攻击者的网络数据和在主机上的行为数据进行捕获。日志模块主要用于抓取数据控制模块和数据捕获模块发送过来的任何数据包。因为这些数据包很有可能是攻击行为,将它们记录下来对于获得攻击者的第一手资料,尽快地分析出攻击行为有很大帮助。响应模块主要用来监视日志模块的情况,我们将定义一系列的响应报警事件,每个事件定义不同的报警级别。比如当外部的主机访问蜜罐主机时,则触发一级报警事件;当蜜罐主机主动发起外部连接的时候,这时有可能意味着主机已被入侵,则触发更高一级的报警事件。我们的报警响应方式可以是响铃、邮件或是短信等方式提醒管理员注意。5.预期成果(1)通过分析现有校园网网络安全防御体系的缺点,提出了利用主动防御工具一蜜罐构建校园网络主动安全防御系统。(2)介绍了蜜罐和蜜网的发展现状和技术研究,通过研究设计并实现了一个主动安全6网络系统。在这个系统中,利用Linux的防火墙网桥功能对外部网络与蜜罐网络进行桥接,利用防火墙和网络入侵检测系统对蜜罐网络进行数据控制和捕获,不让攻击者易察觉受到了监视。我们还利用系统活动捕获工具Sebek对攻击者在蜜罐上的活动进行捕获,加强了对攻击者活动的监控。把该系统部署在校园网内部,提高了对内部网络攻击行为的了解和控制,对攻击有一定的预警作用。(3)主动安全系统的基本功能主要有:了解攻击者攻击的技术和方法;发现系统的弱点和漏洞;收集攻击者攻击的证据;对攻击进行预警。6.研究进度安排准备阶段设计开发阶段测试阶段实施阶段撰写论文初稿完成论文2009.11–2009.122010.1–2010.32010.4–2010.52010.6–2010.82010.9–2010.102010.10-2010.12收集资料,了解各种攻击技术,研究蜜罐和蜜网技术工作原理及相关知识,系统总体框架设计。安全系统测试与分析系统构建及实现完成论文初稿完善论文,答辩7.参考文献[1]李浪,李仁发,李肯立.校园网主动防御体系模型.科学技术与工程.2006.1.pp148-150[2]诸葛建伟,张芳芳,吴智发.斗志斗勇战黑客——最新蜜罐与蜜网技术及应用.电脑安全专家.2005.7[3]胡道远,阂京华.网络安全.清华大