Honeynet技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用*

李巧君

（河南工業(yè)職業(yè)技術(shù)學(xué)院 計(jì)算機(jī)工程系，河南 南陽(yáng)473009）

Honeynet技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用*

李巧君

（河南工業(yè)職業(yè)技術(shù)學(xué)院 計(jì)算機(jī)工程系，河南 南陽(yáng)473009）

根據(jù)校園網(wǎng)的實(shí)際情況，部署一個(gè)帶有不同操作系統(tǒng)的虛擬Honeynet，該蜜網(wǎng)存在各種各樣的漏洞，以吸引攻擊者進(jìn)行有效的訪(fǎng)問(wèn)，從而獲取訪(fǎng)問(wèn)信息的和其日志記錄并加以深入分析和研究，減少校園網(wǎng)被黑客或木馬攻擊的機(jī)率。

網(wǎng)絡(luò)安全；主動(dòng)防御；蜜網(wǎng)

1 蜜網(wǎng)（Honeynet）技術(shù)

蜜罐（Honeypot）是一種專(zhuān)門(mén)設(shè)計(jì)成被掃描、攻擊和入侵的網(wǎng)絡(luò)資源。它的目的就是建立一個(gè)誘騙環(huán)境吸引攻擊者和入侵者，觀察并且以日志的形式記錄其在里面的活動(dòng)，并且使攻擊者在蜜罐中耗費(fèi)精力和技術(shù)，從而保護(hù)真正有價(jià)值的正常的系統(tǒng)和資源[1]。

蜜網(wǎng)（Honeynet）是由許多用來(lái)與攻擊者進(jìn)行交互的蜜罐組成的網(wǎng)絡(luò)，其中的這些靶子（蜜網(wǎng)內(nèi)的蜜罐）可以是你想提供的任何類(lèi)型的系統(tǒng)，服務(wù)或是信息。Honeynet技術(shù)是一種對(duì)攻擊行為進(jìn)行捕獲和分析的新技術(shù)，實(shí)質(zhì)上仍是一種蜜罐技術(shù)，但是Honeynet技術(shù)有自身的特點(diǎn)[2，3]：

（1）實(shí)質(zhì)上是一種研究型、高交互型的蜜罐技術(shù)；

（2）一個(gè)體系框架，包括一個(gè)或多個(gè)蜜罐、多層次的數(shù)據(jù)控制機(jī)制、全面的數(shù)據(jù)捕獲機(jī)制以及能夠輔助研究人員對(duì)攻擊數(shù)據(jù)進(jìn)行深入分析。

2 校園網(wǎng)網(wǎng)絡(luò)中存在的問(wèn)題

隨著網(wǎng)絡(luò)應(yīng)用的深入，學(xué)院校園網(wǎng)絡(luò)的安全問(wèn)題也逐漸突出，大量的網(wǎng)絡(luò)病毒攻擊校園網(wǎng)絡(luò)，比如網(wǎng)絡(luò)釣魚(yú)、僵尸網(wǎng)絡(luò)等。主要的安全隱患[4，5]有以下幾種：

（1）計(jì)算機(jī)系統(tǒng)漏洞。目前，校園網(wǎng)中被廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)主要是WINDOWS，存在各種各樣的安全問(wèn)題，服務(wù)器、操作系統(tǒng)、防火墻、TCP/IP協(xié)議等方面都存在大量安全漏洞。

（2）病毒的破壞。病毒影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行、破壞系統(tǒng)軟件和文件系統(tǒng)、使網(wǎng)絡(luò)效率下降、甚至造成計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓，是影響校園網(wǎng)絡(luò)安全的主要因素。

（3）來(lái)自網(wǎng)絡(luò)外部的入侵、攻擊等惡意破壞行為。校園網(wǎng)與Internet相連，在享受Internet方便快捷的同時(shí)，也面臨著遭遇攻擊的風(fēng)險(xiǎn)。

（4）校園網(wǎng)內(nèi)部的攻擊。

3 Honeynet技術(shù)在校園網(wǎng)網(wǎng)絡(luò)安全中的應(yīng)用

根據(jù)學(xué)院實(shí)際情況和校園網(wǎng)總體設(shè)計(jì)需求，為了更好地防御校園網(wǎng)中的各類(lèi)網(wǎng)絡(luò)木馬、病毒（僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)釣魚(yú)等），部署了Honeynet系統(tǒng)，但由于整個(gè)校園內(nèi)部網(wǎng)絡(luò)威脅較為嚴(yán)重，各種病毒較為猖獗，校園網(wǎng)常被病毒感染，因此部署的Honeynet系統(tǒng)主要是監(jiān)控校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)攻擊。為了更好地采集信息，充分發(fā)揮Honeynet系統(tǒng)在校園網(wǎng)安全防護(hù)中的主動(dòng)防御功能，將Honeynet系統(tǒng)放到黑客容易訪(fǎng)問(wèn)到的地方。

根據(jù)實(shí)際校園環(huán)境的要求，筆者部署一個(gè)帶有不同操作系統(tǒng)的Honeynet，這個(gè)蜜網(wǎng)存在著各種各樣的漏洞，以吸引攻擊者進(jìn)行有效的訪(fǎng)問(wèn)，從而獲取訪(fǎng)問(wèn)信息的和其日志記錄并加以深入分析和研究。通過(guò)使用虛擬軟件（VMWare）和物理計(jì)算機(jī)建立一個(gè)混合虛擬Honeynet，從而減少了物理計(jì)算機(jī)的需要。如圖1所示。

圖1 虛擬Honeynet網(wǎng)絡(luò)結(jié)構(gòu)圖

Honeynet主要由以下幾部分組成，詳見(jiàn)表1所示。

表1 Honeynet的組成部分

宿主主機(jī)的二個(gè)網(wǎng)卡設(shè)置：一個(gè)是設(shè)置作為虛擬控制機(jī)，并通過(guò)虛擬網(wǎng)橋連接Honeywall，另一個(gè)設(shè)置連接校園內(nèi)網(wǎng)路由器。這里把eth1的IP設(shè)為192.168.1.2，而把eth2的IP設(shè)為192.168.1.3，這樣管理機(jī)和虛擬Honeypot就不在同一個(gè)網(wǎng)段上，保證了管理機(jī)的安全性。

在本次Honeynet系統(tǒng)中所有主機(jī)都可以通過(guò)ssh或MYSQL連通”firewall”；所有主機(jī)都可以連接到Honeynet系統(tǒng)；Honeynet允許連接到任意主機(jī)；除次之外，所有的通信都被攔截，同時(shí)防火墻允許通過(guò)的數(shù)據(jù)均被記錄。本次應(yīng)用Honeynet和攻擊者之間的關(guān)系可由圖2簡(jiǎn)單表示。

圖2 系統(tǒng)用例

當(dāng)完成對(duì)虛擬Honeynet系統(tǒng)的配置后，需要對(duì)其進(jìn)行測(cè)試，看是否能夠正常運(yùn)行，首先測(cè)試虛擬機(jī)蜜罐和宿主主機(jī)之間的網(wǎng)絡(luò)連接，包括（1）宿主主機(jī)和蜜罐上通過(guò)互相ping對(duì)方的IP地址測(cè)試網(wǎng)絡(luò)連通性，經(jīng)測(cè)試網(wǎng)絡(luò)連通性正常。（2）在Honeynet網(wǎng)關(guān)上監(jiān)聽(tīng)I(yíng)CMP ping包是否通過(guò)外網(wǎng)口和內(nèi)網(wǎng)口。

通過(guò)測(cè)試后，說(shuō)明虛擬機(jī)蜜罐和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)連接（通過(guò)Honeynet網(wǎng)關(guān)eth0和eth1所構(gòu)成的網(wǎng)橋）沒(méi)有問(wèn)題。對(duì)Honeynet網(wǎng)關(guān)的遠(yuǎn)程管理進(jìn)行測(cè)試，需要使用SecureCRT軟件，遠(yuǎn)程ssh連接Honeynet網(wǎng)關(guān)管理口，經(jīng)過(guò)測(cè)試表示該虛擬Honeynet可用。

4 結(jié)束語(yǔ)

通過(guò)部署校園Honeynet，防御校園網(wǎng)絡(luò)的黑客攻擊，深入了解攻擊者對(duì)網(wǎng)絡(luò)的攻擊行為，了解其對(duì)網(wǎng)絡(luò)攻擊的方法、步驟以及產(chǎn)生的數(shù)據(jù)現(xiàn)象；從而獲取攻擊者的行為記錄，分析黑客攻擊強(qiáng)度和技術(shù)能力；通過(guò)記錄分析，了解當(dāng)前常見(jiàn)黑客攻擊手法，有針對(duì)性的保護(hù)系統(tǒng)；為以后的教學(xué)和科研提供最原始的資料；對(duì)技術(shù)人員的安全水平有了進(jìn)一步的提高，從根本上提高校園網(wǎng)網(wǎng)絡(luò)防御能力。

注釋及參考文獻(xiàn)：

[1]Lance Spitzner．Honeypots-Definitions and Value of Honeypots[EB/OL]．Oct 2001 http://www．enteract．com/～lspitz/honeypot．html

[2]阮航,張梅瓊,許榕生．第三代蜜網(wǎng)體系研究與分析[J]．莆田學(xué)院學(xué)報(bào)，2006,13(5)

[3]孫曉妍,王洋,祝躍飛,等．基于客戶(hù)端蜜罐的惡意網(wǎng)頁(yè)檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]．計(jì)算機(jī)應(yīng)用，2007，7(27):104-107．

[4]敖卓緬．網(wǎng)絡(luò)安全技術(shù)及策略在校園網(wǎng)中的應(yīng)用研究[D]．重慶：重慶大學(xué),2007．

[5]趙專(zhuān)政．蜜罐技術(shù)在校園網(wǎng)安全機(jī)制中的應(yīng)用研究[D]．長(zhǎng)沙：中南大學(xué),2008．

TheApplication of Honeynet in Campus Network Security

LI Qiao-jun
(Department of Computer Engineering,Henan Polytechnic Institute,Nanyang，Henan 473009)

According to the actual situation of the campus network,the deployment of a different operating system with virtual Honeynet,the Honeynet has various loopholes,to attract the attackers effectively access,thus obtaining access to information and its log records and the in-depth analysis and research,reduce the probability of the campus network which is attacked by a hacker or Trojan horse.

network security；active defense；honeynet

TP393.18；TP393.08

A

1673-1891（2015）01-0044-02

2014-10-17

河南省科技廳項(xiàng)目“電子政務(wù)內(nèi)外網(wǎng)數(shù)據(jù)安全交換技術(shù)”（項(xiàng)目編號(hào)：132102210429）。

李巧君（1983-），女，河南鄭州人，講師，工程碩士，研究方向：計(jì)算機(jī)應(yīng)用、計(jì)算機(jī)網(wǎng)絡(luò)及網(wǎng)絡(luò)安全。