最新2011年屆畢業(yè)論文模板下載.doc

學(xué)號(hào)：XX大學(xué)2011屆本科畢業(yè)論文基于蜜網(wǎng)的入侵監(jiān)控平臺(tái)Intrusion Monitoring Platform Based on Honeynet論文作者姓名： 作 者 學(xué) 號(hào)： 所 在 學(xué) 院： 計(jì)算機(jī)與信息工程學(xué)院 所 學(xué) 專 業(yè)： 計(jì)算機(jī)科學(xué)與技術(shù) 導(dǎo)師姓名職稱： 論文完成時(shí)間： 2011年5月20日 2011年5月20日開題報(bào)告XX大學(xué)2011屆畢業(yè)設(shè)計(jì)（論文、創(chuàng)作）開題報(bào)告（學(xué)生本人填寫）學(xué)號(hào)姓名導(dǎo)師姓名職稱開題時(shí)間2011年4月3日課題題目基于蜜網(wǎng)的入侵監(jiān)控平臺(tái)課題來源導(dǎo)師指定 自定 其他來源課題的目的、意義以及和本課題有關(guān)的國內(nèi)外現(xiàn)狀分析：1目的：搭建一個(gè)蜜網(wǎng)環(huán)境，然后設(shè)計(jì)基于該蜜網(wǎng)的入侵監(jiān)控平臺(tái)，主要包括數(shù)據(jù)控制、數(shù)據(jù)捕獲、數(shù)據(jù)分析三大核心功能。2意義：扭轉(zhuǎn)網(wǎng)絡(luò)攻防的不對(duì)稱博弈，改變傳統(tǒng)安全技術(shù)，如防火墻、IDS等的被動(dòng)式的防御機(jī)制，采用一種主動(dòng)防護(hù)的安全技術(shù)，對(duì)攻擊行為進(jìn)行監(jiān)視和分析。3現(xiàn)狀：蜜罐技術(shù)的概念在九十年代初被首次提出，至今蜜罐和蜜網(wǎng)技術(shù)的研究還處于早期階段，蜜罐和蜜網(wǎng)的部署和維護(hù)比較復(fù)雜，同時(shí)能夠提供數(shù)據(jù)分析工具的功能還較為有限。研究目標(biāo)、研究內(nèi)容和準(zhǔn)備解決的問題：1目標(biāo)：通過設(shè)計(jì)一個(gè)基于虛擬蜜網(wǎng)的入侵監(jiān)控平臺(tái)的原型系統(tǒng)，實(shí)現(xiàn)蜜網(wǎng)技術(shù)的數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析的三大核心需求。2內(nèi)容：利用虛擬機(jī)和Honeyd搭建一個(gè)虛擬的蜜網(wǎng)環(huán)境。建立基于已搭建蜜網(wǎng)的入侵監(jiān)控平臺(tái)，實(shí)現(xiàn)數(shù)據(jù)控制技術(shù)、數(shù)據(jù)捕獲技術(shù)和數(shù)據(jù)分析技術(shù)。3準(zhǔn)備解決的問題：如何控制蜜網(wǎng)入口以達(dá)到“寬進(jìn)嚴(yán)出”，如何及時(shí)捕獲并實(shí)時(shí)顯示入侵者對(duì)蜜網(wǎng)的入侵行為，如何能對(duì)入侵行為進(jìn)行有效分析和友好展示。開題報(bào)告擬采取的方法、技術(shù)或設(shè)計(jì)（開發(fā)）工具：蜜網(wǎng)的搭建：在VMWare 上安裝Red Hat Linux 內(nèi)核版本：2.64.20-8 smp，然后在其上安裝 Honeyd 1.5c.入侵監(jiān)控平臺(tái)：Windows XP開發(fā)工具和語言：開發(fā)工具擬采用VS2008，語言采用C#數(shù)據(jù)庫：擬采用Oracle 10g預(yù)期成果：1源程序2畢業(yè)論文進(jìn)度計(jì)劃與階段要求：（1）2010-12-01 2011-12-31：查找資料、確定畢業(yè)設(shè)計(jì)題目。 2011-01-01：將畢業(yè)設(shè)計(jì)題目和基本功能說明發(fā)送到導(dǎo)師郵箱。（2）2011-01-02 2011-03-31：搜集素材、整理設(shè)計(jì)內(nèi)容。 2011-04-01：將開題報(bào)告和整理的設(shè)計(jì)內(nèi)容發(fā)送到導(dǎo)師郵箱。（3）2011-04-02 2011-04-09：根據(jù)導(dǎo)師的建議和指導(dǎo)，繼續(xù)設(shè)計(jì)。 2011-04-10：將中期檢查表和修改后的設(shè)計(jì)內(nèi)容發(fā)送到導(dǎo)師郵箱。（4）2011-04-11 - 2011.04.20：根據(jù)導(dǎo)師的建議和指導(dǎo)，完成設(shè)計(jì)。 2011-04-21：將完成的畢業(yè)設(shè)計(jì)內(nèi)容發(fā)送到導(dǎo)師郵箱。（5）2011-04-22 - 2011-05-05：根據(jù)導(dǎo)師建議和已經(jīng)完成的設(shè)計(jì)，完成論文初稿。 2011-05-06：將畢業(yè)論文初稿發(fā)送到導(dǎo)師郵箱。（6）2011-05-07 - 2011-05-13：根據(jù)導(dǎo)師對(duì)論文的修改建議和指導(dǎo)，完成論文。 2011-05-14：將論文終稿發(fā)送到導(dǎo)師郵箱。開題前收集的資料和參考文獻(xiàn)（5-8種）1 崔繼強(qiáng)，喬佩利虛擬蜜罐Honeyd的分析和研究機(jī)電信息，2004年第13期，p27-292 The Honeynet Project / Know Your Enemy: Honeynets-What a honeynet is, its value, overview of how it works, and risk/issues involved. The Honeynet Project Whitepapers, /papers/honeynet/, March 20063 諸葛建偉，吳智發(fā)，張芳芳利用蜜網(wǎng)技術(shù)深入剖析互聯(lián)網(wǎng)安全威脅中國計(jì)算機(jī)大會(huì)，20054 Niels Provos, Honeyd: A Virtual Honeypot Framwork, in 13th USENIX Security Symposium, San Diego, CA, 20045 馬駿C#網(wǎng)絡(luò)應(yīng)用編程（第2版）人民郵電出版社，2010年2月6 謝希仁計(jì)算機(jī)網(wǎng)絡(luò)（第4版）電子工業(yè)出版社，2003年6月指導(dǎo)教師對(duì)開題報(bào)告的意見：同意按開題報(bào)告的題目和設(shè)計(jì)思路開題。指導(dǎo)教師簽名： 2011年4月5日開題報(bào)告河南大學(xué)2010屆畢業(yè)論文（設(shè)計(jì)、創(chuàng)作）任務(wù)書（導(dǎo)師根據(jù)學(xué)生的開題報(bào)告填寫）題目名稱 基于蜜網(wǎng)的入侵監(jiān)控平臺(tái)學(xué)院計(jì)算機(jī)與信息工程學(xué)院學(xué)生姓名所學(xué)專業(yè)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)號(hào)畢業(yè)論文(設(shè)計(jì)、創(chuàng)作)要求1設(shè)計(jì)內(nèi)容設(shè)計(jì)一個(gè)基于虛擬蜜網(wǎng)的入侵監(jiān)控平臺(tái)的原型系統(tǒng)。2基本要求利用虛擬機(jī)和Honeyd搭建一個(gè)虛擬的蜜網(wǎng)環(huán)境。建立基于已搭建蜜網(wǎng)的入侵監(jiān)控平臺(tái)，要求至少實(shí)現(xiàn)以下內(nèi)容：（1）蜜網(wǎng)技術(shù)的數(shù)據(jù)控制。（2）數(shù)據(jù)捕獲。（3）數(shù)據(jù)分析。3要解決的問題如何控制蜜網(wǎng)入口以達(dá)到“寬進(jìn)嚴(yán)出”，如何及時(shí)捕獲并實(shí)時(shí)顯示入侵者對(duì)蜜網(wǎng)的入侵行為，如何能對(duì)入侵行為進(jìn)行有效分析和友好展示。4要求提交的成果（1）畢業(yè)設(shè)計(jì)源程序（2）論文指導(dǎo)教師簽名：2011年4 月 5 日任務(wù)書河南大學(xué)2011屆畢業(yè)設(shè)計(jì)（論文、創(chuàng)作）中期檢查表（導(dǎo)師只填寫評(píng)語，其他由學(xué)生填寫）題目名稱：基于蜜網(wǎng)的入侵監(jiān)控平臺(tái)學(xué)院計(jì)算機(jī)與信息工程學(xué)院學(xué)生姓名所學(xué)專業(yè)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)號(hào)一、畢業(yè)設(shè)計(jì)(論文、創(chuàng)作)進(jìn)展情況目前，項(xiàng)目設(shè)計(jì)的大致框架已基本完成，程序能夠正常運(yùn)行。但是還有一部分沒有實(shí)現(xiàn)，有待進(jìn)一步完善。已經(jīng)完成的模塊有虛擬蜜網(wǎng)搭建、數(shù)據(jù)控制、數(shù)據(jù)捕獲。經(jīng)測試模塊運(yùn)行基本正常，但還有少量bug。二、畢業(yè)設(shè)計(jì)（論文、創(chuàng)作)存在的問題及解決方案存在的問題：數(shù)據(jù)捕獲結(jié)果無法通過界面及時(shí)顯示，在捕獲過程中出現(xiàn)“假死機(jī)”現(xiàn)象。解決方案：繼續(xù)查找有關(guān)多線程編程的資料，希望能通過多線程以及線程間的互操作機(jī)制將界面操作和數(shù)據(jù)捕獲分開，解決“假死機(jī)”現(xiàn)象。三、學(xué)生本人對(duì)畢業(yè)設(shè)計(jì)階段所做工作及進(jìn)展情況的評(píng)價(jià)在做畢業(yè)設(shè)計(jì)期間，我積極認(rèn)真，嚴(yán)格要求自己，并在代碼設(shè)計(jì)過程中及時(shí)解決了遇到的大部分問題。但是在數(shù)據(jù)捕獲模塊的數(shù)據(jù)顯示部分，存在界面凍結(jié)現(xiàn)象，目前正在通過學(xué)過的知識(shí)和搜集的參考資料，想辦法盡快解決這個(gè)問題。四、指導(dǎo)教師對(duì)學(xué)生畢業(yè)設(shè)計(jì)(論文、創(chuàng)作)中期檢查的評(píng)語根據(jù)該生提交的畢業(yè)設(shè)計(jì)成果，以及該生和導(dǎo)師交流的情況，同意該生通過中期檢查。允許該生根據(jù)本人搜集的參考資料和已經(jīng)完成的設(shè)計(jì)成果，開始整理畢業(yè)論文文檔。指導(dǎo)教師簽名 2011年 5 月 5 日中期檢查表河南大學(xué)2011屆畢業(yè)論文（設(shè)計(jì)、創(chuàng)作）教師評(píng)閱成績表學(xué)院名稱：計(jì)算機(jī)與信息工程學(xué)院學(xué) 號(hào)姓名專業(yè)計(jì)算機(jī)科學(xué)與技術(shù)指導(dǎo)教師教師評(píng)閱平均得分論文題目基于蜜網(wǎng)的入侵監(jiān)控平臺(tái)指導(dǎo)教師評(píng)語及得分指導(dǎo)教師評(píng)語該生的選題有現(xiàn)實(shí)意義，按時(shí)完成了所要求的功能。論文敘述條理清晰、詳略得當(dāng)，是一篇優(yōu)秀的本科論文。評(píng)分項(xiàng)目分值指導(dǎo)教師對(duì)畢業(yè)論文（設(shè)計(jì)、創(chuàng)作）評(píng)分撰寫開題報(bào)告、文獻(xiàn)綜述15調(diào)查研究查閱整理資料10學(xué)習(xí)態(tài)度與規(guī)范要求10數(shù)據(jù)處理、文字表達(dá)10論文（設(shè)計(jì)、創(chuàng)作）質(zhì)量和創(chuàng)新意識(shí)55合計(jì)100得導(dǎo)教師簽名 2011年5月18日評(píng)閱教師評(píng)語及評(píng)分評(píng)閱教師評(píng)語該生論文結(jié)構(gòu)合理，論文語句流暢，思路清晰，表達(dá)準(zhǔn)確，是一篇優(yōu)秀的本科論文。評(píng)分項(xiàng)目分值評(píng)閱畢業(yè)論文（設(shè)計(jì)、創(chuàng)作）評(píng)分撰寫開題報(bào)告、文獻(xiàn)綜述滿分15調(diào)查研究查閱整理資料10學(xué)習(xí)態(tài)度與規(guī)范要求10數(shù)據(jù)處理、文字表達(dá)10論文（設(shè)計(jì)、創(chuàng)作）質(zhì)量和創(chuàng)新意識(shí)55合計(jì)100得閱教師簽名 2010年5月19日此表由教師填寫綜合成績表（一）河南大學(xué)2010屆畢業(yè)論文（設(shè)計(jì)、創(chuàng)作）綜合成績表學(xué)號(hào)姓名所在學(xué)院計(jì)算機(jī)與信息工程學(xué)院答辯委員會(huì)評(píng)語及評(píng)分答辯委員會(huì)評(píng)語該生答辯過程中思路清晰，反應(yīng)敏捷，論文結(jié)構(gòu)合理，條理清楚，達(dá)到本科畢業(yè)設(shè)計(jì)和畢業(yè)論文要求的標(biāo)準(zhǔn)，經(jīng)答辯小組評(píng)議，同意通過論文答辯。答辯委員簽字（4名以上）： 2011年5月22日評(píng)分項(xiàng)目分值論文答辯小組評(píng)分答辯情況論文質(zhì)量合計(jì)（100）內(nèi)容表達(dá)情況（15）答辯問題情況（25）規(guī)范要求與文字表達(dá)（20）論文（設(shè)計(jì)、創(chuàng)作）質(zhì)量和創(chuàng)新意識(shí)（40）得分答辯委員會(huì)主任簽字： 2011年5月22日畢業(yè)論文（設(shè)計(jì)、創(chuàng)作）成績綜合評(píng)定（百分制）： 分（教師評(píng)閱表平均成績占40%，答辯成績占60%）綜合評(píng)定等級(jí)（優(yōu)、良、中、差）：備注：一、論文的質(zhì)量評(píng)定，應(yīng)包括對(duì)論文的語言表達(dá)、結(jié)構(gòu)層次、邏輯性理論分析、設(shè)計(jì)計(jì)算、分析和概括能力及在論文中是否有新的見解或創(chuàng)新性成果等做出評(píng)價(jià)。從論文來看學(xué)生掌握本專業(yè)基礎(chǔ)理論和基本技能的程度。二、成績?cè)u(píng)定采用結(jié)構(gòu)評(píng)分法，即由指導(dǎo)教師、評(píng)閱教師和答辯委員會(huì)分別給分（以百分計(jì)），評(píng)閱教師得分乘以20%加上指導(dǎo)教師得分乘以20%加上答辯委員會(huì)得分乘以60%即綜合成績。評(píng)估等級(jí)按優(yōu)、良、中、差劃分，優(yōu)90-100分；良76-89分；中60-75分；差60分以下。三、評(píng)分由專業(yè)教研室或院組織專門評(píng)分小組（不少于5人），根據(jù)指導(dǎo)教師和答辯委員會(huì)意見決定每個(gè)學(xué)生的分?jǐn)?shù)，在有爭議時(shí)，應(yīng)由答辯委員會(huì)進(jìn)行表決。四、畢業(yè)論文答辯工作結(jié)束后，各院應(yīng)于6月20日前向教務(wù)處推薦優(yōu)秀論文以匯編成冊(cè)，推薦的篇數(shù)為按當(dāng)年學(xué)院畢業(yè)生人數(shù)的1.5%篇。五、各院亦可根據(jù)本專業(yè)的不同情況，制定相應(yīng)的具有自己特色的內(nèi)容。須報(bào)教務(wù)處備案。綜合成績表（二）XX大學(xué)本科生畢業(yè)論文（設(shè)計(jì)、創(chuàng)作）承諾書論文題目基于蜜網(wǎng)的入侵監(jiān)控平臺(tái)姓 名所學(xué)專業(yè)計(jì)算機(jī)科學(xué)與技術(shù)學(xué) 號(hào)完成時(shí)間2011年5 月20日指導(dǎo)教師姓名職稱承諾內(nèi)容：1本畢業(yè)論文（設(shè)計(jì)、創(chuàng)作）是學(xué)生 在導(dǎo)師 的指導(dǎo)下獨(dú)立完成的，沒有抄襲、剽竊他人成果，沒有請(qǐng)人代做，若在畢業(yè)論文（設(shè)計(jì)、創(chuàng)作）的各種檢查、評(píng)比中被發(fā)現(xiàn)有以上行為，愿按學(xué)校有關(guān)規(guī)定接受處理，并承擔(dān)相應(yīng)的法律責(zé)任。2學(xué)校有權(quán)保留并向上級(jí)有關(guān)部門送交本畢業(yè)論文（設(shè)計(jì)、創(chuàng)作）的復(fù)印件和磁盤。備注：學(xué)生簽名： 指導(dǎo)教師簽名：2011 年 5 月 20 日 2011 年 5 月 20 日說明：學(xué)生畢業(yè)論文（設(shè)計(jì)、創(chuàng)作）如有保密等要求，請(qǐng)?jiān)趥渥⒅忻鞔_，承諾內(nèi)容第2條即以備注為準(zhǔn)。承諾書目 錄摘 要ABSTRACT第1章 緒 論11.1 課題來源11.2 課題背景11.3 國內(nèi)外在該方向的研究現(xiàn)狀及分析11.3.1 蜜罐（Honeypot）技術(shù)11.3.2 蜜網(wǎng)（Honeynet）工程21.4 使用的開發(fā)平臺(tái)2第2章 系統(tǒng)總體分析和設(shè)計(jì)32.1 整體網(wǎng)絡(luò)拓?fù)?2.2 組網(wǎng)3第3章 蜜網(wǎng)搭建43.1 Honeyd介紹43.2 具體搭建過程43.2.1 定義配置文件43.2.2 運(yùn)行honeyd53.2.3 搭建后測試5第4章 詳細(xì)設(shè)計(jì)64.1 系統(tǒng)采用的技術(shù)原理64.5 數(shù)據(jù)分析模塊64.5.1 攻擊規(guī)則庫的定義64.5.2 小節(jié)題目7結(jié) 論8參考文獻(xiàn)9摘 要近年來，隨著互聯(lián)網(wǎng)在全球范圍內(nèi)的發(fā)展和普及，人們可以方便地共享各種各樣網(wǎng)絡(luò)資源，與此同時(shí)，網(wǎng)絡(luò)攻擊問題也越來越引起人們的關(guān)注。因此，網(wǎng)絡(luò)安全已經(jīng)成為網(wǎng)絡(luò)技術(shù)發(fā)展中最重要的一環(huán)。本文首先分析了網(wǎng)絡(luò)安全現(xiàn)狀和存在的問題，然后介紹了一種新的主動(dòng)式安全機(jī)制蜜網(wǎng)技術(shù)。在此基礎(chǔ)上，設(shè)計(jì)了基于蜜網(wǎng)的入侵監(jiān)控平臺(tái)。設(shè)計(jì)過程主要包括蜜網(wǎng)搭建和入侵平臺(tái)設(shè)計(jì)兩大部分。其中蜜網(wǎng)搭建部分利用Honeyd工具進(jìn)行，具有靈活、方便、易于維護(hù)的特點(diǎn)。入侵平臺(tái)設(shè)計(jì)部分基于.NET平臺(tái)，采用C#語言和Oracle數(shù)據(jù)庫，主要實(shí)現(xiàn)數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析蜜網(wǎng)技術(shù)的三大核心需求。本論文主要解決以下問題：1. 在虛擬機(jī)上利用Honeyd工具實(shí)現(xiàn)虛擬蜜網(wǎng)的搭建。2. 入侵監(jiān)控平臺(tái)利用SSH協(xié)議遠(yuǎn)程登陸蜜網(wǎng)的入口主機(jī)，通過設(shè)置入口主機(jī)的Iptables實(shí)現(xiàn)數(shù)據(jù)控制功能。3. 在入口主機(jī)處監(jiān)聽數(shù)據(jù)包，捕獲入侵者的活動(dòng)信息，實(shí)現(xiàn)數(shù)據(jù)捕獲功能。4. 將捕獲到的數(shù)據(jù)包與入侵規(guī)則庫進(jìn)行匹配，分析入侵行為，并通過可視化界面將分析后的信息友好地展示給用戶。關(guān)鍵詞 蜜網(wǎng)；入侵監(jiān)控；數(shù)據(jù)控制；數(shù)據(jù)捕獲；數(shù)據(jù)分析第頁ABSTRACTRecently, with the development and widespread use of the internet globally, people can share comprehensive resources conveniently. But at the same time, the problems of network intrusion are given more and more attention by people gradually. Therefore, network security had become one of the most important fields in computer technology.Thesis analyzes firstly present status of the network security and existent problems, then introduce a new active security mechanism, honeynet technology. On the basis of the introduction, intrusion monitoring platform based on honeynet is to be designed. The design process includes two main parts, the set-up of honeynet and the design of inrusion monitoring flatform. Honeyd, a software tool, is made use of during the set-up of honeynet, which has the characteristics of flexibility, convenience and maintainability. The design of intrusion monitoring platform is based on .NET platform, and employs C# programming language and Oracle 9i DataBase. This parts mainly implements data control, data capture,and data analysis, which are three central reqiurements of honeynet technology.The problems settled in this thesis are as follows:1. virtual honeynet is set up with the tool honeyd, which runs on the VMWare.2. telnet from instrusion monitoring platform to the entry host of honeynet via the protocol SSH, and make rules for Iptables on the entry host to implement data control.3. monitor data packages on the entry host, and capture intruders information. The purpose is to achieve data capture.4. match data packages captured with intrusion rules base, and then analyze intrusion actions. At last, information analyzed is to be showed by means of visional interface to users friendly.Keywords: Honeynet; intrusion monitoring; data control; data capture; data analysis第頁第1章 緒 論隨著互聯(lián)網(wǎng)的擴(kuò)張和基于互聯(lián)網(wǎng)應(yīng)用的發(fā)展，網(wǎng)絡(luò)安全越來越受到人們的關(guān)注。網(wǎng)絡(luò)入侵的檢測和防范也越來越受到人們的重視。該文提出了一個(gè)基于蜜網(wǎng)的入侵監(jiān)控平臺(tái)，通過搭建蜜網(wǎng)系統(tǒng)，誘騙入侵者進(jìn)入受控環(huán)境，利用各種技術(shù)監(jiān)控入侵者的入侵行為，分析其采用的攻擊工具和攻擊方法，從而有針對(duì)性采取對(duì)策降低入侵者取得成功的可能性，提高系統(tǒng)安全性?？梢?，開發(fā)基于蜜網(wǎng)的入侵監(jiān)控平臺(tái)對(duì)網(wǎng)絡(luò)安全具有重要的現(xiàn)實(shí)意義。1.1 課題來源該課題為自選課題。（或者：該課題為導(dǎo)師指定的題目。）1.2 課題背景眾所周知，互聯(lián)網(wǎng)技術(shù)的發(fā)展十分迅猛，已經(jīng)在各行各業(yè)得到了廣泛的應(yīng)用。與此同時(shí)，針對(duì)網(wǎng)絡(luò)的攻擊手段層出不窮，使得網(wǎng)絡(luò)安全問題日益嚴(yán)重。隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，特別是分布式拒絕服務(wù)（DDoS）攻擊，僵尸網(wǎng)絡(luò)（Bot net）、網(wǎng)絡(luò)釣魚（Phishing）和網(wǎng)絡(luò)蠕蟲（Internet Worms）的泛濫，互聯(lián)網(wǎng)上的每一臺(tái)主機(jī)都已經(jīng)成為攻擊的目標(biāo)?；ヂ?lián)網(wǎng)儼然成了攻擊者的天堂。1.3 國內(nèi)外在該方向的研究現(xiàn)狀及分析目前國外在網(wǎng)絡(luò)信息欺騙技術(shù)方面的研究成果主要有兩大類：蜜罐技術(shù)和蜜網(wǎng)工程。但國內(nèi)在這方面的研究成果不多。1.3.1 蜜罐（Honeypot）技術(shù)“蜜罐”是一種信息系統(tǒng)資源，其價(jià)值在于被非授權(quán)者或非法者所使用（A honeypot is an information system resource whose value lies in unauthorized or illicit use of that resource.）。這個(gè)定義表明蜜罐并無其他實(shí)際作用，因此所有流入/流出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)示了掃描、攻擊和攻陷。而蜜罐的核心價(jià)值就在于對(duì)這些攻擊活動(dòng)進(jìn)行監(jiān)視、檢測和分析。蜜罐技術(shù)的發(fā)展歷程可以分為以下三個(gè)階段。1.3.2 蜜網(wǎng)（Honeynet）工程“蜜網(wǎng)”，又可稱為誘捕網(wǎng)絡(luò)。它是在傳統(tǒng)蜜罐技術(shù)的基礎(chǔ)上，由“蜜網(wǎng)項(xiàng)目組”提出并倡導(dǎo)的由真實(shí)主機(jī)、操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)和應(yīng)用程序構(gòu)成的網(wǎng)絡(luò)體系框架，結(jié)合了一系列數(shù)據(jù)控制、捕獲和分析工具，使得安全研究人員能夠更好地在一個(gè)高度可控的環(huán)境中了解互聯(lián)網(wǎng)的安全威脅。1.4 使用的開發(fā)平臺(tái)蜜網(wǎng)環(huán)境搭建：VMWare +Red Hat Linux 內(nèi)核版本：2.64.20-8 smp + Honeyd 1.5c，入侵監(jiān)控平臺(tái)：Windows XP，開發(fā)工具VS 2008、語言C#、數(shù)據(jù)庫Oracle 10g。如表1-1所示。表1-1 表標(biāo)題表頭表文第12頁第2章 系統(tǒng)總體分析和設(shè)計(jì)本章從平臺(tái)的整體網(wǎng)絡(luò)拓?fù)洹⑾到y(tǒng)結(jié)構(gòu)和軟件架構(gòu)三個(gè)方面對(duì)該平臺(tái)進(jìn)行了總體分析說明。蜜網(wǎng)環(huán)境搭建之后，主要通過數(shù)據(jù)控制模塊、數(shù)據(jù)捕獲模塊、數(shù)據(jù)分析模塊、行為統(tǒng)計(jì)回放模塊、拓?fù)涮綔y和系統(tǒng)管理模塊實(shí)現(xiàn)蜜網(wǎng)的數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)控制三大核心需求。2.1 整體網(wǎng)絡(luò)拓?fù)淙肭直O(jiān)控平臺(tái)：是源程序的運(yùn)行主機(jī)，采用Windows XP操作系統(tǒng)。入口控制主機(jī)：通過虛擬機(jī)實(shí)現(xiàn)，虛擬機(jī)上安裝Red Hat Linux（內(nèi)核版本2.64.20-8 smp）虛擬蜜網(wǎng)：利用在虛擬機(jī)上安裝的Honeyd工具進(jìn)行搭建。本演示系統(tǒng)采用的拓?fù)浣Y(jié)構(gòu)如圖2-1所示。圖2-1 平臺(tái)拓?fù)浣Y(jié)構(gòu)入口控制主機(jī)包括三個(gè)網(wǎng)絡(luò)接口，eth0接入外網(wǎng)，eth1連接蜜網(wǎng)，而eth2作為一個(gè)秘密通道，連接到一個(gè)監(jiān)控平臺(tái)。2.2 組網(wǎng)第3章 蜜網(wǎng)搭建由于受到資金、實(shí)驗(yàn)環(huán)境、技術(shù)等因素的制約，本系統(tǒng)采用了易于部署的虛擬蜜網(wǎng)作為演示平臺(tái)。虛擬蜜網(wǎng)的具體搭建過程是先在虛擬機(jī)（VMWare）上安裝Red Hat Linux 2.4.20-8smp操作系統(tǒng)，然后在其上安裝Honeyd軟件。其中，Red Hat Linux作為入口控制主機(jī)，蜜網(wǎng)的部署由Honeyd實(shí)現(xiàn)。3.1 Honeyd介紹Honeyd是一個(gè)很小巧的用于創(chuàng)建虛擬的網(wǎng)絡(luò)上的主機(jī)的后臺(tái)程序，這些虛擬主機(jī)可以配置使得它們提供任意的服務(wù)，利用個(gè)性處理可以使得這些主機(jī)顯示為在某個(gè)特定版本的操作系統(tǒng)上運(yùn)行1。3.2 具體搭建過程Honeyd提供了易于掌握的虛擬蜜網(wǎng)配置方法。通過自定義配置文件可以定義整個(gè)蜜網(wǎng)系統(tǒng)的拓?fù)錁?gòu)架，虛擬蜜網(wǎng)中受控主機(jī)所運(yùn)行的操作系統(tǒng)，受控主機(jī)如何應(yīng)答關(guān)閉的端口，什么樣的端口提供怎么樣的服務(wù)等。服務(wù)的偽裝實(shí)現(xiàn)是通過將服務(wù)腳本綁定到一個(gè)網(wǎng)絡(luò)端口，腳本可以是標(biāo)準(zhǔn)的模擬某種服務(wù)的shell腳本，而且我們可以本方便地從網(wǎng)上下載常用的，如SMTP、HTTP和Telnet等服務(wù)的腳本。3.2.1 定義配置文件Honeyd支持創(chuàng)建任意的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，對(duì)路由樹的模擬需要首先配置一個(gè)路由進(jìn)入點(diǎn)，然后將路由器綁定到與它直接相連的網(wǎng)絡(luò)，并指明通過該網(wǎng)絡(luò)可以到達(dá)的其他路由器。在綁定過程可配置鏈路時(shí)延和丟包率4。舉例：以下配置文件配合圖2-1的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。程序代碼如下：定義蜜網(wǎng)中主機(jī)的操作系統(tǒng)類型以及提供的服務(wù)create aixset aix personality Microsoft Windows NT 4.0 SP3add aix tcp port 80 sh /home/honeyd/honeyd-1.5c/scripts/web.shadd aix tcp port 22 sh /home/honeyd/honeyd-1.5c/scripts/test.sh &ipsrc &dportset aix default tcp action reset#默認(rèn)情況下的操作系統(tǒng)類型以及提供的服務(wù)#將上述的配置文件命名為Honeyd.conf，然后運(yùn)行如下的命令來運(yùn)行honeyd。3.2.2 運(yùn)行honeyd在運(yùn)行honeyd之前，需要保證honeyd主機(jī)對(duì)配置的虛擬蜜網(wǎng)中的受控主機(jī)的IP作出arp請(qǐng)求的應(yīng)答，即將MAC地址與偽裝IP進(jìn)行映射。可以通過運(yùn)行arpd軟件來做出arp應(yīng)答，arpd將對(duì)指定的IP地址范圍內(nèi)使用的IP用honeyd主機(jī)的MAC地址作出arp應(yīng)答。3.2.3 搭建后測試Honeyd提供仿真服務(wù)腳本來對(duì)應(yīng)用層的協(xié)議進(jìn)行模擬，安裝honneyd后，可以在源代碼包中的scripts目錄下找到honeyd提供的腳本。Honeyd提供的腳本的語法并不復(fù)雜，基本的規(guī)則就是當(dāng)入侵者登陸后，輸入命令，腳本會(huì)做出相應(yīng)的輸出回應(yīng)，使入侵者無法辨別出真實(shí)服務(wù)和虛擬服務(wù)。第4章 詳細(xì)設(shè)計(jì)本章主要對(duì)各個(gè)功能模塊的詳細(xì)設(shè)計(jì)做具體說明。首先對(duì)系統(tǒng)中所采用的技術(shù)原理做一概述，然后對(duì)各模塊間的架構(gòu)進(jìn)行闡述，最后分別對(duì)各個(gè)模塊的設(shè)計(jì)特別是一些關(guān)鍵技術(shù)進(jìn)行詳細(xì)論述。其中，最重要的是數(shù)據(jù)控制模塊、數(shù)據(jù)捕獲模塊和數(shù)據(jù)分析模塊。4.1 系統(tǒng)采用的技術(shù)原理4.5 數(shù)據(jù)分析模塊數(shù)據(jù)分析就是將數(shù)據(jù)捕獲模塊獲得的信息，與定義好的攻擊規(guī)則庫進(jìn)行模式匹配和行為提取，最終形成報(bào)警信息。并將報(bào)警信息存入數(shù)據(jù)庫，供行為回放和統(tǒng)計(jì)模塊查詢。其中最關(guān)鍵的技術(shù)就是攻擊規(guī)則庫的定義和模式匹配算法的效率，它們直接關(guān)系到數(shù)據(jù)分析的準(zhǔn)確性。4.5.1 攻擊規(guī)則庫的定義攻擊規(guī)則庫按照入侵行為的種類劃分為相應(yīng)的表，用戶可以根據(jù)需要選取對(duì)應(yīng)的表進(jìn)行匹配，每一類表中包括數(shù)十條的規(guī)則，分別代表同一種類型的不同入侵行為。進(jìn)行數(shù)據(jù)分析時(shí)，應(yīng)該遵循先匹配所有入侵行為的共同特征后才是個(gè)體特征的原則。例如：如果首先匹配IP地址，一旦發(fā)現(xiàn)并不屬于匹配范圍之內(nèi)，就立即匹配下一個(gè)數(shù)據(jù)包而非繼續(xù)匹配該包的其他字段。這樣就保證了分析的快速性。(1) 規(guī)則頭規(guī)則頭包括：協(xié)議、源/目的IP地址、子網(wǎng)掩碼以及源/目的端口。1) 協(xié)議現(xiàn)在可以分析可意包的協(xié)議有：TCP、UDP、ICMP、和IP。2) IP地址地址由數(shù)字型的IP地址和一個(gè)cidr塊組成。Cidr塊指示作用在規(guī)則地址和需要檢查的進(jìn)入任何包的網(wǎng)絡(luò)掩碼。/24表示C類網(wǎng)絡(luò)，/16表示B類網(wǎng)絡(luò)，/32表示一個(gè)特定及其的IP地址。否定運(yùn)算符”!”可以應(yīng)用到Ip地址上，表示匹配除了列出的IP地址之外的所有IP地址。3) 端口號(hào)端口號(hào)可以用幾種方法表示，包括”any”端口、靜態(tài)端口定義、范圍、以及通過否定操作符。”any”端口是一個(gè)通配府，表示任何端口。靜態(tài)端口定義表示一個(gè)單個(gè)端口號(hào)，例如23表示telnet。端口范圍用范圍操作符“：”表示。范圍操作符可以有數(shù)種使用方法?！纠?】描述udp any any - /24 1:500記錄來自目標(biāo)端口范圍在1到500的udp流。tcp any any - /24 :1024記錄來自目標(biāo)端口小于等于1024的tcp流tcp any :1024- /24 1024:記錄來自任何小于等于1024的特權(quán)端口，目標(biāo)端口大于等于1024的tcp流tcp any any - /24 !1024:端口否定操作符用“！”表示示例，描述：udp any any - /24 1:500記錄來自目標(biāo)端口范圍在1到500的udp流tcp any any - /24 :1024記錄來自目標(biāo)端口小于等于1024的tcp流(2) 操作步驟4.5.2 （小節(jié)題目）結(jié) 論本論文分析了當(dāng)前網(wǎng)絡(luò)安全的現(xiàn)狀和網(wǎng)絡(luò)安全重要性，以及傳統(tǒng)安全技術(shù)的被動(dòng)防御局限性。為了突破這一不足，引入了蜜網(wǎng)這一主動(dòng)防御安全技術(shù)，設(shè)計(jì)了基于蜜網(wǎng)的入侵監(jiān)控平臺(tái)。蜜網(wǎng)搭建利用安裝在VMWare上Honeyd工具進(jìn)行虛擬搭建，入侵監(jiān)控平臺(tái)采用VS 2008開發(fā)工具，C#開發(fā)語言，基于.NET Framework上的三層C/S模式。本平臺(tái)具有以下優(yōu)點(diǎn)：1. 部署方便成本低：利用Honeyd進(jìn)行虛擬部署，可以靈活地根據(jù)需要模擬蜜網(wǎng)的拓?fù)浣Y(jié)構(gòu)，蜜網(wǎng)中受控主機(jī)的服務(wù)和開放端口，配置文件語法簡單、易于修改。另外，用虛擬蜜網(wǎng)代替實(shí)際蜜網(wǎng)是部署成本大大降低。2. 低漏報(bào)率和誤報(bào)率：由于虛擬蜜網(wǎng)不提供任何實(shí)際的作用，因此其收集到的數(shù)據(jù)很少，同時(shí)收集到的數(shù)據(jù)很大可能就是由于黑客攻擊造成的，收集的數(shù)據(jù)保真度高。3. 易用性強(qiáng)，C#界面友好，操作簡便。存在以下局限性：1. 采用虛擬蜜網(wǎng)會(huì)帶來更大的風(fēng)險(xiǎn)，黑客有可能識(shí)別出虛擬操作系統(tǒng)軟件的指紋，也可能攻破虛擬操作系統(tǒng)軟件從而獲得對(duì)整個(gè)虛擬蜜網(wǎng)的控制權(quán)。2. 數(shù)據(jù)分析部分需要進(jìn)一步完善和改進(jìn)，特別是入侵規(guī)則庫定義需要優(yōu)化，模式匹配過程需要進(jìn)一步提高實(shí)時(shí)性和準(zhǔn)確性。參考文獻(xiàn)1 崔繼強(qiáng)，喬佩利虛擬蜜罐Honeyd的分析和研究機(jī)電信息，2004年第13期，p27-292 The Honeynet Project / Know Your Enemy: Honeynets-What a honeynet is, its value, overview of how it works, and risk/issues involved, The Honeynet Whitepaper