最新2011年屆畢業(yè)論文模板下載.doc

學(xué)號：XX大學(xué)2011屆本科畢業(yè)論文基于蜜網(wǎng)的入侵監(jiān)控平臺Intrusion Monitoring Platform Based on Honeynet論文作者姓名： 作 者 學(xué) 號： 所 在 學(xué) 院： 計算機與信息工程學(xué)院 所 學(xué) 專 業(yè)： 計算機科學(xué)與技術(shù) 導(dǎo)師姓名職稱： 論文完成時間： 2011年5月20日 2011年5月20日開題報告XX大學(xué)2011屆畢業(yè)設(shè)計（論文、創(chuàng)作）開題報告（學(xué)生本人填寫）學(xué)號姓名導(dǎo)師姓名職稱開題時間2011年4月3日課題題目基于蜜網(wǎng)的入侵監(jiān)控平臺課題來源導(dǎo)師指定 自定 其他來源課題的目的、意義以及和本課題有關(guān)的國內(nèi)外現(xiàn)狀分析：1目的：搭建一個蜜網(wǎng)環(huán)境，然后設(shè)計基于該蜜網(wǎng)的入侵監(jiān)控平臺，主要包括數(shù)據(jù)控制、數(shù)據(jù)捕獲、數(shù)據(jù)分析三大核心功能。2意義：扭轉(zhuǎn)網(wǎng)絡(luò)攻防的不對稱博弈，改變傳統(tǒng)安全技術(shù)，如防火墻、IDS等的被動式的防御機制，采用一種主動防護的安全技術(shù)，對攻擊行為進行監(jiān)視和分析。3現(xiàn)狀：蜜罐技術(shù)的概念在九十年代初被首次提出，至今蜜罐和蜜網(wǎng)技術(shù)的研究還處于早期階段，蜜罐和蜜網(wǎng)的部署和維護比較復(fù)雜，同時能夠提供數(shù)據(jù)分析工具的功能還較為有限。研究目標、研究內(nèi)容和準備解決的問題：1目標：通過設(shè)計一個基于虛擬蜜網(wǎng)的入侵監(jiān)控平臺的原型系統(tǒng)，實現(xiàn)蜜網(wǎng)技術(shù)的數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析的三大核心需求。2內(nèi)容：利用虛擬機和Honeyd搭建一個虛擬的蜜網(wǎng)環(huán)境。建立基于已搭建蜜網(wǎng)的入侵監(jiān)控平臺，實現(xiàn)數(shù)據(jù)控制技術(shù)、數(shù)據(jù)捕獲技術(shù)和數(shù)據(jù)分析技術(shù)。3準備解決的問題：如何控制蜜網(wǎng)入口以達到“寬進嚴出”，如何及時捕獲并實時顯示入侵者對蜜網(wǎng)的入侵行為，如何能對入侵行為進行有效分析和友好展示。開題報告擬采取的方法、技術(shù)或設(shè)計（開發(fā)）工具：蜜網(wǎng)的搭建：在VMWare 上安裝Red Hat Linux 內(nèi)核版本：2.64.20-8 smp，然后在其上安裝 Honeyd 1.5c.入侵監(jiān)控平臺：Windows XP開發(fā)工具和語言：開發(fā)工具擬采用VS2008，語言采用C#數(shù)據(jù)庫：擬采用Oracle 10g預(yù)期成果：1源程序2畢業(yè)論文進度計劃與階段要求：（1）2010-12-01 2011-12-31：查找資料、確定畢業(yè)設(shè)計題目。 2011-01-01：將畢業(yè)設(shè)計題目和基本功能說明發(fā)送到導(dǎo)師郵箱。（2）2011-01-02 2011-03-31：搜集素材、整理設(shè)計內(nèi)容。 2011-04-01：將開題報告和整理的設(shè)計內(nèi)容發(fā)送到導(dǎo)師郵箱。（3）2011-04-02 2011-04-09：根據(jù)導(dǎo)師的建議和指導(dǎo)，繼續(xù)設(shè)計。 2011-04-10：將中期檢查表和修改后的設(shè)計內(nèi)容發(fā)送到導(dǎo)師郵箱。（4）2011-04-11 - 2011.04.20：根據(jù)導(dǎo)師的建議和指導(dǎo)，完成設(shè)計。 2011-04-21：將完成的畢業(yè)設(shè)計內(nèi)容發(fā)送到導(dǎo)師郵箱。（5）2011-04-22 - 2011-05-05：根據(jù)導(dǎo)師建議和已經(jīng)完成的設(shè)計，完成論文初稿。 2011-05-06：將畢業(yè)論文初稿發(fā)送到導(dǎo)師郵箱。（6）2011-05-07 - 2011-05-13：根據(jù)導(dǎo)師對論文的修改建議和指導(dǎo)，完成論文。 2011-05-14：將論文終稿發(fā)送到導(dǎo)師郵箱。開題前收集的資料和參考文獻（5-8種）1 崔繼強，喬佩利虛擬蜜罐Honeyd的分析和研究機電信息，2004年第13期，p27-292 The Honeynet Project / Know Your Enemy: Honeynets-What a honeynet is, its value, overview of how it works, and risk/issues involved. The Honeynet Project Whitepapers, /papers/honeynet/, March 20063 諸葛建偉，吳智發(fā)，張芳芳利用蜜網(wǎng)技術(shù)深入剖析互聯(lián)網(wǎng)安全威脅中國計算機大會，20054 Niels Provos, Honeyd: A Virtual Honeypot Framwork, in 13th USENIX Security Symposium, San Diego, CA, 20045 馬駿C#網(wǎng)絡(luò)應(yīng)用編程（第2版）人民郵電出版社，2010年2月6 謝希仁計算機網(wǎng)絡(luò)（第4版）電子工業(yè)出版社，2003年6月指導(dǎo)教師對開題報告的意見：同意按開題報告的題目和設(shè)計思路開題。指導(dǎo)教師簽名： 2011年4月5日開題報告河南大學(xué)2010屆畢業(yè)論文（設(shè)計、創(chuàng)作）任務(wù)書（導(dǎo)師根據(jù)學(xué)生的開題報告填寫）題目名稱 基于蜜網(wǎng)的入侵監(jiān)控平臺學(xué)院計算機與信息工程學(xué)院學(xué)生姓名所學(xué)專業(yè)計算機科學(xué)與技術(shù)學(xué)號畢業(yè)論文(設(shè)計、創(chuàng)作)要求1設(shè)計內(nèi)容設(shè)計一個基于虛擬蜜網(wǎng)的入侵監(jiān)控平臺的原型系統(tǒng)。2基本要求利用虛擬機和Honeyd搭建一個虛擬的蜜網(wǎng)環(huán)境。建立基于已搭建蜜網(wǎng)的入侵監(jiān)控平臺，要求至少實現(xiàn)以下內(nèi)容：（1）蜜網(wǎng)技術(shù)的數(shù)據(jù)控制。（2）數(shù)據(jù)捕獲。（3）數(shù)據(jù)分析。3要解決的問題如何控制蜜網(wǎng)入口以達到“寬進嚴出”，如何及時捕獲并實時顯示入侵者對蜜網(wǎng)的入侵行為，如何能對入侵行為進行有效分析和友好展示。4要求提交的成果（1）畢業(yè)設(shè)計源程序（2）論文指導(dǎo)教師簽名：2011年4 月 5 日任務(wù)書河南大學(xué)2011屆畢業(yè)設(shè)計（論文、創(chuàng)作）中期檢查表（導(dǎo)師只填寫評語，其他由學(xué)生填寫）題目名稱：基于蜜網(wǎng)的入侵監(jiān)控平臺學(xué)院計算機與信息工程學(xué)院學(xué)生姓名所學(xué)專業(yè)計算機科學(xué)與技術(shù)學(xué)號一、畢業(yè)設(shè)計(論文、創(chuàng)作)進展情況目前，項目設(shè)計的大致框架已基本完成，程序能夠正常運行。但是還有一部分沒有實現(xiàn)，有待進一步完善。已經(jīng)完成的模塊有虛擬蜜網(wǎng)搭建、數(shù)據(jù)控制、數(shù)據(jù)捕獲。經(jīng)測試模塊運行基本正常，但還有少量bug。二、畢業(yè)設(shè)計（論文、創(chuàng)作)存在的問題及解決方案存在的問題：數(shù)據(jù)捕獲結(jié)果無法通過界面及時顯示，在捕獲過程中出現(xiàn)“假死機”現(xiàn)象。解決方案：繼續(xù)查找有關(guān)多線程編程的資料，希望能通過多線程以及線程間的互操作機制將界面操作和數(shù)據(jù)捕獲分開，解決“假死機”現(xiàn)象。三、學(xué)生本人對畢業(yè)設(shè)計階段所做工作及進展情況的評價在做畢業(yè)設(shè)計期間，我積極認真，嚴格要求自己，并在代碼設(shè)計過程中及時解決了遇到的大部分問題。但是在數(shù)據(jù)捕獲模塊的數(shù)據(jù)顯示部分，存在界面凍結(jié)現(xiàn)象，目前正在通過學(xué)過的知識和搜集的參考資料，想辦法盡快解決這個問題。四、指導(dǎo)教師對學(xué)生畢業(yè)設(shè)計(論文、創(chuàng)作)中期檢查的評語根據(jù)該生提交的畢業(yè)設(shè)計成果，以及該生和導(dǎo)師交流的情況，同意該生通過中期檢查。允許該生根據(jù)本人搜集的參考資料和已經(jīng)完成的設(shè)計成果，開始整理畢業(yè)論文文檔。指導(dǎo)教師簽名 2011年 5 月 5 日中期檢查表河南大學(xué)2011屆畢業(yè)論文（設(shè)計、創(chuàng)作）教師評閱成績表學(xué)院名稱：計算機與信息工程學(xué)院學(xué) 號姓名專業(yè)計算機科學(xué)與技術(shù)指導(dǎo)教師教師評閱平均得分論文題目基于蜜網(wǎng)的入侵監(jiān)控平臺指導(dǎo)教師評語及得分指導(dǎo)教師評語該生的選題有現(xiàn)實意義，按時完成了所要求的功能。論文敘述條理清晰、詳略得當，是一篇優(yōu)秀的本科論文。評分項目分值指導(dǎo)教師對畢業(yè)論文（設(shè)計、創(chuàng)作）評分撰寫開題報告、文獻綜述15調(diào)查研究查閱整理資料10學(xué)習(xí)態(tài)度與規(guī)范要求10數(shù)據(jù)處理、文字表達10論文（設(shè)計、創(chuàng)作）質(zhì)量和創(chuàng)新意識55合計100得導(dǎo)教師簽名 2011年5月18日評閱教師評語及評分評閱教師評語該生論文結(jié)構(gòu)合理，論文語句流暢，思路清晰，表達準確，是一篇優(yōu)秀的本科論文。評分項目分值評閱畢業(yè)論文（設(shè)計、創(chuàng)作）評分撰寫開題報告、文獻綜述滿分15調(diào)查研究查閱整理資料10學(xué)習(xí)態(tài)度與規(guī)范要求10數(shù)據(jù)處理、文字表達10論文（設(shè)計、創(chuàng)作）質(zhì)量和創(chuàng)新意識55合計100得閱教師簽名 2010年5月19日此表由教師填寫綜合成績表（一）河南大學(xué)2010屆畢業(yè)論文（設(shè)計、創(chuàng)作）綜合成績表學(xué)號姓名所在學(xué)院計算機與信息工程學(xué)院答辯委員會評語及評分答辯委員會評語該生答辯過程中思路清晰，反應(yīng)敏捷，論文結(jié)構(gòu)合理，條理清楚，達到本科畢業(yè)設(shè)計和畢業(yè)論文要求的標準，經(jīng)答辯小組評議，同意通過論文答辯。答辯委員簽字（4名以上）： 2011年5月22日評分項目分值論文答辯小組評分答辯情況論文質(zhì)量合計（100）內(nèi)容表達情況（15）答辯問題情況（25）規(guī)范要求與文字表達（20）論文（設(shè)計、創(chuàng)作）質(zhì)量和創(chuàng)新意識（40）得分答辯委員會主任簽字： 2011年5月22日畢業(yè)論文（設(shè)計、創(chuàng)作）成績綜合評定（百分制）： 分（教師評閱表平均成績占40%，答辯成績占60%）綜合評定等級（優(yōu)、良、中、差）：備注：一、論文的質(zhì)量評定，應(yīng)包括對論文的語言表達、結(jié)構(gòu)層次、邏輯性理論分析、設(shè)計計算、分析和概括能力及在論文中是否有新的見解或創(chuàng)新性成果等做出評價。從論文來看學(xué)生掌握本專業(yè)基礎(chǔ)理論和基本技能的程度。二、成績評定采用結(jié)構(gòu)評分法，即由指導(dǎo)教師、評閱教師和答辯委員會分別給分（以百分計），評閱教師得分乘以20%加上指導(dǎo)教師得分乘以20%加上答辯委員會得分乘以60%即綜合成績。評估等級按優(yōu)、良、中、差劃分，優(yōu)90-100分；良76-89分；中60-75分；差60分以下。三、評分由專業(yè)教研室或院組織專門評分小組（不少于5人），根據(jù)指導(dǎo)教師和答辯委員會意見決定每個學(xué)生的分數(shù)，在有爭議時，應(yīng)由答辯委員會進行表決。四、畢業(yè)論文答辯工作結(jié)束后，各院應(yīng)于6月20日前向教務(wù)處推薦優(yōu)秀論文以匯編成冊，推薦的篇數(shù)為按當年學(xué)院畢業(yè)生人數(shù)的1.5%篇。五、各院亦可根據(jù)本專業(yè)的不同情況，制定相應(yīng)的具有自己特色的內(nèi)容。須報教務(wù)處備案。綜合成績表（二）XX大學(xué)本科生畢業(yè)論文（設(shè)計、創(chuàng)作）承諾書論文題目基于蜜網(wǎng)的入侵監(jiān)控平臺姓 名所學(xué)專業(yè)計算機科學(xué)與技術(shù)學(xué) 號完成時間2011年5 月20日指導(dǎo)教師姓名職稱承諾內(nèi)容：1本畢業(yè)論文（設(shè)計、創(chuàng)作）是學(xué)生 在導(dǎo)師 的指導(dǎo)下獨立完成的，沒有抄襲、剽竊他人成果，沒有請人代做，若在畢業(yè)論文（設(shè)計、創(chuàng)作）的各種檢查、評比中被發(fā)現(xiàn)有以上行為，愿按學(xué)校有關(guān)規(guī)定接受處理，并承擔(dān)相應(yīng)的法律責(zé)任。2學(xué)校有權(quán)保留并向上級有關(guān)部門送交本畢業(yè)論文（設(shè)計、創(chuàng)作）的復(fù)印件和磁盤。備注：學(xué)生簽名： 指導(dǎo)教師簽名：2011 年 5 月 20 日 2011 年 5 月 20 日說明：學(xué)生畢業(yè)論文（設(shè)計、創(chuàng)作）如有保密等要求，請在備注中明確，承諾內(nèi)容第2條即以備注為準。承諾書目 錄摘 要ABSTRACT第1章 緒 論11.1 課題來源11.2 課題背景11.3 國內(nèi)外在該方向的研究現(xiàn)狀及分析11.3.1 蜜罐（Honeypot）技術(shù)11.3.2 蜜網(wǎng)（Honeynet）工程21.4 使用的開發(fā)平臺2第2章 系統(tǒng)總體分析和設(shè)計32.1 整體網(wǎng)絡(luò)拓撲32.2 組網(wǎng)3第3章 蜜網(wǎng)搭建43.1 Honeyd介紹43.2 具體搭建過程43.2.1 定義配置文件43.2.2 運行honeyd53.2.3 搭建后測試5第4章 詳細設(shè)計64.1 系統(tǒng)采用的技術(shù)原理64.5 數(shù)據(jù)分析模塊64.5.1 攻擊規(guī)則庫的定義64.5.2 小節(jié)題目7結(jié) 論8參考文獻9摘 要近年來，隨著互聯(lián)網(wǎng)在全球范圍內(nèi)的發(fā)展和普及，人們可以方便地共享各種各樣網(wǎng)絡(luò)資源，與此同時，網(wǎng)絡(luò)攻擊問題也越來越引起人們的關(guān)注。因此，網(wǎng)絡(luò)安全已經(jīng)成為網(wǎng)絡(luò)技術(shù)發(fā)展中最重要的一環(huán)。本文首先分析了網(wǎng)絡(luò)安全現(xiàn)狀和存在的問題，然后介紹了一種新的主動式安全機制蜜網(wǎng)技術(shù)。在此基礎(chǔ)上，設(shè)計了基于蜜網(wǎng)的入侵監(jiān)控平臺。設(shè)計過程主要包括蜜網(wǎng)搭建和入侵平臺設(shè)計兩大部分。其中蜜網(wǎng)搭建部分利用Honeyd工具進行，具有靈活、方便、易于維護的特點。入侵平臺設(shè)計部分基于.NET平臺，采用C#語言和Oracle數(shù)據(jù)庫，主要實現(xiàn)數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析蜜網(wǎng)技術(shù)的三大核心需求。本論文主要解決以下問題：1. 在虛擬機上利用Honeyd工具實現(xiàn)虛擬蜜網(wǎng)的搭建。2. 入侵監(jiān)控平臺利用SSH協(xié)議遠程登陸蜜網(wǎng)的入口主機，通過設(shè)置入口主機的Iptables實現(xiàn)數(shù)據(jù)控制功能。3. 在入口主機處監(jiān)聽數(shù)據(jù)包，捕獲入侵者的活動信息，實現(xiàn)數(shù)據(jù)捕獲功能。4. 將捕獲到的數(shù)據(jù)包與入侵規(guī)則庫進行匹配，分析入侵行為，并通過可視化界面將分析后的信息友好地展示給用戶。關(guān)鍵詞 蜜網(wǎng)；入侵監(jiān)控；數(shù)據(jù)控制；數(shù)據(jù)捕獲；數(shù)據(jù)分析第頁ABSTRACTRecently, with the development and widespread use of the internet globally, people can share comprehensive resources conveniently. But at the same time, the problems of network intrusion are given more and more attention by people gradually. Therefore, network security had become one of the most important fields in computer technology.Thesis analyzes firstly present status of the network security and existent problems, then introduce a new active security mechanism, honeynet technology. On the basis of the introduction, intrusion monitoring platform based on honeynet is to be designed. The design process includes two main parts, the set-up of honeynet and the design of inrusion monitoring flatform. Honeyd, a software tool, is made use of during the set-up of honeynet, which has the characteristics of flexibility, convenience and maintainability. The design of intrusion monitoring platform is based on .NET platform, and employs C# programming language and Oracle 9i DataBase. This parts mainly implements data control, data capture,and data analysis, which are three central reqiurements of honeynet technology.The problems settled in this thesis are as follows:1. virtual honeynet is set up with the tool honeyd, which runs on the VMWare.2. telnet from instrusion monitoring platform to the entry host of honeynet via the protocol SSH, and make rules for Iptables on the entry host to implement data control.3. monitor data packages on the entry host, and capture intruders information. The purpose is to achieve data capture.4. match data packages captured with intrusion rules base, and then analyze intrusion actions. At last, information analyzed is to be showed by means of visional interface to users friendly.Keywords: Honeynet; intrusion monitoring; data control; data capture; data analysis第頁第1章 緒 論隨著互聯(lián)網(wǎng)的擴張和基于互聯(lián)網(wǎng)應(yīng)用的發(fā)展，網(wǎng)絡(luò)安全越來越受到人們的關(guān)注。網(wǎng)絡(luò)入侵的檢測和防范也越來越受到人們的重視。該文提出了一個基于蜜網(wǎng)的入侵監(jiān)控平臺，通過搭建蜜網(wǎng)系統(tǒng)，誘騙入侵者進入受控環(huán)境，利用各種技術(shù)監(jiān)控入侵者的入侵行為，分析其采用的攻擊工具和攻擊方法，從而有針對性采取對策降低入侵者取得成功的可能性，提高系統(tǒng)安全性?？梢?，開發(fā)基于蜜網(wǎng)的入侵監(jiān)控平臺對網(wǎng)絡(luò)安全具有重要的現(xiàn)實意義。1.1 課題來源該課題為自選課題。（或者：該課題為導(dǎo)師指定的題目。）1.2 課題背景眾所周知，互聯(lián)網(wǎng)技術(shù)的發(fā)展十分迅猛，已經(jīng)在各行各業(yè)得到了廣泛的應(yīng)用。與此同時，針對網(wǎng)絡(luò)的攻擊手段層出不窮，使得網(wǎng)絡(luò)安全問題日益嚴重。隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，特別是分布式拒絕服務(wù)（DDoS）攻擊，僵尸網(wǎng)絡(luò)（Bot net）、網(wǎng)絡(luò)釣魚（Phishing）和網(wǎng)絡(luò)蠕蟲（Internet Worms）的泛濫，互聯(lián)網(wǎng)上的每一臺主機都已經(jīng)成為攻擊的目標?；ヂ?lián)網(wǎng)儼然成了攻擊者的天堂。1.3 國內(nèi)外在該方向的研究現(xiàn)狀及分析目前國外在網(wǎng)絡(luò)信息欺騙技術(shù)方面的研究成果主要有兩大類：蜜罐技術(shù)和蜜網(wǎng)工程。但國內(nèi)在這方面的研究成果不多。1.3.1 蜜罐（Honeypot）技術(shù)“蜜罐”是一種信息系統(tǒng)資源，其價值在于被非授權(quán)者或非法者所使用（A honeypot is an information system resource whose value lies in unauthorized or illicit use of that resource.）。這個定義表明蜜罐并無其他實際作用，因此所有流入/流出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)示了掃描、攻擊和攻陷。而蜜罐的核心價值就在于對這些攻擊活動進行監(jiān)視、檢測和分析。蜜罐技術(shù)的發(fā)展歷程可以分為以下三個階段。1.3.2 蜜網(wǎng)（Honeynet）工程“蜜網(wǎng)”，又可稱為誘捕網(wǎng)絡(luò)。它是在傳統(tǒng)蜜罐技術(shù)的基礎(chǔ)上，由“蜜網(wǎng)項目組”提出并倡導(dǎo)的由真實主機、操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)和應(yīng)用程序構(gòu)成的網(wǎng)絡(luò)體系框架，結(jié)合了一系列數(shù)據(jù)控制、捕獲和分析工具，使得安全研究人員能夠更好地在一個高度可控的環(huán)境中了解互聯(lián)網(wǎng)的安全威脅。1.4 使用的開發(fā)平臺蜜網(wǎng)環(huán)境搭建：VMWare +Red Hat Linux 內(nèi)核版本：2.64.20-8 smp + Honeyd 1.5c，入侵監(jiān)控平臺：Windows XP，開發(fā)工具VS 2008、語言C#、數(shù)據(jù)庫Oracle 10g。如表1-1所示。表1-1 表標題表頭表文第12頁第2章 系統(tǒng)總體分析和設(shè)計本章從平臺的整體網(wǎng)絡(luò)拓撲、系統(tǒng)結(jié)構(gòu)和軟件架構(gòu)三個方面對該平臺進行了總體分析說明。蜜網(wǎng)環(huán)境搭建之后，主要通過數(shù)據(jù)控制模塊、數(shù)據(jù)捕獲模塊、數(shù)據(jù)分析模塊、行為統(tǒng)計回放模塊、拓撲探測和系統(tǒng)管理模塊實現(xiàn)蜜網(wǎng)的數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)控制三大核心需求。2.1 整體網(wǎng)絡(luò)拓撲入侵監(jiān)控平臺：是源程序的運行主機，采用Windows XP操作系統(tǒng)。入口控制主機：通過虛擬機實現(xiàn)，虛擬機上安裝Red Hat Linux（內(nèi)核版本2.64.20-8 smp）虛擬蜜網(wǎng)：利用在虛擬機上安裝的Honeyd工具進行搭建。本演示系統(tǒng)采用的拓撲結(jié)構(gòu)如圖2-1所示。圖2-1 平臺拓撲結(jié)構(gòu)入口控制主機包括三個網(wǎng)絡(luò)接口，eth0接入外網(wǎng)，eth1連接蜜網(wǎng)，而eth2作為一個秘密通道，連接到一個監(jiān)控平臺。2.2 組網(wǎng)第3章 蜜網(wǎng)搭建由于受到資金、實驗環(huán)境、技術(shù)等因素的制約，本系統(tǒng)采用了易于部署的虛擬蜜網(wǎng)作為演示平臺。虛擬蜜網(wǎng)的具體搭建過程是先在虛擬機（VMWare）上安裝Red Hat Linux 2.4.20-8smp操作系統(tǒng)，然后在其上安裝Honeyd軟件。其中，Red Hat Linux作為入口控制主機，蜜網(wǎng)的部署由Honeyd實現(xiàn)。3.1 Honeyd介紹Honeyd是一個很小巧的用于創(chuàng)建虛擬的網(wǎng)絡(luò)上的主機的后臺程序，這些虛擬主機可以配置使得它們提供任意的服務(wù)，利用個性處理可以使得這些主機顯示為在某個特定版本的操作系統(tǒng)上運行1。3.2 具體搭建過程Honeyd提供了易于掌握的虛擬蜜網(wǎng)配置方法。通過自定義配置文件可以定義整個蜜網(wǎng)系統(tǒng)的拓撲構(gòu)架，虛擬蜜網(wǎng)中受控主機所運行的操作系統(tǒng)，受控主機如何應(yīng)答關(guān)閉的端口，什么樣的端口提供怎么樣的服務(wù)等。服務(wù)的偽裝實現(xiàn)是通過將服務(wù)腳本綁定到一個網(wǎng)絡(luò)端口，腳本可以是標準的模擬某種服務(wù)的shell腳本，而且我們可以本方便地從網(wǎng)上下載常用的，如SMTP、HTTP和Telnet等服務(wù)的腳本。3.2.1 定義配置文件Honeyd支持創(chuàng)建任意的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，對路由樹的模擬需要首先配置一個路由進入點，然后將路由器綁定到與它直接相連的網(wǎng)絡(luò)，并指明通過該網(wǎng)絡(luò)可以到達的其他路由器。在綁定過程可配置鏈路時延和丟包率4。舉例：以下配置文件配合圖2-1的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。程序代碼如下：定義蜜網(wǎng)中主機的操作系統(tǒng)類型以及提供的服務(wù)create aixset aix personality Microsoft Windows NT 4.0 SP3add aix tcp port 80 sh /home/honeyd/honeyd-1.5c/scripts/web.shadd aix tcp port 22 sh /home/honeyd/honeyd-1.5c/scripts/test.sh &ipsrc &dportset aix default tcp action reset#默認情況下的操作系統(tǒng)類型以及提供的服務(wù)#將上述的配置文件命名為Honeyd.conf，然后運行如下的命令來運行honeyd。3.2.2 運行honeyd在運行honeyd之前，需要保證honeyd主機對配置的虛擬蜜網(wǎng)中的受控主機的IP作出arp請求的應(yīng)答，即將MAC地址與偽裝IP進行映射。可以通過運行arpd軟件來做出arp應(yīng)答，arpd將對指定的IP地址范圍內(nèi)使用的IP用honeyd主機的MAC地址作出arp應(yīng)答。3.2.3 搭建后測試Honeyd提供仿真服務(wù)腳本來對應(yīng)用層的協(xié)議進行模擬，安裝honneyd后，可以在源代碼包中的scripts目錄下找到honeyd提供的腳本。Honeyd提供的腳本的語法并不復(fù)雜，基本的規(guī)則就是當入侵者登陸后，輸入命令，腳本會做出相應(yīng)的輸出回應(yīng)，使入侵者無法辨別出真實服務(wù)和虛擬服務(wù)。第4章 詳細設(shè)計本章主要對各個功能模塊的詳細設(shè)計做具體說明。首先對系統(tǒng)中所采用的技術(shù)原理做一概述，然后對各模塊間的架構(gòu)進行闡述，最后分別對各個模塊的設(shè)計特別是一些關(guān)鍵技術(shù)進行詳細論述。其中，最重要的是數(shù)據(jù)控制模塊、數(shù)據(jù)捕獲模塊和數(shù)據(jù)分析模塊。4.1 系統(tǒng)采用的技術(shù)原理4.5 數(shù)據(jù)分析模塊數(shù)據(jù)分析就是將數(shù)據(jù)捕獲模塊獲得的信息，與定義好的攻擊規(guī)則庫進行模式匹配和行為提取，最終形成報警信息。并將報警信息存入數(shù)據(jù)庫，供行為回放和統(tǒng)計模塊查詢。其中最關(guān)鍵的技術(shù)就是攻擊規(guī)則庫的定義和模式匹配算法的效率，它們直接關(guān)系到數(shù)據(jù)分析的準確性。4.5.1 攻擊規(guī)則庫的定義攻擊規(guī)則庫按照入侵行為的種類劃分為相應(yīng)的表，用戶可以根據(jù)需要選取對應(yīng)的表進行匹配，每一類表中包括數(shù)十條的規(guī)則，分別代表同一種類型的不同入侵行為。進行數(shù)據(jù)分析時，應(yīng)該遵循先匹配所有入侵行為的共同特征后才是個體特征的原則。例如：如果首先匹配IP地址，一旦發(fā)現(xiàn)并不屬于匹配范圍之內(nèi)，就立即匹配下一個數(shù)據(jù)包而非繼續(xù)匹配該包的其他字段。這樣就保證了分析的快速性。(1) 規(guī)則頭規(guī)則頭包括：協(xié)議、源/目的IP地址、子網(wǎng)掩碼以及源/目的端口。1) 協(xié)議現(xiàn)在可以分析可意包的協(xié)議有：TCP、UDP、ICMP、和IP。2) IP地址地址由數(shù)字型的IP地址和一個cidr塊組成。Cidr塊指示作用在規(guī)則地址和需要檢查的進入任何包的網(wǎng)絡(luò)掩碼。/24表示C類網(wǎng)絡(luò)，/16表示B類網(wǎng)絡(luò)，/32表示一個特定及其的IP地址。否定運算符”!”可以應(yīng)用到Ip地址上，表示匹配除了列出的IP地址之外的所有IP地址。3) 端口號端口號可以用幾種方法表示，包括”any”端口、靜態(tài)端口定義、范圍、以及通過否定操作符。”any”端口是一個通配府，表示任何端口。靜態(tài)端口定義表示一個單個端口號，例如23表示telnet。端口范圍用范圍操作符“：”表示。范圍操作符可以有數(shù)種使用方法?！纠?】描述udp any any - /24 1:500記錄來自目標端口范圍在1到500的udp流。tcp any any - /24 :1024記錄來自目標端口小于等于1024的tcp流tcp any :1024- /24 1024:記錄來自任何小于等于1024的特權(quán)端口，目標端口大于等于1024的tcp流tcp any any - /24 !1024:端口否定操作符用“！”表示示例，描述：udp any any - /24 1:500記錄來自目標端口范圍在1到500的udp流tcp any any - /24 :1024記錄來自目標端口小于等于1024的tcp流(2) 操作步驟4.5.2 （小節(jié)題目）結(jié) 論本論文分析了當前網(wǎng)絡(luò)安全的現(xiàn)狀和網(wǎng)絡(luò)安全重要性，以及傳統(tǒng)安全技術(shù)的被動防御局限性。為了突破這一不足，引入了蜜網(wǎng)這一主動防御安全技術(shù)，設(shè)計了基于蜜網(wǎng)的入侵監(jiān)控平臺。蜜網(wǎng)搭建利用安裝在VMWare上Honeyd工具進行虛擬搭建，入侵監(jiān)控平臺采用VS 2008開發(fā)工具，C#開發(fā)語言，基于.NET Framework上的三層C/S模式。本平臺具有以下優(yōu)點：1. 部署方便成本低：利用Honeyd進行虛擬部署，可以靈活地根據(jù)需要模擬蜜網(wǎng)的拓撲結(jié)構(gòu)，蜜網(wǎng)中受控主機的服務(wù)和開放端口，配置文件語法簡單、易于修改。另外，用虛擬蜜網(wǎng)代替實際蜜網(wǎng)是部署成本大大降低。2. 低漏報率和誤報率：由于虛擬蜜網(wǎng)不提供任何實際的作用，因此其收集到的數(shù)據(jù)很少，同時收集到的數(shù)據(jù)很大可能就是由于黑客攻擊造成的，收集的數(shù)據(jù)保真度高。3. 易用性強，C#界面友好，操作簡便。存在以下局限性：1. 采用虛擬蜜網(wǎng)會帶來更大的風(fēng)險，黑客有可能識別出虛擬操作系統(tǒng)軟件的指紋，也可能攻破虛擬操作系統(tǒng)軟件從而獲得對整個虛擬蜜網(wǎng)的控制權(quán)。2. 數(shù)據(jù)分析部分需要進一步完善和改進，特別是入侵規(guī)則庫定義需要優(yōu)化，模式匹配過程需要進一步提高實時性和準確性。參考文獻1 崔繼強，喬佩利虛擬蜜罐Honeyd的分析和研究機電信息，2004年第13期，p27-292 The Honeynet Project / Know Your Enemy: Honeynets-What a honeynet is, its value, overview of how it works, and risk/issues involved, The Honeynet Whitepaper