求一篇20000字的关于网络安全的论文！

蜜罐技术在网络安全中的应用研究
乔佩利,　岳　洋
(哈尔滨理工大学计算机科学与技术学院,黑龙江哈尔滨150080)
摘　要:面对网络上复杂而多变的黑客攻击,文提出利用蜜罐技术主动吸引黑客攻击的方法,
来监视和跟踪入侵者的行为并进行记录,进而研究入侵者所使用的攻击工具、攻击策略及方法.介
绍了蜜罐技术的基本概念和分类,分析了蜜罐的安全价值,并从三方面研究了蜜罐技术在网络安全
实践中的应用,同时也讨论了蜜罐的优缺点和风险.
关键词:网络安全;蜜罐;交互程度;入侵检测;蠕虫病毒
中图分类号:TP393. 08文献标志码:A文章编号:1007-2683(2009)03-0037-05
Study onApplication ofHoneypot inNetwork Security
QIAO Pei-li,　YUE Yang
(School ofComputerScience and Technology,HarbinUnirersity ofScience and Technology,Harbin 150080,China)
Abstract:Aiming atvarious complex and flexibleHacker′network attacks, an effectivemethod ispresented u-
singHoneypot to attract attacks actively, andmonitor and track attacker, and record the relevantactions so that it
can be analyzed to study the tools, tactics andmethods of the intruder. Firs,t the basic definition and classifications
ofHoneypot are introduced, and the security values ofHoneypotare analyzed, then applications ofHoneypot in net-
work security practice are discussed from three kind, and the advantages and theweakness and the risks ofHoney-
pot are discussed.
Key words:network security; Ioneypo;t involvemen;t intrusion detection; Worm
收稿日期:2009-03-12
作者简介:乔佩利(1950),男,教授,硕士生导师.
1　引　言
今天,计算机和网络已经融入政治、经济、军
事和日常生活的方方面面.随着计算机网络的快
速发展,网络安全问题也日益严重,计算机犯罪正
逐年递增,网络和信息安全问题变得更加突出.现
有的网络安全防护技术,主要都是一种被动防御
的方法,是针对已知的事实和攻击模式采取的防
御,因此,对于复杂而多变的黑客攻击就显得力不
从心了[1].如何使网络安全防御体系由静态转为
动态,防御措施从被动变为主动是目前要研究的
新课题.
蜜罐[2]是网络安全的一个全新领域.它采取主
动方式,通过构造一个有着明显安全漏洞的系统来
引诱入侵者对其进行攻击,并在攻击的过程中对入
侵者的入侵动机、入侵手段、使用工具等信息进行详
细记录.蜜罐提供了一个研究各种攻击的平台,因此
越来越多地应用在对抗黑客的入侵检测研究中.本
文通过几年来在网络安全的教学和研究中,对蜜罐
的应用实践,全面分析和探讨了蜜罐的原理、功能、
特点和价值.
2　蜜罐的定义
关于蜜罐(Honeypots)的定义,目前还有很多争
料,本文给出这样一个定义:蜜
罐是指受到严密监控的网络诱骗系统,通过真实或
模拟的网络服务来吸引攻击,从而在黑客攻击蜜罐
期间对其行为和过程进行分析,以搜集信息,对新攻
击发出预警,同时蜜罐也可以延缓攻击并转移攻击
目标[3].
蜜罐本身并不直接增强网络安全性,相反它吸
引入侵来搜集信息.将蜜罐和现有的安全防卫手段,
如入侵检测系统( IDS)、防火墙(Firewall)、杀毒软
件等结合使用,可以有效提高系统安全性.
3　蜜罐的安全价值
蜜罐是增强现有安全性的强大工具,是一种了
解黑客常用工具和攻击策略的有效手段.根据P2DR
动态安全模型,如图1所示,从防护、检测和反应三
方面分析蜜罐的安全价值[4].
1)防护蜜罐在防护中所做的贡献很少,并不会
将那些试图攻击的入侵者拒之门外.事实上蜜罐设
计的初衷就是妥协,希望有人闯入系统,从而进行记
录和分析.有些学者认为诱骗也是一种防护,因为诱
骗使攻击者花费大量的时间和资源对蜜罐进行攻
击,从而防止或减缓了对真正系统的攻击.
2)检测蜜罐的防护功能很弱,却有很强的检
测功能.因为蜜罐本身没有任何生产行为,所有与
蜜罐的连接都可认为是可疑行为而被记录.这就
大大降低了误报率和漏报率,也简化了检测的
过程.
现在的网络主要是使用入侵检测系统IDS[5]来
检测攻击.面对大量正常通信与可疑攻击行为相混
杂的网络,要从海量的网络行为中检测出攻击是很
困难的,有时并不能及时发现和处理真正的攻击.高
误报率使IDS失去有效的报警作用,而蜜罐的误报
率远远低于大部分IDS工具.同时,目前的IDS还不
能够有效地对新型攻击进行检测,无论是基于异常
的还是基于误用的,都有可能遗漏新型或未知的攻
击.而使用蜜罐的一个主要目的就是检测新的攻击,
从而有效解决漏报问题.
3)反应蜜罐检测到入侵后可以进行响应,包括
模拟回应来引诱黑客进一步攻击,发出报警通知系
统管理员,让管理员适时地调整入侵检测系统和防
火墙配置,来加强真实系统的保护等.
4　蜜罐技术的应用
作为一种全新的网络安全防护技术,蜜罐可以
多种不同的形式应用于网络安全的研究和实践中.
41　网络欺骗
为了使Honeypot更具有吸引力,通常会采用各
种欺骗手段.在欺骗主机上模拟一些操作系统或者
各种漏洞,在一台计算机上模拟整个网络,在系统中
产生仿真网络流量、装上虚假的文件路径及看起来
像真正有价值的相关信息等等.通过这些办法,使
Honeypot主机更像一个真实的工作系统,诱使攻击
者上当,主要方法有:
1)IP空间欺骗. IP空间欺骗技术利用计算机的
多宿主能力,在一块网卡上分配多个IP地址或一段
IP地址,来增加黑客的搜索空间,显著增加他们的
工作量,并且增大他们掉进蜜罐的几率,从而起到诱
骗效果.
2)网络流量仿真.产生仿真流量的目的是掩盖
蜜罐没有网络流量的马脚,使攻击者不能通过流量
分析觉察到诱骗行为.在诱骗系统中产生仿真流量
有两种方法:一种方法是采用实时方式或重现方式
复制真正的网络流量,这使得欺骗系统与真实系统
十分相似[6].第二种方法是从远程产生伪造流量,
使入侵者可以发现和利用.
3)网络动态配置.真实网络系统其系统状态
通常是随时间而改变的,是动态的.机警的黑客可
能会对系统的状态进行比较长期性的观察,如果
蜜罐的系统状态总是一成不变,入侵者长期监视
的情况下就会露出破绽,导致诱骗无效[7].因此,
需要系统动态配置来模拟正常的系统行为,使蜜
罐也像真实网络系统那样随时间而改变.动态配
置的系统状态应该能反映出真实系统的特性[7].
4)模拟系统漏洞.网络和计算机操作系统及各
种应用软件存在着大量已知和未知的安全漏洞,网
络攻击往往是在黑客们发现系统存在可以利用的漏

你好，我有相关论文资料（博士硕士论文、期刊论文等）可以对你提供相关帮助，需要的话请加我，7 6 1 3 9 9 4 5 7（扣扣），谢谢。