基于虚拟蜜罐的智能主动防御系统的设计与实现

基于虚拟蜜罐的智能主动防御系统的设
计与实现
摘要：随着互联网的快速发展，越来越多的应用通过网络来实现，网络安全也日趋重要，同时也面临着巨大的挑战。

网络攻击者的攻击模式越来越复杂，他们的技术水平也不断提高，网络系统不断受到攻击，如何保护网络和系统不受入侵成为现在急需解决的问题。

传统的网络安全措施也显得力不从心，此时需要引入一项全新的防护技术——蜜罐技术。

关键字：蜜罐，密网，防御系统
一、蜜罐
蜜罐是一个模拟真实环境的虚拟网络，其中的计算机会运行各种真实程序，包括合法程序和恶意程序。

蜜罐还可以模拟黑客对目标系统的入侵行为。

因此，蜜罐是一个具有高仿真度的虚拟环境，在这个环境中，攻击者可以自由地使用各种攻击技术和系统进行攻击。

蜜罐的数据采集系统是指能够收集与攻击相关的数据的设备，包括各种网络监控设备和入侵检测系统，它能够实现对蜜罐主机数据的获取、存储和分析。

网络监控设备是指能够采集局域网内的各种网络数据和网络流量的设备，它一般由交换机、路由器、防火墙等组成。

入侵检测系统是指能够发现黑客的攻击行为并发出警报的设备，它一般由防火墙、路由器、入侵检测系统等组成。

入侵检测系统能够检测出黑客发起的各种攻击行为，如网络攻击、木马扫描等，并将这些数据及时传输给蜜罐分析软件进行分析。

入侵检测系统是一种被动的防御手段，它通过发现网络中存在的安全漏洞或安全缺陷来阻止黑客发起攻击行为。

蜜罐分析软件主要是用来观察和记录蜜罐系统的运行情况，如蜜罐主机是否
正常工作、主机上的数据是否正常等。

它可以实现以下功能：
（1）监视蜜罐主机上的数据流，并将这些数据记录下来，以便进行分析；
（2）显示和记录被观察到的网络数据包，并将其打印出来；
（3）生成和显示有关黑客攻击的详细报告，如攻击时间、攻击者身份、攻
击手法、攻击者对目标系统的影响等；
（4）可以将日志文件复制到本地计算机，以便对攻击者进行研究和分析。

蜜罐分析软件可以采集、记录和显示各种网络数据包，并将其打印出来。

为
了获得更多的分析结果，可以对蜜罐系统进行实时监控，以获得更多有用的信息。

蜜罐分为实系统蜜罐和伪系统蜜罐。

实系统蜜罐可以迷惑入侵者，保护服务器：伪系统蜜罐可以抵挡入侵者，加固服务器。

二、系统体系结构
虚拟蜜罐是一种模拟真实的攻击环境，以达到欺骗攻击者的目的。

在真实蜜
罐中，攻击者可以自由地使用各种攻击技术，而蜜罐却是由一组特定的计算机控
制的。

虚拟蜜罐能够模拟真实环境，并尽可能多地利用真实数据和系统进行攻击，以此来检测攻击者的能力和弱点。

蜜罐系统与入侵检测系统相比，最大的优点是可以减少误报，特别是当黑客
发现自己攻击不了目标系统时。

因为蜜罐是一种模拟环境，所以没有真实数据作
为基础，因此很难被识别和利用。

另外，蜜罐与传统的入侵检测系统相比，具有
较高的性能和可靠性。

一旦蜜罐被识别出来，攻击者就无法用有效的方式去破坏蜜罐，因为当攻击
被发现时，就会使蜜罐被破坏。

虚拟蜜罐利用了这个优势。

为了达到欺骗的目的，攻击者需要使用各种技术来对虚拟环境进行修改或使用恶意代码。

所设计的系统主要包括蜜罐系统和访问控制两大模块：
（1）蜜罐系统模块：蜜罐系统模块是整个系统的核心部分，主要作用是对攻击者的引诱以及收集攻击者与网络服务器中的漏洞信息。

在充分考虑系统实际使用环境以及开发需求的基础上，设计该蜜罐系统模块架构。

（2）访问控制模块：设置访问控制模块的目的在于对入侵者在系统中的资源访问加以一定的约束。

目前进行访问控制的方法较多，文中采用最为成熟的网络设备访问控制的方法进行处理。

蜜罐系统的组成结构如下：
蜜罐系统主要包括蜜罐主机、蜜罐通信和蜜罐主机上的应用程序。

当用户需要访问蜜罐时，它将由用户通过网络连接到蜜罐主机，而蜜罐主机上的应用程序将作为用户的代理，通过数据包和请求到达蜜罐主机。

蜜罐主机通过网络连接到网络中，并从其他主机上获取数据包和请求。

在获取数据包和请求后，它将把这些信息传递给蜜罐通信。

在处理这些数据包时，它会把其中的信息保存在一个单独的日志文件中，并把这个日志文件作为对网络的监视。

蜜罐系统与蜜罐主机之间的通信主要是通过数据包传递来实现。

数据包是用户发送到蜜罐主机的一系列数据，这些数据包括了用户的 IP地址、端口、源 IP 地址和目的 IP地址等信息。

这些信息将由蜜罐主机上的应用程序来处理，并把它们作为对网络的监视。

当蜜罐主机收到来自蜜罐系统上的数据包时，它会对收到的数据包进行分析，并把其中所包含的信息记录下来。

通过分析这些信息，应用程序将对网络中发生的攻击行为进行分析并做出相应的反应。

这个日志文件会保存有关网络攻击和系统漏洞等信息。

蜜罐应用程序是蜜罐系统的核心部分，它用于监视网络流量，并执行其他的操作。

在蜜罐应用程序中，用户可以选择数据包捕获的策略，然后把捕获到的信息保存在日志文件中。

这些信息可以是系统日志、攻击记录、漏洞扫描记录等。

三、系统实现
审计功能是虚拟蜜罐防御系统的重要组成部分。

审计功能可以确保蜜罐的安全，因为在正常情况下，用户无法访问或修改蜜罐中的信息。

审计功能主要包括：对访问的审计、对主机的审计和对远程主机的审计等。

在每个虚拟蜜罐中，都有
一个独立的审计系统，它与访问控制系统结合在一起，可以检测出是否有非授权
用户访问了某些资源或使用了某些服务。

它可以记录所有这些信息，并能根据这
些信息进行适当地处理。

入侵检测是蜜罐系统的一项重要功能。

入侵检测系统的工作原理是根据蜜罐
所处的位置，检测攻击者使用的技术，以及收集到的信息来确定蜜罐是否存在被
攻击的可能性。

入侵检测系统主要分为基于主机、基于网络、基于应用三种类型。

当一个蜜罐被发现后，攻击者会首先利用这个蜜罐进行攻击。

这种方法可以减少
误报情况，但它也有一定的局限性，那就是不能完全识别出所有攻击技术。

虚拟蜜罐防御系统的安全管理包括两个方面：一个是虚拟蜜罐环境本身的安
全管理，另一个是虚拟蜜罐之间的相互协作。

由于虚拟蜜罐可以在多个虚拟机中
运行，因此需要将其管理和维护分散到不同的虚拟机中。

这种分散管理能够很好
地防止不同虚拟机之间的攻击，并提供更高的安全性。

网络控制系统是蜜罐系统的核心，它通过对蜜罐主机的控制来实现
对整个蜜罐系统的管理和监控。

它可以使蜜罐主机的行为受到网络控制，从而保
证蜜罐系统不被黑客攻击。

网络控制系统可以采用两种方法来实现：一种是通过在蜜罐主机上安装相应
的软件来实现。

这种方法虽然简单，但是要实现网络控制非常困难，而且不容易
被黑客发现。

另外一种方法是通过配置一个独立的网络设备来实现对整个蜜罐系
统的管理和监控。

这种方法既可以实现网络控制，又可以保证蜜罐系统不被黑客
攻击，而且还能对整个蜜罐系统进行实时监控和日志记录，便于对整个蜜罐系统
进行分析。

网络控制系统可以使蜜罐主机的行为得到有效的监控，同时也为研究人员提
供了一个观察黑客攻击过程的平台，有利于研究人员对黑客攻击行为进行分析和
研究，并从中找到相应的对策。

参考文献：
[1] 刘永辉，胡巧婕，赵丽.基于蜜罐技术的局域网安全防御系统设计，《电子设计工程》2022
[2] 石乐义，李阳，马猛飞.蜜罐技术研究新进展，《电子与信息学报》2019
作者简介：
崔旭冉，女，山东协和学院，网络工程22-H1班学生。

刘莉，女，山东协和学院，副教授。

依托项目：山东协和学院2023年实验室开放项目《基于虚拟蜜罐的智能主动防御系统的设计与实现》，项目编号2023SYKF36。