论文总字数：23735字

摘 要

在信息技术飞速发展的时代，计算机和互联网已经深深地影响了各行各业。但与此同时，网络安全问题也越来越严重。一些被动防御技术和传统的主动防御技术对攻击者的行为无法进行正确预测，更无法做到有效防御。

与传统技术和被动防御措施相比，蜜罐技术作为一种新兴的主动防御技术，有其独特的优势。蜜罐实质上是一种欺骗手段，通过为外界提供一些真实的或者模拟的服务来吸引入侵者的攻击，可以保护真实有攻击价值的系统，并收集攻击信息，用以学习和分析。在此基础上，本文建立了一种基于开源软件honeyd的服务蜜罐系统。具体来说，通过honeyd蜜罐软件结合虚拟机软件VMware在Ubuntu上模拟多台主机、多种操作系统部署出一个网络拓扑，建立了一个蜜罐系统。通过脚本和代理两种方式实现SSH服务的功能，将蜜罐伪装成文件系统，吸引黑客攻击。在与外界交互的同时，在日志中记录下SSH服务的攻击信息，后续使用Python脚本来进行处理，将数据导入数据库以形成可视报表。

最后，论文还针对建立的服务蜜罐系统，进行了功能测试。所有测试用例的结果与预期一致，测试通过。说明蜜罐建立成功，达到了预期目标。

关键词：蜜罐技术，honeyd，SSH服务，日志记录和处理，功能测试

Abstract

Computers and the Internet have been fully popularized in all walks of life under the development of information technology. However, while these conveniences are achieved, the problem of network security has become increasely serious. Some technologies based on passive defense and some traditional technologies based on active defense cannot accurately predict the behavior of attackers, and they are even more unable to achieve effective defense.

Compared with some traditional technologies and passive defense measures, honeypot technology has a unique advantage as a new type of active defense technology. Honeypots are essentially a form of deception that attracts intruders by providing some real or simulated network services to the outside world, which can protect the real attack-worthy systems and collect information of attackers to learn and analyze their attack intentions and attack methods. On this basis, the thesis proposes a service honeypot system based on open source software honeyd. Specifically, honeyd was combined with virtual machine software VMware to simulate multiple hosts on Ubuntu, deploy a network topology for multiple operating systems, and set up a honeypot system. The SSH service is implemented through two methods: script and proxy. The honeypot is disguised as a file system to attract hackers. While interacting with the outside world, the SSH service's attack information is recorded in the log and subsequently processed using Python scripts. The data is imported into the database to form a visual report.

Finally, the thesis also conducted function testing for the SSH service honeypot system. The results of all test cases are consistent with expectations, and test passed. It shows that the honeypot system has been established successfully to accomplish the required goals.

KEY WORDS: honeypot, honeyd, SSH service, logging and processing, function testing

目 录

摘要 I

Abstract II

第一章 绪论 1

1.1 选题背景和目的 1

1.2 国内外研究现状^[1] 1

1.2.1 国外研究现状 1

1.2.2 国内研究现状 2

1.3 论文内容 3

1.3.1 论文主要工作 3

1.3.2 论文架构 3

1.4 本章小结 4

第二章 蜜罐技术 5

2.1 蜜罐技术简介 5

2.1.1 蜜罐技术的概念 5

2.1.2 蜜罐的特点 5

2.1.3 蜜罐的分类 5

2.2 Honeyd蜜罐简介 7

2.2.1 模块介绍 7

2.2.2 工作原理 8

2.3 主动指纹识别技术——Nmap工具 9

2.3.1 工作原理 9

2.3.2 honeyd中的Nmap指纹库 10

2.3.3 Nmap工具的使用 10

2.4 本章小结 10

第三章 基于Honeyd蜜罐服务系统设计 12

3.1 设计思路 12

3.2 组网设计 12

3.3 蜜罐建立 12

3.3.1 ARP欺骗 13

3.3.2 配置模板 13

3.4 SSH服务建立过程 16

3.4.1 SSH服务介绍 16

3.4.2 脚本方式设计方案 16

3.4.3 代理服务器设计方案 17

3.5 日志记录 18

3.6 日志分析 19

3.7 本章小结 19

第四章 基于Honeyd服务型蜜罐系统实现 20

4.1 准备工作 20

4.2 蜜罐建立 20

4.2.1 ARP欺骗 20

4.2.2 蜜罐系统建立 21

4.3 SSH服务实现过程 21

4.3.1 脚本文件实现过程 21

4.3.2 代理服务器实现过程 23

4.4 数据捕捉和日志处理 25

4.4.1 数据捕捉 25

4.4.2 日志处理 27

4.5 本章小结 29

第五章 测试与评估 30

5.1 功能测试 30

5.2 系统评估 33

5.2.1 系统的优势 33

5.2.2 系统的不足 33

5.3 本章小结 34

第六章 总结与展望 35

6.1 全文总结 35

6.2 研究展望 35

致 谢 37

参考文献 38

绪论

选题背景和目的

随着现代信息安全技术的发展，计算机和互联网逐渐普及到各行各业。人们的生产生活都得到了很大便利。电子商务、视频会议、手机支付等网上方式逐步兴起，各行各业都与互联网紧密的联系在一起，大大提高了工作效率和生活质量。但是，互联网中的安全问题亟待解决。攻击者通过安全系统的漏洞，对个人用户、企业乃至国家的网络进行攻击，从中谋取私利，将会造成不可估量的损失。攻击者可以通过暴力破解或社会工程学对用户进行分析等手段获取有效信息，并以此为跳板侵入用户所在的企业网络，进行一系列的扫描、探测以及数据捕捉等工作，从而获取企业内部有价值的信息。再者，由于现在的许多行业，包括金融企业和一些外企，禁止在公司的服务器上安装安全防护软件，甚至连配置日志都是不被许可的，由此看来，蜜罐的当前部署是最好的解决方案之一^[1]。另外，现在国内外主要采用的防御措施有防火墙保护、入侵检测技术及控制接入技术等等^[2]。这些被动防御措施往往难以应对复杂多变的攻击者，难以掌握攻击者的攻击策略等信息，无法进行后续的分析和有针对性的防护。由此可以看出，现代一些传统的网络安全技术和别动防御措施在一些新兴的攻击技术面前显得非常得束手无策。

相比于这些传统技术和被动防御措施，蜜罐技术作为一种新型的主动防御措施，有着其独特的优势。蜜罐技术作为一种有效的欺骗技术，通过为外界提供一些特定的网络服务，伪装成为一个具有商业价值的且可以被攻破的网络系统，吸引入侵者前来攻击，从而保护了真实的系统。蜜罐系统在提供服务的同时还会通过监听对有效的攻击信息进行收集，后续可以通过分析仪或者将日志提交给安全人员进行数据处理，及时了解到黑客的攻击目的和动机，确保我们真实的系统网络环境的安全。

国内外研究现状^[1]

国外研究现状

国外在蜜罐技术的研究方面，比较出名的有“蜜网项目组”和“蜜网研究联盟”两大组织。其中，根据网上的调研结果，“蜜网项目组”是一个公益性质的组织，目前已有三十个国家和地区的安全团队加入，该项目组也开发出了第一个蜜网（Honeynet）。现在国外各研究组织主要研究方向有：

剩余内容已隐藏，请支付后下载全文，论文总字数：23735字