基于Windows 2000蜜罐系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，各種網(wǎng)絡(luò)安全防護(hù)機(jī)制也相應(yīng)而生，例如防病毒網(wǎng)關(guān)、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)防火墻、個(gè)人防火墻等，但是這些安全防護(hù)機(jī)制只能根據(jù)已知的入侵手段和特征來檢測(cè)并阻止入侵行為，達(dá)到保護(hù)系統(tǒng)的目的，而面對(duì)那些利用系統(tǒng)和軟件的未知漏洞來控制系統(tǒng)，或者使用與規(guī)則庫中所有規(guī)則都不匹配的未知攻擊特征手段的入侵者來說，這些安全防護(hù)措施就失去了作用。為了改善日益嚴(yán)峻的網(wǎng)絡(luò)安全現(xiàn)狀，我們必須能夠了解入侵者所使用的手段、工具，甚至他們?nèi)肭帜硞€(gè)網(wǎng)絡(luò)的

2、意圖，延緩入侵者對(duì)真實(shí)目標(biāo)的攻擊，蜜罐就是在這樣的思路下誕生的一種新型網(wǎng)絡(luò)安全機(jī)制。 該文前半部分從介紹蜜罐技術(shù)的特點(diǎn)著手，詳細(xì)介紹了蜜罐的分類、基本配置及其優(yōu)缺點(diǎn)，同時(shí)對(duì)蜜罐涉及到的兩種技術(shù)——信息收集與信息分析進(jìn)行了闡述，并對(duì)蜜罐技術(shù)的研究現(xiàn)狀和應(yīng)用現(xiàn)狀做了簡要的介紹。在該文的后半部分給出了一種基于Windows2000的研究型高交互式蜜罐系統(tǒng)的研究與實(shí)現(xiàn)。該系統(tǒng)由Dconsole和Dsensor兩部分組成，該文詳細(xì)闡述了它

3、們的設(shè)計(jì)思想、工作方式、模塊組成及其實(shí)現(xiàn)，并對(duì)DHoneypot的安全性能進(jìn)行了評(píng)估。在具體的技術(shù)實(shí)現(xiàn)上著重論述了采用NDIS驅(qū)動(dòng)程序、文件系統(tǒng)過濾驅(qū)動(dòng)程序和HookWindows2000系統(tǒng)服務(wù)三種技術(shù)實(shí)現(xiàn)。 采用如上方法開發(fā)完成的DHoneypot可適用于收集并研究黑客使用的攻擊方法、攻擊工具的特點(diǎn)及危害性、了解黑客攻擊網(wǎng)絡(luò)意圖等目的。該文的設(shè)計(jì)思想與方法，對(duì)如何在WindowsNT內(nèi)核的系統(tǒng)下開發(fā)高效、隱蔽、安全的高交互式