大四下设计正文

课题背景和意 国内外研究现 课题主要工 论文结 课题背景和意 国内外研究现 课题主要工 论文结 蜜罐 蜜罐的基本概 低交互蜜 高交互蜜 蜜罐的优缺 蜜网 虚拟蜜网技 Honeyd概 Honeyd特 Honeyd体系结 网络流量分 网络流量的统计分 网络流量的粒度分 基于软件的流级的流量分析方 网络流量模 包层次流量模 流层次流量模 混合流量模 基于WinPcap的包层次的流量分析方 结构设计概 流量获取功能模 流量分析功能模 数据库支持功能模 流量模拟功能模 蜜网基础功能模结构设计概 流量获取功能模 流量分析功能模 数据库支持功能模 流量模拟功能模 蜜网基础功能模 流量获取功能模 功能模块接 算法流程概 流量分析功能模 功能模块接 算法流量概 数据库支持功能模 功能模块接 算法流量概 流量模拟功能模 功能模块接 算法流量概 蜜网基础功能模 Honeyd的配 蜜网网关的配 安全主机的配 流量获取功能模块验 流量分析功能模块验 流量模拟功能模块验 课题总 课题展 课题的不足之 课题展 IPHoneydHoneyd，WinPcapOCCIHoneyd第三章研究了网络流量分析和网络流量模拟的基本原理和现阶段主流的网络流量分析和网络流量模拟方法。技术——Honeyd（GenIIIHoneynet）技术——Honeyd（GenIIIHoneynet）从蜜罐技术的内容发展上来看，蜜罐技术的发展历程分为三个阶段[3]从九十年代初蜜罐的概念在著作《TheCuckoo’sEgg》中的首次提出到二十世纪1998门用于欺骗攻击者的开源蜜罐软件工具，最为著名的包括FredCohen所开发的kit开发的按照蜜罐的部署目的可以将蜜罐分为产品型蜜罐和研究型蜜罐[3]按照蜜罐的部署目的可以将蜜罐分为产品型蜜罐和研究型蜜罐[3]KFSensor、ManTraqDTK（deceptiontoolkit、HoneydiSink。2.1.22.1.32.3Honeyd2-12-12-12-1ManTrap，属于高交互蜜罐。2-22-2蜜罐技术的优点包括2-2蜜罐技术的优点包括在带来诸多便利的同时，蜜罐技术也存在着一些缺陷在带来诸多便利的同时，蜜罐技术也存在着一些缺陷息有限且类型单一、较容易被攻击者识别等问题,LanceSpitzner1999TheHoneynetProject（蜜网作系统软件（VMWareUserModeLinux）使得网络管理人员和研究人员在单一作系统软件（VMWareUserModeLinux）使得网络管理人员和研究人员在单一拟操作系统软件的指纹（例如虚拟网卡信息2-3[3]是确保被攻陷的蜜网中蜜罐主机不会被攻击者或者恶意软件利用来攻击蜜网之外的其网系统的网络通信流量进行控制。数据控制机制需要在为攻击者提供更高的自由度和限制攻击者的外出连接中找到是确保被攻陷的蜜网中蜜罐主机不会被攻击者或者恶意软件利用来攻击蜜网之外的其网系统的网络通信流量进行控制。数据控制机制需要在为攻击者提供更高的自由度和限制攻击者的外出连接中找到IpTablesSnort-inline[4]策略及其目的。蜜网技术区别于蜜罐技术,采用基于网络的信息捕获方式，日志机制都基于网络实现。攻击行为提供全面而丰富的数据[4]2-42-4SwatchIpTablesSnortWalleye工具提供的辅助分析功能是第三代蜜网技术最为突出的特征之一。2-4SwatchIpTablesSnortWalleye工具提供的辅助分析功能是第三代蜜网技术最为突出的特征之一。得到告警后，可以参考外出连接的相关信息，并通过Walleye辅助分析接口对发上的蜜网技术的发展与蜜网项目组（TheHoneynetProject）得到告警后，可以参考外出连接的相关信息，并通过Walleye辅助分析接口对发上的蜜网技术的发展与蜜网项目组（TheHoneynetProject）1999LanceSpitzner追踪和学习，蜜网研究联盟（HoneynetResearchAlliance）2002117DaveWatson。实验，并提出了第一代蜜网（GenIHoneynet）2-52-520012003有了长足发展，提出了初步成熟的第二代蜜网（GenIIHoneynet）架构，开发了其中的关键工具：HoneyWallSebek。2-62-620032004Eeyore，Honeywall2004200520012003有了长足发展，提出了初步成熟的第二代蜜网（GenIIHoneynet）架构，开发了其中的关键工具：HoneyWallSebek。2-62-620032004Eeyore，Honeywall2004200520052007了第三代蜜网（GenIIIHoneynet）体系结构，它在第二代蜜网技术的基础上有了新的2-7200720052007了第三代蜜网（GenIIIHoneynet）体系结构，它在第二代蜜网技术的基础上有了新的2-72007随着云计算平台的日趋成熟，蜜网项目组提出了新的“蜜云”(HoneyCloud)HoneyCloudIaaS(罐监测互联网安全威胁提供平台与网络资源的支持作系统软件（VMWare、UserModeLinux罐监测互联网安全威胁提供平台与网络资源的支持作系统软件（VMWare、UserModeLinux）可以同时在单个硬件系统上运行多个HoneydIPHoneyd还可用于在现有的网络上虚拟出蜜罐以建立诱饵，或者只使用一台计算机创建HoneydInternet建数千个虚拟蜜罐，HoneydARPGNU（GPL）的开源软件，可以在绝大多数操作系统上运行[2]。HoneydHoneydHoneydHoneydHoneydHoneydHoneydHoneydHoneydTCP/IPHoneydNmapXprobe，FINHoneydservice),是一个HoneydpythonHoneyd2-92-9HoneydFINHoneydservice),是一个HoneydpythonHoneyd2-92-9Honeyd时候，HoneydtracertIP粒度分析两类。粒度分析两类。基于硬件的流量统计分析技术的典型例子是美国Fluke公司的OptiViewLinkAnalyzer制等策略，NetFlowNetFlow[9]可扩展性强，但其性能和效率要远远低于基于硬件的流量统计分析。因此,网络流量统计分析方法有待进一步的提高,以适应网络性能快速发展的需求。NetFlow[9]可扩展性强，但其性能和效率要远远低于基于硬件的流量统计分析。因此,网络流量统计分析方法有待进一步的提高,以适应网络性能快速发展的需求。及流级流量分析[8]流级（Flow-level）IPIPIP3-13-13-13-1软件OPNET、科研用软件NS2、SSFNet拟方法[11]软件OPNET、科研用软件NS2、SSFNet拟方法[11]NS2TCPWinPcap的网络流量模拟的方法[12]WinPcap4-14-1ModelModelModelModelModelModel4-24-2流量分析功能模块的实现同样是基于LibpcapOCCIOCCI流量分析功能模块的实现同样是基于LibpcapOCCIOCCIIP4-34-3OracleOCCIOracleOCCIOCCI4-44-4LibpcapWindowsRAW_SOCKETLibpcap54-5HoneyWall54-5HoneyWallNetCapturestringpacket_filter：设置过滤条件，匹配无用的数据包，在声明并定义NetCaptureNetCapturestringpacket_filter：设置过滤条件，匹配无用的数据包，在声明并定义NetCaptureintopen_device()：打开网络适配器，获得打开成功的网络适配器的句柄；booldata_capture()：staticDWORDWINAPIdata_capture_dump(LPVOIDparam)：捕获网络数据包的voidstop_capture()：5-1以packet_filter为条件编译过滤器，如果编译失败，返回错误信息；给网络适配返回错误信息；释放枚举的所有网络适配器信息，激活data_capture_dump线程；只要捕获网络流量没有发生错误，data_capture_dump5-1以packet_filter为条件编译过滤器，如果编译失败，返回错误信息；给网络适配返回错误信息；释放枚举的所有网络适配器信息，激活data_capture_dump线程；只要捕获网络流量没有发生错误，data_capture_dumpdata_capture()staticDWORDWINAPIsave_dump(LPVOIDparam)：读取流量文件，获取网络数intsetfilternoncap(pcap_tdata_capture()staticDWORDWINAPIsave_dump(LPVOIDparam)：读取流量文件，获取网络数intsetfilternoncap(pcap_t*dump_handle,stringfilter_string)：第一dump_extrct()中；booldump_extract()：5-2data_capture()；data_capture()；IPuser：lpszSQL：SQLboolExecute(stringlpszSQL)：执行插入、更新、删除等语句的接口；boolExecuteQuery(stringlpszSQL)：执行查询语句的接口。5-Oracle5-Oraclepacket_flow_genstaticDWORDWINAPIpacket_flow_gen(LPVOIDparam)：针对一个网络数据流packet_flow_genstaticDWORDWINAPIpacket_flow_gen(LPVOIDparam)：针对一个网络数据流5-IPHoneyd，如果发送失败，则赶回错误信息；IPIPIPnapHoneydCentOSv4HoneydCentOSv4LinuxHoneydLibeventHoneydHoneyd-1.5ctar-zxfhoneyd-1.0.tar.gzcdhoneyd-1.0IPecho0HoneywallCDROMCentOSeth1，eth2。（bridged址、子网掩码和网关地址即可，设置管理流入/流出端口的信息；设置是否允许对SP3Database11gSP3Database11gOracleDatabase11gorcl，然后将提供的Oraclescott5-1IPIPIP6-16-1“ip“ip6-2Wireshark6-2Wireshark6-3IP6-3IP6-4IP6-3IP6-4IP6-4IP6-5IPIP6-5虚拟IPIPIPIPIPpingHoneydIPWireshark10.205.0.179119.75.218.77在模拟程序的运行的同时，在蜜网内部的高交互蜜罐上打开Wireshark，192.168.0.2192.168.0.11：6-8HoneydIP6-9验证Honeyd6-9验证HoneydIPHoneydIPpingHoneydOracleOCCIOCCIOracleOCCIOCCITCP、UDPICMP。[1][2]NielsProvos，ThorstenHolz诸葛建伟.蜜罐及蜜网技术简介[J].2004,[1][2]NielsProvos，ThorstenHolz诸葛建伟.蜜罐及蜜网技术简介[J].2004,阮航,张梅琼,许榕生等.第三代蜜网体系研究与分析[J].莆田学院学报,13(5),2006:54-诸葛建伟,唐勇,韩心慧等.蜜罐技术研究与应用进展[J].Journal赵跃华,唐曼.一种混合型蜜罐的研究与分析[J].计算机应用研究,杨嵘,张国清,韦卫等.基于NetFlow流量分析的网络攻击行为发现[J].计算机工[10]谭晓玲,许勇,梅成刚等.基于时间粒度的网络流量分析模型研究[J].微计算机信2009:1356-1359.胡亮,赵阔,孔令治等.基于日志的网络背景流量模拟仿真[J].小型微型计算机系感谢父母对我的关心，尤其是我妈，在5月初的时候就开始催促我早点结束毕设，感谢父母对我的关心，尤其是我妈，在5月初的时候就开始催促我早点结束毕设，HoneydHoneydIPHoneydHoneydIP附录主要介绍在基于交互分析的蜜网流量模拟技术中配置HoneydHo