虚拟网络安全论文

【摘要】随着现代经济技术的不断发展，国际上的计算机技术已经达到了空前的程度，加之云计算技术的大规模应用，使得现代网络信息处理速度进一步加快，人们对于网络技术的依赖性也更高。在对这一技术进行应用的过程中，用户安全性是非常重要的，而密码就是保证用户资料安全的重要手段，但目前网络安全问题仍然是人类计算机技术当中亟待解决的安全问题之一。以下是小编精心整理的《虚拟网络安全论文(精选3篇)》，供大家参考借鉴，希望可以帮助到有需要的朋友。

虚拟网络安全论文 篇1：

关于云数据中心网络安全服务架构的探讨

摘要：云计算技术在计算机网络中得到了广泛的应用，云数据中心网络的信息安全服务也为人们带来了极大的挑战，虚拟网络安全技术能够有效地解决网络安全问题，通过对云数据中心的安全需求进行分析，探究了分布式云数据中心安全服务的需求，提出了分布式虚拟网络的安全架构，并虚拟网络的安全服务性能与要求等进行全面的研究。

关键词：云数据;中心网络;安全服务

云数据技术实现了以用户为中心的自动化计算、网络管理、服务管理与白动存储技术，云技术的计算虚拟化以及存储虚拟化、网络虚拟化的功能，能够数据中心的物理数据资源进行抽象化处理、资源池化处理，使得用户获得数据更加高效、便捷弹性，也方便用户将关键的数据处理业务从传统的数据处理中心向虚拟化的数据中心转移。但是，在数据虚拟化转移的过程中，网络信息的安全成为人们关注的重点，如何云数据平台提供安全中心服务，是目前迫切需要解决的问题。

1数据中心的安全需求

云数据安全处理中，需要将安全服务进行虚拟化处理，要求必须遵循数据中心的虚拟要求与软件定义的基本思路，才能有机将其他安全技术结合在一起，为数据安全提供服务。

1.1数据中心特性

由于云数据中心的安全服务管理，必须统一到云数据中心管理平台上，要求在数据具有弹性、敏捷性与高效性，才能实现数据安全的统一需求，具有如下的特性：

（1）敏捷性。云数据的安全服务一般都需要部署在云平台管理中心，保障整个云数据中心都处在安全服务保障体系中，并且要求安全保障服务自动地启动与停止不会影响云数据的使用，能够满足数据安全保护的敏捷性要求;

（2）弹性。云数据的安全保护能够实现动态的管理，及时调整安全策略，以满足数据使用以及业务变化的能力，动态调整的过程需要自动进行，基于一定的规则开展安全检测，要求安全服务的弹性非常好，才能满足要求;

（3）高效性。能够实现多种用户同时共享云数据资源，采用同一资源能够反复利用的方式，实现云数据中的物理资源反复利用，就需要保障安全服务能够为多个用户分分享，实现资源统一管理与利用。

1.2数据中心的网络安全需求

在传统的数据中心网络中，网络的物理安全设备结构比较固定，无法对高度动态的用户资源提供安全防护。云数据中心采用了动态处理的技术，要求网络实现安全服务资源化、资源池化，保证在数据处理的过程中，实现数据传输的敏捷性、弹性与高效型，以与计算、存储和网络资源的利用以相同的方式提供安全支持服务。

2分布式云数据中心网络安全服务性能

云计算技术经历计算虚拟化、存储虚拟化、网络传输虚拟化等一系列的技术，以及在数据中心的软件自定义，在技术演进的中，不管是单一的技术还是采用软件定义，在数据中心需要采用统一的平台进行管理，才能有效为用户提供安全的网络服务。

2.1数据中心对网络安全服务的需求

（1）业务跟随。在云数据中心需要随时保障用户数据的安全，在安全服务要跟随虚拟机中迁移而迁移，以实现数据的安全防护以及用户业务流量的全过程跟随，保证数据流量不中断，安全服务不中断。

（2）服务扩展。云数据中心的安全服务要能根据服务的演变而不断地调整策略，以防止恶意的攻击，实现在现有的基础上进行服务更新、拓展，否则会影响云数据中心的安全服务的发挥，实现数据安全服务不断地拓展。

（3）支持多类型数据中心。云数据安全中心要能够满足不同云数据服务的需求，要求安全控制中心能够独立于系统管理平台。为保障安全，在必要时可以舍弃Hypervisor技术支持，支持不同跨技术平台的数据安全控制，以保障不同云平台数据安全中心的数据安全。

2.2网络安全服务的实现

云数据网络安全分为虚拟化安全与软件定义安全两种方式，在SDN技术中，虚拟化安全是常用的技术，它有两种网络部署方式，一种是采用虚拟网络边界的方式进行部署，它的组网方式与物理网络组网的方式相同，虚拟安全网络设备对网络的保护采用控制网络边界的流量实现的，每个用户对虚拟化安全设备进行单独管理，这种安全控制方式，在本质上是将一台物理安全设备虚拟化处理，实现网络的安全控制，实现对数据中心的系统服务敏捷性、弹性以及多用户支持服务的要求。软件定义的部署方式是在需要安全服务的所有物理设备上安装虚拟化安全设备，并安装多设备的管理系统，实现多个网络虚拟设备安全转发策略，这种技术的本质上是将多台物理网络设备以及多设备管理服务器进行虚拟化处理，以提高网络安全服务的迁移功能。

2.3分布式网络安全虚拟化架构

在云数据中心采用虚拟化部署与软件定义部署的方式，实现云平台的控制平面与数据平面分离，实现云数据安全中心的虚拟化，能够为用户提供弹性、灵活、自适应等能力的安全服务。在具体的设计中，一般采用基于SDN技术的方式来实现分布式网络安全虚拟化架构，在系统的引流层采用虚拟机的方式实现网络安全架构部署，結合分布式网络的特征，构建了如图1所示的系统架构，其中虚线部分为虚拟化的网络安全管理部分。

该数据中心的具体架构包括云数据中心管理平台、Hyper-visor和虚拟网络三部分，SDN控制器也是云数据中的重要组成部分，用户的虚拟机接入虚拟网络需要通过Hypervisor，云数据的安全服务通过控制平面部署，与数据中心进行交互，经过引流平面与服务平面进行提供安全服务，并配置二者的安全功能，在系统中，采用虚拟网络单元对网络中的虚拟交换机API或SDN APl对网络的数据进行动态化的引流配置，在多个物理机上配置了安全服务平面，为控制平面在控制与服务部署提供通道。安全控制平面主要部署在多个虚拟的物理设备上，控制数据中心的业务数编排、引流决策以及安全策略配置，数据中心管理平台上的业务编排器根据用户的业务需求控制数据中心的安全，并通过控制平面的NBI来配置数据中心的安全服务，管理员可以通过安全控制管理界面，设置控制平台的服务功能。系统的安全服务平面采用分布式的方式部署，根据数据中心T作的需求，可以在物理机上部署多个安全服务模块，它对网络安全的控制主要是通过连接虚拟机或者Hypervisor实现的。

3系统架构可提供的安全服务

3.1流量可视化

经过控制平面，网络中的用户虚拟机数据流量可以镜像到或穿过安全服务虚拟机，使得控制平面能够达到对虚拟机上的流量进行控制，管理员通过控制平面就可以了解用户虚拟机的流量，采用分布式安全虚拟架构具有两个优势，第一是数据的细粒度控制，可以有效地保证数据流量的细粒度，利用网络的安全模块，可以在虚拟机的任意一个端口上对用户的流量进行检测，而系统的流量监控可以精确地监测到任意一个虚拟机的任何业务;二是全局性，在系统的控制平面，都可以监测到每一个虚拟机模块局部流量，为系统的数据中心安全提供给全局控制景象，细粒度与全局视角为数据安全中心的管理员运维提供了日常安全维护的依据。

3.2微隔离功能

采用微隔离功能可以实现对虚拟网络中的部分用户行为进行安全检测，如果安全服务发现在同一个虚拟网络中的某一个虚拟机上出现被攻击行为时，可以采用微隔离技术将虚拟机受到攻击的部分进行分割隔离，并对其进行检测并遏制源于内部的攻击，就不用对整个虚拟网络进行隔离，而达到安全控制点目标。采用分布式安全架构可以对虚拟网络中任何用户虚拟机的任一端口实施微隔离控制，提高虚拟网络的安全控制。微隔离控制的粒度可以从虚拟机端口到整个用户虚拟网络，利用在控制平面配置安全控制策略，可以通过某个端口的部分对某一个虚拟网络中的网络用户行为进行检测，还可以针对用户的单一业务行为或者某一组爷爷的虚拟机安全防护进行配置，从而能够扩大整个系统的安全性。

3.3提供安全服务

微隔离是为虚拟网络提供安全服务的基础，也是对用户业务安全保护的重要措施，采用分布式安全架构的方式，可以在安全部署在所有的虚拟机上，从而能够为所有的虚拟机提供安全检测服务，利用安全服务模块可以针对网络传输数据的某一个报文、单一数据或者用户行为进行检测，例如防火墙的运行、系统的攻击防护、用户的安全识别、IPS、AV和URL过滤等。同时还可以对多网络、非实时性的网络安全，采用扩展模块的方式，对系统进行安全检测。

3.4支持业务迁移

在数据安全控制中，利用安全控制平面可以对虚拟网络中任何一个虚拟机的事件迁移、安全进行定位，如图2所示服务虚拟机1和目标安全服务虚拟机2之间的业务迁移，安全控制技术实时监控网络的安全，在用户业务迁移完成后，网络的安全状态也发生迁移，保障整个网络的安全监控功能不会中断。

3.5网络全网行为分析

分布式虚拟网络架构的控制平面可以将整个虚拟网络中的每一个虚拟机端的安全信息、局部流量、业务信息、攻击行为等进行汇总，定期对网络的安全行为事件进行分析，在数据的汇聚点能够控制某一个虚拟机，对其数据进行分析，在系统的分析层面，可以对单台虚拟机或者一个集群进行分析，还可以对某一个端口、网络、用户行为等全局信息进行汇总分析，從而能够在整个数据中心视角下对虚拟网络的数据业务全面分析，从而能实时对网络安全进行保护。

4结束语

随着计算机网络技术的不断发展，采用云计算技术能够为网络用户提供了极大的便利，但是网络的信息安全问题也给人们带来了极大的困扰，构建云数据中心的安全服务控制系统，成为网络信息安全管理的重要手段。分布式虚拟网络架构系统，能够满足数据中心对虚拟服务运行控制的需求，在强调网络安全控制的前提下，采用Hypervisor和数据中心的轻藕合方式，对虚拟网络中的任一虚拟机进行安全控制，并采用虚拟交换机与SDN技术进行引流分析与微隔离控制，并具有动态迁移与安全控制分析的功能。

参考文献：

[1]程思嘉，张昌宏，潘帅卿.基于CP-ABE算法的云存储数据访问控制方案设计[J].信息网络安全，2016（2）：1-6.

[2]裘晓峰，赵粮，高腾.VSA和SDS：两种SDN网络安全架构的研究[J].小型微型计算机系统，2013，34（10）：2298-2303.

[3]王刚.一种基于SDN技术的多区域安全云计算架构研究[J].信息网络安全，2015（9）：20-24.

[4]刘文懋.软件定义的企业级数据中心网络安全研究[J].电信科学，2014，30（11）：140-144.

[5]刘文懋，裘晓峰，陈鹏程，等.面向SDN环境的软件定义安全架构[J].计算机科学与探索，2015，9（1）：63-70.

【通联编辑：唐一东】

作者：刘晨昱

虚拟网络安全论文 篇2：

基于密码的云计算虚拟化网络安全研究

【摘要】 随着现代经济技术的不断发展，国际上的计算机技术已经达到了空前的程度，加之云计算技术的大规模应用，使得现代网络信息处理速度进一步加快，人们对于网络技术的依赖性也更高。在对这一技术进行应用的过程中，用户安全性是非常重要的，而密码就是保证用户资料安全的重要手段，但目前网络安全问题仍然是人类计算机技术当中亟待解决的安全问题之一。本文即是对基于密码的云计算模拟化网络安全问题进行研究，分析了现代云计算网络技术下的安全需求，并探讨了基于密码技术的网络安全问题解决对策，以期能为相关工作提供参考。

【关键词】 云计算模拟 密码 网络安全 解决对策

云计算技术是目前应用最为广泛的网络计算技术之一，其开启了IT界革新的全新通道，并且使得用户能够体验到更加方便和快捷的网络。同时，利用云计算技术还能够对公共网络提供公有云，为企业以及个人网络提供私有云服务，其针对于不同服务对象所采取的不同技术深受现代人的喜爱，并成为了现代计算机发展的核心技术。

一、网络安全需求的概述

云计算技术主要是由服务器、网络和储存器所组成的，从环境角度出发，其主要分为三大类，包括数据中心网络、跨数据中心网络以及泛在的云接入网络。其中数据中心网络直接处理用户数据的网络环境，同时也是直接参与虚拟网络活动的网络环境，其通过主机的虚拟化与网络进行连接，实现多虚拟化网络之间的交换和联系。而跨数据中心网络则主要是对多个数据中心网络的数据进行备份、转移、优化以及储存等多种服务。泛在的云接入网络则是直接与用户计算机进行连接，为客户端提供云服务的网络环境。在现代网络运行的过程中，网络安全问题的控制和监督已经成为国际上亟待解决的首要问题之一，网络用户对于网络安全的需求非常大，因为一旦在网络上出现安全问题，就有可能导致用户的个人信息泄露，为用户造成人身或经济损失，引发一系列现实问题。

二、虚拟网络安全解决的相关对策

2.1 U Key的安全虚拟化

当用户在利用个人计算机利用软件或远程操作界面对网络数据进行访问的工作，其也在使用相应的虚拟化终端信息。根据用户对于安全的需求，应该基于密码技术首选解决用户的虚拟化终端的安全问题。保证用户在使用过程中所访问的网站的安全性和可控性。当用户在使用U Key的过程中，其用户计算机需要对身份证书进行加载，这种的做法能够有效强化网络系统对于用户身份的识别。同时还应该为用户提供相应的对称或非对称性的密码计算服务，这样与用户所使用的虚拟段密码进行确认和配合，就能够实现对用户资料的安全防护工作。首先，在用户计算机登录网络的过程中，其采用的是v Key设备对密码进行保护和识别，并且还可以通过 U Key与其进行捆绑防护。同时这一设备能够利用后端驱动的方式与Hypervisor进行信息通讯，进而和网络上其它的用户端进行信息交换。在用户访问网络的过程中，v Key可以利用密码技术的相关功能将命令发送到后端驱动，而后端驱动则可以寻找与其相对应的识别号，并将序列填入到请求包当中，再通过发往管理模块实现对设备的识别。其次，对用户端与虚拟网络进行连接的ICA模块进行改造和升级，使得原有的口令认知模式转变为数字证书认证模式。在现代网络技术当中，用户在申请相关账号时，服务器都会为用户创建一个独有的数字证书，这样就能够实现双方的互相认证体系，在整体认证的过程中对于身份的识别和密码的计算则是通过用户端和虚拟网络共同来完成。并且基于这种双向认证体系，能够有效实现用户端U Key对多个虚拟账号进行捆绑，保证其安全性。

2.2高速密码模拟化

在进行服务器高速密码模块模拟化的过程中，其实就是针对于密码模块的资源池化进行改革，其能够对网络环境当中的用户端和管理域提供多个高速密码模块，并且能够满足对多用户组的密码服务支持。其主要是通过对多组用户组的密码管理机制，支持多个用户的密钥空间，能够快速接受和處理来自多个不同用户组的密钥，并通过证书管理模块获得与密钥相匹配的设备证书，对其进行快速识别。这一模块的应用则实现了高效多用户管理的运算和识别，为用户的安全需求提供基础。

2.3本机存储加密

在基于密码技术对云计算网络安全性进行讨论时，可以利用虚拟机自身的存储加密方法实现与网络环境的隔离性保护，而这种技术主要是通过在密码识别的基础上追加本地加密的技术。虽然在实际应用过程中会使整个数据的处理速度降低，但是其所起到的加密效果和安全性却非常高。

三、结语

随着现代计算机技术的不断发展，云计算系统的网络安全问题也会更加凸显，必须不断更新相关技术以保证安全效果。

参 考 文 献

[1]王会波.密码技术在内网安全中的应用和趋势[J].信息安全与通信保密，2010（01）：18-20.

[2]郭宝安，王磊，徐淑民.宽带无线移动通信中商用密码技术研究[J].信息安全与通信保密，2012（06）：108-111.

[3]苏桂平，吕述望.口令的安全分析及真随机数在金融安全中的应用[J].计算机工程与应用，2012，38（08）：140-142.

作者：胡维

虚拟网络安全论文 篇3：

基于虚拟蜜罐的网络安全研究

摘要：本文给出了蜜罐和虚拟蜜罐的定义，介绍了可以用Honeyd构造虚拟蜜罐，并分析了Honeyd的结构和配置，以及其在网络安全领域的应用。

关键词：蜜罐；虚拟蜜罐；Honeyd；网络安全

1 引言

随着计算机网络技术的迅速发展，开放式的网络体系的安全隐患日益明显地暴露出来，从上世纪八十年代至今各种计算机安全事件不断发生。传统意义上的网络安全，如防火墙、入侵检测系统、加密等等，都是被动防御的。它们的策略是，先考虑系统可能出现哪些问题，然后对问题进行分析解决，而蜜罐技术提出了一种新的网络安全防御策略，变被动防御为主动进攻，使其具有主动交互性。蜜罐系统的主要作用是学习了解入侵者的思路、工具、目的，通过获取这些信息，让互联网上的组织更好地了解他们所遇到的威胁，并且针对这些威胁及时找出相应的防御策略来提高系统的安全。

2 蜜罐的定义及其优缺点

2.1 蜜罐的定义

蜜罐(HoneyPot)，是受到严密监控的网络诱骗系统，它通过真实或模拟的网络和服务来吸引攻击，从而在黑客攻击蜜罐期间对其攻击行为及过程进行记录分析，以搜集信息，同时对新攻击发出预警。蜜罐本身并不直接增强网络的安全性，但可以延缓攻击和转移攻击目标。简单地说，蜜罐就是诱捕攻击者的一个陷阱。

2.2 虚拟蜜罐的定义

虚拟蜜罐是指在拥有IP地址的真实机器上安装特定的软件,可模拟出运行多种操作系统的数台虚拟机,并通过这台真实的机器响应发往虚拟蜜罐的网络流量。其优点是减低了成本而且容易部署和维护。

2.3 蜜罐技术的优缺点

2.3.1 蜜罐的优点

(1)数据价值高

当今，安全组织所面临的一个问题就是怎样从收集到的海量数据中获取有价值的信息，通过防火墙日志、系统日志和入侵检测系统发出的警告信息中收集到的数据的量非常的大，从中间提取有价值的信息很困难。

蜜罐不同于其他的安全工具每天收集到若干GB的数据，大多数Honeypot每天收集到的数据只有几兆。并且这些数据的价值却非常高，因为蜜罐没有任何产品型的功能，所有对他的访问都是非法的、可疑的。

(2)资源消耗少

当前大多数安全组织所而临的另一个难题就是有时会由于网络资源耗尽而导致安全措施失去了作用。例如，当防火墙的状态检测表满的时候，它就不能接受新的连接了，它会强迫防火墙阻断所有的连接。同样入侵检测系统会因为网络流量太大，使其缓冲区承受不起，而导致IDS丢失数据包。

因为Honeypot只需要监视对它自己的连接,因此需要捕获和监视的网络行为很少，很少会存在网络流量大的压力,所以一般不会出现资源耗尽的情况。我们不需要在充当蜜罐的主机的硬件配置上投入大量的资金,只需要一些相对便宜的计算机就可以完成蜜罐的部署工作。

(3)实现简单

部署一个蜜罐，不需要开发复杂和新奇的算法，不需要维护特征数据库，不需要配置规则库。只要配置好蜜罐，把它放在网络中，然后静观其变。

2.3.2 蜜罐的缺点

蜜罐也有其自身的缺点，因此蜜罐不能完全取代其它的安全工具，必须把它和其它的安全工具相结合才能更好的发挥它的作用。

(1)数据收集面狭窄

如果没有人攻击蜜罐，它们就变得毫无用处。在某些情况下攻击者可能会识别出蜜罐，那么攻击者就会避开蜜罐直接进入网络中的其他主机，这样蜜罐就不会发现入侵者已经进入了你的网络。

(2)有一定风险

蜜罐可能会把风险带入它所在的网络环境。蜜罐一旦被攻陷，它就有可能成为攻击、潜入或危害其它的系统或组织的跳板。

3 虚拟蜜罐框架Honeyd

3.1 Honeyd概述

Honeyd是一款源代码开放，可免费使用的软件，它是用C语言编写的可创建虚拟蜜罐的框架。它可以同时模拟上百甚至上千台不同的虚拟计算机，每个虚拟计算机和一个未使用的IP绑定在一起。这些虚拟机可以模拟不同的操作系统以及与该操作系统相关联的服务。

3.2 Honeyd的数据收集

要使Honeyd可以正确的接收和回应目的地址是我们的虚拟蜜罐的网络数据包，必须正确的配置网络。有几种方法可以实现网络的配置：如为指向Honeyd主机的虚拟IP创建特殊的路由，使用ARP代理。

如图1所示，假设10.0.0.1是路由器的IP地址，10.0.0.2是Honeyd主机的IP地址，10.0.0.11—10.0.0.14是Honeyd虚拟蜜罐的IP地址。最简单的情况是虚拟蜜罐的IP位于我们局域网内。当入侵者通过互联网向虚拟蜜罐Linux 1.0.9发送一个数据包时，路由器会接收数据包并试图发送这个数据包。路由器会查询路由表来决定把该数据包发往哪里。

数据包有以下3种处理方式：

(1)路由器A将数据包转发到另一个路由器。

(2)10.0.0.11位于路由器所在的局域网范围内，路由器可以直接将数据包传递给10.0.0.11。

(3)当没有路由指向10.0.0.11时，路由器会丢弃这个数据包。

为了将虚拟蜜罐的数据流引向Honeyd主机，我们可以用以下方法：

(1)如果没有配置专门的路由，路由器通过ARP请求确定虚拟蜜罐的MAC地址，因为没有相应的物理机器，我们配置Honeyd主机用自己的MAC地址对10.0.0.11的ARP请求作出反应。这样通过ARP代理路由器就把发送给虚拟蜜罐Linux 1.0.9的数据包转到了Honeyd主机的MAC地址。

(2)将到虚拟蜜罐的路由器入口设置为指向Honeyd主机，这样路由器转发到虚拟蜜罐的数据包会直接发送到Honeyd主机。

3.3 Honeyd软件的结构

Honeyd系统的组成包括配置数据库、中央包分配器、协议处理器、个性引擎、路由组件（可选），其系统结构可以简化为图2所示。

当Honeyd接收到数据包时，中央包分配器会检查IP包的长度，并修改包的校验和。Honeyd主要响应ICMP、TCP和UDP这三种互联网协议，其他协议包在被记入日志后被偷偷丢弃。

在处理数据包之前，中央包分配器会读取配置数据库，查找与数据包目的地址相对应的蜜罐配置。如果没有对应的配置存在，系统会采用一个缺省的配置。给定配置后，数据包传输层的协议类型把数据包分配给特定的协议处理器。

数据包会经过个性引擎处理后再往外部网络发送。个性引擎会修改数据包内容，使数据包看上去和从指定操作系统的网络栈发出的一样。

(1)配置数据库

配置数据库实际上是一个二进制的配置文件，它包含了蜜罐系统所要模仿的系统、服务与网络拓扑结构以及其它部件行为特性等等。Honeyd通过读取该文件配置和实施蜜罐系统。

(2)中央包分配器

中央包分配器是负责将数据包分配给相应协议处理器的部件。

当获取到一个数据包时，中央包分配器首先计算该数据包的长度并进行验证，然后读取配置数据库，查找与数据包的目的地址相对应的配置。如果配置存在则根据数据包传输层的协议类型把该数据包分配给特定的协议处理器，否则就使用一个缺省的配置。

(3)协议处理器

协议处理器是模仿特定服务的部件。目前，协议处理器响应ICMP、TCP和UDP这三种协议的数据包。对于ICMP数据包，所有echo请求都以目标不可达的信息响应，不过通过对配置数据库中配置的修改，可以改变ICMP响应的行为。对于TCP数据包，协议处理器会把它们与特定的协议建立连接。当一个数据包到达时，协议处理器会检查是否为已经建立了连接的数据包，如果是，这个数据包会被送给已经开始的服务，否则开始建立一个新的连接。目前，协议处理器可以通过TCP三次握手来建立和响应TCP会话，也可以通过设置FIN或RST标志位来撤消一次会话，但是拥塞窗口管理没有完全实现。对于UDP数据包，协议处理器直接将其传给相应的服务。

(4)个性引擎

个性引擎是Honeyd的一个非常关键的部件，黑客通常会运用象Xprobe或Nmap的指纹识别工具来收集目标系统的信息，为了让虚拟蜜罐在被探测的时候显得象真实主机一样，所以必须让它在被指纹识别的时候不被暴露出来。对于一个特定的操作系统，它的网络协议栈也是特定的。不同的虚拟蜜罐可以被赋予不同的网络协议栈。“个性引擎”个性化虚拟蜜罐的网络栈行为的方法是：在每个发送出去的数据包的协议头中进行适当的修改，使得数据包符合指纹识别软件预期的操作系统的特征。

Honeyd利用Nmap指纹库作为TCP和UDP连接个性化的参考，利用Xprode指纹库作为ICMP连接个性化的参考。

(5)路由部件

Honeyd是通过路由部件来模拟虚拟网络拓扑结构的。通常，虚拟路由拓扑是一个具有根的树。在这种网络结构中，数据包从这个根进入虚拟路由拓扑。树的每一个非终端节点表示一个虚拟路由器，每条边代表一个连接，它包括等待时间和包丢失等特性，而叶子结点对应一个网络。

当Honeyd接收到一个数据包时，从根结点开始传输数据包，直到找到拥有该目的IP地址的网络。在传输的过程中，路由部件会计算包丢失和等待时间来决定是否丢弃该数据包，并当数据包传输时每经过一个路由器时，路由部件都对数据包中TTL值做减1操作。当TTL值减为0时，路由部件会发送一个ICMP超时数据包。

3.4 Honeyd的应用

(1)产生入侵检测

可以利用Honeyd为入侵检测系统产生入侵规则。Honeycomb是英国剑桥大学开发的Honeyd插件。Honeycomb可以自动地为入侵检测系统Snort产生检测特征。Honeycomb会记录进出的数据包，并对这些数据包进行入侵模式抽取，然后把这些模式和snort的模式库进行比较。如果模式库中没有相似的入侵模式存在，Honeycomb会自动创建一个新的模式。如果模式库中有类似的模式存在，Honeycomb会更新这个模式。所以Honeycomb能帮助Snort及时地发现新攻击，对于已有其模式的攻击，Honeycomb能将其新的变种反应到Snort的模式中。

(2)网络诱骗

可以用虚拟蜜罐来装备一个工作网络的未分配地址，这样可以迷惑攻击者，延缓对工作网络的扫描和攻击。

(3)阻止垃圾邮件

可以利用Honeyd自动对新垃圾邮件做出辩别，然后提交给一起合作的垃圾过滤器。垃圾邮件发送者主要是使用开放代理服务器和邮件转发代理来发送垃圾邮件。发送者通过使用开放代理服务器来隐藏自己的IP地址，从而防止自己被追踪来源。邮件转发代理可以接受任何第三方的邮件，并转发非本地用户的邮件。所以，垃圾邮件发送者可以几乎无限制地通过邮件转发代理发送垃圾邮件。

Honeyd可以用来有效地过滤垃圾邮件。Niels Provos利用Honeyd设计了一个过滤垃圾邮件的框架（图3）。在这个框架中Niels Provos使用一台主机虚拟一个C类网络。并在该网络中，随机地配置了运行开放代理服务器和邮件转发代理的蜜罐系统。当垃圾邮件发送者企图通过开放代理服务器和邮件转发代理发送邮件时，这些邮件会自动被转发给垃圾邮件陷阱。垃圾邮件陷阱则将垃圾邮件转发给合作的邮件过滤器。与此同时，垃圾邮件的发送者被记录于垃圾邮件陷阱日志文件中。

(4)发现和反击蠕虫病毒

蜜罐可以模拟系统漏洞来吸引扫描。我们可以通过布置虚拟蜜罐来发现和反击利用随机大面积扫描来寻找新目标的蠕虫病毒。我们可以把虚拟蜜罐布置在未分配的网络地址上，受到扫描刺探的可能性从一定程度上取决于布置的蜜罐数量。因此，虚拟蜜罐布置得越多，蜜罐之一就越容易收到蠕虫病毒的刺探。

4 虚拟蜜罐的配置

我们可以选取2 台P4 微机：1台作为攻击机，另1台作为实现蜜罐系统的宿主机，它有一个真实的IP地址。在安全Linux Red Hat 9.0 系统上运行虚拟蜜罐框架Honeyd。通过模拟操作系统的TCP/IP 栈来建立蜜罐，使用与Nmap 或Xprobe 相同的指纹数据库来模拟操作系统，来响应针对虚拟蜜罐的网络请求。

honeyd 的安装需要以下库的支持:libevent :异步事件库; libdnet :数据包构造和发送开发库;libpcap :数据包捕获开发库;libdnsres :无阻塞的域名解决开发库;libpcre :Perl 的正规表达库。安装好了上述库之后就可以把honeyd 安装上了，然后就可以对它进行配置。

在Honeyd 框架中，是通过模板来配置虚拟蜜罐系统的，一个模板相当于一个虚拟的计算机系统。配置文件其实是一个简单的文本文件。用create 命令来创建一个模板。用set 命令把从Nmap 指纹文件中得到的个性分配给模板，并设置系统支持的网络协议的缺省行为，行为可以有三种选项：open—指定端口开放、reset—指定端口关闭、block—指定协议的数据包都被丢弃。用bind 命令分配IP 地址、用add 命令来指定服务。

5 结束语

蜜罐已经成为安全专家所青睐的对付黑客的有效工具之一。而虚拟蜜罐使用简单，配置灵活，占用的资源少，不仅仅可以捕获到那些防火墙之外的脚本，还可以发现自己组织中的入侵者；收集的数据和信息有很好的针对性和研究价值。既可作为独立的安全工具，还可以与其他的安全机制联合使用。蜜罐也有缺点和不足，主要是收集数据面比较狭窄和可能会引入新的风险。面对不断该进的黑客技术，蜜罐技术也要不断的完善和更新。

参考文献：

[1] 周莲英.虚拟蜜罐系统框Honeyd的分析与研究[J].计算机工程与应用,2005(27).

[2] 翟继强,叶飞.利用Honeyd构建虚拟网络[J].计算机安全,2006,(3):26-48.

[3] 官凌青,娄嘉鹏,刘莉.蜜罐Honeyd的扩展设计与实现[J].北京电子科技学院学报,2006,14(4):83-86,90.

[4] http://www.citi.umich.edu/u/provos/honeyd/[EB/OL].

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文

作者：邹　文　陈　浩