随着Internet的诞生,我们步入了信息时代。人们在享受其带来的便利的同时,也时刻面临着网络攻击的危险,网络安全受到日益严重的威胁。究其原因在于现有的安全技术如防火墙、病毒扫描、入侵检测等从可行性和实用角度看主要还是基于已知攻击特征来进行安全保护,对于未知漏洞以及相应的攻击往往束手无策,而蜜罐——一种全新的安全技术则给解决陷入困境的网络安全问题提供了新的生机。 蜜罐是一种资源,它的价值在于通过有意地被攻击或攻破,以收集有关入侵的有用信息,并通过深层次分析这些信息来研究黑客攻击手段,发现系统未知漏洞。借助于蜜罐的思想,本文提出了一种针对应用层未知攻击的蜜罐系统。该系统具有以下的特色: 1) 针对的是应用层未知攻击。由于网络层次性的体系结构,受其性能影响,应用层的攻击检测是目前防火墙、入侵检测等安全技术的困难所在,反过来也是本论文的研究价值所在; 2) 采用的是中交互蜜罐。中交互蜜罐的特点是具有良好的综合性能——能收集到较丰富的入侵信息,同时又能让自身得到良好的保护; 3) 设计并实现了多功能的日志系统。除了进行日志外,基于“中间人攻击”思想的日志系统还具有网络连接的转发、切断等功能,可有效地保护蜜罐系统; 4) 采用了基于单个系统调用的未知攻击入侵检测技术。从理论而言,基于异常检测的入侵检测技术可以检测未知攻击,但该技术在具体实施时困难之处在于很难建立用户正常轮廓模型。实验证明由Niels Provos等人提出的基于单个系统调用的入侵检测可以较好地解决该问题; 5) 提出了一种混合的系统调用拦截和检测体制。传统系统调用拦截和检测的基本方法有基于内核层的和基于用户层的。本文采用混合的方法,一方面可克服完全基于内核层的带来操作系统复杂度大幅度增加的问题; 同时又可具有基于用户层的可移植性强的优点; 该蜜罐系统的原型系统已构建完成,并已在实验网络环境中用模拟攻击的方法对原型系统进行了测试。测试结果标明,本文设计的蜜罐系统能够成功地检测并标记未知攻击。