4.项目关键技术及创新点的论述
关键技术包括:IDS入侵检测、入侵审计、蜜罐技术及其相关的日志记录分析,honeynet和蜜墙功能。
国内目前还没有任何用FPGA或者相关的硬件平台来实现蜜罐、蜜墙,所有的蜜罐技术都是基于在软件平台上的实现。同时,FPGA的终端安全防护一直处于被动防护的状态,如果可以用蜜罐技术,就能把终端防护由被动变为主动,能加有效安全得保护终端的安全。
5.项目的成果
我们最终完成了项目主要工作中的功能实现,并对于整个蜜罐蜜墙所组成的系统用不同的攻击手段进行了测试,测试结果表明,我们用FPGA实现的这套系统可以完成期望的目标。
1.采用FPGA实现蜜墙技术,几乎包含现在终端攻击中全部的攻击方式的入侵检测。
2.利用蜜墙将攻击诱导到FPGA实现的蜜罐上。
3.实现了日志记录,检测并分析攻击的特征和方式,来更进一步了解攻击,为今后的防御赢得主动。
需求分析和项目目标
1.1 需求分析
蜜罐发展的3个过程:
低交互蜜罐最大的特点是模拟。蜜罐为攻击者展示的所有攻击弱点和攻击对象都不是真正的产品系统,而是对各种系统及其提供的服务的模拟。由于它的服务都是模拟的行为,所以蜜罐可以获得的信息非常有限,只能对攻击者进行简单的应答,它是最安全的蜜罐类型。
中交互是对真正的操作系统的各种行为的模拟,它提供了更多的交互信息,同时也可以从攻击者的行为中获得更多的信息。在这个模拟行为的系统中,蜜罐可以看起来和一个真正的操作系统没有区别。它们是比真正系统还要诱人的攻击目标。
高交互蜜罐具有一个真实的操作系统,它的优点体现在对攻击者提供真实的系统,当攻击者获得ROOT权限后,受系统,数据真实性的迷惑,他的更多活动和行为将被记录下来。缺点是被入侵的可能性很高,如果整个高蜜罐被入侵,那么它就会成为攻击者下一步攻击的跳板。
但是,如果我们有一个蜜墙来有效的防治黑客利用蜜罐作为跳板,那么就可以很好的解决高交互蜜罐的缺点,让蜜罐真正变成一个我们可以控制的安全的陷阱。并且我们用硬件实现蜜罐技术,比用软件在速度上快数百倍,FPGA上可以安装实时性操作系统,并且硬件比软件在程序上更简单、更基础,防护效果更好。
