简介:入侵诱骗技术是近年来网络安全发展的一个重要分支,论文从入侵诱骗技术的产生入手简要的介绍了它的发展,同时对目前流行的Honeypot进行了深入的研究,主要涉及到Honeypot的分类、Honeypot的优缺点、Honeypot的设计原则和方法,最后将一个简易的Honeypot应用于具体的网络。关键词入侵诱骗技术;Honeypot;网络安全中图分类号TN915.08文献标识码A文章编号1007-9599(2010)04-0000-02ApplicationofIntrusion&DeceitTechniqueinNetworkSecurityChenYongxiangLiJunya(JiyuanVocational&TechnicalCollege,Jiyuan454650,Chian)AbstractAtpresent,IntrusionDeceptiontechnologyisthedevelopmentofnetworksecurityinrecentyears,animportantbranch,thepapergeneratedfromtheintrusiondeceptiontechniquestostartabriefdescriptionofitsdevelopment,whilepopularHoneypotconductedin-depthresearch,mainlyrelatedtotheclassificationofHoneypot,Honeypotadvantagesanddisadvantages,Honeypotdesignprinciplesandmethods,thefinalwillbeasimpleHoneypotapplicationtospecificnetwork.KeywordsIntrusionanddeceittechnology;Honeypot;NetworkSecurity近年来计算机网络发展异常迅猛,各行各业对网络的依赖已越发严重。这一方面提高了信息的高速流动,但另一方面却带来了极大的隐患。由于网络的开放性、计算机系统设计的非安全性导致网络受到大量的攻击。如何提高网络的自我防护能力是目前研究的一个热点。论文通过引入入侵诱骗技术,设计了一个高效的网络防护系统。一、入侵诱骗技术简介通过多年的研究表明,网络安全存在的最大问题就是目前采用的被动防护方式,该方式只能被动的应对攻击,缺乏主动防护的功能。为应对这一问题,就提出了入侵诱骗技术。该技术是对被动防护的扩展,通过积极的进行入侵检测,并实时的将可疑目标引向自身,导致攻击失效,从而有效的保护目标。上个世纪80年代末期由stoll首先提出该思想,到上世纪90年代初期由BillCheswish进一步丰富了该思想。他通过在空闲的端口上设置一些用于吸引入侵者的伪造服务来获取入侵者的信息,从而研究入侵者的规律。到1996年FredCohen提出将防火墙技术应用于入侵诱骗技术中,实现消除入侵资源。为进一步吸引入侵目标,在研究中提出了引诱其攻击自身的特殊目标“Honeypot”。研究者通过对Honeypot中目标的观察,可清晰的了解入侵的方法以及自身系统的漏洞,从而提升系统的安全防护水平。二、Honeypot的研究在这个入侵诱骗技术中,Honeypot的设计是关键。按交互级别,可对Honeypot进行分类低交互度Honeypot、中交互度Honeypot和高交互度Honeypot。低交互度Honeypot由于简单的设计和基本的功能,低交互度的honeypot通常是最容易安装、部署和维护的。在该系统中,由于没有真正的操作系统可供攻击者远程登录,操作系统所带来的复杂性被削弱了,所以它所带来的风险是最小的。但也让我们无法观察一个攻击者与系统交互信息的整个过程。它主要用于检测。通过中交互度Honeypot可以获得更多有用的信息,同时能做出响应,是仍然没有为攻击者提供一个可使用的操作系统。部署和维护中交互度的Honeypot是一个更为复杂的过程。高交互度Honeypot的主要特点是提供了一个真实的操作系统。该系统能够收集更多的信息、吸引更多的入侵行为。当然Honeypot也存在着一些缺点需要较多的时间和精力投入。Honeypot技术只能对针对其攻击行为进行监视和分析,其视野较为有限,不像入俊检侧系统能够通过旁路侦听等技术对整个网络进行监控。Honeypot技术不能直接防护有漏洞的信息系统。部署Honeypot会带来一定的安全风险。构建一个有用的Honeypot是一个十分复杂的过程,主要涉及到Honeypot的伪装、采集信息、风险控制、数据分析。其中,Honeypot的伪装就是将一个Honeypot通过一定的措施构造成一个十分逼真的环境,以吸引入侵者。但Honeypot伪装的难度是既不能暴露太多的信息又不能让入侵者产生怀疑。最初采用的是伪造服务,目前主要采用通过修改的真实系统来充当。Honeypot的主要功能之一就是获取入侵者的信息,通常是采用网络sniffer或IDS来记录网络包从而达到记录信息的目的。虽然Honeypot可以获取入侵者的信息,并能有效的防护目标,但Honeypot也给系统带来了隐患,如何控制这些潜在的风险十分关键。Honeypot的最后一个过程就是对采用数据的分析。通过分析就能获得需要的相关入侵者规律的信息。对于设计Honeypot,主要有三个步骤首先,必须确定自己Honeypot的目标。因为Honeypot并不能完全代替传统的网络安全机制,它只是网络安全的补充,所以必须根据自己的目标定位Honeypot。通常Honeypot可定位于阻止入侵、检测入侵等多个方面。其次,必须确定自己Honeypot的设计原则。在这里不仅要确定Honeypot的级别还有确定平台的选择。目前,对用于研究目的的Honeypot一般采用高交互Honeypot,其目的就是能够更加广泛的收集入侵者的信息,获取需要的资料。在平台的选择上,目前我们选择的范围很有限,一般采用Linux系统。其原因主要是Linux的开源、广泛应用和卓越的性能。最后,就是对选定环境的安装和配置。三、Honeypot在网络中的应用为更清晰的研究Honeypot,将Honeypot应用于具体的网络中。在我们的研究中,选择了一个小规模的网络来实现。当设计完整个网络结构后,我们在网络出口部分配置了设计的Honeypot。在硬件方面增加了安装了snort的入侵检测系统、安装了Sebek的数据捕获端。并且都构建在Vmware上实现虚拟Honeypot。在实现中,主要安装并配置了Honeyd、snort和sebek.其Honeypot的结构图,见图1。图1Honeypot结构图四、小结论文从入侵诱骗技术入手系统的分析了该技术的发展历程,然后对入侵诱骗技术中的Honeypot进行了深入的研究,主要涉及到Honeypot的分类、设计原则、设计方法,最后,将一个简易的Honeypot应用于具体的网络环境中,并通过严格的测试,表明该系统是有效的。参考文献1蔡芝蔚.基于Honeypot的入侵诱骗系统研究M.网络通讯与安全,1244~12452杨奕.基于入侵诱骗技术的网络安全研究与实现.J.计算机应用学报,2004.3230~232.3周光宇,王果平.基于入侵诱骗技术的网络安全系统的研究J.微计算机信息,2007.94夏磊,蒋建中,高志昊.入侵诱骗、入侵检测、入侵响应三位一体的网络安全新机制5BillCheswick.AnEveningwithBerferdInWhichaCrackerisLured,Endured,andStudied.ProceedingsoftheWinter1992Usenixconference,19926FredCohen.AMathematicalStructureofSimpleDefensiveNetworkDeceptionsJ,ComputersandSecurity,2000.19作者简介陈永翔(1978-),男,河南省济源人,济源职业技术学院助教,在读硕士,主要研究方向为计算机应用、网络技术、网络安全。李俊雅(1981-),男,河南省平顶山人,济源职业技术学院助教,在读硕士,主要研究方向为计算机应用、网络技术、虚拟现实技术。
简介:计算机网络实验课程教学应该符合实验教学课程体系的要求,达到多层次多角度,满足多层次不同学生的不同需求,本文介绍了实验课程在建设的必要性、理论课程建设、实践课程建设和环境建设等方面进行了探索。关键词理论课程;实践课程;网络实验TeachingReformingonComputerNetworkExperimentCoursesWangChunxia(ShangqiuNormalCollege,ComputerTechnologyDepartment,Shangqiu476000,China)AbstractComputernetworkexperimentcoursesteachingshouldmeettherequirementsofteachingcurriculumtoachievethemulti-levelsandmulti-anglesinordertosatisfydifferentstudents’needs.Thispaperdescribestheexplorationoftheexperimentalcurriculumsintheconstructionofnecessariesandthebuildingoftheoretical,practicalandenvironmentalcourses.KeywordsTheoreticalcourses;Practicalcourses;Networkexperiment计算机网络课程既是计算机科学与技术专业的一门专业基础课,又是一门理论性强并有一定实践性的专业必修课。而计算机网络实验课程是计算机网络课程中的一部分核心内容,建立计算机网络实验课程教学模式,实现网络课程理论性知识和实践性知识的结合,从而满足当今社会对学生学习计算机网络技术知识的多层次要求。一、实验课程建设的必要性目前,在传统教学中,大部分院校都呈现出“重理论,轻实践”的现象。大多高校在实施网络实验教学时,仍是以让学生看演示、看教学片或者参观已经建好的网络环境等方式来帮助学生了解、消化专业实验的内容,而把实验或实践的重点放在Windows网络的基础应用上。而这些内容,随着网络的发展与网络知识的普及,已经被一部分学生掌握,没有必要单独设课,而更深入的实现网络规划、网络建设、协议分析、网络应用等内容,则由于课程安排不合理或实验设备的短缺而没有纳入实际的教学当中。针对目前大多高校包括我们学校在内所进行网络实验课程讲授存在的问题,提出了架构计算机网络实验课程体系,进行实验课程的改革,建设网络实验环境,重新架构适合学生理论和实践相结合的网络课程体系,研究出一套适应社会网络人才需求教学方案。网络实验教学中从多层次角度考虑,实现计算机网络课程教学新体系,把计算机网络课程的教学分为课堂讲授、基础应用、开发应用和综合应用等多个层次,形成集知识和能力培养为一体的复合型网络教育模式,为培养适应当今社会需求的网络服务型人才做好准备。因此,对计算机网络实验课程的改革势在必行。二、实验理论课程建设实现网络理论课程相对应的网络实验课程,建立高校网络实验课程的必要性,具备完备的实验课程教材和实验课程的环境,实验课程教材和理论课程教材相适应,同样实验环境的模拟环境,也要必备。学校根据自己的师资力量和教学条件的投资,建设自己的实验室。(一)改革实验内容改革实验内容,是实验课程建设的目标,根据培养的人才不同,将实验课程分为科研型和应用型两类人才。教学中也按照培养的目的分为原理性实验和应用性实验两种情况。针对原理性实验,主要帮助学生对抽象的网络理论概念,比如网络体系结构、网络协议等进行深入的理解和更深层次的研究,为网络理论的高级应用和管理奠定理论基础。另一方面,对应用性实验,着重培养学生在组建网络、网络管理、网络维护等实际技能的培养,培养学生的动手能力,解决网络实际中的问题。(二)实践理论课程体系建设社会需求网络人才的目标越明确,对于网络理论和实践课程的分工就越具体,通常将两类实践课分为科研实践,着重对网络协议深入研究,详细给出分析的原理,让学生掌握基础理论更扎实,为进一步的科研学习打下扎实的基础。另一方面,对实践应用性人才,着重对动手能力的培养,培养动手方面的操作,提供更详细的步骤,让学生动手方面更熟练。(三)实验理论课程的环境网络实验理论课程可以有两种不同的教学模式。对于传统意义上教学模式是黑板、多媒体方式,该方式适合以前网络设备比较少的情况,学生在多媒体的教学方式下,直观的接受网络实践课程的理解和“动手”能力意义上的学习。这种方式丧失了学生做实验的乐趣,只有亲自动手的解决方案,才是学生真正意义上动手能力的培养。为了使学生更能很好的学习实验理论课程的,采取实验机房教学模式,是对网络实践性强的学科,更易于学生直观的接受,学生更能掌握网络的理论知识,并且学生的动手能力和思考问题的能力也得到了很大的提高。三、实验实践课程建设网络实践课程的建设按照两类不同的实验或者不同类型的网络人才进行分类,架构不同的网络实验室,开设不同的实验课程。网络实验一般分为原理性实验又称为“验证性实验”,需要在老师的指导下进行,让学生理解原理,掌握网络实现的原理。学生根据网络原理知识,进行验证,分析原理实现的过程。原理性的实验主要涉及到网络各层实现功能需要的网络协议,复杂性的原理主要涉及高层次,比如比如网络协议分析和协议的配置,针对具体的协议IP、TCP、路由器使用的协议RIP、OSPF等。应用性实验需要实验设备,学生根据实验的目的,自己动手亲自实践,并根据出现的问题,提出解决的方法。一般按照小组分组自主来进行实验。通过应用性实验,提高学生的动手实践能力。应用性实验一般是基于WindowsServer2003的网络实验包括WindowsServer2003下TCP/IP配置实验、WindowsServer2003下网络命令应用实验、WindowsServer2003下客户程序应用实验等;网络安全方面的实验,主要针对在Windows2003防火墙方面进行的实验;局域网组网技术,指熟练各种组网的硬件设备;综合布线实验等。这些适合专业层次要求比较低的学生来学习的内容。另外一类应用性实验是路由器实验、交换机实验、网络管理实验等,主要实现高层次硬件设备的配置及该网络设备需要添加的协议,对学生层次要求比较高,适合以后从事网络工程的学生来学习。四、实验环境建设计算机网络实验环境分为软、硬件环境建设,软、硬件环境也是根据网络实验课程的性质来划分的,一般的硬件环境主要针对应用性实验,比如交换机或路由器的配置、网络架构等,让学生进行网络组建,提高学生动手能力的。一般是分小组进行实验,小组实验室主要包括一个实验台;每个实验台配备基本的网络设备一台服务器,若干台计算机,双绞线若干米,RJ-45头若干个,线钳一把,测线仪一部,集线器、交换机、路由器一到两台,软件包一个(包括Windows2000server系统盘、网络管理软件、教学光盘等相关软件),网络实验指导书一本。硬件环境的建设,要根据学校的投资情况进行建设,不同的网络设备,在一些网络建构和设置上有不同的差别,这需要老师根据情况给学生讲解,实现理论应用于实践的更好应用。现在市场上有不同品牌的网络产品,比如CISCO、华为等,可增加路由器、交换机,需要,教师根据情况给学生加以介绍。而软件环境是根据网络理论课程,进行验证性的网络实验原理,有教师提供网络原理实验的软件,比如wireshark,一个免费的软件,能够深入的了解协议、分析协议的重要软件,针对IP、ARP、ICMP、HTTP等协议进行分析的软件原理,从而让学生更深入地了解网络的理论知识。除此之外,还有一些专门的软件模拟真实的实验环境,实现交换机或路由器的配置,构造不同的网络结构,实现虚拟环境下的网络的配置。通过软件环境可以方便学生进行理论知识学习。学生或老师也可根据网络理论原理,自己动手编程实现验证的网络理论知识,学生在实验时,只要开启软件就很容易完成实验项目。这样可以提供两方面的综合能力。五、网络实验课程体系建设网络课程体系以计算机网络理论课程作为基础,对应网络实践课程体系。一般可以分为理论实验课程和实践实验课程。理论实验课程针对原理性实验和一些应用性实验课程进行实验过程的讲解,最好在多媒体上讲授,然后学生分小组进行实验。下面给出一些网络理论实验课程,比如网络体系结构数据流在各层的传递,数据链路层、网络层、运输层等各层的协议、网络流量分析、网络应用开发、协议应用、IPv6协议等。实践实验课主要包括服务器的应用、路由器的配置、网络测试工具的使用、局域网的组建等。除了上好实验课程,还要考虑网络技术的更新和实验内容的调整,针对计算机网络实验课程《实验指导书》可以做到随时更新,既要有很强的针对性,又要方便学生预习和自学。因此,为了更加突出《实验指导书》的指导性作用,高校应该组织教师根据本学校实验的安排设置情况编写自己的《实验指导书》。计算机网络课程的改革,使学生系统学习并掌握计算机网络的主要技术,掌握计算机网络的基本原理,学会网络全程的日常操作、维护和管理,具有独立构建中小型局域网的能力。最终使学生在网络设计方面达到网络设计师水平、网络工程方面达到网络工程师水平,为日后从事网络设计和网络工程方面的工作,打下坚实的基础;为学生进入高等院校从事网络研究打下坚实的基础。六、结论通过本论文的学习,将使得网络专业的学生,有计划、更系统地完成网络实践教学环节,更深刻体会网络理论与实践的关系。更好掌握由网络基础到局域网架构、广域网架构及网络协议支持等网络工程全方面知识的灌输,培养学生具备较强的实践动手能力。改革网络实验课程体系,整合新思想、体现网络发展的观点。针对现在处在网络化的时代,网络课程的学习的重在实践,提出了网络实验课程从网络环境到网络授课种种情况的考虑,每个学校根据自己培养学生的目标进行选择,也可根据学校情况建构实践环境,使网络课程的教学质量从原来量的提高到质的飞跃。参考文献1李赫男,陈松乔.计算机网络实验课程体系的设计J.湖南第一师范学报,2007,432-342全成斌,杨士强,赵有健.计算机工程实践教学的改革与探索J.计算机教育,2008,4100-102作者简介王春霞(1975-),女,河南沈丘人,副教授,研究方向计算机网络基金项目商丘师范学院教学改革重点项目
简介:为满足成人求学者继续学习的需求,一种不受时空限制的教育方式-高等网络教育应运而生。针对各类网络教育资源,远程指导可以通过网络教育平台求学者提供个体化学习支持服务。关键词远程指导;高等网络教育;个体化学习支持服务中图分类号TP393.094文献标识码A文章编号1007-9599(2010)04-0000-01RoleofRemoteGuidanceinHigherEducationNetwork
简介:GSM俗称是"全球通",这种移动通信技术标准起源于欧洲,第二代移动通信技术即以此为核心,促进全球各地的用户来共同使用一个移动电话网络标准是其终极目标,因此,优化移动通信网络服务质量势在必行。GSM通信网络的优化,即是通过一系列有效的技术手段,如整合系统各种参数、完善设备资源,从而使移动网络在最佳状态下通畅运转。文章分析了GSM通讯网络优化的三个优点,指出网络优化源于网络维护却又高于网络维护,GSM网络的优化工作具有持续性、长期性、艰巨性等特点,GSM网络优化的工作性质要求相关人员具有较高的技术能力。通过对实际优化案例的分析,提出了依照的诊断方法,并阐述了具体优化方案,对合理改善方法、调整网络质量进行了详细的研究。