摘 要：入侵檢測(cè)是近幾年發(fā)展起來(lái)的新型網(wǎng)絡(luò)安全策略，它實(shí)現(xiàn)了網(wǎng)絡(luò)系統(tǒng)安全的動(dòng)態(tài)檢測(cè)和監(jiān)控，但是它具有漏報(bào)、誤報(bào)和無(wú)法檢測(cè)新型攻擊的缺點(diǎn)，蜜罐的引入使得這種情況得到改善。介紹了Honeypot技術(shù)的原理和分類(lèi)，并提出了一種可行的設(shè)計(jì)方案，通過(guò)Honeypot和入侵檢測(cè)系統(tǒng)的結(jié)合應(yīng)用來(lái)增強(qiáng)入侵檢測(cè)系統(tǒng)的性能。

關(guān)鍵詞：蜜罐技術(shù)；網(wǎng)絡(luò)安全；入侵檢測(cè)系統(tǒng)；蜜網(wǎng)

中圖分類(lèi)號(hào)：TP3092文獻(xiàn)標(biāo)識(shí)碼：B文章編號(hào)：1004373X(2008)1908004

Application of Honeypot Technology in Network Intrusion Detection System

WANG Yang

(Huanghuai University，Zhumadian，463000，China)

Abstract：In recent years，intrusion detection technology is regarded as one of the new strategy for network security.Dynamic protection and detection in computer network are realized，but it has some defects in leaving out and ignoring alarms，making mistaken alarms and being unable to detect the new type of attacks，which are greatly improved by the use of Honeypot.The paper interprets network intrusion detection system and expounds the principle and classification of Honeypot，furthermore，it puts forward a feasible programme，in order to strengthen the function of intrusion detection system by the means of combining Honeypot with it.

Keywords：honeypot technology;network security;intrusion detection system;honeynet

1 引 言

入侵檢測(cè)系統(tǒng)(Intrusion Detection System，IDS)是近幾年發(fā)展起來(lái)的新一代動(dòng)態(tài)網(wǎng)絡(luò)安全防范技術(shù)，是一種主動(dòng)防御技術(shù)。它對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的活動(dòng)情況進(jìn)行監(jiān)視并及時(shí)發(fā)現(xiàn)并報(bào)告異常現(xiàn)象，它是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，入侵監(jiān)測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)，這種活動(dòng)可能來(lái)自于網(wǎng)絡(luò)外部和內(nèi)部。入侵監(jiān)測(cè)系統(tǒng)的應(yīng)用，能使在入侵攻擊對(duì)網(wǎng)絡(luò)系統(tǒng)發(fā)生危害前，監(jiān)測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)響應(yīng)攻擊，從而減少入侵攻擊所造成的損失。但是入侵檢測(cè)系統(tǒng)在使用中存在著難以檢測(cè)新類(lèi)型黑客攻擊方法以及漏報(bào)和誤報(bào)的問(wèn)題。蜜罐(Honeypot)技術(shù)使這些問(wèn)題得到改善，通過(guò)觀察和記錄黑客在蜜罐上的活動(dòng)，人們可以了解黑客的動(dòng)向、黑客使用的攻擊方法等有用信息。如果將蜜罐采集的信息與IDS采集的信息聯(lián)系起來(lái)，則有可能減少I(mǎi)DS的漏報(bào)和誤報(bào)，并能用于進(jìn)一步改進(jìn)IDS的設(shè)計(jì)，增強(qiáng)IDS的檢測(cè)能力。

2 蜜罐技術(shù)的原理和蜜罐的分類(lèi)

2.1 蜜罐技術(shù)的原理

蜜罐是一個(gè)在網(wǎng)絡(luò)上引誘黑客或蠕蟲(chóng)攻擊的，帶有漏洞的真實(shí)或虛擬的系統(tǒng)。蜜罐會(huì)引誘一些攻擊者非法訪問(wèn)， 蜜罐上的監(jiān)控器和事件日志器監(jiān)測(cè)這些未經(jīng)授權(quán)的訪問(wèn)并收集攻擊者活動(dòng)的相關(guān)信息，它的目的是將攻擊者從關(guān)鍵系統(tǒng)引開(kāi)，同時(shí)收集攻擊者的活動(dòng)信息，并且吸引攻擊者在系統(tǒng)上停留足夠長(zhǎng)的時(shí)間以供管理員進(jìn)行響應(yīng)。利用蜜罐的這種能力，一方面可以為IDS提供附加數(shù)據(jù)；另一方面，當(dāng)IDS發(fā)現(xiàn)有攻擊者時(shí)，可以把攻擊者引入蜜罐，防止攻擊者造成危害，并收集攻擊者的信息。

蜜罐技術(shù)主要是利用網(wǎng)絡(luò)欺騙誘導(dǎo)攻擊者，使得可能存在的安全弱點(diǎn)有了很好的偽裝場(chǎng)所，真實(shí)服務(wù)與誘騙服務(wù)幾乎融為一體，使入侵者難以區(qū)分。誘騙服務(wù)相對(duì)于真實(shí)服務(wù)更容易被發(fā)現(xiàn)，通過(guò)誘惑使入侵者上當(dāng)，延長(zhǎng)入侵時(shí)間，使得真正的網(wǎng)絡(luò)服務(wù)被探測(cè)到的可能性大大減少，并且通過(guò)網(wǎng)絡(luò)探測(cè)，迅速地檢測(cè)到入侵者的進(jìn)攻企圖，及時(shí)修補(bǔ)系統(tǒng)可能存在的安全漏洞，并獲知敵方的進(jìn)攻技術(shù)和意圖，通過(guò)與入侵者周旋，消耗掉入侵者的資源，搜集到電子證據(jù)，進(jìn)一步做好計(jì)算機(jī)取證工作。蜜罐技術(shù)的原理如圖1所示。

2.2 蜜罐的分類(lèi)

從技術(shù)實(shí)現(xiàn)的角度來(lái)說(shuō)，蜜罐可以分為系統(tǒng)級(jí)蜜罐和應(yīng)用級(jí)蜜罐。

系統(tǒng)級(jí)蜜罐采用真實(shí)的網(wǎng)絡(luò)和主機(jī)環(huán)境，運(yùn)行真實(shí)的系統(tǒng)并由應(yīng)用程序構(gòu)建而成，它主要實(shí)現(xiàn)系統(tǒng)級(jí)的監(jiān)控，與系統(tǒng)的關(guān)系較緊密，對(duì)于不同的系統(tǒng)類(lèi)型，具體實(shí)現(xiàn)起來(lái)也不相同。系統(tǒng)級(jí)蜜罐監(jiān)控的主要內(nèi)容包括：用戶行為跟蹤識(shí)別；進(jìn)程監(jiān)控；網(wǎng)絡(luò)連接監(jiān)控和文件系統(tǒng)使用監(jiān)控。系統(tǒng)級(jí)蜜罐的應(yīng)用范圍較廣，具有通用性，主要用來(lái)捕獲未知攻擊和對(duì)系統(tǒng)的攻擊行為。

應(yīng)用級(jí)蜜罐是針對(duì)具體網(wǎng)絡(luò)環(huán)境和應(yīng)用服務(wù)，采用模擬或仿真的環(huán)境構(gòu)建而成。應(yīng)用級(jí)的攻擊行為一般由對(duì)網(wǎng)絡(luò)中各主機(jī)系統(tǒng)的角色和作用有一定了解的人發(fā)起，這些人包括內(nèi)部員工、熟悉系統(tǒng)內(nèi)部運(yùn)作的外部人員和競(jìng)爭(zhēng)對(duì)手的黑客等。他們的目的集中于存放關(guān)鍵數(shù)據(jù)和資料的系統(tǒng)，攻擊這些系統(tǒng)上關(guān)于維護(hù)和管理這些資料和數(shù)據(jù)的應(yīng)用，以獲取或破壞數(shù)據(jù)為目的。所以，它主要針對(duì)系統(tǒng)提供的應(yīng)用級(jí)程序或服務(wù)來(lái)構(gòu)造陷阱機(jī)制，以過(guò)期或假數(shù)據(jù)來(lái)迷惑攻擊者，并記錄保留攻擊的過(guò)程和結(jié)果。

3 蜜罐的設(shè)計(jì)

3.1 用戶模式服務(wù)器

通常情況下，蜜罐在物理上是一臺(tái)獨(dú)立的用戶主機(jī)，一個(gè)獨(dú)立的系統(tǒng)和某個(gè)特定的服務(wù)，但是，如果在一個(gè)獨(dú)立的主機(jī)上模擬多個(gè)虛操作系統(tǒng)和多個(gè)虛服務(wù)，則能夠更大程度地發(fā)揮蜜罐的性能。用戶模式蜜罐就屬于這種類(lèi)型。用戶模式服務(wù)器是一個(gè)用戶進(jìn)程，它運(yùn)行在主機(jī)上，并模擬成一個(gè)功能健全的操作系統(tǒng)。用戶模式服務(wù)器還是一個(gè)功能健全的服務(wù)器，嵌套在主機(jī)操作系統(tǒng)的應(yīng)用程序空間中。Internet用戶向用戶模式服務(wù)器的IP地址發(fā)送請(qǐng)求，主機(jī)會(huì)接受該請(qǐng)求并將它轉(zhuǎn)發(fā)給適當(dāng)?shù)挠脩裟Ｊ綄?shí)例。

如圖2所示的是用戶模式服務(wù)器配置的網(wǎng)絡(luò)“假象”。對(duì)于Internet上的用戶來(lái)說(shuō)，用戶模式主機(jī)看似一個(gè)路由器和防火墻。每個(gè)用戶模式服務(wù)器都看似是一個(gè)獨(dú)立運(yùn)行在路由期或防火墻后子網(wǎng)內(nèi)的主機(jī)。由于主機(jī)運(yùn)行在防火墻內(nèi)受到的保護(hù)比較正常，所以運(yùn)行這種配置方式對(duì)付準(zhǔn)攻擊者非常有效。這僅僅是用戶模式服務(wù)器的執(zhí)行方式之一，還有其他可能的方式，比如運(yùn)用地址解析協(xié)議(ARP)，讓用戶模式主機(jī)和服務(wù)器看似都連接在同一個(gè)邏輯網(wǎng)段上，于是管理員可以將自己的蜜罐隱藏在具有真實(shí)系統(tǒng)的網(wǎng)段中。

用戶模式蜜罐的優(yōu)點(diǎn)是它僅僅是一個(gè)普通的用戶進(jìn)程，這就意味著攻擊者如果想控制機(jī)器，就必須首先沖破用戶模式服務(wù)器，再找到攻陷主機(jī)系統(tǒng)的有效辦法。這保證了系統(tǒng)管理員可以面對(duì)強(qiáng)大對(duì)手的同時(shí)依然保持對(duì)系統(tǒng)的控制，同時(shí)也為取證提供幫助。因?yàn)槊總€(gè)用戶模式服務(wù)器都是一個(gè)定位在主機(jī)系統(tǒng)上的單個(gè)文件，如果要清除被入侵者攻陷的蜜罐，只需關(guān)閉主機(jī)上的用戶模式服務(wù)器進(jìn)程并激活一個(gè)新的進(jìn)程即可。

3.2 一種可行的蜜罐設(shè)計(jì)方案

在設(shè)計(jì)蜜罐系統(tǒng)之前必須注意以下問(wèn)題：首先，蜜罐系統(tǒng)應(yīng)該與任何真實(shí)的產(chǎn)品系統(tǒng)隔離，因?yàn)橐坏┟酃薇还ハ?，不能讓攻擊者利用蜜罐?duì)網(wǎng)絡(luò)中的其他系統(tǒng)進(jìn)行進(jìn)一步攻擊；其次，盡量將蜜罐放置在距離Internet最近的位置，這樣，真實(shí)的系統(tǒng)就不會(huì)因?yàn)槲挥诿酃藓虸nternet之間而暴露在網(wǎng)絡(luò)上；再次，需要有步驟地記錄所有通過(guò)蜜罐的信息，使得攻擊者不可能通過(guò)刪除自己的日志紀(jì)錄來(lái)掩飾自己的行為，最后，需要建立某種形式的防火墻來(lái)控制通過(guò)蜜罐的所有信息。如圖3為一種可行的蜜罐設(shè)計(jì)方案。

防火墻將蜜罐系統(tǒng)從真實(shí)的網(wǎng)絡(luò)中隔離出來(lái)，并且讓蜜罐盡量靠近Internet，可以有效地誘導(dǎo)外部攻擊。防火墻還能夠阻止蜜罐與內(nèi)部真實(shí)系統(tǒng)進(jìn)行通信，避免攻擊者利用蜜罐作為攻擊的跳板，但是防火墻允許蜜罐與Internet外部網(wǎng)的主機(jī)自由通信，這樣可以使攻擊者難以察覺(jué)到被欺騙，從而吸引攻擊者繼續(xù)在蜜罐上停留。由于IDS可以記錄所有包括有效負(fù)載的數(shù)據(jù)報(bào)信息，所以蜜罐可以清晰地記錄攻擊者的每一步行為。日志記錄工作沒(méi)有在蜜罐內(nèi)而是在蜜罐外進(jìn)行，這種情況下即使蜜罐被攻陷也不會(huì)丟失日志記錄信息。用戶模式主機(jī)本身除了可以充當(dāng)防火墻和IDS的角色外還模擬出多個(gè)用戶模式服務(wù)器，提供多種虛服務(wù)，這樣可以有效的誘導(dǎo)內(nèi)部攻擊，保護(hù)真實(shí)系統(tǒng)。

4 蜜罐技術(shù)的應(yīng)用

4.1 入侵檢測(cè)系統(tǒng)與蜜罐的結(jié)合應(yīng)用

蜜罐是IDS的有力補(bǔ)充，蜜罐可以分擔(dān)IDS的一部分?jǐn)?shù)據(jù)流量，減輕IDS的負(fù)擔(dān)，而且還可以提供IDS自學(xué)習(xí)的數(shù)據(jù)，增強(qiáng)IDS的智能。在IDS的入侵分析技術(shù)中，誤用檢測(cè)和異常檢測(cè)通常基于合法訪問(wèn)特征庫(kù)和攻擊特征庫(kù)，這兩者通常是靜態(tài)的，需要管理者手動(dòng)增加。蜜罐的引入為IDS的自學(xué)習(xí)提供了可能，把符合攻擊特征的事件和未知事件全部引入蜜罐，由蜜罐來(lái)監(jiān)測(cè)訪問(wèn)者的訪問(wèn)動(dòng)作，進(jìn)而判斷該未知事件是否為攻擊事件，如果攻擊行為確立，則一方面記錄攻擊事件，一方面提供攻擊特征給IDS，使IDS及時(shí)學(xué)習(xí)到新型的攻擊行為。如圖4為入侵監(jiān)測(cè)系統(tǒng)與蜜罐的結(jié)合應(yīng)用。

在網(wǎng)絡(luò)監(jiān)測(cè)和入侵分析技術(shù)中，IDS對(duì)數(shù)據(jù)的處理能力往往成為限制網(wǎng)絡(luò)性能的瓶頸，蜜罐和IDS的結(jié)合則大大改變了這種現(xiàn)狀。IDS可以把沒(méi)有通過(guò)審核的事件和未知事件拋給蜜罐去處理，一方面減輕了IDS的負(fù)擔(dān)，另一方面也讓蜜罐獲得了大量的攻擊信息，便于管理者進(jìn)一步追蹤攻擊事件。這樣就克服了IDS的漏報(bào)和誤報(bào)以及無(wú)法檢測(cè)未知攻擊的缺陷，同時(shí)也符合了蜜罐設(shè)計(jì)的初衷。

4.2 數(shù)據(jù)收集類(lèi)型

當(dāng)可能的攻擊行為被IDS引到蜜罐中之后，蜜罐開(kāi)始擔(dān)負(fù)起監(jiān)控攻擊者的任務(wù)。要取得攻擊者攻擊的證據(jù)，就要對(duì)攻擊者的攻擊信息進(jìn)行分析，當(dāng)然首先要進(jìn)行數(shù)據(jù)收集。蜜罐最有價(jià)值的一點(diǎn)就是收集攻擊者的攻擊行為。數(shù)據(jù)收集分為基于主機(jī)的數(shù)據(jù)收集、基于網(wǎng)絡(luò)的數(shù)據(jù)收集和主動(dòng)方式的數(shù)據(jù)收集。基于主機(jī)收集到的數(shù)據(jù)可以存放在蜜罐中，這種做法的缺點(diǎn)是系統(tǒng)管理員不能及時(shí)研究這些數(shù)據(jù)。本地存儲(chǔ)的另一個(gè)問(wèn)題是可能將保留的日志空間用盡，這樣系統(tǒng)就會(huì)降低交互程度甚至變?yōu)椴皇鼙O(jiān)控。攻擊者也會(huì)了解日志區(qū)域并且試圖控制它，不管攻擊者如何處理日志數(shù)據(jù)，后果都會(huì)使日志文件中的數(shù)據(jù)不再是可信數(shù)據(jù)。因此，本地存儲(chǔ)數(shù)據(jù)是不可信的。將攻擊者的信息存放在一個(gè)安全的、遠(yuǎn)程的地方更具有可信度。當(dāng)然如果攻擊者發(fā)現(xiàn)有日志記錄機(jī)制，攻擊者可能會(huì)制造“假”的日志數(shù)據(jù)，但它對(duì)離開(kāi)蜜罐的數(shù)據(jù)卻無(wú)能為力。

基于主機(jī)的信息收集定位于主機(jī)本身，這就很容易被探測(cè)并且一旦被探測(cè)到就可能被終止?；诰W(wǎng)絡(luò)的信息收集沒(méi)有將收集機(jī)制定位于蜜罐本身，它以一種不可見(jiàn)的方式執(zhí)行，通常需要防火墻和IDS的配合。通過(guò)配置防火墻和IDS來(lái)收集特定的數(shù)據(jù)，因?yàn)閿?shù)據(jù)只能被分析但不能被更改。基于網(wǎng)絡(luò)的信息收集比基于主機(jī)的信息收集更安全，因?yàn)樗茈y被探測(cè)到而且很難被終止。

基于主機(jī)和基于網(wǎng)絡(luò)的收集蜜罐中信息的方法都是被動(dòng)的，信息是網(wǎng)絡(luò)中的數(shù)據(jù)或是機(jī)器自身的數(shù)據(jù)，沒(méi)有信息是通過(guò)詢問(wèn)第三方而獲取的。但信息的收集應(yīng)該是主動(dòng)的，所以，可以通過(guò)詢問(wèn)特殊的服務(wù)或機(jī)器來(lái)獲取個(gè)人、IP地址或攻擊者的信息，這樣就可以發(fā)現(xiàn)更多有價(jià)值的數(shù)據(jù)，但這種方式會(huì)使攻擊者察覺(jué)并逃走。

4.3 蜜網(wǎng)(Honeynet)技術(shù)

蜜網(wǎng)技術(shù)實(shí)際上是一種分布式的蜜罐技術(shù)，它將蜜罐技術(shù)分布到網(wǎng)絡(luò)的正常系統(tǒng)和資源中，利用閑置的服務(wù)端口來(lái)增強(qiáng)網(wǎng)絡(luò)的欺騙性，增大入侵者遭遇欺騙的可能。它將欺騙分布到更廣的IP地址和端口空間中，增大欺騙在整個(gè)網(wǎng)絡(luò)中的百分比，使得欺騙比安全弱點(diǎn)更容易被入侵者掃描到。蜜網(wǎng)是專(zhuān)門(mén)為研究設(shè)計(jì)的高交互型蜜罐，它的目的是從現(xiàn)存的各種威脅中提取有用的信息，發(fā)現(xiàn)新型的攻擊工具、確定攻擊的模式并研究攻擊者的攻擊動(dòng)機(jī)。大部分傳統(tǒng)的蜜罐都進(jìn)行對(duì)攻擊的誘騙或檢測(cè)，這些傳統(tǒng)的蜜罐通常都是一個(gè)單獨(dú)的系統(tǒng)，用于模擬其他的系統(tǒng)或者模擬已知的服務(wù)或弱點(diǎn)。蜜網(wǎng)不同于傳統(tǒng)的蜜罐，它不是一個(gè)單獨(dú)的系統(tǒng)而是由多個(gè)系統(tǒng)和多個(gè)攻擊檢測(cè)應(yīng)用組成的網(wǎng)絡(luò)。這個(gè)網(wǎng)絡(luò)放置在防火墻的后面，所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都會(huì)通過(guò)這里，并可以捕獲和控制這些數(shù)據(jù)。根據(jù)捕獲的數(shù)據(jù)信息分析的結(jié)果就可以得到攻擊組織所使用的工具、策略和動(dòng)機(jī)。放置在蜜網(wǎng)中的系統(tǒng)都是標(biāo)準(zhǔn)的真實(shí)系統(tǒng)和應(yīng)用，而不是模擬的，并且這些應(yīng)用都具有與真實(shí)系統(tǒng)相同的安全等級(jí)。因此在蜜網(wǎng)中發(fā)現(xiàn)的漏洞和弱點(diǎn)就是真實(shí)系統(tǒng)存在著的，需要改進(jìn)的漏洞和弱點(diǎn)。

蜜網(wǎng)具有信息控制和信息捕獲兩種功能。信息控制代表一種規(guī)則，用戶必須能夠確定自己的數(shù)據(jù)包能夠發(fā)送到什么地方。其目的是，當(dāng)用戶蜜網(wǎng)內(nèi)的蜜罐主機(jī)被入侵后，它不會(huì)用來(lái)攻擊蜜網(wǎng)以外的機(jī)器和組織。信息捕獲則是要抓到攻擊組織的所有數(shù)據(jù)流，而且在攻擊者沒(méi)有察覺(jué)的情況下，盡量多地捕獲有關(guān)攻擊者行為的數(shù)據(jù)，并使到達(dá)蜜罐的數(shù)據(jù)盡量真實(shí)。

5 結(jié) 語(yǔ)

在網(wǎng)絡(luò)蓬勃發(fā)展的今天，網(wǎng)絡(luò)安全問(wèn)題日益突出。為了阻止網(wǎng)絡(luò)上大量的攻擊行為，人們不得不去研究抵抗攻擊的技術(shù)，入侵檢測(cè)系統(tǒng)就是其中的典型代表。入侵監(jiān)測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于監(jiān)測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。但是，在大量數(shù)據(jù)流進(jìn)出入侵檢測(cè)系統(tǒng)過(guò)程中，入侵檢測(cè)系統(tǒng)往往表現(xiàn)出誤報(bào)、漏報(bào)和無(wú)法檢測(cè)新型攻擊的缺點(diǎn)，本文討論了網(wǎng)絡(luò)安全中的蜜罐技術(shù)，通過(guò)它和IDS的結(jié)合來(lái)改善IDS的性能，克服IDS的缺點(diǎn)，并且提出了一種可行的設(shè)計(jì)方案和應(yīng)用。

參考文獻(xiàn)

［1］金靜，吳辰文.Honeypot技術(shù)的原理與應(yīng)用［J］.蘭州交通大學(xué)學(xué)報(bào)，2005(6):92-95.

［2］趙偉鋒，曾啟銘.一種了解黑客的有效手段蜜罐(Honey pot)［J］.計(jì)算機(jī)應(yīng)用，2003，23(S1):259-261.

［3］劉寶旭，曹愛(ài)娟，許榕生.陷阱網(wǎng)絡(luò)技術(shù)綜述［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2003，12(1):65-69.

［4］王湘蔚.IDS的優(yōu)勢(shì)與缺陷［J］.華南金融電腦，2003，11(3):88-89.

［5］劉猛.Honeynet原型系統(tǒng)的研究與設(shè)計(jì)［J］.電腦知識(shí)與技術(shù)，2006(10):57-58，216.

［6］薛英花，呂述望，蘇桂平，等.入侵檢測(cè)系統(tǒng)研究［J］.計(jì)算機(jī)工程與應(yīng)用，2003，39(1):150-152，177.

［7］唐鵬.Honeypot的問(wèn)題和挑戰(zhàn)［J］.信息安全與通信保密，2004(11):35-37.

［8］張新宇，卿斯?jié)h.蜜罐研究與進(jìn)展［A］.全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)′2005論文集［C］，2005.

［9］徐強(qiáng)，張瑜.蜜罐系統(tǒng)的研究與設(shè)計(jì)［J］.福建電腦，2006(10):94-95.

［10］劉猛，王中生，趙紅毅.基于Honeynet系統(tǒng)的Linux日志記錄研究［J］.電腦知識(shí)與技術(shù)，2006(36):59，167.

作者簡(jiǎn)介

汪 洋 女，1969年出生，河南汝南人，副教授。研究方向?yàn)榫W(wǎng)絡(luò)應(yīng)用、人工智能。