简介:入侵诱骗技术是近年来网络安全发展的一个重要分支,论文从入侵诱骗技术的产生入手简要的介绍了它的发展,同时对目前流行的Honeypot进行了深入的研究,主要涉及到Honeypot的分类、Honeypot的优缺点、Honeypot的设计原则和方法,最后将一个简易的Honeypot应用于具体的网络。关键词入侵诱骗技术;Honeypot;网络安全中图分类号TN915.08文献标识码A文章编号1007-9599(2010)04-0000-02ApplicationofIntrusion&DeceitTechniqueinNetworkSecurityChenYongxiangLiJunya(JiyuanVocational&TechnicalCollege,Jiyuan454650,Chian)AbstractAtpresent,IntrusionDeceptiontechnologyisthedevelopmentofnetworksecurityinrecentyears,animportantbranch,thepapergeneratedfromtheintrusiondeceptiontechniquestostartabriefdescriptionofitsdevelopment,whilepopularHoneypotconductedin-depthresearch,mainlyrelatedtotheclassificationofHoneypot,Honeypotadvantagesanddisadvantages,Honeypotdesignprinciplesandmethods,thefinalwillbeasimpleHoneypotapplicationtospecificnetwork.KeywordsIntrusionanddeceittechnology;Honeypot;NetworkSecurity近年来计算机网络发展异常迅猛,各行各业对网络的依赖已越发严重。这一方面提高了信息的高速流动,但另一方面却带来了极大的隐患。由于网络的开放性、计算机系统设计的非安全性导致网络受到大量的攻击。如何提高网络的自我防护能力是目前研究的一个热点。论文通过引入入侵诱骗技术,设计了一个高效的网络防护系统。一、入侵诱骗技术简介通过多年的研究表明,网络安全存在的最大问题就是目前采用的被动防护方式,该方式只能被动的应对攻击,缺乏主动防护的功能。为应对这一问题,就提出了入侵诱骗技术。该技术是对被动防护的扩展,通过积极的进行入侵检测,并实时的将可疑目标引向自身,导致攻击失效,从而有效的保护目标。上个世纪80年代末期由stoll首先提出该思想,到上世纪90年代初期由BillCheswish进一步丰富了该思想。他通过在空闲的端口上设置一些用于吸引入侵者的伪造服务来获取入侵者的信息,从而研究入侵者的规律。到1996年FredCohen提出将防火墙技术应用于入侵诱骗技术中,实现消除入侵资源。为进一步吸引入侵目标,在研究中提出了引诱其攻击自身的特殊目标“Honeypot”。研究者通过对Honeypot中目标的观察,可清晰的了解入侵的方法以及自身系统的漏洞,从而提升系统的安全防护水平。二、Honeypot的研究在这个入侵诱骗技术中,Honeypot的设计是关键。按交互级别,可对Honeypot进行分类低交互度Honeypot、中交互度Honeypot和高交互度Honeypot。低交互度Honeypot由于简单的设计和基本的功能,低交互度的honeypot通常是最容易安装、部署和维护的。在该系统中,由于没有真正的操作系统可供攻击者远程登录,操作系统所带来的复杂性被削弱了,所以它所带来的风险是最小的。但也让我们无法观察一个攻击者与系统交互信息的整个过程。它主要用于检测。通过中交互度Honeypot可以获得更多有用的信息,同时能做出响应,是仍然没有为攻击者提供一个可使用的操作系统。部署和维护中交互度的Honeypot是一个更为复杂的过程。高交互度Honeypot的主要特点是提供了一个真实的操作系统。该系统能够收集更多的信息、吸引更多的入侵行为。当然Honeypot也存在着一些缺点需要较多的时间和精力投入。Honeypot技术只能对针对其攻击行为进行监视和分析,其视野较为有限,不像入俊检侧系统能够通过旁路侦听等技术对整个网络进行监控。Honeypot技术不能直接防护有漏洞的信息系统。部署Honeypot会带来一定的安全风险。构建一个有用的Honeypot是一个十分复杂的过程,主要涉及到Honeypot的伪装、采集信息、风险控制、数据分析。其中,Honeypot的伪装就是将一个Honeypot通过一定的措施构造成一个十分逼真的环境,以吸引入侵者。但Honeypot伪装的难度是既不能暴露太多的信息又不能让入侵者产生怀疑。最初采用的是伪造服务,目前主要采用通过修改的真实系统来充当。Honeypot的主要功能之一就是获取入侵者的信息,通常是采用网络sniffer或IDS来记录网络包从而达到记录信息的目的。虽然Honeypot可以获取入侵者的信息,并能有效的防护目标,但Honeypot也给系统带来了隐患,如何控制这些潜在的风险十分关键。Honeypot的最后一个过程就是对采用数据的分析。通过分析就能获得需要的相关入侵者规律的信息。对于设计Honeypot,主要有三个步骤首先,必须确定自己Honeypot的目标。因为Honeypot并不能完全代替传统的网络安全机制,它只是网络安全的补充,所以必须根据自己的目标定位Honeypot。通常Honeypot可定位于阻止入侵、检测入侵等多个方面。其次,必须确定自己Honeypot的设计原则。在这里不仅要确定Honeypot的级别还有确定平台的选择。目前,对用于研究目的的Honeypot一般采用高交互Honeypot,其目的就是能够更加广泛的收集入侵者的信息,获取需要的资料。在平台的选择上,目前我们选择的范围很有限,一般采用Linux系统。其原因主要是Linux的开源、广泛应用和卓越的性能。最后,就是对选定环境的安装和配置。三、Honeypot在网络中的应用为更清晰的研究Honeypot,将Honeypot应用于具体的网络中。在我们的研究中,选择了一个小规模的网络来实现。当设计完整个网络结构后,我们在网络出口部分配置了设计的Honeypot。在硬件方面增加了安装了snort的入侵检测系统、安装了Sebek的数据捕获端。并且都构建在Vmware上实现虚拟Honeypot。在实现中,主要安装并配置了Honeyd、snort和sebek.其Honeypot的结构图,见图1。图1Honeypot结构图四、小结论文从入侵诱骗技术入手系统的分析了该技术的发展历程,然后对入侵诱骗技术中的Honeypot进行了深入的研究,主要涉及到Honeypot的分类、设计原则、设计方法,最后,将一个简易的Honeypot应用于具体的网络环境中,并通过严格的测试,表明该系统是有效的。参考文献1蔡芝蔚.基于Honeypot的入侵诱骗系统研究M.网络通讯与安全,1244~12452杨奕.基于入侵诱骗技术的网络安全研究与实现.J.计算机应用学报,2004.3230~232.3周光宇,王果平.基于入侵诱骗技术的网络安全系统的研究J.微计算机信息,2007.94夏磊,蒋建中,高志昊.入侵诱骗、入侵检测、入侵响应三位一体的网络安全新机制5BillCheswick.AnEveningwithBerferdInWhichaCrackerisLured,Endured,andStudied.ProceedingsoftheWinter1992Usenixconference,19926FredCohen.AMathematicalStructureofSimpleDefensiveNetworkDeceptionsJ,ComputersandSecurity,2000.19作者简介陈永翔(1978-),男,河南省济源人,济源职业技术学院助教,在读硕士,主要研究方向为计算机应用、网络技术、网络安全。李俊雅(1981-),男,河南省平顶山人,济源职业技术学院助教,在读硕士,主要研究方向为计算机应用、网络技术、虚拟现实技术。
简介:计算机网络实验课程教学应该符合实验教学课程体系的要求,达到多层次多角度,满足多层次不同学生的不同需求,本文介绍了实验课程在建设的必要性、理论课程建设、实践课程建设和环境建设等方面进行了探索。关键词理论课程;实践课程;网络实验TeachingReformingonComputerNetworkExperimentCoursesWangChunxia(ShangqiuNormalCollege,ComputerTechnologyDepartment,Shangqiu476000,China)AbstractComputernetworkexperimentcoursesteachingshouldmeettherequirementsofteachingcurriculumtoachievethemulti-levelsandmulti-anglesinordertosatisfydifferentstudents’needs.Thispaperdescribestheexplorationoftheexperimentalcurriculumsintheconstructionofnecessariesandthebuildingoftheoretical,practicalandenvironmentalcourses.KeywordsTheoreticalcourses;Practicalcourses;Networkexperiment计算机网络课程既是计算机科学与技术专业的一门专业基础课,又是一门理论性强并有一定实践性的专业必修课。而计算机网络实验课程是计算机网络课程中的一部分核心内容,建立计算机网络实验课程教学模式,实现网络课程理论性知识和实践性知识的结合,从而满足当今社会对学生学习计算机网络技术知识的多层次要求。一、实验课程建设的必要性目前,在传统教学中,大部分院校都呈现出“重理论,轻实践”的现象。大多高校在实施网络实验教学时,仍是以让学生看演示、看教学片或者参观已经建好的网络环境等方式来帮助学生了解、消化专业实验的内容,而把实验或实践的重点放在Windows网络的基础应用上。而这些内容,随着网络的发展与网络知识的普及,已经被一部分学生掌握,没有必要单独设课,而更深入的实现网络规划、网络建设、协议分析、网络应用等内容,则由于课程安排不合理或实验设备的短缺而没有纳入实际的教学当中。针对目前大多高校包括我们学校在内所进行网络实验课程讲授存在的问题,提出了架构计算机网络实验课程体系,进行实验课程的改革,建设网络实验环境,重新架构适合学生理论和实践相结合的网络课程体系,研究出一套适应社会网络人才需求教学方案。网络实验教学中从多层次角度考虑,实现计算机网络课程教学新体系,把计算机网络课程的教学分为课堂讲授、基础应用、开发应用和综合应用等多个层次,形成集知识和能力培养为一体的复合型网络教育模式,为培养适应当今社会需求的网络服务型人才做好准备。因此,对计算机网络实验课程的改革势在必行。二、实验理论课程建设实现网络理论课程相对应的网络实验课程,建立高校网络实验课程的必要性,具备完备的实验课程教材和实验课程的环境,实验课程教材和理论课程教材相适应,同样实验环境的模拟环境,也要必备。学校根据自己的师资力量和教学条件的投资,建设自己的实验室。(一)改革实验内容改革实验内容,是实验课程建设的目标,根据培养的人才不同,将实验课程分为科研型和应用型两类人才。教学中也按照培养的目的分为原理性实验和应用性实验两种情况。针对原理性实验,主要帮助学生对抽象的网络理论概念,比如网络体系结构、网络协议等进行深入的理解和更深层次的研究,为网络理论的高级应用和管理奠定理论基础。另一方面,对应用性实验,着重培养学生在组建网络、网络管理、网络维护等实际技能的培养,培养学生的动手能力,解决网络实际中的问题。(二)实践理论课程体系建设社会需求网络人才的目标越明确,对于网络理论和实践课程的分工就越具体,通常将两类实践课分为科研实践,着重对网络协议深入研究,详细给出分析的原理,让学生掌握基础理论更扎实,为进一步的科研学习打下扎实的基础。另一方面,对实践应用性人才,着重对动手能力的培养,培养动手方面的操作,提供更详细的步骤,让学生动手方面更熟练。(三)实验理论课程的环境网络实验理论课程可以有两种不同的教学模式。对于传统意义上教学模式是黑板、多媒体方式,该方式适合以前网络设备比较少的情况,学生在多媒体的教学方式下,直观的接受网络实践课程的理解和“动手”能力意义上的学习。这种方式丧失了学生做实验的乐趣,只有亲自动手的解决方案,才是学生真正意义上动手能力的培养。为了使学生更能很好的学习实验理论课程的,采取实验机房教学模式,是对网络实践性强的学科,更易于学生直观的接受,学生更能掌握网络的理论知识,并且学生的动手能力和思考问题的能力也得到了很大的提高。三、实验实践课程建设网络实践课程的建设按照两类不同的实验或者不同类型的网络人才进行分类,架构不同的网络实验室,开设不同的实验课程。网络实验一般分为原理性实验又称为“验证性实验”,需要在老师的指导下进行,让学生理解原理,掌握网络实现的原理。学生根据网络原理知识,进行验证,分析原理实现的过程。原理性的实验主要涉及到网络各层实现功能需要的网络协议,复杂性的原理主要涉及高层次,比如比如网络协议分析和协议的配置,针对具体的协议IP、TCP、路由器使用的协议RIP、OSPF等。应用性实验需要实验设备,学生根据实验的目的,自己动手亲自实践,并根据出现的问题,提出解决的方法。一般按照小组分组自主来进行实验。通过应用性实验,提高学生的动手实践能力。应用性实验一般是基于WindowsServer2003的网络实验包括WindowsServer2003下TCP/IP配置实验、WindowsServer2003下网络命令应用实验、WindowsServer2003下客户程序应用实验等;网络安全方面的实验,主要针对在Windows2003防火墙方面进行的实验;局域网组网技术,指熟练各种组网的硬件设备;综合布线实验等。这些适合专业层次要求比较低的学生来学习的内容。另外一类应用性实验是路由器实验、交换机实验、网络管理实验等,主要实现高层次硬件设备的配置及该网络设备需要添加的协议,对学生层次要求比较高,适合以后从事网络工程的学生来学习。四、实验环境建设计算机网络实验环境分为软、硬件环境建设,软、硬件环境也是根据网络实验课程的性质来划分的,一般的硬件环境主要针对应用性实验,比如交换机或路由器的配置、网络架构等,让学生进行网络组建,提高学生动手能力的。一般是分小组进行实验,小组实验室主要包括一个实验台;每个实验台配备基本的网络设备一台服务器,若干台计算机,双绞线若干米,RJ-45头若干个,线钳一把,测线仪一部,集线器、交换机、路由器一到两台,软件包一个(包括Windows2000server系统盘、网络管理软件、教学光盘等相关软件),网络实验指导书一本。硬件环境的建设,要根据学校的投资情况进行建设,不同的网络设备,在一些网络建构和设置上有不同的差别,这需要老师根据情况给学生讲解,实现理论应用于实践的更好应用。现在市场上有不同品牌的网络产品,比如CISCO、华为等,可增加路由器、交换机,需要,教师根据情况给学生加以介绍。而软件环境是根据网络理论课程,进行验证性的网络实验原理,有教师提供网络原理实验的软件,比如wireshark,一个免费的软件,能够深入的了解协议、分析协议的重要软件,针对IP、ARP、ICMP、HTTP等协议进行分析的软件原理,从而让学生更深入地了解网络的理论知识。除此之外,还有一些专门的软件模拟真实的实验环境,实现交换机或路由器的配置,构造不同的网络结构,实现虚拟环境下的网络的配置。通过软件环境可以方便学生进行理论知识学习。学生或老师也可根据网络理论原理,自己动手编程实现验证的网络理论知识,学生在实验时,只要开启软件就很容易完成实验项目。这样可以提供两方面的综合能力。五、网络实验课程体系建设网络课程体系以计算机网络理论课程作为基础,对应网络实践课程体系。一般可以分为理论实验课程和实践实验课程。理论实验课程针对原理性实验和一些应用性实验课程进行实验过程的讲解,最好在多媒体上讲授,然后学生分小组进行实验。下面给出一些网络理论实验课程,比如网络体系结构数据流在各层的传递,数据链路层、网络层、运输层等各层的协议、网络流量分析、网络应用开发、协议应用、IPv6协议等。实践实验课主要包括服务器的应用、路由器的配置、网络测试工具的使用、局域网的组建等。除了上好实验课程,还要考虑网络技术的更新和实验内容的调整,针对计算机网络实验课程《实验指导书》可以做到随时更新,既要有很强的针对性,又要方便学生预习和自学。因此,为了更加突出《实验指导书》的指导性作用,高校应该组织教师根据本学校实验的安排设置情况编写自己的《实验指导书》。计算机网络课程的改革,使学生系统学习并掌握计算机网络的主要技术,掌握计算机网络的基本原理,学会网络全程的日常操作、维护和管理,具有独立构建中小型局域网的能力。最终使学生在网络设计方面达到网络设计师水平、网络工程方面达到网络工程师水平,为日后从事网络设计和网络工程方面的工作,打下坚实的基础;为学生进入高等院校从事网络研究打下坚实的基础。六、结论通过本论文的学习,将使得网络专业的学生,有计划、更系统地完成网络实践教学环节,更深刻体会网络理论与实践的关系。更好掌握由网络基础到局域网架构、广域网架构及网络协议支持等网络工程全方面知识的灌输,培养学生具备较强的实践动手能力。改革网络实验课程体系,整合新思想、体现网络发展的观点。针对现在处在网络化的时代,网络课程的学习的重在实践,提出了网络实验课程从网络环境到网络授课种种情况的考虑,每个学校根据自己培养学生的目标进行选择,也可根据学校情况建构实践环境,使网络课程的教学质量从原来量的提高到质的飞跃。参考文献1李赫男,陈松乔.计算机网络实验课程体系的设计J.湖南第一师范学报,2007,432-342全成斌,杨士强,赵有健.计算机工程实践教学的改革与探索J.计算机教育,2008,4100-102作者简介王春霞(1975-),女,河南沈丘人,副教授,研究方向计算机网络基金项目商丘师范学院教学改革重点项目
简介:为满足成人求学者继续学习的需求,一种不受时空限制的教育方式-高等网络教育应运而生。针对各类网络教育资源,远程指导可以通过网络教育平台求学者提供个体化学习支持服务。关键词远程指导;高等网络教育;个体化学习支持服务中图分类号TP393.094文献标识码A文章编号1007-9599(2010)04-0000-01RoleofRemoteGuidanceinHigherEducationNetwork
简介:本文探讨了使用不同负载均衡技术,将负载分给多个服务器分担,以解决Internet服务器面临的大量并发访问造成的CPU或I/O的高负载问题。关键词负载均衡;网络中图分类号TP393.18文献标识码A文章编号1007-9599(2010)04-0000-01PromoteCampusNetworksFunctionsUsingLoadBalancingHaoMinchai,QiaoZhenmin(1.ShijiazhuangTechnologyCollege,Electrical&ElectronicEngineeringDepartment,Shijiazhuang050081,China;2.ShijiazhuangTechnologyCollege,OfficeShijiazhuang050081,China)AbstractThisthesisfocusesondividingpressureinseveralserversthroughloadbalancingtechnologytosolvetheproblemofheavyloadofCPUorI/Ocausedbysimultaneousaccessing.KeyWordsLoadbalancing;Network随着网络应用的不断深入,网内的信息流量快速增长,当用户量及其应用量很大时,在同一时刻主机服务器可能要承受大量用户的来访请求,然而一台主机的处理能力是有限的,倘若访问量的增长超过了主机的处理极限,主机的处理能力就会成为网络应用的瓶颈,这将制约网络应用的继续发展,对于提供解决以上问题的应用系统至关重要,负载均衡系统应运而生。一、主要的两种解决方法(一)要从硬件和网络结构上尽量提高网络和系统性能和效率采用高性能的PC服务器作为网络服务器,提高服务器的计算和负载能力。采用大容量、高传输速率的存储系统和利用RAID5技术实现很高的读写速度和性能。对于流媒体服务和WEB应用,采用千兆技术实现到INTERNET的高速接入;选用高性能的防火墙用于提供内外网访问,实现高效的WEB访问。(二)使用流量分担技术在网络内增加多台主机服务器,并让这些服务器保存和处理相同的应用内容。这样的主机服务器并不一定要求是技术最先进、性能最强大的,所以投资可以相对较少,但是由它们组成的服务器群,却能够共同完成网络的服务功能。优点当用户来访时,这些服务器轮流响应不同用户的请求,通过流量分担技术把大量的用户请求自动地分散到了不同的主机服务器中处理,从而减少了单个主机上的任务量,实现了网络流量在多台主机间的平衡处理,在完成同样功能的多个网络设备之间实现合理的业务量分配,使之不至于出现一台设备过忙、而别的设备却未充分发挥处理能力的情况。二、负载均衡实现的方式(一)基于软件的负载均衡通过自己的agent(由负载均衡产品厂商开发)或者使用一些系统管理工具的模板,来收集关于后台服务器的信息,并根据这些信息调整对资源的分配。Agent是为特定的软件和硬件服务的,它能够非常严密地监视应用状况。使用现有系统管理工具的负载均衡产品可以通过API和公共协议监视更多的软件和硬件。优点如果你的网络发生了变化,或者你需要一些特殊的功能,软件能够非常快地进行升级并满足你的需要。(二)基于硬件的负载均衡产品基于硬件的负载均衡通常是由路由器和switch完成的。这些设备使用ASIC(application-specificintegratedcircuits),以线速运行。优点这是最快的负载均衡产品。三、负载均衡产品实现的方案在市场上有几代不同的负载均衡的方案,它们的功能从简单逐渐变得复杂。第一代负载均衡产品只是简单的round-robinDNS机器它能够把HTTP进程在几个IP主机里进行分配。这类系统使用简单的PING命令来保证进程请求不会被送到一个状态不佳的服务器那里,并为多服务器引入了一个变量来表示容错率。第二代负载均衡产品不仅仅检查服务器是否还在运行,它还要检查服务器的性能状态。也就是说,如果一台服务器负载过重,发进来的请求就会被转发到其他机器上以保证负载在所有能够获得的资源里均衡分配了。第三代负载均衡产品覆盖了整个内容分发系统。随着Web和网络服务变得越来越成熟,仅仅监视Web服务器的某一层是远远不够的。如果一个Web主机非常健康,但是它的后台服务器或/和应用有问题的话,把请求发给这台主机也是毫无意义的。新的服务,比如在线销售,都已经开始使用多层服务器来管理内容、数据库和事务处理引擎。由于电子商务目前已经关系到客户的钱,这就要求我们必须保证能够为客户提供尽可能好的性能和可靠性。因此,负载均衡厂商开发了第三代负载均衡产品以保证整个内容分发系统的健康、良好运行。不仅处理网络和服务器性能问题,还能够根据前台请求和后台内容来分配资源,会识别请求,然后把该请求挂起,直到所请求内容已经准备好了,这叫做delayedbinding。这种能够识别内容的路由非常有用,服务器集群可以为特定的应用(比如CGI、流媒体、cookie服务等等)进行调整,而且负载均衡会处理并分发所有的请求到保持连接的客户端。四、结束语负载均衡只是一个策略,负载均衡技术实现的方法根据系统的软硬件不同而有所区别,有通用方法也有专用方法,有的网络系统还为此提供了专门的服务,负载均衡技术最终目的是减轻单个主机服务器的负载压力,但不能牺牲网络其他方面的性能。而对于我们校园网为基础的教育网站,可能涉及到多方面的网络应用,各种办公业务都往上迁移,所传送不仅是一般的文本信息,还有很多视频和语音。如远程教学方兴未艾,不少院校都在全国各地设立网络教学点,进行远程教学和在线辅导,各个站点都必须能够同网络教学中心进行实时交流,在这种情况下,势必也会产生大量并发访问,因此要求网络中心服务器必须具备提供大量并发访问服务的能力,这样,网络中心服务器的处理能力和I/O能力已经成为提供服务的瓶颈,如果客户的增多导致通信量超出了服务器能承受的范围,那么其结果必然是服务器无法提供服务,所以要对我们的校园网络进行统筹规划,应该根据实际需求来选择能够满足应用的负载均衡方案,解决我们面临的问题。参考文献1E.Kata,M.Butler,andR.McGrath.AscalableHTTPserverthencsaprototype.ComputerNetworksandISDNsystems,1994.Vol27,P155-1642RalfS.Engelschall.LoadBalancingYourWebSite.WebTechniquesMagazine(http//www.WebTechniques.com),May1998,vol.3,iss.5
客服QQ:30444492琼网文【2021】1550-113号
增值电信业务经营许可证:琼B2-20210322
出版物经营许可证:新出发龙华出字第(2021)009号
广播电视节目制作经营许可证:(琼)字第00779号
版权所有 ©2002-2024 期刊网 琼ICP备2021005105号
