基于蜜罐技术的DDoS攻击防御研究

第 3 8 卷第 6 期

软件 2017,V〇1.38,No. 6国际 IT 传媒品牌

COMPUTER ENGINEERING & SOFTWARE

基金项玛办文

基于蜜罐技术的DDoS攻击防御研究

张宝全u，周枫\\黄祖源2

(1.昆明理工大学信息工程与自动化学院，云南昆明650500;

2.云南电网有限责任公司信息中心，云南昆明650217)

摘要：网络信息技术的高速发展，给我们带来很大便利的同时也伴随了各种信息安全问题，其中DDoS就是

一种常见的危害严重且难于预防的网絡攻击模式，能够短时间内产生洪峰攻击导致服务器因资源耗尽而终止服务。 因此已经成为信息安全研究中亟待解决的难题。基于蜜罐技术的DDoS攻击的防御机制，该机制既不需要动员普通 电脑用户参与，也不需要ISP服务商支持与配合，只需添加一个蜜罐服务器即可达到比较理想的防御效果。基于蜜 罐技术的DDoS攻击的防御技术的原理是通过重定向器重定向黑客对真实服务器的攻击到蜜罐系统中并由蜜罐记录 攻击行为数据，为后续制定防御措施提供重要资料。实验中，通过Honeyd开源软件包搭建了虚拟蜜罐系统用于Web 服务器DDoS攻击的防御，并对该模型的工作原理做了详细的介绍。

关键词：信息安全；DDoS;中图分类号：TP393.08

蜜罐技术；网絡攻击；网絡防御

DOI: 10.3969/j.issn.l003-6970.2017.06.005

文献标识码：A

本文著录格式：张宝全，周枫，黄祖源.基于蜜罐技术的DDoS攻击防御研究[J].软件，2017, 38 (6): 24-29

A Research Based on Honeypot Technology to Defend DDoS Attacks

ZHANG Bao-quan1

ZHOU Feng1, HUANG Zu-yuan2

(1. Faculty of Information Engineering and Automation, Kunming University of Science and Technology, Kunming 650500, China;

2. Yunnan Power Grid Company Information Center, Kunming 650217, China)

【Abstract】：The rapid development of network information technology has brought us great convenience，but also accompanied by a variety of information security problems. DdoS (distributed denial of service attacks) is one of the network attack modes which serious harm and difficult to prevent, and it can generate flood attacks in a short period of time which result in service terminated due to resource exhaustion. Therefore，it has become an urgent problem to be solved in the research of information security. The defense mechanism of DDoS attacks based on honeypot tech­nology, which doesn^ need ordinary computer users to participate in and ISP services support and cooperation, and can achieve ideal defense effects with just the addition of a honeypot server. DDoS attack defense techniques based on honeypot works by redirector which redirects hacker attacks on the real server to the honeypot system and then honeypot system which records attacks behavior data, which provide important information for the subsequent es- tablishment of defensive measures. A virtual honeypot system for web server to defend DDoS attacks was built by open-source software Honeyd in our experiment, and the working principle of the model was introduced in detail.

【Key words】：Information security; DDoS; Honeypot technology; Network attacks; Network defense

〇 ^1^-

随着网络信息技术的快速发展，信息安全问题

之重。信息安全就是一场攻击方（黑客等）和防御方（网络安全管理员等）之间的博弈。

在各种网络攻击中，以DDoS攻击危害性最大也最难防御。DoS(Denial of Service,拒绝服务)攻击

也层出不穷。信息安全技术是整个信息技术的重中

基金项目：云南电网有限责任公司科技项目(YNKJXM00000257)

作者简介：张宝全(1991-)，男，云南曲靖人，硕士研究生，主要研究方向为信息安全、自然语言处理；周楓(1958-)，男，云南昆明人，

硕士，副教授，主要研究方向为数据挖掘、信息抽取；黄祖源(19-)，男，硕士，工程师，云南电网有限责任公司信息中心，长期从事信 息化工作。

通讯联系人：周枫(1958-),男，通信作者，云南昆明人，硕士，副教授，主要研究方向为数据挖掘、信息抽取。

张宝全等：基于蜜罐技术的DDoS攻击防御研究

是一种攻击者通过发送大量伪造请求消耗服务器资 源或网络带宽从而导致服务器或网络瘫痪的网络攻 击手段[1]。DoS—般是一对一的攻击，破坏程度低, 如果是多对一的攻击，破坏程度就会很高，那么目 标主机就很容易瘫痪，这就是所谓的DDoS攻击。

DDoS 是分布式拒绝服务(Distributed Denial of Ser- vice)攻击的英文缩写[2]。顾名思义，黑客用网络上

不穷，尽管它是网络空间中一种极其简单粗暴的攻 击方式，但却是让世界各大网站管理员谈虎色变的 话题。仅2016全年就发生了这7起严重的DDoS攻 击事件:（1 )暴雪DDoS攻击;（2 )珠宝店遭遇25000 个摄像头组成的僵尸网络攻击；（3) Anonymous组 织发起的“Operation Oplcarus”攻击；（4 )精准的NS1 攻击；（5 )五家俄罗斯银行遭遇DDoS攻击；（6 )

Mirai僵尸网络攻击KrebsonSecurity; ( 7 )美国大半

的已被攻破和控制的电脑作为“傀儡”，然后用为数 众多的分布在不同地理位置的“傀儡”主机对目标服 务器发动如同洪水猛兽般的大规模密集式攻击，使 得目标服务器系统资源或网络带宽被占用耗尽甚至 瘫痪以致不能为真正用户的正常请求提供服务。

近些年来大规模且破坏严重的DDoS攻击层出

表1

攻击源端

防御灵敏度低部署难度 优点 缺点

难于广泛部署

能防御伪源地址攻击；能最早发现攻击

普通用户安全防范意识不强，安全技术7jc平不够

中

个互联网下线事件[3_5]。

尽管DDoS攻击具备了分布式的特定，攻击强 度也强大了很多，但是我们并非对此就束手无策和 坐以待毙。目前应对DDoS攻击已有了很多方法， 可以从不同的位置进行防御，如表1所示[6]。

不同位置防御策略的比较

骨干网络过滤

高容易

攻击终端

Tab.l Comparison of different position defense strategies

代价大，需要ISP配合

能处理各种攻击，可以形成全网防御灵活轻便，性能较好

影响网速和上网体验；无法区分源地处理能力有限，只能防御针对本

址真伪 网络系统的攻击

本文提出了一种基于蜜罐技术的DDoS攻击防 御技术，有了如下改进：（1)本技术部署在受害服 务器端，不需要ISP的支持与配合，不依赖资源优 势和更多额外设备的支持。（2)本技术通过蜜罐技 术采集异常网络流量来检测被保护的服务器系统是 否受到DDoS攻击，不考虑源IP地址的真伪。（3) 蜜罐系统对攻击行为进行记录，远程存储的日志记 录对攻击行为的分析和防御措施的部署提供详细的 参考信息，甚至还可以对攻击取证提供法律证据。(4 )本技术采取判断重定向机制，能够识别、渗透 和分析这种机制，并以一种自动的、受控制的方式 处理访问请求，对访问行为进行重定向，攻击行为 由蜜罐系统处理，正常用户的访问由真实服务器处 理，保障了系统的可用性和可靠性。

无法为真正用户提供正常服务，即所谓的拒绝服务。“10 • 21美国网络瘫痪事件”就是由于黑客对Dyn 公司运营的根域名服务器发动了 DDoS攻击，使得 根域名服务器无法对正常网站提供DNS域名解析 服务，从而导致全美Twitter、纽约时报等主要网站 几乎都中断了服务。Dyn公司表示针对物联网智能 设备的被Mirai恶意程序感染的僵尸网络可能就是 发起该DDoS估计的罪魁祸首，这是有组织有预谋 的大规模网络攻击行为，来自千万数量级的IP地址

(tens of millions of IP addresses at the same time)参

与了攻击。图1是Twitter网站状态历史记录，大规 模的DDoS攻击最终使得网站瘫痪、无法访问[7]。

(2 )攻击影响范围大。DDoS攻击的目标种类 繁多，可以是各大门户网站、政务网站、企事 业单位网站或域名解析服务器。“1(^21美国网络 瘫痪事件”几乎导致整个北美网络瘫疾，如图2红 色部分区域用户表示他们无法访问网站[8]。

(3 )攻击源分布式。DDoS不同于DoS之处就 是DoS是一对一的映射，而DDoS是多对一的映射， 攻击源可能位于网络中的不同节点位置和不同的地 理位置。特别是僵尸网络发起的DDoS攻击，其僵 尸主机遍布全球各地。攻击者从多个攻击源对目标 服务器发动攻击。

25

《软件》杂志欢迎推荐投稿：cosoft@vip.163.com

1 DDoS攻击特点分析

通过对近年来大规模的破坏严重的DDoS攻击 细致的分析，可以得出DDoS攻击有以下主要特点：

(1 )攻击规模强度大。由于黑客利用被攻陷的 众多傀儡主机或“僵尸网络”同时对目标服务器进行 攻击，将汇聚形成巨大的攻击洪流，短时间内即可 达到目标服务器的处理容量上限，导致目标服务器

第38卷第6期软 件

蜜罐是英文Honeypot的意译，蜜罐类似“诱饵” 或“陷阱”，好比一个情报收集系统，故意引诱攻击 者来攻击[9_12]。并对黑客攻击行为进行详细的记录， 可以得知系统的漏洞和黑客的攻击过程，窃听黑客 之间的联系，收集黑客所用的攻击工具和手段，以 便进行下一步对真实服务器的防御部署。蜜罐就是 网络管理员经过精心设计的“黑匣子”，看似漏洞百 出却尽在掌握之中，主要目的就是收集攻击者的人 侵数据，提取有价值的数据然后通过分析工具对这 些数据解读和分析最后得出结论用于下一步的安全 防御。设计蜜罐的初衷就是让黑客入侵，其价值就 在于被探测、被攻击和被威胁。网络安全管理员可 以对蜜罐采集的信息分析处理，然后打人黑客控制 的僵尸网络内部，获取重要的攻击防御信息，切断

图1 Twitter网站状态记录

黑客的远程控制机制，最终把攻击行为消灭于无形。

蜜罐系统有这些功能：阻止、推测和记录、响应。(1 )阻止。蜜罐系统能够有效的阻止多种攻击。 例如，能够创建tarpit系统降低诸如懦虫发动的

TCP/IP自动工具。蜜罐系统也可以设置欺骗系统给

Fig.l Site status record of Twitter

黑客造成假象，迷惑和阻止黑客的攻击行为。(2) 探测和记录。当目标服务器被攻击时，蜜 罐系统必须要探测出入侵行为，并尽可能详尽的如 实记录攻击行为，可以附带报警机制。(3) 响应。倘若攻击行为发生，关键的一步就 是收据证据——

攻击者何时何地干了何事。这是至

关重要的，涉及到防御措施部署和法律取证问题， 没有证据，一切只是纸上谈兵。蜜罐系统还需要判

areas on 21,Oct

(4)

定攻击者是否留下了后门或者修改了关键信息以及 有没有以蜜罐服务器为跳板渗透到网络中。必要的 响正常的用户访问行为。

时候可以将蜜罐服务器迅速关闭做分析，而不会影 攻击行为匿名。一般来说，攻击者为了隐

藏身份，通常会随机伪造源地址，通常会控制一个 大型的僵尸网络向目标服务器发动攻击。

(5) 反侦探技术强。攻击者进行攻击行为后，一般会篡改或者删除服务器日志记录，让防御者防 不胜防。

2.2蜜罐工作模块和Honeyd软件包

蜜罐要迷惑黑客并完成相应任务绝非易事，必 须要解决伪装逼真、适度控制、信息采集记录三大 难题，这样才不易被黑客识破并能完成任务。总而 言之，蜜罐系统包含这4个模块：伪装模块、信息 采集模块、风险控制模块、数据分析模块。

伪装模块：要使蜜罐以假乱真，黑客才会对其 进行攻击，所以蜜罐要逼真的伪装，尽可能的像真 实服务器。最好的伪装方法是将修改过敏感信息的 工作系统的数据直接拷贝到蜜罐服务器上，对关键 的信息如用户口令等用虚假信息替换。

信息采集模块：蜜罐系统的关键作用就是信息 采集记录和分析，所以要尽可能详尽的采集黑客人 侵攻击行为，完整的记录黑客攻击的整个过程。特 别是蜜罐服务器与攻击源主机进行信息交互时，可

26

2蜜罐技术分析

2.1蜜罐技术

网络信息安全如此糟糕，究其根源就是攻击者 与防御者之间在进行着一场不对称的攻防博弈，攻 击者肆意而为，而防御者必须确保系统整体的安全 性能，最为可怕的是防御者即使在被攻陷后还很难 了解攻击者的来源、攻击方法和攻击目标。而蜜罐 技术可以捕获黑客的攻击行为，并对深入分析和研 究黑客攻击行为提供了资料和证据。

《软件》杂志欢迎推荐投稿：cosoft@vip.163.com

张宝全等：基于蜜罐技术的DDoS攻击防御研究

以用Sniffer抓包软件把进出蜜罐系统的每一个数据 包记录下来，这些信息对后续的分析非常有用。

风险控制模块：蜜罐的价值就在于引诱黑客攻 击，只有被探测、攻击、利用的时候才能收集到攻 击信息，从而实现蜜罐的价值。但是在引入蜜罐系 统的时候如果风险控制不当，可能会对真实服务器 产生潜在的危险，这是我们必须加以控制的。比如 将蜜罐系统与真实工作系统做相应的隔离，放置于 不同的DMZ区（Demilitarized Zone,非军事区），达 到信息过滤的作用，以保障真实工作系统的信息安全。

数据分析模块：对采集记录下来的信息进行分 析，区分开入侵到系统的黑客和正常访问的用户。 对黑客的扫描、入侵、攻击行为进行分析，确定黑 客的所作所为，包含攻击用的手段和工具等，然后 将分析得出的结论用于下一步的防御部署之中。

Honeyd是一款优秀的虚拟蜜罐（virtual honeypot) 软件[13_15]。虚拟蜜罐就是指一种快速的方式在一个 物理服务器上配置若干个蜜罐。虚拟蜜罐软件可以 模仿IP堆栈、操作系统以及真实系统的应用程序， 使得在网络上看起来就像运行着某种操作系统的真 实系统。虚拟蜜罐系统建立好后，在它被攻陷之后 很容易重新建立和再次使用。Honeyd可以用一台主 机在局域网中模拟出多个不同的地址满足实验环境 的要求，并且所有的虚拟主机皆可ping通，通过设 置和修改配置文件可以虚拟运行各种服务。Honeyd 可被用来模仿成千上万的系统，每个系统使用不同 的端口和不同的IP地址，可以组建成蜜网（Honeynet) 系统，大大减少了费用开支[16_18]。

Honeyd是一种轻量级的守护程序，它能够产生

所示。重定向器中安装好人侵检测系统（intrusion

detection system，IDS)。下面详细说明该模型主要

模块的作用和整体工作原理。

尸醜/

傀儡主机

图3原始网络拓扑结构

Fig.3 The original network topology

重定向器：主要功能是监测和鉴定正常访问行 为和恶意攻击行为。它对任何访问者都是不可见的， 其中安装好IDS。检测方法主要有基于异常流量的 检测和基于特征匹配的检测，在异常入侵检测系统 中常常采用以下几种检测方法：

(1) 基于贝叶斯推理检测法；(2) 基于特征选择检测法；(3) 基于模式预测的检测法；(4) 基于统计的异常检测法；(5) 基于机器学习检测法；(6) 数据挖掘检测法；

(7) 基于应用模式的异常检测法；(8 )基于文本分类的异常检测法；(9)基于黑名单/白名单的异常检测法。如果鉴定为正常访问行为，则不用重定向，由真实服务器响应请求，其网络拓扑结构同原始网络 结构一样，对正常的网络通信没有明显的影响，从 而保障重要客户的访问行为。但是，如果鉴定为恶 意攻击行为，重定向器则激活重定向机制，网络拓

扑结构就变成图4所示，将访问行为重定向至蜜罐 子网中。重定向器只是在重定向的时候消耗少量的 系统资源，故不会对Web网站产生较大的负载影响。

27

《软件》杂志欢迎推荐投稿：cosoft@vip.163.com

为数众多的虚拟主机，可以对虚拟主机进行配置以 提供个性化的服务，系统特征也是与配置参数相适 应的，以至于看起来就像真实的系统在运行[19_2' 在一个局域网的网络仿真中，Honeyd能够使单个主 机拥有多达65536个IP地址[21]。Honeyd通过把真 实的系统隐藏在虚拟的系统中，达到了阻止黑客攻 击的目的，确保了真实系统的安全性。

3基于蜜罐技术的DDoS攻击的防御模型

3.1本模型框架设计

本文提出了一个适用于Web网站服务器防御

DDoS攻击的模型。我们假设该Web网站原始拓扑

结构如图3所示。

为了保护Web服务器免受黑客DDoS攻击，我 们对该网络拓扑结构做一些改动。添加关键设备蜜 罐子网，然后增加辅助设备网关重定向器，如图4

第38卷第6期软 件

蜜罐：模型中的蜜罐起着至关重要的作用，是 一个陷阱诱捕机制。引诱黑客攻击蜜罐，从而稀释 攻击真实服务器的流量，同时记录黑客的攻击过程。 在该模型中，将蜜罐服务器的连接超时时间、同时 允许打开的半连接数的值设置为0。这样，很多请 求会在短时间内丢弃，蜜罐服务器资源就不容易被 占用消耗殆尽，可以承受大量的攻击流。对于重定 向器鉴定的恶意攻击行为被重定向至蜜罐子网中 后，日志详尽的记录下这些攻击信息。有了这些攻 击信息，我们可以对症下药，部署防御措施。本模 型选用的蜜罐系统是Honeyd。Honeyd是一款用于搭 建虚拟蜜罐的开源软件,其在一台物理主机虚拟出多 个操作系统并配置不同地址的虚拟技术使他们看起 来就像是运行在某个特定操纵系统上一样，在掩护真 实服务器的同时又设置了一个引诱黑客的陷阱，是比 较流行的蜜罐/蜜网程序。Honeyd不仅为我们的方案 节省了开支，也可以让我们根据需要添加功能。

表示目的主机IP地址；“24”表示子网掩码为24位 长，即子网掩码为255.255.255.0; “80”表示端口号； “itype:1000”表示测试ICMP的type字段的值; “msg”定义了要包含在警告信息中的文本。

然后我们在snort转发规则中加入下列转发判 断语句。

REDIR(*message) {

while message==”DDoS attack”；{ifIP=IPl then DIRECT; ifIP=IP2then DIRECT;else REDIRECT;}

}

变量message由alert语句中msg赋值，IP 1、

IP2......是重定向白名单中的IP地址，如果源地址

不在白名单里，则重定向到蜜罐子网，由蜜罐子网 处理攻击行为。

4.2蜜罐服务器配置

我们把真实Web服务器内容拷贝到蜜罐中，然 后修改和替换其中敏感和重要的信息，最终达到迷

3.2技术要点

整个模型还要保证能够实现以下几个技术要点：(1)

惑攻击者的目的。

攻击流必须主动地被引人蜜罐子网中。主

实验中需要用到Honeyd软件包，Honeyd不能

要靠重定向器完成，其中安装好入侵检测系统snort。

运行，需要三个函数库作为配套，libenvent，

(2) 不能中断对主要客户的服务，还是靠重定

libdnet，libdcap[22]。Honeyd的库有很多，所以编译

向器实现。

和安装Honeyd比较难。大略步骤是先安装libpcap

(3 )蜜罐系统的日志记录必须做到安全可信。

包、libdnet包、libevent包，最后再安装Honeyd包。

可以通过日志远程安全存储保障。

这样就完成Honeyd的安装。

(4)必须要严格控制攻击者利用蜜罐子网发起

然后对虚拟蜜罐配置，通过合理的使用create,

对第三方的攻击，可以把蜜罐子网和服务器子网隔

set,add,bind指令创建一个虚拟的操作系统，并绑定

离，服务器放置在单独的DMZ区。

IP地址。然后对路由拓扑配置，有了这些配置，我

4防御模型的实施

们就可以通过“#./Honeyd -f Honeyd.conf’指令启动

Honeyd 程序。

4.1攻击重定向技术实现

攻击重定向技术是实现该防御模型的关键技术

之一。我们需要安装和配置好snort开源软件包。为 了安全性，我们只需要打开Web服务器的www服务 的80端口即可。然后在snort规则语句中加人该语句：

alert tcp any any -> 222.197.198.143/24 80 (itype:

在蜜罐子网中，我们要防止蜜罐子网被黑客攻 陷沦为“跳板”进行下一步攻击，必须做好访问控制。 访问控制可以通过编写好的脚本将蜜罐子网内的全 部外出访问请求都过滤掉，从而防止蜜罐子网被攻 陷沦为“跳板”攻击第三方。

4.3远程日志存储功能的实现

通过把日志记录远程存储，确保日志记录不会 被黑客篡改和删除。由于远程日志只能由网络安全 管理员访问，普通用户和攻击者无法访问，安全性 是可以保证的。当黑客攻击行为被引诱到蜜罐服务 器中时，日志详细的记录了黑客的所作所为。由于

蜜罐服务器端是Unix域套接字，而远程日志存储需 要TCP套接字通信，两者速度并不一致，需要缓冲 技术，如图5所示，日志记录通过缓冲区安全的传 送到远程日志存储服务器中存储。

28

10000; msg \"DDoS attack\";)

这条语句的意思是对来自于任何源IP地址和 任何端口传送到主机地址为222.197.198.143的80 端口的服务器的TCP连接，如果毎秒的连接请求次 数大于一万次，则鉴定其为DDoS攻击。语句从左 到右逐次解释如下，语句头部分的“alert”生成一 个警报并记录下来；“tcp”是协议类型；两个连续的 “any”，前一个表示任意IP地址，后一个表示任意 端口号；

表示请求方向；“222.197.198.143”

《软件》杂志欢迎推荐投稿：cosoft@vip. 163 .com

张宝全等：基于蜜罐技术的DDoS攻击防御研究

[3]

Greengard S. The war against botnets [J]. Communications of the Acm, 2012, 55(2): 16-18.

[4] Yuan J, Mills K. Monitoring the Macroscopic Effect of DDoS

Flooding Attacks[J]. IEEE Transactions on Dependable & Se­cure Computing, 2005, 2(4): 324-335.

[5] Yeasir M, Morshed M, Fakrul M. A Practical Approach and

Mitigation Techniques on Application Layer DDoS Attack in Web Server[J]. Rivista Di Ortoflorofrutticoltura Italiana, 2015,48(6): 507-518.

[6] Yu S, Tian Y, Guo S, et al. Can We Beat DDoS Attacks in

Clouds?[J]. IEEE Transactions on Parallel & Distributed Systems, 2014, 25(9): 2245-22.

[7] Rossow C. Amplification Hell: Revisiting Network Protocols

for DDoS Abuse[C]//Network and Distributed System Secu­rity Symposium. 2014.

[8] Zhou W, Jia W, Wen S, et al. Detection and defense of

application-layer DDoS attacks in backbone web traffic[J]. Future Generation Computer Systems, 2014, 38(3): 36-46.[9] Kwon Y J. A Survey on Defense Mechanism against Distrib­

uted Denial of Service (DDoS) Attacks in Control System[J]. 2015, 1(1): 55-59.

[10] Yan Q, Yu F R. Distributed denial of service attacks in

software-defined networking with cloud computing [J]. Communications Magazine IEEE, 2015, 53(4): 52-59.

[11] Apiecionek L, Czerniak J M, Zarzycki H. Protection Tool for

Distributed Denial of Services Attack[J]. Communications in Computer & Information Science, 2014, 424: 405-414.

[12] Sahu S S, Pandey M. Distributed Denial of Service Attacks:

A Review[J]. International Journal of Modem Education & Computer Science, 2014, 6(1).[13] 何祥锋.浅谈蜜罐技术在网络安全中的应用[J].网络安全

技术与应用,2014(1): 88-.

He Xiangfeng. The application of honeypot technology in network security[J]. Network Security Technology & Appli­cation, 2014(1): 88-.

[14] Veiga A D, Martins N. Improving the information security

culture through monitoring and implementation actions illustrated through a case study [J]. Computers & Security, 2015, 49(C): 162-176.[15] 孙中廷.蜜罐技术在网络安全系统中的应用与研究[J].计

算机与网络,2014(17): 69-72.

Sun Zhongting. The application and research of honeypot technology in network security system[J]. Computer & Net­work, 2014(17): 69-72.

[16] Fan W, Du Z, Fernandez D. Taxonomy of honeynet solu­

tions [C]//Sai Intelligent Systems Conference. IEEE, 2015.

[17] Sokol P. Legal issues of honeynet's generations[C]//Intemational

Conference on Electronics, Computers and Artificial Intelli­gence. IEEE, 2015: 63-69.[18] 徐晓玲，刘卫，崔伟.基于蜜罐技术的校园网安全系统的

设计与实现[J].网络安全技术与应用，2014(6): 71-71.

Xu xiaoling, liu wei, cui wei. Design and implementation of the campus network security system based on honeypot technology [J]. Network Security Technology & Application, 2014(6): 71-71.

[19] Fan W, Fernandez D, Du Z. Adaptive and Flexible Virtual

Honeynet[C]//Mspn. 2015.

[20] Whelpton F. Technology Independent Honeynet Description

Language[C]//International Conference on Model-Driven Engineering and Software Development. IEEE, 2015: 303-311.[21] Nazareth D L, Choi J. A system dynamics model for information

security management^J]. Information & Management，2015, 52(1): 123-134.

[22] Cabaj K. HoneyPot systems in practice [J]. Przeglad Elektro-

techniczny, 2015, 1(2): 65-69.29

《软件》杂志欢迎推荐投稿：cosoft@vip.163.com

蜜罐服务器 远程日志存储服务器

图5远程日志存储

Fig.5 Remote log storage

4.4模块主流程

整个模块以守护进程（Daemon)的方式脱离终 端控制始终在后台运彳了，不会被终端中断。王流程 分5步：

(1 ) Init daemon

初始化，使程序以守护进程方式运行；(2) Int_program

初始化程序全局变量；(3 ) Cterat send thread

创建新的线程并与远程数据中心建立连接；(4) Int_unix_socket

创建Unix的数据包套接字；(5 ) Recv_process_log

接收和保存Honeyd发送的日志记录。

5结束语

本文分析了信息安全领域中最常见且破坏严重

的DDoS攻击，然后提出了一^种基于蜜罐诱捕技术 的应对DDoS攻击的防御模型，该模型只需要部署 在目标服务器端，简单易行。本模型采取蜜罐技术 记录了攻击行为特征并远程存储日志记录，对DDoS 攻击的分析及防御部署非常有用。本模型采取重定 向技术，使正常访问请求转发到真实服务器中处理， 异常攻击则重定向到蜜罐子网处理，保证了真实服 务器的可用性和可靠性。本模型还采用了访问控制技 术，蜜罐系统流出请求被过滤，远程日志服务器只 能由安全管理员访问，确保了在引入蜜罐技术的同时 不会带来新的潜在威胁。最后通过Honeyd软件包搭 建了该模型的虚拟蜜罐，并实施了该模型的防御功能。

但是，本模型也存在一些不足之处。一是没有 考虑到源IP地址的真伪；二是重定向器可能对正常 访问行为和恶意攻击行为会存在误判，这是我们后 续研究的重点。

参考文献

[1] [2]

Bhattacharyya D K, Kalita J K. Network Anomaly Detection:

A Machine Learning Perspective[J]. Crc Press, 2013.

Stone-Gross B, Cova M, Gilbert B, et al. Analysis of a Botnet Takeover[J]. IEEE Security and Privacy, 2011, 9(1): -72.