付強　劉青華

摘要：蜜罐是一種新型的主動防御的網(wǎng)絡(luò)安全技術(shù)，該技術(shù)目前已經(jīng)成為誘騙攻擊者非常有效實用的方法。文章闡述了蜜罐技術(shù)的定義、分類、發(fā)展情況以及主要技術(shù)，介紹了蜜罐技術(shù)在網(wǎng)絡(luò)信息安全領(lǐng)域的應(yīng)用。

關(guān)鍵詞：蜜罐技術(shù)；主動防御；網(wǎng)絡(luò)安全技術(shù)；信息安全；互聯(lián)網(wǎng)技術(shù) 文獻標(biāo)識碼：A

中圖分類號：TP309 文章編號：1009-2374（2016）30-0060-03 DOI：10.13535/j.cnki.11-4406/n.2016.30.029

社會經(jīng)濟的快速發(fā)展下，使得互聯(lián)網(wǎng)技術(shù)得到較大的進步，而網(wǎng)絡(luò)信息的安全問題也逐漸成為了人們共同關(guān)注的內(nèi)容。人們多通過防御網(wǎng)絡(luò)，對以往的傳統(tǒng)技術(shù)實行攻擊，具體包括防火墻和入侵檢測技術(shù)、加密及數(shù)據(jù)恢復(fù)技術(shù)等。上述的技術(shù)均為被動式的防護模式，而蜜罐（Honeypot）技術(shù)屬于新型主動網(wǎng)絡(luò)信息中的安全防御技術(shù)，這項技術(shù)可有效地改善以往防護技術(shù)的紕漏。實際運行蜜罐時，通常使其偽裝成一個看似有利用價值的網(wǎng)絡(luò)、數(shù)據(jù)、電腦系統(tǒng)等，并且故意設(shè)置了可被利用的Bug或者系統(tǒng)漏洞，來吸引目標(biāo)的攻擊。因為我們的蜜罐實質(zhì)并沒有提供有價值的服務(wù)，所以任何對蜜罐的訪問嘗試操作都是可疑的，通過蜜罐中的監(jiān)控軟件，我們可以監(jiān)控到入侵者的行為，收集其入侵信息，并快速做出反制操作。蜜罐還可以拖延入侵者攻擊行為，讓他在蜜罐上消耗大量的時間等，所以蜜罐作為主動防御技術(shù)，對于日后網(wǎng)絡(luò)信息安全，可發(fā)揮不可或缺的作用。

1 蜜罐技術(shù)的基本含義

1.1 蜜罐技術(shù)概述

蜜罐即為情報收集的系統(tǒng)，屬于誘騙系統(tǒng)的范圍，同時亦為安全資源類的系統(tǒng)。蜜罐的監(jiān)控較為嚴格，它可以引誘入侵者前來攻擊，當(dāng)蜜罐被入侵者攻擊后，通過監(jiān)控我們就能知道他是如何發(fā)起攻擊的，我們就可以掌握其攻擊手法，掌握入侵者所使用的攻擊手段，分析其攻擊手段后對其他重要設(shè)備進行布防，以達到安全防護的目的。我們還可以竊聽入侵者之間的聯(lián)系，收集入侵者所使用的工具，逐漸掌握他們的溝通流程等。

1.2 蜜罐分類的統(tǒng)計

1.2.1 實系統(tǒng)蜜罐類型。實系統(tǒng)蜜罐，主要使用的真實存在的設(shè)備，其所利用的系統(tǒng)均為真實的，通常該系統(tǒng)具有真實的高?？梢岳玫穆┒?，系統(tǒng)完成基本的安裝后，不需實行其他SP補丁的安裝，僅將值得研究的漏洞保留即可。然后把該蜜罐接入到互聯(lián)網(wǎng)上，根據(jù)當(dāng)前的互聯(lián)網(wǎng)形勢實行分析，蜜罐能夠在較短的時間將目標(biāo)吸引并攻擊。經(jīng)實系統(tǒng)蜜罐上的運行監(jiān)控程序，我們可以記錄下最真實的入侵信息，入侵者的一舉一動都可以被記錄在案。但同時它也是最危險的，因為入侵者的所有入侵操作都是真實的，蜜罐設(shè)備都會做出相應(yīng)的響應(yīng)，如被溢出攻擊、滲透提權(quán)等。

1.2.2 偽系統(tǒng)蜜罐。偽系統(tǒng)蜜罐即在一個真實的系統(tǒng)環(huán)境下，所運行的搭建模擬漏洞環(huán)境，從而能構(gòu)建出不屬于自身系統(tǒng)平臺的漏洞。但是若入侵人員入侵上述的漏洞，需在相同的程序下加以合理的操作，并不會對真實的系統(tǒng)產(chǎn)生影響，即使是入侵成功了，也沒有可以讓漏洞成立的條件。

如何搭建一個偽系統(tǒng)蜜罐呢，在Windows系統(tǒng)下，我們可以通過虛擬機軟件輕松搭建一套偽蜜罐系統(tǒng)。這個蜜罐的優(yōu)勢：能夠最大限度地避免被入侵、被破壞，也可以模擬不存在的漏洞。當(dāng)然也有壞處，因為一個聰明的入侵者只需要簡單的判斷就可以識破偽裝。

1.3 蜜罐的優(yōu)勢、劣勢

1.3.1 蜜罐系統(tǒng)優(yōu)勢。蜜罐系統(tǒng)最主要的優(yōu)勢為，能夠有效地減少分析數(shù)據(jù)的總量，通常對于網(wǎng)站服務(wù)器或者是郵件服務(wù)器，攻擊流量占總流量的比例非常小，在分析數(shù)據(jù)的時候往往需要在巨量的數(shù)據(jù)里面分析出異常流量，這必然就增加了數(shù)據(jù)分析的難度。而蜜罐進出的流量大部分是攻擊流量，目的性強，中間截獲的數(shù)據(jù)價值高，這樣瀏覽數(shù)據(jù)，查明攻擊者的實際行動也就容易多了。通過分析總結(jié)，可以得到入侵者的行為特征，建立安全行為特征庫。

1.3.2 蜜罐系統(tǒng)的缺點。蜜罐技術(shù)也有自己的局限性，蜜罐只能監(jiān)視入侵者對蜜罐本身的行為。不能監(jiān)控到其所在網(wǎng)絡(luò)入侵行為，蜜罐不會像防火墻直接對漏洞實行防護。部署蜜罐也有安全風(fēng)險，如果入侵者掌控了蜜罐服務(wù)器，那么下一步動作就可能是以蜜罐作為跳板對其他系統(tǒng)進行入侵。

1.4 蜜罐技術(shù)的發(fā)展現(xiàn)狀分析

20世紀90年代初，蜜罐技術(shù)就經(jīng)歷了欺騙系統(tǒng)、蜜罐和密網(wǎng)、虛擬蜜網(wǎng)等，不同階段的發(fā)展。其中欺騙系統(tǒng)，即為經(jīng)欺騙目標(biāo)入侵的動作，實現(xiàn)追蹤入侵人員行為的目的，并可對系統(tǒng)實行全面的保護。蜜罐階段，即為從DTK欺騙工具包——Honeypot起步，并發(fā)展起來的，其中不乏有一些商業(yè)的蜜罐產(chǎn)品。蜜網(wǎng)階段是在蜜罐技術(shù)之上逐漸發(fā)展起來的，它本身就是一個網(wǎng)絡(luò)體系架構(gòu)，在網(wǎng)絡(luò)體系內(nèi)運用多種工具收集入侵者信息，同時也提高了網(wǎng)絡(luò)的可控性。虛擬蜜網(wǎng)是利用虛擬計算機技術(shù)組建而成的一套網(wǎng)絡(luò)系統(tǒng)。這樣可有效實現(xiàn)降低蜜網(wǎng)設(shè)計成本的目的，并可實行維護、管理。

2 蜜罐主要的操作方法

常見的蜜罐，主要是對網(wǎng)絡(luò)欺騙、數(shù)據(jù)捕獲和數(shù)據(jù)控制、數(shù)據(jù)分析以及端口重定向等實行操作。

2.1 網(wǎng)絡(luò)欺騙的方式

欺騙，為蜜罐實現(xiàn)的根本手段，利用蜜罐系統(tǒng)的安全弱點和漏洞，通過各式各樣的欺騙手段，引誘入侵者進行攻擊。從一個蜜罐的欺騙手段高低可以判斷這個蜜罐系統(tǒng)是否具有價值，設(shè)置一個網(wǎng)絡(luò)欺騙手段非常強的蜜罐系統(tǒng)，就可以充分的發(fā)揮其價值，同時也很難被入侵這感知。目前常用的欺騙手段包括服務(wù)端口模擬、網(wǎng)絡(luò)動態(tài)配置、服務(wù)器信息隱藏和系統(tǒng)漏洞模擬、IP流量模擬以及系統(tǒng)應(yīng)用模擬等。

2.2 數(shù)據(jù)捕獲的方式

捕獲數(shù)據(jù)信息，屬于蜜罐設(shè)計中的核心功能。其基本的作用機制為：在入侵者進行非法操作的時候記錄其行為軌跡，在捕捉信息的過程中不會被入侵者發(fā)覺。最基礎(chǔ)的就是對系統(tǒng)日志獲取情況，實行全面、深入的分析。這種方式獲取信息，信息的數(shù)量會受到一定限制。同時還可以采取利用防火墻/入侵檢測設(shè)備，獲取相關(guān)的數(shù)據(jù)信息。經(jīng)防火墻的方式，獲取入侵人員進到蜜罐系統(tǒng)的日志，利用入侵檢測設(shè)備獲取入侵者對蜜罐系統(tǒng)的所有行為數(shù)據(jù)包，通過入侵者在蜜罐系統(tǒng)所執(zhí)行的命令，所查看過的文件，屏幕顯示過的信息等。最后將獲取到的信息通過網(wǎng)絡(luò)連接發(fā)送到遠程服務(wù)器上保存，避免被入侵者發(fā)現(xiàn)。

2.3 數(shù)據(jù)控制

入侵者在成功入侵設(shè)備后，有可能以設(shè)備為跳板進行其他操作，為了其他設(shè)備以及蜜罐系統(tǒng)本身的安全，防止入侵者將蜜罐作為跳板。我們必須對蜜罐系統(tǒng)的數(shù)據(jù)流量進行限制，在同時也不能讓入侵者產(chǎn)生懷疑。在防火墻上我們可以配置網(wǎng)絡(luò)進出的連接，通過屏蔽不需要的連接進行控制。通過路由器我們可以控制進出的流量，保證數(shù)據(jù)包的可控。

2.4 數(shù)據(jù)分析

在成功獲取到入侵者在蜜罐系統(tǒng)中的非法行為以及操作之后，需對研究人捕獲的相關(guān)數(shù)據(jù)加以嚴格的分析，進而獲得有利的信息。數(shù)據(jù)的分析屬于蜜罐技術(shù)中當(dāng)前需要突破的難題，將手機獲取的相關(guān)訊息，實行關(guān)聯(lián)分析。利用數(shù)據(jù)，了解入侵人員于蜜罐系統(tǒng)中的所有活動以及鍵盤命令和使用工具、攻擊目的等，進而構(gòu)建入侵人員行為數(shù)據(jù)的統(tǒng)計模型。

3 蜜罐在網(wǎng)絡(luò)信息安全領(lǐng)域中的應(yīng)用

3.1 蜜罐的網(wǎng)絡(luò)部署

對于蜜罐系統(tǒng)的網(wǎng)絡(luò)部署相對來說比較簡單，安裝一臺操作系統(tǒng)機器，不安裝系統(tǒng)補丁程序，將設(shè)備連接于互聯(lián)網(wǎng)，完成蜜罐系統(tǒng)部署操作。還可以利用虛擬機技術(shù)來實現(xiàn)一臺虛擬機連接到互聯(lián)網(wǎng)上。一般的網(wǎng)絡(luò)拓撲中都會有防火墻，蜜罐系統(tǒng)可以放置在防火墻之前也可以放置在防火墻之后，放在不相同的位置也會得到不一樣的結(jié)果。如果把蜜罐系統(tǒng)設(shè)置于防火墻前，蜜罐會吸引較多的掃描攻擊。利用蜜罐自身，將攻擊信息實行準確的記錄，防火墻內(nèi)部的其他設(shè)備不會產(chǎn)生任何影響，也不用在防火墻上配置關(guān)于蜜罐系統(tǒng)的任何策略，不會給內(nèi)部其他設(shè)備增加新的風(fēng)險。但是如果入侵者來自內(nèi)部，則無法獲取對應(yīng)的入侵行為。如果將蜜罐系統(tǒng)部署在防火墻內(nèi)部，則可以收集到內(nèi)部入侵信息，還可以收集到透過防火墻的入侵行為，但是需要對防火墻實行有效的調(diào)整。若蜜罐系統(tǒng)被外部入侵，這對于整個內(nèi)網(wǎng)的信息安全無疑會構(gòu)成嚴重的危害。

3.2 蜜罐系統(tǒng)、入侵檢測系統(tǒng)

在過去入侵檢測系統(tǒng)使用過程中，在系統(tǒng)受到攻擊后，需結(jié)合攻擊行為實行嚴格的特征分析。和特征庫比對后，若入侵行為能夠滿足特征庫的條件，系統(tǒng)會做出相關(guān)的回應(yīng)。因此入侵的檢測系統(tǒng)特征庫，應(yīng)不斷更新以確保當(dāng)下最新入侵活動能夠被記錄下來。

蜜罐技術(shù)能從根本上規(guī)避上述的現(xiàn)象，經(jīng)蜜罐系統(tǒng)獲得入侵人員的行為信息，將信息傳遞于入侵檢測系統(tǒng)。經(jīng)入侵檢測系統(tǒng)，結(jié)合行為信息提取攻擊特征，最后將新的特征信息插入到特征庫，實現(xiàn)對入侵信息，檢測系統(tǒng)最新入侵方式、入侵目的檢測的效果。進而使得蜜罐系統(tǒng)與入侵檢測系統(tǒng)的配合能夠增加網(wǎng)絡(luò)防御

能力。

3.3 蜜罐、僵尸網(wǎng)絡(luò)系統(tǒng)

蜜罐系統(tǒng)，可對僵尸網(wǎng)絡(luò)加以合理的檢測，僵尸網(wǎng)絡(luò)具有分布式特點，一般多可發(fā)出攻擊性指令，蜜罐系統(tǒng)可以根據(jù)這個特點進行反向跟蹤與分析。我們搭建一個蜜罐系統(tǒng)，獲取僵尸網(wǎng)絡(luò)程序樣本，通過監(jiān)控流量與系統(tǒng)狀態(tài)等進行分析控制者的攻擊行為，可以知道黑客所攻擊的目標(biāo)，黑客經(jīng)常發(fā)動攻擊的時間以及他所使用的攻擊方式，通過逆向分析改程序樣本，從而得到僵尸程序控制端所在服務(wù)器的信息，通過這些信息可以快速地追蹤僵尸網(wǎng)絡(luò)，并獲取攻擊者信息。

3.4 蜜罐與郵件

目前郵件已經(jīng)成為企業(yè)工作交流以及日常信息傳遞的一種非常流行的溝通方式，但是黑客往往也通過郵件進行傳播木馬與病毒，這也是入侵者發(fā)起攻擊的一種手段。利用蜜罐技術(shù)還可以有效控制并防止垃圾郵件傳播。

3.5 蜜罐與蠕蟲病毒

蠕蟲病毒一般具有掃描、感染、復(fù)制的特性，根據(jù)這一特性我們可以利用蜜罐技術(shù)進行管理，主要目的為控制蠕蟲病毒的大量傳播。蜜罐能夠在較短的時間內(nèi)將蠕蟲病毒感染情況顯示出來。已知蠕蟲病毒可通過防火墻與IDS的策略規(guī)則進行重定向，把已知的蠕蟲病毒都重定向于蜜罐中。若檢測的病毒為新型的蠕蟲病毒，網(wǎng)絡(luò)層可通過特定偽造數(shù)據(jù)包延退應(yīng)答，以控制病毒掃描的速度。此外，需采取軟件工具、算法等方式，對系統(tǒng)日志實行嚴格的分析，以便實現(xiàn)阻斷、連接的目的。

3.6 蜜罐、安全事件行為作為特征庫

和以往被動防御設(shè)備、軟件比較，傳統(tǒng)安全技術(shù)可將已知入侵活動顯示出來。而蜜罐技術(shù)作為新型主動的防御技術(shù)，能夠有效地避免傳統(tǒng)技術(shù)的紕漏。經(jīng)不同的方式，獲取有利的信息，并在較短的時間發(fā)現(xiàn)新的攻擊行為和模式。結(jié)合入侵人員活動、入侵的目的，制定針對性的防御措施，以為日后處理不同類型的網(wǎng)絡(luò)信息安全問題，提供有利的參照。

4 結(jié)語

互聯(lián)網(wǎng)快速發(fā)展，各種技術(shù)革新早已顛覆了傳統(tǒng)常用的手段，日新月異，但是大部分的重大的安全事件都是在事情發(fā)展到最糟糕的時候才被發(fā)現(xiàn)，被動的防御已經(jīng)不能有效地防止人們受到網(wǎng)絡(luò)攻擊、受到經(jīng)濟損失。當(dāng)前，網(wǎng)絡(luò)攻防技術(shù)在不斷完善，蜜罐技術(shù)屬于新型且主動型的防御技術(shù)，能夠有效規(guī)避傳統(tǒng)被動防御的問題。經(jīng)分析未知的攻擊活動，構(gòu)建完善的安全行為特征庫，以便為處理各種網(wǎng)絡(luò)安全問題提供強有力的支持。作為一新型的網(wǎng)絡(luò)安全技術(shù)，蜜罐能夠收集較多的有利訊息。而如何獲取信息、對入侵人員入侵的目的、方式等，均為接下來研究人員需要攻破的問題。因此，在蜜罐技術(shù)理論的完善下，充分發(fā)揮蜜罐在網(wǎng)絡(luò)信息安全領(lǐng)域中的應(yīng)用價值。

參考文獻

[1] 何祥鋒.淺談蜜罐技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，（1）.

[2] 孫中廷.蜜罐技術(shù)在網(wǎng)絡(luò)安全系統(tǒng)中的應(yīng)用與研究

[J].計算機與網(wǎng)絡(luò)，2014，（17）.

[3] 姚東鈮.分布式蜜罐技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].電子測試，2014，（8）.

[4] 唐旭，陳蓓.蜜罐技術(shù)在校園網(wǎng)絡(luò)安全中的作用分析[J].電腦與電信，2015，（12）.

[5] 張玨.網(wǎng)絡(luò)安全新技術(shù)——蜜罐系統(tǒng)淺析[J].技術(shù)與市場，2014，（8）.

[6] 趙宏，王靈霞.基于蜜罐技術(shù)的校園網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計與實現(xiàn)[J].自動化與儀器儀表，2015，（3）.

[7] 羅江洲，王朝輝.基于蜜罐技術(shù)的網(wǎng)絡(luò)安全防御方案研究[J].電腦知識與技術(shù)，2014，（8）.

[8] 王宏群，張宇國.基于蜜罐技術(shù)的企業(yè)網(wǎng)絡(luò)安全模型研究[J].湖南理工學(xué)院學(xué)報（自然科學(xué)版），2014，（1）.

[9] 暢君元，劉暢.網(wǎng)絡(luò)證據(jù)收集中蜜罐技術(shù)的運用及其法律評價[J].法制與經(jīng)濟旬刊，2014，（7）.

[10] 陳陽.基于蜜罐的網(wǎng)站安全防御系統(tǒng)的設(shè)計[J].價值工程，2016，（1）.