◆銀 偉 雷 琪 韓 笑 徐 軍 金志文 銀 霞

(1.95899部隊(duì) 北京 100085；2.陜西省軍區(qū)人民武裝學(xué)校 陜西 710000；3.湖南邵陽市大祥區(qū)第一實(shí)驗(yàn)中學(xué) 湖南 422000 )

0 前言

當(dāng)今時(shí)代，受經(jīng)濟(jì)和政治利益的驅(qū)使，網(wǎng)絡(luò)空間已成為國家和個(gè)人攻擊滲透的主渠道、主戰(zhàn)場、最前沿。網(wǎng)絡(luò)安全面臨著前所未有的嚴(yán)峻形勢。個(gè)人計(jì)算機(jī)需要防范來自木馬、病毒、蠕蟲、僵尸、DoS等各種各樣的安全威脅。隨著攻擊技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊開始呈現(xiàn)出一些新的特點(diǎn)：（1）攻擊自動(dòng)化程度和攻擊速度越來越快；（2）攻擊工具越來越復(fù)雜；（3）安全漏洞的發(fā)現(xiàn)越來越快；（4）防火墻的滲透率越來越高；（5）對基礎(chǔ)設(shè)施構(gòu)成越來越大的威脅。網(wǎng)絡(luò)空間的安全狀況不容樂觀。

最近的“震網(wǎng)”和“火焰”等APT（高級持續(xù)性威脅）攻擊表明，針對應(yīng)用自身的 0day漏洞攻擊已經(jīng)成為新的安全威脅，而防火墻、入侵檢測以及反病毒等被動(dòng)的安全防護(hù)方式對這些新型安全威脅已經(jīng)失效，迫切需要研究主動(dòng)型的防御技術(shù)來應(yīng)對新型網(wǎng)絡(luò)安全威脅。蜜罐是一組帶有缺陷的安全資源，正因?yàn)樗腥毕?，才能吸引攻擊者對其掃描、探測、攻擊和利用。在攻擊者攻擊過程中，防御方記錄攻擊者的行為，對攻擊者的方法、手段、技術(shù)能力進(jìn)行學(xué)習(xí)，從而能夠更好的制定防御方法和措施。

蜜罐分為高交互式蜜罐和低交互式蜜罐。高交互式蜜罐基于真實(shí)的軟硬件構(gòu)建，真實(shí)度高，不容易被識(shí)別，能夠檢測未知安全威脅，但是被攻擊后，容易被利用去攻擊其他的系統(tǒng)，因此風(fēng)險(xiǎn)比較高。低交互式蜜罐基于軟件模擬實(shí)現(xiàn)，使用資源比較少，不容易被利用，但是容易被識(shí)別，而且只能檢測已知安全威脅。蜜罐的部署方式主要有蜜罐、蜜網(wǎng)和分布式蜜網(wǎng)三種。蜜罐是將單獨(dú)的一個(gè)蜜罐部署到Internet中，缺點(diǎn)是捕獲的安全威脅數(shù)據(jù)有限，視野受限。蜜網(wǎng)將多個(gè)蜜罐組成蜜網(wǎng)網(wǎng)絡(luò)，蜜網(wǎng)網(wǎng)絡(luò)通過蜜網(wǎng)網(wǎng)關(guān)與Internet相連。蜜網(wǎng)比蜜罐視野開闊些，但是由于其是部署在一個(gè)地區(qū)，不能對全網(wǎng)的安全威脅態(tài)勢進(jìn)行感知。分布式蜜網(wǎng)將多個(gè)蜜網(wǎng)網(wǎng)絡(luò)以分布式的方式部署在不同地區(qū)，從而實(shí)現(xiàn)對全網(wǎng)的安全威脅數(shù)據(jù)進(jìn)行捕獲。本文針對蜜罐/蜜網(wǎng)技術(shù)，從新的蜜罐類型、數(shù)據(jù)分析技術(shù)、蜜罐配置技術(shù)和識(shí)別與反識(shí)別技術(shù)四個(gè)方面對蜜罐進(jìn)行綜述。

1 新的蜜罐類型

Adachi提出BitSaucer。它是一個(gè)集低交互式和高交互式蜜罐為一體的混合式蜜罐，同時(shí)具備低交互式蜜罐對資源要求低和高互式蜜罐響應(yīng)能力高的特征。機(jī)制的關(guān)鍵在于設(shè)計(jì)運(yùn)行在主機(jī)上的代理。代理是守護(hù)進(jìn)程，負(fù)責(zé)根據(jù)網(wǎng)絡(luò)流量按需自動(dòng)生成虛擬主機(jī)并構(gòu)建高交互式蜜罐。由于高交互式蜜罐是按需生成，大大降低了資源消耗。

Alosefer設(shè)計(jì)了低交互式客戶端蜜罐——Honeyware，用于檢測惡意的web服務(wù)器。Alosefer使用Honeyware對94個(gè)網(wǎng)頁鏈接（其中有84個(gè)惡意鏈接，10個(gè)正常的鏈接）進(jìn)行了檢測，并與Capture-HPC客戶端蜜罐做了比較。Honeyware能發(fā)現(xiàn)83個(gè)惡意鏈接。而Capture-HPC檢測到62個(gè)惡意鏈接，23個(gè)正常鏈接以及不確定剩下9個(gè)鏈接的歸屬。Honeyware是低交互式蜜罐。它接收到的數(shù)據(jù)會(huì)被一個(gè)外部處理引擎處理，對每個(gè)鏈接的處理時(shí)間大約是1分鐘，而Capture-HPC大約只需17秒。Alosefer認(rèn)為將來在web客戶端蜜罐設(shè)計(jì)方面，必須將高、低交互式蜜罐結(jié)合起來使用才能發(fā)揮它們各自的優(yōu)勢。低交互式蜜罐容易安裝，但是需要外部數(shù)據(jù)處理，而高交互式蜜罐有數(shù)據(jù)處理模塊，但是不容易安裝。

Anagnostakis在高交互式蜜罐的精度和異常檢測的廣度兩個(gè)方面進(jìn)行折中，提出“影子蜜罐”?！坝白用酃蕖笔钦鎸?shí)業(yè)務(wù)網(wǎng)絡(luò)中嵌有蜜罐代碼的網(wǎng)絡(luò)應(yīng)用程序。所有的請求都被異常檢測模塊做預(yù)先處理，被裁定為正常請求的，都會(huì)被轉(zhuǎn)發(fā)給業(yè)務(wù)服務(wù)器，如果被裁定為惡意的，就會(huì)被移交給“影子蜜罐”?！坝白用酃蕖毕裆诚湟粯?，對請求進(jìn)行虛擬執(zhí)行并進(jìn)行裁定。如果“影子蜜罐”裁定為正常的，則將請求轉(zhuǎn)發(fā)給業(yè)務(wù)服務(wù)器，當(dāng)被“影子蜜罐”裁定為惡意時(shí)，攻擊者所有操作都會(huì)被倒退回去。

Bailey結(jié)合使用低、高交互式蜜罐以期實(shí)現(xiàn)高覆蓋面（低交互式蜜罐的優(yōu)點(diǎn)）和高保真度（高交互式蜜罐的優(yōu)點(diǎn)）。高覆蓋面是指對不同種類的網(wǎng)絡(luò)流量類型（不同地址、端口以及應(yīng)用等）都具備監(jiān)測能力。高保真度是指蜜罐能夠獲取詳盡的信息，包括攻擊行為以及攻擊者的響應(yīng)等。Bailey提出使用多個(gè)低交互式蜜罐作為傳感器來收集網(wǎng)絡(luò)流量信息，以提高覆蓋面。如果低交互式蜜罐發(fā)現(xiàn)與威脅相關(guān)的行為或者請求，則將會(huì)話移交給高交互式蜜罐。通過這個(gè)方式，在實(shí)際部署中，對高交互式蜜罐的需求就會(huì)大大減少，降低了資源消耗，同時(shí)低交互式蜜罐能夠涵蓋多種類型的安全威脅。

Das提出一種對抗拒絕服務(wù)攻擊（DoS）的機(jī)制。將業(yè)務(wù)服務(wù)器放在訪問網(wǎng)關(guān)之后。訪問網(wǎng)關(guān)對客戶進(jìn)行認(rèn)證，如果認(rèn)證通過，那么訪問網(wǎng)關(guān)就為客戶和業(yè)務(wù)服務(wù)器開辟一條通信路徑。如果認(rèn)證沒有通過，訪問網(wǎng)關(guān)就像蜜罐一樣工作，并且把客戶限制在里邊。如果客戶對多個(gè)訪問網(wǎng)關(guān)都具有訪問權(quán)，那么只需要其中一個(gè)訪問網(wǎng)關(guān)對他進(jìn)行認(rèn)證就可以。由于在對業(yè)務(wù)服務(wù)器訪問之前要進(jìn)行訪問網(wǎng)關(guān)的認(rèn)證，有效阻止了對業(yè)務(wù)服務(wù)器的DoS攻擊。

路由協(xié)議，如RIP、OSPF以及BGP，經(jīng)常成為被攻擊的目標(biāo)，而針對路由器目前還沒有一個(gè)高交互式蜜罐來提高其安全性。Ghourabi為路由器提出一個(gè)客戶端蜜罐，能夠檢測到針對路由器的未知的攻擊。該蜜罐是基于 Quagga路由套件研發(fā)的高交互式蜜罐。它能依據(jù)協(xié)議規(guī)范，主動(dòng)的給遠(yuǎn)程路由器發(fā)送數(shù)據(jù)，觀察路由器的響應(yīng)數(shù)據(jù)以此來判定該路由器是否被攻陷。對遠(yuǎn)程路由器返回的數(shù)據(jù)使用wireshark進(jìn)行捕獲。作者對RIP和OSPF協(xié)議進(jìn)行了測試，證實(shí)該蜜罐能檢測到對路由器的攻擊。

虛擬機(jī)是非常龐大復(fù)雜的軟件系統(tǒng)，它們必然存在著軟件bug和安全漏洞，某些錯(cuò)誤配置也會(huì)導(dǎo)致問題。這意味著虛擬機(jī)本身的以及運(yùn)行在其之上的蜜罐都存在很高的風(fēng)險(xiǎn)。Jiang提出使用兩個(gè)傳感器來監(jiān)測高交互式蜜罐。內(nèi)部傳感器在蜜罐內(nèi)部運(yùn)行，記錄系統(tǒng)調(diào)用以及它們的響應(yīng)，包括哪個(gè)進(jìn)程調(diào)用了哪個(gè)系統(tǒng)調(diào)用等信息。由于運(yùn)行在蜜罐內(nèi)部，內(nèi)部傳感器容易被攻擊者攻陷。而外部傳感器工作在蜜罐外部，不容易被攻擊。外部傳感器通過攔截出入蜜罐的數(shù)據(jù)來監(jiān)視攻擊。

Khattab設(shè)計(jì)了方案來對抗針對業(yè)務(wù)服務(wù)器的DoS攻擊。蜜罐和業(yè)務(wù)進(jìn)程在網(wǎng)絡(luò)中能夠遷移。當(dāng)業(yè)務(wù)進(jìn)程遷移到其他主機(jī)上時(shí)該主機(jī)自動(dòng)變成蜜罐。蜜罐的作用是將攻擊者困住，因此能防止和延緩DoS攻擊。當(dāng)大部分請求是DoS攻擊時(shí)，這種方案非常有效。

Kreibichi提出一個(gè)蜜罐原型系統(tǒng)。它為入侵檢測自動(dòng)生成識(shí)別標(biāo)志，而不需要預(yù)先對任何特征進(jìn)行硬編碼，從而實(shí)現(xiàn)對未知0day惡意軟件的檢測。原型系統(tǒng)的核心包括連接監(jiān)測組件和惡意軟件識(shí)別標(biāo)志生成算法。連接監(jiān)測組件對連接創(chuàng)建過程和連接建立階段的連接進(jìn)行監(jiān)測。對于大部分連接請求，在連接創(chuàng)建階段可以看到它們的蹤影，但通常并沒有完成連接建立就夭折了。提出的蜜罐原型系統(tǒng)通過區(qū)分這兩個(gè)階段進(jìn)而大大減少要監(jiān)測的連接數(shù)目。識(shí)別標(biāo)志生成算法模塊對每個(gè)可疑的連接進(jìn)行協(xié)議層和應(yīng)用層分析，通過它們的行為和相關(guān)性來生成識(shí)別標(biāo)志。

蜜罐的最初設(shè)計(jì)目的是被防御方用來提高主動(dòng)防御能力，最近Lauinger發(fā)現(xiàn)蜜罐技術(shù)已經(jīng)被攻擊者所利用。攻擊者針對即時(shí)通訊軟件開發(fā)了一款高交互式蜜罐軟件。它通過劫持會(huì)話消息實(shí)施釣魚攻擊。黑客首先邀請兩個(gè)用戶啟動(dòng)即時(shí)通訊會(huì)話。然后，建立到這兩個(gè)用戶的連接。蜜罐作為中間人對他們的會(huì)話消息進(jìn)行轉(zhuǎn)發(fā)。轉(zhuǎn)發(fā)的同時(shí)實(shí)施會(huì)話監(jiān)聽和消息的篡改。

在當(dāng)前釣魚站點(diǎn)檢測技術(shù)中，當(dāng)垃圾郵件捕獲器捕獲到垃圾郵件時(shí)，要求系統(tǒng)管理員人為對其進(jìn)行分析，并啟動(dòng)一個(gè)客戶端蜜罐訪問該垃圾郵件包含的站點(diǎn)以此來確定該站點(diǎn)是否是釣魚站點(diǎn)。這個(gè)過程歷時(shí)較長，因此容易被黑客察覺。為應(yīng)對該問題，Li為網(wǎng)上銀行系統(tǒng)設(shè)計(jì)了phoneybots分布式蜜罐系統(tǒng)，集成了垃圾郵件捕獲功能，將釣魚站點(diǎn)的處理過程自動(dòng)化，并對該釣魚站點(diǎn)進(jìn)行響應(yīng)，分析潛在的危險(xiǎn)。此外，該系統(tǒng)還能夠監(jiān)視使用虛假賬號進(jìn)行銀行交易的過程，捕獲黑客的行為。

Nazario提出 PhoneyC蜜罐，在兩個(gè)方面拓展了已有蜜罐特征。第一是讓蜜罐變得主動(dòng)，即實(shí)現(xiàn)客戶端蜜罐。第二是增加動(dòng)態(tài)網(wǎng)頁內(nèi)容處理器，能解析二進(jìn)制動(dòng)態(tài)內(nèi)容，包括 Javascript，VB以及Active X控件。通過人工方式分析二進(jìn)制代碼異常困難，二進(jìn)制解析器能輔助網(wǎng)絡(luò)安全管理員發(fā)現(xiàn)惡意的網(wǎng)站服務(wù)器。將這兩個(gè)方面的功能融入到網(wǎng)頁應(yīng)用中，實(shí)現(xiàn)主動(dòng)型客戶端蜜罐，自動(dòng)的從大量的網(wǎng)頁服務(wù)器檢測出惡意的服務(wù)器。

Portokalidis設(shè)計(jì)了Argos蜜罐，將未知惡意軟件的監(jiān)測、檢測以及識(shí)別標(biāo)志生成過程自動(dòng)化，減緩了蠕蟲和病毒等未知惡意軟件的傳播。它還改進(jìn)了已有機(jī)制Minos和Vigilante的一些缺點(diǎn)。Minos不能為入侵檢測生成識(shí)別標(biāo)志，而Vigilante不能保護(hù)操作系統(tǒng)內(nèi)核。Argos執(zhí)行動(dòng)態(tài)污點(diǎn)分析，它記錄從網(wǎng)絡(luò)連接來的數(shù)據(jù)，如果數(shù)據(jù)在本地執(zhí)行，則進(jìn)行標(biāo)識(shí)。當(dāng)檢測到一個(gè)疑似被污染的數(shù)據(jù)，Argos向進(jìn)程動(dòng)態(tài)的插入?yún)R編代碼，提取關(guān)于該進(jìn)程的相關(guān)信息，或者修改該進(jìn)程的執(zhí)行路徑以減緩該進(jìn)程執(zhí)行速率，從而減少它的危害。

Prathapani為無線網(wǎng)狀網(wǎng)絡(luò)設(shè)計(jì)了一個(gè)蜜罐來檢測黑洞路由器。黑洞路由器對外宣告虛假的最優(yōu)路徑從而吸引網(wǎng)絡(luò)流量。接收到流量后對報(bào)文進(jìn)行丟棄處理，形成黑洞。Prathapani的蜜罐包含反饋模塊、警告模塊以及路由器模塊。路由器模塊通過查詢到的路由或者已有的路由向反饋模塊發(fā)送一條消息。反饋模塊對該消息作出響應(yīng)。如果路由器模塊沒有收到響應(yīng)，則它判斷被測試的路由器是黑洞。然后警告模塊向網(wǎng)絡(luò)中其他路由器發(fā)送警告消息宣告黑洞，讓其他路由器避免使用該黑洞。

一般來說攻擊者會(huì)遠(yuǎn)離含有蜜罐的網(wǎng)絡(luò)。利用這一點(diǎn)，Rowe提出虛假蜜罐技術(shù)來保護(hù)真實(shí)的業(yè)務(wù)網(wǎng)絡(luò)。虛假蜜罐是指偽裝成蜜罐的蜜罐。虛假蜜罐有意讓攻擊者檢測到，從而讓攻擊者認(rèn)為可能業(yè)務(wù)網(wǎng)絡(luò)也是蜜罐系統(tǒng)，進(jìn)而保護(hù)了真正的業(yè)務(wù)系統(tǒng)。

社交網(wǎng)絡(luò)中的垃圾信息是向社交網(wǎng)絡(luò)用戶發(fā)送的包含惡意鏈接的信息，用戶點(diǎn)擊該惡意鏈接后就受到了攻擊。針對日趨流行的社交網(wǎng)絡(luò)中的垃圾信息，Webb設(shè)計(jì)了一個(gè)高交互式蜜罐。該蜜罐通過分析Myspace社交網(wǎng)絡(luò)的“用戶添加請求”信息來進(jìn)行測試。首先，Webb在Myspace中創(chuàng)建了51個(gè)靜默賬戶，等待垃圾信息中的好友請求，然后下載垃圾信息中好友簡歷，記錄源地址，識(shí)別它們的地理位置信息。Webb發(fā)現(xiàn)大部分惡意信息來自美國中西部，而加利福利亞州是惡意信息最大的來源。57.2%的垃圾信息使用“關(guān)于我”的內(nèi)容。而在垃圾信息中包含了成千上萬的惡意鏈接。

Zhuge提出“HoneyBow”蜜罐，對病毒和蠕蟲等惡意軟件進(jìn)行自動(dòng)檢測和捕獲，而不需要人工分析蜜罐中的輸出數(shù)據(jù)。HoneyBow主要包括MnFetcher、MmWatcher和MmHunter三大組件。MnFetcher組件讓惡意軟件對文件進(jìn)行操作，然后比較文件的MD5哈希值來判定文件是否被修改。如果文件被修改了，那么該軟件被認(rèn)定為惡意軟件，同時(shí)將被修改文件恢復(fù)。MmWatcher組件對創(chuàng)建文件、修改文件等系統(tǒng)調(diào)用行為進(jìn)行監(jiān)測，這些行為將導(dǎo)致啟動(dòng)入侵檢測。最終，MmHunter組件以調(diào)試器方式監(jiān)測代碼執(zhí)行情況來檢測惡意軟件的可疑行為。

Kwon基于蜜網(wǎng)提出一個(gè)DDoS攻擊預(yù)測系統(tǒng)體系結(jié)構(gòu)。該預(yù)測系統(tǒng)體系結(jié)構(gòu)包括四個(gè)模塊：數(shù)據(jù)提供模塊、數(shù)據(jù)收集模塊、入侵預(yù)測模塊和預(yù)測后處理模塊。數(shù)據(jù)提供模塊提供預(yù)測攻擊所需的原始數(shù)據(jù)。Kwon部署內(nèi)部和外部蜜網(wǎng)來收集原始數(shù)據(jù)，使用Hflow工具對網(wǎng)絡(luò)流、入侵防御系統(tǒng)日志以及Sebek捕獲的入侵行為數(shù)據(jù)進(jìn)行融合和存儲(chǔ)。數(shù)據(jù)收集模塊從數(shù)據(jù)提供模塊獲取數(shù)據(jù)，將數(shù)據(jù)量化，并轉(zhuǎn)換為容易分析的格式，提交給入侵預(yù)測模塊。入侵預(yù)測模塊使用統(tǒng)計(jì)模型、機(jī)器學(xué)習(xí)算法對數(shù)據(jù)進(jìn)行分析，并對DDoS攻擊進(jìn)行預(yù)測。預(yù)測后處理模塊對預(yù)測結(jié)果和實(shí)際結(jié)果進(jìn)行比較，并將結(jié)果反饋給入侵預(yù)測模塊，預(yù)測模塊再根據(jù)反饋結(jié)果對參數(shù)進(jìn)行調(diào)整，提高預(yù)測精度。

針對僵尸網(wǎng)絡(luò)行為分析，Kumar基于第三代蜜網(wǎng)技術(shù)構(gòu)建了一個(gè)分布式蜜網(wǎng)系統(tǒng)。該系統(tǒng)由三部分組成：分布式蜜網(wǎng)客戶節(jié)點(diǎn)、中心數(shù)據(jù)庫以及分析服務(wù)器。分布式蜜網(wǎng)客戶節(jié)點(diǎn)由nepenthes構(gòu)建的低交互式蜜罐和Linux/window XP構(gòu)建的高交互式蜜罐混合組成，通過Virtual Box虛擬化技術(shù)將這些蜜罐部署到一臺(tái)主機(jī)上，降低硬件成本。中心數(shù)據(jù)庫使用MySql軟件存儲(chǔ)捕獲到的惡意代碼二進(jìn)制文件。分析服務(wù)器對存儲(chǔ)的二進(jìn)制文件進(jìn)行分析，提取僵尸網(wǎng)絡(luò)的特征。

Pawar創(chuàng)建了一個(gè)低交互式蜜罐，對HTTP和Telnet服務(wù)進(jìn)行了模擬。HTTP服務(wù)對攻擊源地址進(jìn)行監(jiān)測，創(chuàng)建黑名單列表，從而保護(hù)真正的業(yè)務(wù)網(wǎng)絡(luò)。Telnet服務(wù)對針對登錄的攻擊進(jìn)行追蹤和記錄。

SSH 是點(diǎn)到點(diǎn)之間保密傳輸信息的協(xié)議，用來取代明文傳輸協(xié)議，如telnet和rsh等。Valli使用Kippo軟件構(gòu)建了一個(gè)SSH蜜網(wǎng)。Kippo是中等交互式蜜罐，通過調(diào)用基于Python編寫的開源軟件Twisted庫函數(shù)來模擬SSH服務(wù)。在攻擊成功后，Kippo蜜罐還能模擬邏輯上正確的文件系統(tǒng)。Kippo蜜罐使用MySQL數(shù)據(jù)庫來存儲(chǔ)攻擊者與Kippo蜜罐的交互數(shù)據(jù)，并將數(shù)據(jù)傳輸給一個(gè)中央控制的Postgresql SQL服務(wù)器。

其他的優(yōu)秀成果有諸葛建偉提出的Spampot誘捕系統(tǒng)，是一個(gè)基于分布式低交互式誘捕系統(tǒng)的垃圾郵件捕獲系統(tǒng)。還有汪潔提出的HoneypotIDS系統(tǒng)，在入侵檢測系統(tǒng)中引入誘捕系統(tǒng)技術(shù)，對未知攻擊進(jìn)行識(shí)別。王超杰也提出一種基于雙層動(dòng)態(tài)誘捕系統(tǒng)技術(shù)的智能交通系統(tǒng)主動(dòng)防御方案。還有段凱元搭建了基于Kippo誘捕系統(tǒng)的主動(dòng)防御系統(tǒng),對SSH服務(wù)攻擊進(jìn)行了研究。

2 數(shù)據(jù)分析技術(shù)

自誕生以來，蜜罐就成為了網(wǎng)絡(luò)安全專家所關(guān)注的重點(diǎn)。主要原因是對蜜罐搜集到的原始數(shù)據(jù)進(jìn)行理解、分析和利用需要具備全面的分析技能，而且需要具備網(wǎng)絡(luò)協(xié)議、應(yīng)用、網(wǎng)絡(luò)硬件設(shè)備，操作系統(tǒng)以及用戶管理方面的專業(yè)技能。除了專業(yè)知識(shí)背景外，還需要具備相關(guān)的網(wǎng)絡(luò)安全管理經(jīng)驗(yàn)。盡管蜜罐技術(shù)具有很大的潛力，但是這些先決條件卻阻礙了其成為提高網(wǎng)絡(luò)安全能力的流行手段。在過去五年里，科學(xué)家開展了相關(guān)工作來簡化數(shù)據(jù)處理過程，并提升數(shù)據(jù)自動(dòng)處理能力。他們將入侵檢測、數(shù)據(jù)挖掘、專家系統(tǒng)、人工智能、以及博弈論等相關(guān)領(lǐng)域的進(jìn)展也應(yīng)用到蜜罐數(shù)據(jù)處理中。在這節(jié)中，我們將討論這些技術(shù)。

Chen將入侵容忍技術(shù)通過蜜罐融合到網(wǎng)絡(luò)安全取證中。Chen稱之為動(dòng)態(tài)安全取證技術(shù)。即使入侵者進(jìn)行數(shù)據(jù)修改，該方案也能確保取證分析的數(shù)據(jù)是可靠的。動(dòng)態(tài)安全取證技術(shù)的關(guān)鍵組件是入侵檢測，它對威脅進(jìn)行監(jiān)測。當(dāng)檢測到高等級的安全威脅，動(dòng)態(tài)取證系統(tǒng)被激活對安全威脅進(jìn)行驗(yàn)證。如果證實(shí)威脅存在，則將網(wǎng)絡(luò)流量導(dǎo)向至蜜罐中。并允許攻擊進(jìn)行到一定程度，再阻止所有的攻擊流量。這樣做的目的是防止收集到的數(shù)據(jù)被攻擊者篡改。然后，系統(tǒng)對攻擊行為進(jìn)行分析，提取特征以供檢測未知攻擊使用。證據(jù)收集代理負(fù)責(zé)對所有警報(bào)和防火墻/負(fù)載均衡器進(jìn)行日志和數(shù)據(jù)記錄。當(dāng)警報(bào)級別超過一個(gè)門限值時(shí)，防火墻/負(fù)載均衡器負(fù)責(zé)將攻擊流量重導(dǎo)向到蜜罐中。

Cooke對蜜罐所面對的僵尸網(wǎng)絡(luò)新威脅進(jìn)行了研究。雖然蜜罐是用來檢測和防御僵尸網(wǎng)絡(luò)的工具，但是Cooke的論文發(fā)現(xiàn)僵尸網(wǎng)絡(luò)的最新進(jìn)展嚴(yán)重威脅著蜜罐。通過大量實(shí)驗(yàn)Cooke發(fā)現(xiàn)蜜罐被僵尸網(wǎng)絡(luò)反復(fù)攻陷，有時(shí)候還同時(shí)被多個(gè)僵尸網(wǎng)絡(luò)攻擊。這表明需要設(shè)計(jì)新的蜜罐來應(yīng)對猖獗的僵尸網(wǎng)絡(luò)。Cooke提出“超蜜罐”技術(shù)?！俺酃蕖笔敲酃薜拿酃?。該技術(shù)先設(shè)置蜜罐，讓僵尸網(wǎng)絡(luò)感染和攻陷，然后設(shè)置“超蜜罐”監(jiān)測和學(xué)習(xí)蜜罐行為，用以防御僵尸網(wǎng)絡(luò)。

Dantu為蠕蟲檢測提出一個(gè)基礎(chǔ)架構(gòu)，通過監(jiān)測外連連接速率來檢測蠕蟲。該架構(gòu)還基于閉環(huán)反饋控制調(diào)節(jié)創(chuàng)建外連連接的速率，以此來減緩蠕蟲。具體做法是設(shè)定一個(gè)目標(biāo)值，通過PID算法將外連連接速率調(diào)節(jié)至設(shè)定值，以此來減緩蠕蟲的傳播。實(shí)驗(yàn)顯示，該算法能將蠕蟲的傳播時(shí)間延長5倍。通過殺死受感染的進(jìn)程、主機(jī)黑名單技術(shù)、多反饋閉環(huán)控制和智能連接排隊(duì)算法，可以大大減少感染蠕蟲的主機(jī)數(shù)量，進(jìn)而阻止蠕蟲的蔓延。

Linux虛擬文件系統(tǒng)的數(shù)據(jù)收集功能存在一個(gè)局限性，即不能從inode節(jié)點(diǎn)中獲取文件名信息。當(dāng)inode針對安全異常發(fā)出警報(bào)時(shí)，取證分析不能依托 inode獲取文件名信息，因?yàn)?Linux操作系統(tǒng)僅僅存在文件名到inode的單向映射。Fairbanks提出了一個(gè)方案解決了這個(gè)問題。他修改了Linux內(nèi)核中的虛擬文件系統(tǒng)代碼，讓內(nèi)核保存一個(gè)dentry的數(shù)據(jù)結(jié)構(gòu)，維護(hù)inode到文件名的反向映射。即使攻擊者想修改日志文件來隱藏攻擊事件，蜜罐管理者也可以使用串行連接通過將dentry保存到遠(yuǎn)程文件。這樣即使攻擊者修改了文件也能被蜜罐管理者檢測出來。

為了協(xié)調(diào)異構(gòu)蜜罐之間的行為，讓異構(gòu)的蜜罐系統(tǒng)之間交互輸出數(shù)據(jù)，以支持更好更快的發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅，Hoepers設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)標(biāo)準(zhǔn)協(xié)議，提出了一個(gè)可互操作的、開放系統(tǒng)的語法，描述了語義和面向?qū)ο蟮木幋a，對未來數(shù)據(jù)擴(kuò)展也提供了支持。

目前蜜罐的數(shù)據(jù)分析存在兩個(gè)問題。一是從捕獲的大量數(shù)據(jù)中檢測異常數(shù)據(jù)是非常費(fèi)時(shí)費(fèi)力的。二是對數(shù)據(jù)進(jìn)行分析需要具備專業(yè)技能、專門的經(jīng)驗(yàn)和培訓(xùn)的人才能勝任。Krasser認(rèn)為可視化蜜罐收集到的數(shù)據(jù)能解決這兩個(gè)問題。他將攻擊時(shí)間線、報(bào)文大小、源 IP地址分布、協(xié)議類型、每個(gè)連接的持續(xù)時(shí)間以及訪問的本地端口號進(jìn)行可視化，還提供實(shí)時(shí)的包捕獲展示，重放功能，對指定的設(shè)備能進(jìn)行交互操作，自動(dòng)的二維、三維圖像展示。

對多態(tài)蠕蟲進(jìn)行特征提取是一個(gè)難題，因?yàn)槎鄳B(tài)蠕蟲經(jīng)常修改自身來防止產(chǎn)生精確的指紋信息。Mohammed提出雙蜜網(wǎng)和重要分析組件（Principal Component Analysis）架構(gòu)來提升多態(tài)蠕蟲特征提取的精確度。該系統(tǒng)包含兩個(gè)蜜網(wǎng)。第一個(gè)蜜網(wǎng)捕獲蠕蟲，并且提供機(jī)會(huì)讓它去感染第二個(gè)蜜網(wǎng)。給蠕蟲充分的自由度，在這兩個(gè)蜜網(wǎng)中反復(fù)感染。而在傳播過程中蠕蟲所有演化版本都被記錄下來，由重要分析組件進(jìn)行特征提取，并用于入侵檢測系統(tǒng)中來檢測多態(tài)蠕蟲。

有個(gè)假定認(rèn)為如果惡意軟件能夠檢測到基于虛擬機(jī)實(shí)現(xiàn)的蜜罐，那么這些蜜罐就不容易成功的檢測出針對瀏覽器弱點(diǎn)進(jìn)行偷渡式下載攻擊的站點(diǎn)。Narvaez對該假設(shè)進(jìn)行了驗(yàn)證。他設(shè)置好一個(gè)基于虛擬機(jī)的蜜罐系統(tǒng)和一個(gè)基于真實(shí)主機(jī)的蜜罐系統(tǒng)。蜜罐軟件使用Capture-HPC實(shí)現(xiàn)。兩個(gè)蜜罐連接到同一組已知是惡意站點(diǎn)的站點(diǎn)，然后研究他們檢測惡意站點(diǎn)的能力。實(shí)驗(yàn)結(jié)果表明基于虛擬機(jī)實(shí)現(xiàn)的蜜罐的檢測能力并沒有比真實(shí)系統(tǒng)構(gòu)建的蜜罐弱。

Newsome在有噪音情形下針對多態(tài)蠕蟲特征提取問題進(jìn)行了研究，提出一種自動(dòng)特征提取方法，并且具有低的假陰性和假陽性。因?yàn)橛性胍?，提取出來的特征是分離的幾個(gè)內(nèi)容子串，而不是一個(gè)獨(dú)立的子串。為了有效進(jìn)行特征提取，先將對象內(nèi)容劃分為三個(gè)片段，包括不變、通配符和代碼字節(jié)片段，再對特征進(jìn)行識(shí)別，特征是指以某個(gè)特定順序出現(xiàn)的字串，或者是使用分簇技術(shù)實(shí)現(xiàn)的正則表達(dá)式。作者的結(jié)論是基于內(nèi)容的特征提取方法對多態(tài)蠕蟲同樣有效。

Raynal提出信息取證方法對服務(wù)器入侵事件進(jìn)行研究，主要分析攻擊意圖、入侵者使用的技術(shù)以及工具。提出的取證分析步驟包含網(wǎng)絡(luò)行為分析、系統(tǒng)和文件分析以及證據(jù)收集。Raynal指出使用蜜罐的最大挑戰(zhàn)是設(shè)計(jì)一套系統(tǒng)的方法來分析蜜罐收集到的數(shù)據(jù)來預(yù)防已知和未知的網(wǎng)絡(luò)攻擊，以及如何傳播這些技能和經(jīng)驗(yàn)。

Su將數(shù)據(jù)挖掘技術(shù)應(yīng)用到蜜罐捕獲的數(shù)據(jù)分析中，實(shí)現(xiàn)自動(dòng)化檢測新的攻擊。作者引入了片段的概念。片段是指一系列事件。這些事件被劃分為串行、并行，以及復(fù)雜事件（串行和并行的組合事件）。作者對眾多相關(guān)的片段進(jìn)行數(shù)據(jù)挖掘，發(fā)現(xiàn)了Korgo，Shelp以及Sasser蠕蟲。

Tang提出“雙蜜罐”技術(shù)有效提取蠕蟲特征，從而實(shí)現(xiàn)檢測0day多態(tài)蠕蟲，“雙蜜罐”架構(gòu)包含一個(gè)入站蜜罐、一個(gè)出站蜜罐和地址解析器。“雙蜜罐”技術(shù)根據(jù)蠕蟲從入站蜜罐打開外連連接到出站蜜罐的特性來檢測蠕蟲?；凇半p蜜罐”架構(gòu)，Tang提出一種的新的數(shù)據(jù)分析方法，稱為“地理感知分布式特征（Position Aware Distribution Signature）”?，F(xiàn)行蠕蟲檢測中，提取的蠕蟲特征是固定的，而“地址感知分布式特征”數(shù)據(jù)分析方法允許特征進(jìn)行變化，提高了多態(tài)蠕蟲檢測精度。為了控制特征每個(gè)位置的變化，“地址感知分布式特征”數(shù)據(jù)分析方法對字節(jié)頻率分布進(jìn)行分析，指定特征字符串中每個(gè)位置都具有多大可能性發(fā)生變化并且發(fā)生什么樣的變化。

一般而言，安全管理人員需要投入相當(dāng)大的精力到原始數(shù)據(jù)分析中去，但從其中提取到攻擊數(shù)據(jù)的成功率卻很低。Thonnard在付出和回報(bào)這兩個(gè)方面做了一個(gè)折中。使用基于圖論的數(shù)據(jù)分簇技術(shù)以及相似度距離技術(shù)進(jìn)行數(shù)據(jù)分析?；趫D論的方法使用圖來描述數(shù)據(jù)簇之間的拓?fù)潢P(guān)系。數(shù)據(jù)簇使用相似度來區(qū)分。Thonnard首先對數(shù)據(jù)進(jìn)行了特征提取。用數(shù)據(jù)特征之間的相似程度作為相似度。

Trivedi將蜜罐設(shè)置為開放代理，對即時(shí)通信軟件捕獲的惡意信息進(jìn)行了分析。Trivedi發(fā)現(xiàn)大部分惡意信息的目的是引誘用戶點(diǎn)擊信息中包含的惡意站點(diǎn)。為避免被檢測，惡意信息中使用了不同的目的地址URL，而這些URL使用了重定向技術(shù)又將用戶導(dǎo)向惡意站點(diǎn)。惡意信息還使用了隨機(jī)標(biāo)記文本技術(shù)，將隨機(jī)的字符插入到信息的文本行中，從而避免被入侵檢測系統(tǒng)檢測。

Wagener使用蜜罐捕獲的數(shù)據(jù)重組TCP會(huì)話并提出一個(gè)模型對該TCP會(huì)話進(jìn)行驗(yàn)證。該模型在進(jìn)行網(wǎng)絡(luò)取證分析時(shí)能定量分析數(shù)據(jù)信任度。重組TCP會(huì)話的過程是對屬于同一個(gè)TCP會(huì)話的報(bào)文進(jìn)行識(shí)別和重組的過程，目的是觀察在這個(gè)會(huì)話中發(fā)生了什么。重點(diǎn)是確定TCP會(huì)話中發(fā)生的錯(cuò)誤，包括被忽略的IP分段速率，不完全的報(bào)文捕獲率，錯(cuò)誤識(shí)別的TCP會(huì)話數(shù)。

Yegneswaran對蜜罐捕獲的數(shù)據(jù)進(jìn)行分析，目的是區(qū)分蠕蟲、僵尸網(wǎng)絡(luò)以及網(wǎng)絡(luò)管理員錯(cuò)誤配置引起的異常。他提出使用暫時(shí)IP地址源數(shù)目、到達(dá)窗口調(diào)節(jié)、到達(dá)分布分析，目的網(wǎng)絡(luò)掃描足跡圖譜，源地址掃描、源地址生命周期分析等技術(shù)對可疑數(shù)據(jù)進(jìn)行分析，并推測出可能的情況。

Zhao設(shè)計(jì)了一個(gè)模型預(yù)示蠕蟲的傳播，進(jìn)而使用蜜罐阻止蠕蟲的傳播。將網(wǎng)絡(luò)劃分為子網(wǎng)絡(luò)，蜜罐被部署到子網(wǎng)絡(luò)的某些主機(jī)上。成為中心節(jié)點(diǎn)。將主機(jī)的狀態(tài)劃分為易感染、已感染以及免疫，并評估感染速率?；诖?，確定每個(gè)主機(jī)的防御方案，最大化阻止蠕蟲傳播。

Wang對高級僵尸網(wǎng)絡(luò)進(jìn)行了研究。為了預(yù)測僵尸網(wǎng)絡(luò)的演化，Wang設(shè)計(jì)了混合式對等僵尸網(wǎng)絡(luò)。這種僵尸網(wǎng)絡(luò)相對現(xiàn)在的僵尸網(wǎng)絡(luò)來說，更加難以關(guān)停、監(jiān)測和劫持?；旌鲜綄Φ冉┦W(wǎng)絡(luò)的核心是擁有兩種類型的僵尸，即服務(wù)器和客戶。服務(wù)器在全球因特網(wǎng)范圍內(nèi)都可以公共訪問?？蛻羰褂盟接械刂罚渴鹪诜阑饓χ?，在全球范圍內(nèi)不可以訪問。通過讓一些節(jié)點(diǎn)不可全局訪問，即使發(fā)現(xiàn)了一些僵尸節(jié)點(diǎn)并獲取他們的對等體列表，也很難將混合式僵尸網(wǎng)絡(luò)全部關(guān)停。為了應(yīng)對這種混合式僵尸網(wǎng)絡(luò)，Wang提出部署大量的基于靜態(tài)IP地址的蜜罐系統(tǒng)對僵尸網(wǎng)絡(luò)進(jìn)行投毒，填滿對等列表，獲取足夠多的信息來關(guān)閉僵尸網(wǎng)絡(luò)。

Kansal使用Nepenthes和Virtualbox軟件實(shí)現(xiàn)了一個(gè)包含有低、高交互式蜜罐的蜜網(wǎng)體系架構(gòu)。該蜜網(wǎng)體系架構(gòu)沒有建立數(shù)據(jù)集中存儲(chǔ)中心，只是將數(shù)據(jù)存儲(chǔ)在各個(gè)操作系統(tǒng)之上。在構(gòu)建蜜網(wǎng)過程中，僅使用了一臺(tái)物理主機(jī)，運(yùn)行基本操作系統(tǒng)，之上運(yùn)行多個(gè)客戶操作系統(tǒng)作為虛擬蜜罐。蜜罐被配置為運(yùn)行隨機(jī)的服務(wù)，服務(wù)器端口上運(yùn)行服務(wù)代理。

3 蜜罐配置

蜜罐沒有得到普遍流行的另一個(gè)原因是配置難度高。蜜罐是陷阱，在不被察覺的情況下捕捉攻擊者并對其行為進(jìn)行監(jiān)測。正如陷阱一樣，蜜罐必須經(jīng)過認(rèn)真的配置才能吸引正確的目標(biāo)。蜜罐的管理者要思考以下幾個(gè)問題：對哪些行為進(jìn)行監(jiān)測，對誰的行為進(jìn)行監(jiān)測，什么時(shí)候進(jìn)行行為監(jiān)測等。如果配置不好，蜜罐不僅不能吸引到獵物，而且很容易被攻擊者劫持。盲目的捕捉大量的網(wǎng)絡(luò)行為將導(dǎo)致數(shù)據(jù)處理上的困難。因此，需要針對某個(gè)特定的目標(biāo)，對蜜罐進(jìn)行配置。這節(jié)中討論蜜罐研究中關(guān)于如何減少配置難度、或者自動(dòng)化蜜罐配置的方法來提高蜜罐的有效性。

Briffaut設(shè)計(jì)了分布式的高交互蜜罐架構(gòu)。通過使用入侵檢測等其他工具定期檢測高交互式蜜罐的狀態(tài)，當(dāng)檢測到蜜罐的異常行為或者攻擊者對蜜罐進(jìn)行修改和劫持后，能自動(dòng)對蜜罐進(jìn)行重裝，提高了高交互式蜜罐管理自動(dòng)化程度。缺點(diǎn)是頻繁的重裝增大了關(guān)機(jī)時(shí)間，因此容易成為DoS攻擊的目標(biāo)。

Carroll使用博弈論的方法研究如何將蜜罐有策略的部署到網(wǎng)絡(luò)中，實(shí)現(xiàn)攻防雙方博弈的平等性。Carroll將系統(tǒng)劃分為四類：業(yè)務(wù)系統(tǒng)、假的業(yè)務(wù)系統(tǒng)（即偽裝成業(yè)務(wù)系統(tǒng)的蜜罐）、蜜罐（即沒有偽裝成業(yè)務(wù)系統(tǒng)的蜜罐）以及假的蜜罐（偽裝成蜜罐的業(yè)務(wù)系統(tǒng)），并設(shè)計(jì)了一個(gè)模型將這四類系統(tǒng)部署到網(wǎng)絡(luò)中。

Chen設(shè)置蜜罐捕獲SQL注入攻擊并對此進(jìn)行了研究。Chen認(rèn)為應(yīng)該設(shè)置高交互式蜜罐對數(shù)據(jù)操作行為實(shí)施監(jiān)測，而且為了使蜜罐看起來盡可能真實(shí)，需要配置其他非業(yè)務(wù)系統(tǒng)來使用該蜜罐的數(shù)據(jù)庫系統(tǒng)。該蜜罐至少能允許攻擊者對數(shù)據(jù)進(jìn)行操作，但是對攻擊者試圖改變系統(tǒng)的行為進(jìn)行監(jiān)測和限制。在網(wǎng)絡(luò)架構(gòu)中，使用一個(gè)蜜罐模擬一個(gè)真實(shí)的網(wǎng)絡(luò)，該網(wǎng)絡(luò)將所有的 SQL注入攻擊導(dǎo)向到一個(gè)高交互式蜜罐，而高交互式蜜罐與數(shù)據(jù)庫相連。數(shù)據(jù)庫中存放著看起來像是真實(shí)的數(shù)據(jù)。在web前端和數(shù)據(jù)服務(wù)器之間設(shè)置一個(gè)代理，阻止某些SQL命令對數(shù)據(jù)庫的操作。作者還建議使用蜜罐標(biāo)記。蜜罐標(biāo)記不是真實(shí)數(shù)據(jù)而是在使用時(shí)能夠被追蹤的數(shù)據(jù)。

Hecker設(shè)計(jì)了一個(gè)叫做Honeyd配置管理器的系統(tǒng)，來動(dòng)態(tài)的部署低交互式蜜罐。首先該管理器使用nmap軟件對網(wǎng)絡(luò)進(jìn)行掃描，收集該網(wǎng)絡(luò)的主機(jī)系統(tǒng)信息，包括操作系統(tǒng)類型和開放端口等。掃描的過程是建立配置文件的過程。配置文件包含將要模擬的網(wǎng)絡(luò)主機(jī)信息，可以由管理員進(jìn)行修改，對開放端口和 IP地址進(jìn)行配置等。配置管理器根據(jù)此配置文件生成低交互式蜜罐模擬整個(gè)網(wǎng)絡(luò)。

Kohlrausch使用蜜罐對W32.Conficker蠕蟲進(jìn)行了分析。該蜜罐使用了動(dòng)態(tài)污點(diǎn)分析技術(shù)。具體而言，該技術(shù)是通過Argos蜜罐，snort入侵檢測系統(tǒng)和調(diào)試器組合實(shí)現(xiàn)的。Argos是數(shù)據(jù)捕獲工具，能對未知威脅進(jìn)行檢測，snort能檢測已知安全威脅，Argos和 snort對網(wǎng)絡(luò)中獲取的數(shù)據(jù)的每一個(gè)字節(jié)都進(jìn)行標(biāo)記，在調(diào)試器中對其行為進(jìn)行跟蹤。作者認(rèn)為工作的難點(diǎn)是如何在如此多數(shù)據(jù)中確定每個(gè)行為的影響和后果。

Spitzner使用蜜罐和蜜令牌檢測來自內(nèi)部網(wǎng)絡(luò)的安全威脅。來自內(nèi)部網(wǎng)絡(luò)的安全威脅不同于來自外部網(wǎng)絡(luò)的威脅，因?yàn)閮?nèi)部攻擊已經(jīng)獲得系統(tǒng)的訪問權(quán)，而且對系統(tǒng)非常熟悉。為了捕獲內(nèi)部攻擊者，需要將蜜罐從外部網(wǎng)絡(luò)移到內(nèi)部網(wǎng)絡(luò)，而且占用所有未使用的 IP地址。因?yàn)樗麄儗ο到y(tǒng)很熟悉，所有的蜜罐必須為高交互式的。內(nèi)部攻擊者的目的是盡可能多的獲取信息，因此，蜜罐需要提供一些攻擊者想知道的信息，包括假的商業(yè)計(jì)劃、設(shè)計(jì)規(guī)范等。這些虛假文檔以及那些用來登錄蜜罐系統(tǒng)的密碼稱為密令牌。

Wang提出蜜罐動(dòng)態(tài)部署方案，在網(wǎng)絡(luò)中將不同蜜罐部署到不同區(qū)域。提出的方案自動(dòng)調(diào)整高、中和低交互式蜜罐的分布。低交互式蜜罐主要用于應(yīng)對已知的攻擊類型，而中、高交互式蜜罐主要應(yīng)對未知安全威脅。方案將網(wǎng)絡(luò)劃分為四種區(qū)域：防火墻之外、內(nèi)部網(wǎng)絡(luò)、非軍事區(qū)以及子網(wǎng)絡(luò)內(nèi)。針對每次檢測到的攻擊，系統(tǒng)確定在哪個(gè)區(qū)域、哪個(gè)級別以及使用哪些蜜罐進(jìn)行分布式部署。實(shí)驗(yàn)表明，這種方案設(shè)計(jì)的系統(tǒng)比靜態(tài)部署的蜜罐來說，能夠更有效的減緩和阻止攻擊。

蜜網(wǎng)技術(shù)的一個(gè)難點(diǎn)問題在于仿真一個(gè)真實(shí)的網(wǎng)絡(luò)。Hecker提出基于被動(dòng)掃描和主動(dòng)掃描的架構(gòu)來獲取被模擬網(wǎng)絡(luò)的信息，包括操作系統(tǒng)版本、開放端口和服務(wù)等，被動(dòng)掃描通過tcpdump和p0f軟件實(shí)現(xiàn)，主動(dòng)掃描通過nmap和Xprobe2實(shí)現(xiàn)。通過掃描生成Honeyd和XML配置文件，分別利用Honeyd和XML配置文件生成低、高交互式蜜罐。

4 蜜罐識(shí)別與反識(shí)別技術(shù)

蜜罐對攻擊者的行為和操作進(jìn)行監(jiān)控，目的是為了防止受保護(hù)的業(yè)務(wù)網(wǎng)絡(luò)遭受此類攻擊以及為將來起訴攻擊者進(jìn)行取證。因此，蜜罐的真正價(jià)值在于在不被識(shí)別的情況下監(jiān)控攻擊者的行為。因此，從攻擊者角度來說，對蜜罐進(jìn)行檢測是非常重要的一環(huán)。他們設(shè)計(jì)了很多系統(tǒng)的方法來識(shí)別蜜罐。大部分的手段是針對某些特定高、低交互式類型的蜜罐。而對于蜜罐管理者，他們也是想方設(shè)法的避免蜜罐被攻擊者識(shí)破。因此，識(shí)別與反識(shí)別一直以來是蜜罐研究的熱點(diǎn)問題。

Dornseif展示了在沒有任何日志記錄情況下，蜜罐是如何被攻陷和被黑客控制的。Sebek模塊是用在高交互式蜜罐中進(jìn)行日志記錄的模塊。Dornseif講述了四種方式來檢測、關(guān)閉和逃避Sebek。Sebek使用自定義的read（）函數(shù)，替代了系統(tǒng)的read（）函數(shù)，實(shí)現(xiàn)擊鍵記錄的監(jiān)聽。由于新read（）函數(shù)開銷大，Dornseif提出通過發(fā)送大量ping報(bào)文查看響應(yīng)報(bào)文的時(shí)延來識(shí)別sebek模塊。由于新的read（）函數(shù)在內(nèi)存的位置與其他系統(tǒng)調(diào)用相距較遠(yuǎn)，基于此也可以檢測 sebek模塊。Dornseif還提出通過查看內(nèi)核中運(yùn)行的模塊是否包含sebek來進(jìn)行檢測。這些手段說明了檢測Sebek是一件比較容易的事情。Dornseif建議將Sebek作為一個(gè)內(nèi)核補(bǔ)丁，而不是加載的模塊，以此來防止攻擊者識(shí)別。

Holz討論了針對高交互式蜜罐的檢測技術(shù)。高交互式蜜罐一般運(yùn)行在虛擬機(jī)上，如VMWare。虛擬機(jī)在管理模式下運(yùn)行用戶進(jìn)程?；跁r(shí)間線的檢測能發(fā)現(xiàn)運(yùn)行在虛擬機(jī)上的進(jìn)程。主要對服務(wù)器的響應(yīng)時(shí)間進(jìn)行測量，依據(jù)是來自蜜罐的響應(yīng)要比真實(shí)業(yè)務(wù)主機(jī)的慢。因此，基于此原理設(shè)計(jì)自動(dòng)化的提取蜜罐指紋特征的軟件并不是一件難事，嚴(yán)重影響到蜜罐的安全。

McCarty研究出一個(gè)叫做“蜜罐獵捕者”的反蜜罐工具，用來幫助垃圾郵件制造者檢測郵件蜜罐。郵件蜜罐作為開放代理進(jìn)行郵件中繼。為了檢測郵件蜜罐，“蜜罐獵捕者”創(chuàng)建一個(gè)本地郵件服務(wù)器，連接到目標(biāo)郵件代理。然后它嘗試從代理回連到自己。如果目標(biāo)郵件代理宣稱連接已經(jīng)成功，但是郵件服務(wù)器并沒有收到回連請求，那么就檢測到了蜜罐?！懊酃瞢C捕者”也可以給目標(biāo)系統(tǒng)發(fā)送一些測試郵件，觀察它們是否被投遞。如果沒有，則判定是蜜罐。

Mukkamala通過時(shí)間線分析、服務(wù)器服務(wù)以及TCP/IP指紋特征來檢測低交互式蜜罐和運(yùn)行在虛擬機(jī)上的高交互式蜜罐。時(shí)間線分析測量服務(wù)器的響應(yīng)時(shí)間，依據(jù)是來自蜜罐的響應(yīng)要比真實(shí)業(yè)務(wù)主機(jī)的慢。Mukkamala建議使用門限值4.4*10-4秒來區(qū)別真實(shí)業(yè)務(wù)系統(tǒng)和基于虛擬機(jī)的蜜罐系統(tǒng)。另外，蜜罐沒有實(shí)現(xiàn)其模擬的主機(jī)系統(tǒng)上運(yùn)行的所有服務(wù)和特征，因此可以對網(wǎng)絡(luò)服務(wù)進(jìn)行特征識(shí)別，從而檢測出蜜罐系統(tǒng)。蜜罐系統(tǒng)和真實(shí)業(yè)務(wù)系統(tǒng)的TCP/IP指紋特征是不同的，通過對TCP和IP報(bào)文頭部進(jìn)行指紋特征識(shí)別也能發(fā)現(xiàn)蜜罐。

Perdisci提出使用噪音注入的方式來對抗蜜罐自動(dòng)提取蠕蟲特征的技術(shù)，如Newsome。噪音注入是通過向蜜罐注入與多態(tài)蠕蟲相似的數(shù)據(jù)但是該數(shù)據(jù)不包含多態(tài)蠕蟲中不變的部分，以達(dá)到迷惑特征提取軟件的目的，阻止從蠕蟲中識(shí)別出多態(tài)蠕蟲不變部分。Perdisci通過實(shí)驗(yàn)展示經(jīng)過精心構(gòu)造噪音，例如在噪音為50%（噪音與不變字節(jié)的比例）時(shí)，Newsome不能從多態(tài)蠕蟲中提取出特征（即不變字節(jié)）。

Zou提出了一種使用僵尸網(wǎng)絡(luò)來檢測和避開蜜罐的技術(shù)。一般來說，蜜罐管理員不允許蜜罐去攻擊其他網(wǎng)絡(luò)。利用這點(diǎn)啟示，Zou設(shè)計(jì)了蜜罐檢測系統(tǒng)。僵尸網(wǎng)絡(luò)管理節(jié)點(diǎn)首先向僵尸節(jié)點(diǎn)發(fā)送攻擊信息，攻擊信息控制僵尸節(jié)點(diǎn)對某個(gè)目標(biāo)發(fā)起攻擊行為。僵尸節(jié)點(diǎn)中可能有一些是蜜罐。僵尸節(jié)點(diǎn)完全受僵尸網(wǎng)絡(luò)管理節(jié)點(diǎn)控制，不聽指揮的便是蜜罐，僵尸網(wǎng)絡(luò)管理節(jié)點(diǎn)以此為依據(jù)將蜜罐從僵尸網(wǎng)絡(luò)中移除。

5 發(fā)展趨勢

近年來，蜜罐技術(shù)受到安全界的持續(xù)關(guān)注并獲得長足發(fā)展，但是蜜罐技術(shù)的應(yīng)用還受著不少問題的困擾，主要表現(xiàn)在以下幾個(gè)方面。

（1）對高交互式蜜罐需要細(xì)粒度的數(shù)據(jù)控制來控制風(fēng)險(xiǎn)。采用真實(shí)的硬件和操作系統(tǒng)構(gòu)建的高交互式蜜罐，雖然比較真實(shí)，不容易被識(shí)別，但是被攻陷后容易被利用去攻擊其他的系統(tǒng)，帶來責(zé)任和法律問題。目前的數(shù)據(jù)控制機(jī)制采取限制對外連接數(shù)目和連接速率的方式。這種方法沒有完全阻止攻擊流量的外流，只能在一定程度上限制攻擊者利用蜜罐作為跳板攻擊其他主機(jī)和系統(tǒng)，因此責(zé)任和法律問題依然存在。而完全阻止流量的外流也不是一種好的方法。這是因?yàn)榻┦W(wǎng)絡(luò)在傳播過程中，需要從攻擊源那里獲取指控信息，阻止全部流量就不能很好的學(xué)習(xí)僵尸網(wǎng)絡(luò)的行為。此外，阻止所有流量外流會(huì)成為一個(gè)蜜罐的識(shí)別特征，讓攻擊者快速的識(shí)別蜜罐。因此，急需一種更加細(xì)粒度的數(shù)據(jù)控制機(jī)制對外流的報(bào)文進(jìn)行內(nèi)容檢查，僅限制攻擊流量外流。

（2）對低交互式蜜罐，需要提高仿真度，防止被識(shí)別?；谀M實(shí)現(xiàn)的低交互式蜜罐雖然利用資源少，但是真實(shí)度差，交互能力有限，因此被識(shí)別的風(fēng)險(xiǎn)比較高。如何自動(dòng)感知和學(xué)習(xí)被模擬的操作系統(tǒng)和服務(wù)特征，動(dòng)態(tài)適應(yīng)網(wǎng)絡(luò)變化，實(shí)現(xiàn)系統(tǒng)自動(dòng)配置，增強(qiáng)蜜罐系統(tǒng)的仿真度，是有待研究的問題。

（3）蜜場架構(gòu)中需要解決好蜜場網(wǎng)關(guān)設(shè)計(jì)問題。在蜜罐的部署方式研究上，國內(nèi)外提出了蜜罐、蜜網(wǎng)、分布式蜜網(wǎng)和蜜場的體系架構(gòu)。由于蜜罐和蜜網(wǎng)體系架構(gòu)是集中式架構(gòu)，不能對全網(wǎng)的安全威脅態(tài)勢進(jìn)行感知，而分布式的蜜網(wǎng)雖然能夠分布式的監(jiān)測網(wǎng)絡(luò)威脅，但是維護(hù)開銷大，管理比較困難。而蜜場以分布式的方式部署監(jiān)測節(jié)點(diǎn)，以集中式的方式管理偽裝系統(tǒng)，但是它還僅僅是一個(gè)概念模型，還沒有具體實(shí)現(xiàn)。其中蜜場網(wǎng)關(guān)的設(shè)計(jì)是蜜場架構(gòu)問題的關(guān)鍵，重點(diǎn)需要解決數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析功能，目前還沒有一個(gè)很好的方案。

（4）統(tǒng)一數(shù)據(jù)格式，融合多源信息。在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對來自不同地區(qū)多個(gè)數(shù)據(jù)源的數(shù)據(jù)進(jìn)行融合，是生成安全威脅態(tài)勢和進(jìn)行趨勢預(yù)測的關(guān)鍵問題。一方面，需要根據(jù)局部信息分析攻擊行為，另一方面，需要匯集和融合局部的數(shù)據(jù)，對整體的安全狀況進(jìn)行分析預(yù)測，以形成更準(zhǔn)確的威脅態(tài)勢信息。因此需要建立統(tǒng)一的數(shù)據(jù)格式，方便從各個(gè)監(jiān)測點(diǎn)獲取、融合與分析數(shù)據(jù)，提高快速性和準(zhǔn)確性。

（5）數(shù)據(jù)自動(dòng)分析與特征自動(dòng)提取。對蜜罐數(shù)據(jù)的分析往往需要專家投入較多精力和時(shí)間，特別的，某些數(shù)據(jù)的分析需要專家直接參與分析過程才能得到有用的信息。因此，需要借鑒其他領(lǐng)域中處理數(shù)據(jù)的成熟方式方法，對蜜罐采集數(shù)據(jù)使用可視化、統(tǒng)計(jì)分析、機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘等方法來研究自動(dòng)特征提取技術(shù)，自動(dòng)識(shí)別攻擊工具、手段、目的，并分析攻擊趨勢。

（6）與其他安全技術(shù)結(jié)合使用，構(gòu)建優(yōu)勢互補(bǔ)的安全體系。對待安全威脅，以防御為主，在防御失效的情況下才要求具備攻擊檢測能力。蜜罐只能檢測對它實(shí)施攻擊的行為，不能防護(hù)有漏洞的系統(tǒng)。而且將其部署到業(yè)務(wù)網(wǎng)絡(luò)中會(huì)帶來一定的風(fēng)險(xiǎn)。因此，蜜罐需要與防火墻、反病毒、入侵檢測等其他防護(hù)系統(tǒng)配合使用，如何與傳統(tǒng)的安全防護(hù)設(shè)備進(jìn)行交互，實(shí)現(xiàn)協(xié)作和聯(lián)動(dòng)，提高阻止、檢測和響應(yīng)攻擊的能力，是網(wǎng)絡(luò)安全縱深防御需要研究的問題。

6 總結(jié)

蜜罐是主動(dòng)型的防御技術(shù)，能夠捕獲新型安全威脅，在網(wǎng)絡(luò)縱深防御體系中扮演著非常重要的角色。本文從新的蜜罐類型、數(shù)據(jù)分析技術(shù)、蜜罐配置技術(shù)和識(shí)別與反識(shí)別技術(shù)四個(gè)方面對蜜罐技術(shù)的研究進(jìn)展進(jìn)行綜述。最后對蜜罐的發(fā)展趨勢和新的研究問題做了展望。

[1]Y. Adachi, and o. Oyama, “Malware Analysis System using Process-Level Virtualization,” Proceedings of IEEE Symposium on Computers and Communications，2009.

[2]Y. Alosefer, and O. Rana, “Honeyware-Web based low interaction client honeypot,” Proceedings of the International conference on Software Testing, verification and validation Workshops，2010.

[3]K. G. Anagnostakis, S. Sidiroglou, P. Akritidis, K. Xinidis,E. Markatos, and A. D. Keromytis, “Detecting Targeted Attacks using shadow honeypots,” Proceedings of the Conference on USENIX security symposium，2005.

[4]M. D. Bailey, E. Cooke, F. Jahanian, N. Provos, K.Rosaen, and D. Watson, “Data Reduction for the scalable automated analysis of distributed for the scalable automated analysis of distributed darknet traffic,” Proceedings of the ACM SIGCOMM Conference on Internet Measurement， 2005.

[5]V. V. Das, “Honeypot Scheme for distributed denial-of-service,” Proceedings of the 2009 International Conference on Advanced computer control，2009.

[6]A. Ghourabi, T. Abbes, and A. Bouhoula, “Honeypot Router for routing protocols protection,” Proceedings of the International Conference on Risks and Security of Internet and System， 2009.

[7]X. Jiang, and X. Wang, “Out-of-the-box Monitoring of VM-Based High-interaction Honeypots,” Proceedings of the International Conference on Recent Advances in Intrusion Detection，2007.

[8]S. M. Khattab, C. Sangpachatanaruk, D. Moss, R. Melhem,and T. Znati, “Roaming Honeypots for Mitigating service-level denial-of-service attacks,” Proceedings of the International Conference on Distributed Computing System，2004.

[9]C. Kreibichi, and J. Crowcroft, “Honeycomb- creating Intrusion detection signatures using honeypots,” ACM SIGCOMM Computer Communcation Review， 2004.

[10]T. Lauinger, V. Pankakoski, D. Balzarotti, and E. Kirda,“Honeybot, Your man in the middle for automated social engineering,” Proceedings of USENIX symposium on Networked systems design and implementation，2010.

[11]S. Li, and R. Schmitz, “a novel anti-phishing framework based on honeypots,” Proceedings of eCrime Researchers Summit，2009.

[12]J. Nazario, “PhoneyC: a virtual client honeypot,”Proceedings of USENIX Workshop on Large-Scale and Emergent Threats，2009.

[13]G. Portokalidis, A. Slowinska, and H. Bos, “Argos: an Emulator for Fingerprinting zero-day attacks,” ACM SIGOPS Operating systems review， 2006.

[14]A. Prathapani, L. Santhanam, and D. P. Agrawal,“Intelligent honeypot agent for blackhole attack detection in wireless mesh networks,” Proceedings of IEEE International Conference on Mobile adhoc and sensor systems, pp. 753-758,Oct. 2009.

[15]N. C. Rowe, E. J. Custy, and B. T. Duong, “Defending cyberspace with fake honeypots,” Journal of Computers，2007.

[16]S. Webb, J. Caverlee, and C. Pu, “Social honeypots:making friends with a spammer near you,” Proceedings of the Conference on Email and Anti-spam，2008.

[17]j. Zhuge, T. Holz, X. Han, and W. Zou, “Collecting autonomous Spreading malware using high-interaction honeypots,” Proceedings of the International Conference on information and communication security，2007.

[18]D. Kwon, J. W.-K. Hong, and H. Ju, Proceedings of 14th Asia-Pacific Network Operations and Management Symposium (APNOMS)，2012.

[19]S. Kumar, P. Singh, R. Sehgal, and J. S. Bhatia,“Distributed Honeynet System Using Gen III Virtual Honeynet,” International Journal of Computer Theory and Engineering (IJCTE)，2012.

[20]A. Pawar, K. Siddhabhati, S. Bhise, and S. Tamhane,“Web Application Honeypot,” International Journal of Advance Research in Computer Science and Management Studies，2014.

[21]C. Valli, P. Rabadia, and A. Woodard, “A Profile of Prolonged, Persistent SSH Attack on a Kippo Based Honeynet,”Proceedings of the Conference on Digital Forensics, Security and Law，2015.

[22]郭軍權(quán), 諸葛建偉, 孫東紅, 段海新.Spampot：基于分布式蜜罐的垃圾郵件捕獲系統(tǒng).計(jì)算機(jī)研究與發(fā)展， 2014.

[23]汪潔，楊柳.基于蜜罐的入侵檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).計(jì)算機(jī)應(yīng)用研究，2012.

[24]王超杰，黃宇達(dá)，趙紅專，王迤冉.基于雙層動(dòng)態(tài)蜜罐技術(shù)的智能交通主動(dòng)防御方案.計(jì)算機(jī)應(yīng)用研究，2015.

[25]段凱元，何申，程葉霞.基于Kippo蜜罐的SSH暴力破解行為分析.信息安全與通信保密，2014.

[26]L. Chen, Z. Li, C. Gao, and L. Liu, “Dynamic Forensics based on Intrusion Tolerance,” Proceedings of IEEE International Symposium on Parallel and Distributed Processing with Applications，2009.

[27]E. Cooke, F. Jahanian, and D. McPherson, “The Zombie Roundu: understanding, detecting, and disrupting botnets,” Proceedings of the USENIX steps to reducing unwanted traffic on the Internet on steps to reducing unwanted traffic on the internet workshop，2005.

[28]R. Dantu, J. W. Cangussu, and S. Patwardhan, “Fast Worm Containment using feedback control,” IEEE transactions on dependable and secure computing，2007.

[29]K. D. Fairbanks, Y. H. Xia, and H. L. Owen, “A method for historical Ext3 Inode to Filename Translation on Honeypots,” Proceedings of the IEEE International Computer Software and Applications conference， 2009.

[30]C. Hoepers, N. L. Vijaykumar, and A. Montes, “HIDEF:a data exchange format for information collected in honeypots and honeynets,” INFOCOMP journal of computer science， 2008.

[31]S. Krasser, G. Conti, J. Grizzard, J. Gribschaw, and H.Owen, “Real-time and forensics network data analysis using animated and coordinated visualization,” Proceedings of IEEE International Conference on System, Man and Cybernetics information assurance workshop， 2005.

[32]M. M. Z. E. Mohammed, H. A. Chan, N. Ventura, M.Hashim, I. Amin, and E. Bashier, “Detection of Zero-Day Polymorphic worms using principal component analysis,”Proceedings of International Conference on Networking and Services，2007.

[33]J. Narvaez, C. Aval, B. Endicott-Popovsky, C. Seifert, A.Malviya, and D. Nordwall, “Assessment of virtualization as a sensor technique,” Proceedings of the IEEE International Workshop on Systematic Approaches to Digital Forensic Engineering，2010.

[34]J. Newsome, B. Karp, and D. Song, “Polygraph:Automatically generating signatures for polymorphic worms,”Proceedings of IEEE Symposium on security and Privacy，2005.

[35]F. Raynal, Y. Berthier, P. Biondi, and D. Kaminsky,“Honeypot Forensics Part 1: Analyzing the Network,” IEEE Security and Privacy， 2004.

[36]M.-Y. Su, “Internet Worms Identification through serial Episodes mining,” Proceedings of the International conference on Electrical Engineering/Electronics Computer Telecommnications and Information， 2010.

[37]Y. Tang, and S. Chen, “Defending against Internet Worms: A signature-based approach,” Proceedings of IEEE INFOCOM，2005.

[38]O. Thonnard, and M. Dadier, “A Framework for Attack Pattern's Discovery in Honeynet Data,” Digital Investigation，2008.

[39]A. J. Trivedi, P. Q. Judge, and S. Krasser, “Analyzing network and content characteristics of Spm using honeypots,”Proceedings of the USENIX Workshop on steps to reducing unwanted traffic on the Internet，2007.

[40]G. Wagener, A. Dulaunoy, and T. Engel, “Towards an estimation of the in network forensics of TCP reassembly accuracy,” Proceedings of the International Conference on Future Generation Communication and Networking，2008.

[41]V. Yegneswaran, P. Barford, and V. Paxon, “Using Honeynets for Internet Situatonal awareness,” Proceedings of the ACM/USENIX workshop on Hot Topic in Networks，2005.

[42]N. Zhao, and X. Zhang, “The Worm Propagation Model and Control Strategy based on Distributed honeynet,”Proceedings of the International Conference on Computer Science and Software Engineering，2008.

[43]P. Wang, S. Sparks, and C. C. Zou, “an advanced hybrid peer-to-peer botnet,” IEEE transaction on dependable and secure computing，2010.

[44]D. Kansal, and N. S. Sethi, “Network Forensic Based on Honeynet,” IOSR Journal of Engineering， 2015.

[45]J. Briffaut, J. F. Lalande, and C. Toinard, “Security and Results of a Large-Scale High-Interaction Honeypot,” Journal of Computers Special Issue on Security and high performance computer system，2009.

[46]T. E. Carroll, and D. Grosu, “A game theoretic investigation of deception in network security,” Proceedings of the International conference on computer communications and networks，2009.

[47]T. M. Chen, and J. Buford, “Design considerations for a honeypot for SQL injection attacks,” Proceedings of IEEE local computer networks，2009.

[48]C. Hecker, K. L. Nance, and B. Hay, “Dynamic Honeypot construction,” Proceedings of the Colloquium for information systems security education， 2006.

[49]J. Kohlrausch, “experiences with the NoAH honeynet Testbed to detect new Internet worms,” Proceedings of the International Conference on IT security Incident management and IT forensics，2009.

[50]L. Spitzner, “Honeypots: Catching the Insider Threat,”Proceedings of the Computer Security Applications Conference，2003.

[51]H. Wang, and Q. Chen, “Design of cooperative deployment in distributed honeynet system,” Proceedings of the International conference on computer communications and networks， 2010.

[52]C. Hecker, and B. Hay, “Automated Honeynet Deployment for Dynamic Network Environment,” Proceedings of 2013 46th Hawaii International Conference on System Sciences (HICSS)，2013.

[53]M. Dornseif, T. Holz, and C. N. Klein,“NoSEBrEaK-Attacking Honeynets,” Proceedings of International Conference on System, Man and Cybernetics Information Assurance Workshop，2004.

[54]T. Holz, and F. Raynal, “Detecting Honeypots and other suspicious environments,” Proceedings of IEEE International Conference on System, Man and Cybernetics Information Assurance Workshop，2005.

[55]B. McCarty, “Anti-honeypot Technology,” IEEE Security and Privacy， 2004.

[56]S. Mukkamala, K. Yendrapalli, R. Basnet, M. K.Shankarapani, and A. H. Sung, “Detection of Virtual environments and low interaction honeypots,” Proceedings of IEEE International Conference on System, Man and Cybernetics Information Assurance Workshop，2007.

[57]R. Perdisci, D. Dagon, W. Lee, P. Fogla, and M. Sharif,“Misleading Worm Signature Generators using deliberate noise injection,” Proceedings of IEEE symposium on Security and Privacy， 2006.

[58]C. C. Zou, and R. Cunningham, “ Honeypot-aware advanced botnet construction and maintenance,” Proceedings of the international conference on dependable systems and networks，2006.