【摘 要】信息安全系統(tǒng)已不再局限于被動(dòng)防御，而是開始采用主動(dòng)的手段來增強(qiáng)系統(tǒng)的安全性。本文介紹了蜜罐的概念、發(fā)展歷史、技術(shù)特點(diǎn)和發(fā)展趨勢(shì)。

【關(guān)鍵字】蜜罐 蜜場(chǎng) Honey Token

一、引言

計(jì)算機(jī)網(wǎng)絡(luò)在人們工作和生活中的角色日益重要。它在帶給人們方便的同時(shí)，也因網(wǎng)絡(luò)使用者的多樣性而變得越來越不安全。傳統(tǒng)的信息安全防護(hù)僅采取被動(dòng)的防御措施，使信息系統(tǒng)處于等待黑客攻擊的狀態(tài)。人們不再滿足于只是見招拆招、被動(dòng)防御的狀況，希望能夠了解黑客的攻擊手段、方法、使用工具、攻擊技巧等信息，從而采取積極的防御措施來保護(hù)信息系統(tǒng)。于是，蜜罐應(yīng)運(yùn)而生。

二、蜜罐（Honeypot）

（一）蜜罐的概念

“蜜網(wǎng)項(xiàng)目組”的創(chuàng)始人Lance Spitzner給出了對(duì)蜜罐的定義：蜜罐是一種安全資源，其價(jià)值在于被掃描、攻擊和攻陷[1]。蜜罐可以是任何計(jì)算機(jī)資源。它可以是一臺(tái)普通計(jì)算機(jī)、一臺(tái)路由器、一個(gè)郵件服務(wù)器或者文件服務(wù)器，也可以是工作站或其他網(wǎng)絡(luò)設(shè)備[2]。

（二）蜜罐的發(fā)展歷史

蜜罐的概念提出于上世紀(jì)九十年代初，其發(fā)展可劃分為三個(gè)階段[3]。

第一階段，從概念的提出到一九九八年左右。在該階段，蜜罐還僅是一種思想。此時(shí)的蜜罐是一些真實(shí)的主機(jī)和計(jì)算機(jī)系統(tǒng)，只為達(dá)到追蹤黑客的目的。

第二階段，從一九九八年到二〇〇〇年。這個(gè)階段開發(fā)出的蜜罐工具只是模擬真實(shí)的系統(tǒng)和服務(wù)，因此稱為虛擬蜜罐。但是，虛擬蜜罐與黑客之間的交互程度有限，較易被黑客識(shí)破身份。

第三階段，二〇〇〇年以后。使用真實(shí)的主機(jī)、操作系統(tǒng)和服務(wù)程序來充當(dāng)蜜罐。給黑客的感覺更真實(shí)，不易使黑客發(fā)覺自己是在冒著被抓的風(fēng)險(xiǎn)做無用功。

（三）蜜罐的分類

1.按照使用目的分類。蜜罐可以分為產(chǎn)品型蜜罐和研究型蜜罐[1]。產(chǎn)品型蜜罐為網(wǎng)絡(luò)提供安全保護(hù)，比如攻擊檢測(cè)、攻擊響應(yīng)、防止攻擊破壞等功能，減少受保護(hù)系統(tǒng)可能受到的安全威脅。研究型蜜罐是盡可能多的向黑客暴露蜜罐的弱點(diǎn)，以便收集到更多的用于分析研究的黑客信息。

2.按照與黑客之間的交互程度分類。蜜罐可以分為低交互蜜罐和高交互蜜罐[1]。低交互蜜罐與黑客交互程度最低。它為黑客提供模擬的系統(tǒng)和網(wǎng)絡(luò)服務(wù)。在低交互蜜罐中，黑客的活動(dòng)受到較大限制。低交互蜜罐是最安全的。但是它所能獲得的信息也很有限。高交互蜜罐，為黑客提供的是真實(shí)的系統(tǒng)和應(yīng)用程序，使黑客更難于察覺受騙，且可獲得更多的黑客信息。

三、蜜罐技術(shù)的特點(diǎn)

蜜罐技術(shù)最主要的功能，是對(duì)其內(nèi)部的所有操作和行為進(jìn)行監(jiān)控和記錄?？梢詫⑺信c蜜罐的交互行為均看作是黑客的惡意攻擊或未授權(quán)的訪問。因此，蜜罐所捕獲的信息都是可疑行為的信息。蜜罐隨時(shí)記錄黑客信息，它可在第一時(shí)間捕獲黑客的攻擊。

入侵檢測(cè)系統(tǒng)，要對(duì)大量的信息進(jìn)行分析判斷，從中選擇出可疑信息進(jìn)行報(bào)警。這不僅需要安全員花費(fèi)大量的時(shí)間和精力，而且其漏報(bào)率和誤報(bào)率會(huì)很高。相比之下，蜜罐技術(shù)具有較低的漏報(bào)率和誤報(bào)率。蜜罐技術(shù)不是根據(jù)已知的黑客技術(shù)去匹配獲得的信息。它不僅發(fā)現(xiàn)已知的攻擊，也能發(fā)現(xiàn)未知的攻擊。這樣，能夠在受保護(hù)系統(tǒng)受到黑客攻擊之前采取相應(yīng)防護(hù)措施來防御其威脅，而不是傳統(tǒng)的在系統(tǒng)受到威脅或損害之后采取補(bǔ)救措施。

四、蜜罐技術(shù)的發(fā)展趨勢(shì)

（一）蜜場(chǎng)（Honey Farm）[4]

蜜場(chǎng)是蜜罐概念的發(fā)展。蜜場(chǎng)的思想是將網(wǎng)絡(luò)中的可疑數(shù)據(jù)流重定向到蜜場(chǎng)中。在網(wǎng)絡(luò)中放置檢測(cè)器。當(dāng)發(fā)現(xiàn)可疑數(shù)據(jù)流時(shí)，利用重定向器將其導(dǎo)向蜜場(chǎng)。所有蜜罐集中于蜜場(chǎng)，與外網(wǎng)之間用防火墻隔離。蜜場(chǎng)的優(yōu)勢(shì)在于集中性。

（二）動(dòng)態(tài)蜜網(wǎng)

動(dòng)態(tài)蜜網(wǎng)，將低交互蜜罐和高交互蜜罐結(jié)合起來，需要虛擬蜜網(wǎng)技術(shù)的支持，利用被動(dòng)指紋工具監(jiān)控網(wǎng)絡(luò)[5]。依據(jù)獲得的網(wǎng)絡(luò)信息對(duì)蜜網(wǎng)進(jìn)行部署和配置。最主要的是其自適應(yīng)能力，能夠自動(dòng)學(xué)習(xí)周圍的網(wǎng)絡(luò)環(huán)境，配置適當(dāng)數(shù)量的蜜罐，并隨網(wǎng)絡(luò)環(huán)境的變化做出調(diào)整。

（三）Honey Token[6]

Honey Token概念的提出，使蜜罐不再局限于硬件設(shè)備。Honey Token是一個(gè)數(shù)字化的實(shí)體。它可以是一張信用卡號(hào)碼、一個(gè)Excel電子表格、一個(gè)數(shù)據(jù)庫的入口，或者是一個(gè)偽造的登錄[5]。任何黑客感興趣信息的無價(jià)值的贗品均可成為蜜罐。Honey Token是一種高度靈活和簡(jiǎn)單的且?guī)в卸喾N安全應(yīng)用軟件的工具。

五、總結(jié)

蜜罐技術(shù)改變了以往網(wǎng)絡(luò)中主機(jī)只能被動(dòng)挨打和事后彌補(bǔ)的狀況。利用蜜罐引誘黑客，可以耗費(fèi)黑客的時(shí)間和精力，可能使受保護(hù)系統(tǒng)免于黑客攻擊，或?yàn)槲覀冊(cè)鰪?qiáng)系統(tǒng)安全性爭(zhēng)取時(shí)間。蜜罐技術(shù)對(duì)黑客攻擊的捕獲和分析，能夠及時(shí)發(fā)現(xiàn)黑客的新的攻擊手段，使得受保護(hù)系統(tǒng)在受到新手段攻擊之前就已經(jīng)采取相應(yīng)的防護(hù)措施成為可能。

參考文獻(xiàn)：

[1] L. Spitzner “Honeypot - Definitions and Value of Honeypots”http：//www.tracking-hackers.com/papers/honeypots.html.

[2]李寧波 虛擬蜜罐軟件honeyd http：// www.honeynet.org.cn/reports/虛擬蜜罐軟件honeyd.pdf

[3]諸葛建偉 蜜罐及蜜網(wǎng)技術(shù)簡(jiǎn)介 http：// www.icst.pku.edu.cn/honeynetweb/reports/蜜罐及蜜網(wǎng)技術(shù)簡(jiǎn)介.pdf

[4] L. Spitzner “Dynamic Honeypots” http：//www.securityfocus.com/infocus/1731

[5]李之棠 徐曉丹 動(dòng)態(tài)蜜罐技術(shù)分析與設(shè)計(jì) 華中科技大學(xué)學(xué)報(bào) 2005.02 vol 33 No.2

[6]L. Spitzner “Honeytokens： The Other Honeypot” http：//www.securityfocus.com/infocus/1713