何祥鋒

（國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心海南分中心 海南 570206）

0 引 言

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)安全問(wèn)題日益突出。常用于防御攻擊的傳統(tǒng)技術(shù)如防火墻技術(shù)、入侵檢測(cè)技術(shù)、加密技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)等都是采取被動(dòng)防護(hù)模式，蜜罐（Honeypot）技術(shù)作為一種主動(dòng)的網(wǎng)絡(luò)安全防御技術(shù)，有效地彌補(bǔ)了傳統(tǒng)防護(hù)技術(shù)的不足。蜜罐技術(shù)通過(guò)構(gòu)建一個(gè)誘騙系統(tǒng)來(lái)吸引入侵者的攻擊，通過(guò)監(jiān)控入侵者的行為，收集入侵信息，分析入侵方式，提取攻擊特征，從而發(fā)現(xiàn)新的入侵行為特征，對(duì)未知的攻擊起著有效地防范作用。蜜罐技術(shù)在網(wǎng)絡(luò)安全應(yīng)用中起著越來(lái)越重要的作用。

1 蜜罐技術(shù)概述

1.1 蜜罐技術(shù)的定義

蜜罐是一個(gè)誘騙系統(tǒng)，是一種安全資源，它是被嚴(yán)格監(jiān)控的，通過(guò)被掃描、被攻擊來(lái)體現(xiàn)它的價(jià)值。設(shè)計(jì)蜜罐的目的是讓黑客入侵，由蜜罐系統(tǒng)設(shè)置的功能對(duì)黑客攻擊的行為和過(guò)程進(jìn)行分析，以此收集攻擊信息。蜜罐不能提高被攻擊系統(tǒng)的安全性，但作為一種主動(dòng)防御技術(shù)卻是其他安全策略所不可替代的。

1.2 蜜罐的分類(lèi)

1.2.1 蜜罐可分為產(chǎn)品型蜜罐和研究型蜜罐用于不同的設(shè)計(jì)要求。產(chǎn)品型蜜罐的設(shè)計(jì)目的是為了加強(qiáng)系統(tǒng)的安全措施，防范入侵者的攻擊，對(duì)入侵行為進(jìn)行檢測(cè)并且做出應(yīng)對(duì)。常見(jiàn)的產(chǎn)品型蜜罐有DTK、honeyd等開(kāi)源工具和KFSensor、ManTraq 等商業(yè)產(chǎn)品。研究型蜜罐的設(shè)計(jì)目的是用于研究和獲取入侵信息。研究型蜜罐不能增強(qiáng)系統(tǒng)的安全性，而是通過(guò)收集攻擊者的信息來(lái)尋找更有效的應(yīng)對(duì)方式。研究型蜜罐常用于第二代蜜網(wǎng)技術(shù)中。

1.2.2 從信息交互程度的不同，蜜罐可分為低交互蜜罐、中交互蜜罐和高交互蜜罐。低交互蜜罐只是對(duì)操作系統(tǒng)的一部分或一個(gè)服務(wù)進(jìn)行模擬，例如模擬存在代碼漏洞的TELNET服務(wù)，當(dāng)攻擊者利用該漏洞入侵時(shí)，可以觀察到入侵行為。中交互是對(duì)操作系統(tǒng)的各種行為的模擬，它與攻擊者交互的信息更多，也獲得更多的攻擊信息。高交互蜜罐是一個(gè)可被攻陷的真實(shí)操作系統(tǒng)，通過(guò)真實(shí)系統(tǒng)與攻擊者進(jìn)行交互，獲取攻擊者在系統(tǒng)中詳盡的入侵信息。

1.3 蜜罐的優(yōu)點(diǎn)與缺點(diǎn)

1.3.1 蜜罐系統(tǒng)的優(yōu)點(diǎn)

大大減少了所要分析的數(shù)據(jù)，目的性強(qiáng)，捕獲的數(shù)據(jù)價(jià)值高；通過(guò)蜜罐系統(tǒng)可以捕獲攻擊者的入侵信息，從而發(fā)現(xiàn)新的攻擊手段及戰(zhàn)術(shù)方法；和現(xiàn)在的入侵檢測(cè)系統(tǒng)IDS比較，蜜罐具有較低的誤報(bào)率和漏報(bào)率；蜜罐系統(tǒng)通過(guò)分析可以發(fā)現(xiàn)新的入侵行為特征，建立安全事件行為特征庫(kù)；通過(guò)對(duì)黑客入侵行為的分析，有利于管理員掌握黑客攻擊的一些知識(shí)。

1.3.2 蜜罐系統(tǒng)的缺點(diǎn)

蜜罐技術(shù)也存在著一些缺陷，蜜罐技術(shù)只能對(duì)蜜罐的攻擊行為進(jìn)行監(jiān)視和分析，其視圖較為有限，不能通過(guò)旁路偵聽(tīng)等技術(shù)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)控；蜜罐技術(shù)不能直接防護(hù)有漏洞的信息系統(tǒng)；部署蜜罐存在一定的安全風(fēng)險(xiǎn)，蜜罐可能被黑客識(shí)別并作為跳板對(duì)第三方發(fā)起攻擊。

1.4 蜜罐技術(shù)的發(fā)展

從90年代初開(kāi)始，蜜罐技術(shù)的發(fā)展主要經(jīng)歷了欺騙系統(tǒng)、蜜罐（Honeypot）、蜜網(wǎng)（Honeynet）幾個(gè)發(fā)展階段。欺騙系統(tǒng)階段主要是建立一種欺騙方式達(dá)到追蹤入侵者行為和保護(hù)系統(tǒng)的目的。蜜罐階段出現(xiàn)了 DTK（欺騙工具包）、Honeyd等開(kāi)源工具，還有一些商業(yè)蜜罐產(chǎn)品如KFSensor、Specter等。蜜網(wǎng)階段是在蜜罐技術(shù)上逐漸發(fā)展起來(lái)的，它是一種網(wǎng)絡(luò)體系架構(gòu)，運(yùn)用多種工具收集攻擊者的入侵信息，同時(shí)也對(duì)網(wǎng)絡(luò)提供了高度可控性。虛擬蜜網(wǎng)是利用計(jì)算機(jī)虛擬技術(shù)在一臺(tái)主機(jī)系統(tǒng)上虛擬出幾臺(tái)計(jì)算機(jī)并構(gòu)建成一個(gè)網(wǎng)絡(luò)系統(tǒng)，虛擬蜜網(wǎng)的出現(xiàn)，大大降低了蜜網(wǎng)設(shè)計(jì)的成本，而且易于管理。

2 蜜罐的主要技術(shù)

蜜罐的主要技術(shù)有網(wǎng)絡(luò)欺騙技術(shù)、數(shù)據(jù)捕獲技術(shù)、數(shù)據(jù)控制技術(shù)、數(shù)據(jù)分析和端口重定向技術(shù)等。

2.1 網(wǎng)絡(luò)欺騙技術(shù)：是蜜罐的核心技術(shù)，通過(guò)設(shè)置各種欺騙手段，利用系統(tǒng)的安全弱點(diǎn)和漏洞，引誘黑客的攻擊。一個(gè)蜜罐系統(tǒng)是否有價(jià)值，體現(xiàn)了網(wǎng)絡(luò)欺騙技術(shù)的強(qiáng)與弱。設(shè)置一個(gè)網(wǎng)絡(luò)欺騙技術(shù)強(qiáng)的蜜罐系統(tǒng)，可以充分發(fā)揮蜜罐的價(jià)值，同時(shí)還不易被黑客察覺(jué)。目前常用的網(wǎng)絡(luò)欺騙技術(shù)有如下幾種：模擬服務(wù)端口；模擬系統(tǒng)漏洞；模擬應(yīng)用服務(wù)；IP空間欺騙；流量仿真；網(wǎng)絡(luò)動(dòng)態(tài)配置等。

2.2 數(shù)據(jù)捕獲技術(shù)：數(shù)據(jù)捕獲是蜜罐設(shè)計(jì)中的核心功能模塊。其作用是盡可能多的捕獲入侵信息，而不被攻擊者發(fā)現(xiàn)。對(duì)于低交互蜜罐系統(tǒng)，數(shù)據(jù)捕獲一般是對(duì)系統(tǒng)日志記錄的分析，捕獲的信息量有限。對(duì)于高交互蜜罐系統(tǒng)，可以應(yīng)用防火墻、入侵檢測(cè)設(shè)備來(lái)實(shí)現(xiàn)更多數(shù)據(jù)的捕獲。通過(guò)防火墻來(lái)捕獲進(jìn)入蜜罐的網(wǎng)絡(luò)連接日志記錄；通過(guò)入侵檢測(cè)系統(tǒng)捕獲蜜罐系統(tǒng)所有的網(wǎng)絡(luò)數(shù)據(jù)包；通過(guò)蜜罐主機(jī)獲取所有的系統(tǒng)日志以及輸入、輸出及屏幕顯示等，同時(shí)通過(guò)網(wǎng)絡(luò)傳輸把這些數(shù)據(jù)存放在遠(yuǎn)程服務(wù)器中。

2.3 數(shù)據(jù)控制技術(shù)：為了保障蜜罐系統(tǒng)的自身安全，防止攻擊者將蜜罐作為跳板去攻擊其他系統(tǒng)或第三方主機(jī)。必須對(duì)進(jìn)出蜜罐系統(tǒng)的數(shù)據(jù)流量進(jìn)行控制，同時(shí)不被黑客懷疑?？刂七M(jìn)出蜜罐系統(tǒng)的數(shù)據(jù)流量可以分成二層，分別是連接控制和路由控制。通過(guò)防火墻來(lái)控制蜜罐系統(tǒng)的外出連接；通過(guò)路由器來(lái)控制外出的數(shù)據(jù)包。

2.4 數(shù)據(jù)分析技術(shù)：數(shù)據(jù)分析技術(shù)是蜜罐技術(shù)中的一個(gè)難點(diǎn)，主要是對(duì)收集到的所有信息進(jìn)行綜合分析和關(guān)聯(lián)。通過(guò)分析可以掌握攻擊者在蜜罐系統(tǒng)中的活動(dòng)、擊鍵行為、訪問(wèn)系統(tǒng)所使用的工具、攻擊目的等，同時(shí)可以對(duì)攻擊者的行為建立數(shù)據(jù)統(tǒng)計(jì)模型。數(shù)據(jù)分析主要包括網(wǎng)絡(luò)協(xié)議分析、網(wǎng)絡(luò)攻擊分析和攻擊特征分析。

2.5 端口重定向技術(shù)：端口重定向是為了讓攻擊者進(jìn)入到蜜罐系統(tǒng)設(shè)置的一個(gè)模擬服務(wù)中，而不是進(jìn)入到系統(tǒng)真實(shí)的服務(wù)中，從而降低攻擊者對(duì)真實(shí)系統(tǒng)的威脅。根據(jù)重定向用戶(hù)的不同，端口重定向技術(shù)可以分為兩類(lèi)，一類(lèi)是客戶(hù)端重定向，一類(lèi)是服務(wù)器端重定向。

3 蜜罐在網(wǎng)絡(luò)安全中的應(yīng)用

3.1 蜜罐在網(wǎng)絡(luò)中的拓?fù)湮恢?/h3>

將一臺(tái)沒(méi)有打補(bǔ)丁的操作系統(tǒng)機(jī)器放置在互聯(lián)網(wǎng)上就可以完成蜜罐操作系統(tǒng)的部署。例如，可以利用VMware工作站或者QEMU來(lái)實(shí)現(xiàn)一臺(tái)虛擬機(jī)連接互聯(lián)網(wǎng)。蜜罐放置的位置可以在防火墻之前也可以放在防火墻之后，不同的位置蜜罐系統(tǒng)所起的作用也不盡相同。放在防火墻之前，優(yōu)點(diǎn)是蜜罐會(huì)吸引大量的掃描攻擊，蜜罐本身將攻擊信息記錄下來(lái)，內(nèi)部的IDS系統(tǒng)不會(huì)產(chǎn)生警告，無(wú)需調(diào)整防火墻及其它的資源的配置，不會(huì)給內(nèi)部網(wǎng)增加新的風(fēng)險(xiǎn)；缺點(diǎn)是無(wú)法定位或捕捉到內(nèi)部攻擊者。放在防火墻之后，優(yōu)點(diǎn)是可以收集到已經(jīng)通過(guò)防火墻的有害數(shù)據(jù)，還可以探查內(nèi)部攻擊者；缺點(diǎn)是需要調(diào)整防火墻規(guī)則，如果蜜罐被外部攻擊者攻陷將就會(huì)危害整個(gè)內(nèi)網(wǎng)。

3.2 利用蜜罐系統(tǒng)與入侵檢測(cè)的聯(lián)動(dòng)增強(qiáng)防護(hù)能力

入侵檢測(cè)系統(tǒng)對(duì)入侵行為的檢測(cè)主要是通過(guò)對(duì)攻擊行為進(jìn)行特征庫(kù)匹配，如果攻擊行為滿(mǎn)足特征庫(kù)中的條件，將做出響應(yīng)。入侵檢測(cè)系統(tǒng)的特征庫(kù)需要不斷的更新，才能檢測(cè)到新的攻擊行為。蜜罐系統(tǒng)彌補(bǔ)了這一不足，蜜罐系統(tǒng)將記錄到的入侵信息傳遞給入侵檢測(cè)系統(tǒng)，入侵檢測(cè)系統(tǒng)收到事件信息后對(duì)其進(jìn)行分析并提取攻擊特征，最后將新的攻擊特征添加到系統(tǒng)的攻擊特征庫(kù)中，從而使得入侵檢測(cè)系統(tǒng)可以檢測(cè)出未知的攻擊手段。利用蜜罐系統(tǒng)與入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)可以比較成功地增強(qiáng)入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)的防御能力。

3.3 利用蜜罐檢測(cè)僵尸網(wǎng)絡(luò)

利用蜜罐系統(tǒng)對(duì)僵尸系統(tǒng)（bot）和僵尸網(wǎng)絡(luò)（botnet）進(jìn)行檢測(cè)。根據(jù)僵尸網(wǎng)絡(luò)具有分布式的特點(diǎn)，通常利用零日攻擊或已知攻擊向量通過(guò)遠(yuǎn)程命令通道進(jìn)行攻擊。蜜罐系統(tǒng)可利用僵尸網(wǎng)絡(luò)的這一特點(diǎn)，對(duì)其進(jìn)行跟蹤和分析，從而發(fā)現(xiàn)僵尸網(wǎng)絡(luò)的規(guī)模?？梢岳妹酃奘侄潍@取僵尸系統(tǒng)的程序樣本，利用逆向分析方法來(lái)分析樣本，從中獲得僵尸程序連接僵尸網(wǎng)絡(luò)服務(wù)器所需要的屬性值，通過(guò)這些屬性值可以深入地跟蹤僵尸網(wǎng)絡(luò)。例如，蜜罐可以通過(guò)監(jiān)測(cè)IRC控制通道提供實(shí)時(shí)攻擊流量。同時(shí)蜜罐還可以識(shí)別攻擊者操作系統(tǒng)類(lèi)型以及存儲(chǔ)/重演攻擊活動(dòng)的能力。對(duì)于蜜罐捕獲到的僵尸程序樣本可以提交給在線沙盒和多種反病毒掃描工具進(jìn)行進(jìn)一步分析，并形成共享的威脅信息。

3.4 蜜罐在反垃圾郵件中的應(yīng)用

垃圾郵件往往成為傳播病毒的一種載體，也常被黑客利用來(lái)進(jìn)行攻擊的一種手段，垃圾郵件的危害越來(lái)越大。利用蜜罐技術(shù)可以有效地控制和防止垃圾郵件的傳播。首先，可以利用蜜罐欺騙垃圾郵件制造者收集虛假地址。其次，根據(jù)垃圾郵件發(fā)送的行為特征，利用流量檢測(cè)或者虛擬的郵箱賬戶(hù)捕獲垃圾郵件，將垃圾郵件重定向到蜜罐中，進(jìn)行分析和研究。最后，還可以在蜜罐中設(shè)置一個(gè)虛假代理，用于欺騙需要代理的垃圾郵件發(fā)送者。常用的開(kāi)源工具Honeyd 可以能用來(lái)創(chuàng)建虛假的，模擬轉(zhuǎn)發(fā)垃圾郵件的郵件服務(wù)器。蜜罐技術(shù)對(duì)于反垃圾郵件已經(jīng)有實(shí)際的應(yīng)用，并且成功捕獲大量的垃圾郵件。

3.5 蜜罐在反蠕蟲(chóng)病毒中的應(yīng)用

根據(jù)蠕蟲(chóng)病毒一般分為掃描、感染、復(fù)制的傳播過(guò)程，利用蜜罐技術(shù)可以有效地防止和控制蠕蟲(chóng)病毒的傳播。在蠕蟲(chóng)感染的階段蜜罐能檢測(cè)蠕蟲(chóng)的入侵行為，對(duì)于已知的蠕蟲(chóng)，可以通過(guò)設(shè)置防火墻和IDS規(guī)則，直接重定向到蜜罐中。對(duì)于全新的蠕蟲(chóng)，可以在網(wǎng)絡(luò)層用特定的偽造數(shù)據(jù)包來(lái)延遲應(yīng)答，延緩其掃描速度，并使用一些軟件工具或者算法對(duì)系統(tǒng)日志進(jìn)行分析，采取快速阻斷連接。同時(shí)，通過(guò)蜜罐系統(tǒng)對(duì)捕獲到的入侵信息進(jìn)行分析，提取入侵行為特征，進(jìn)而對(duì)防火墻和 IDS規(guī)則進(jìn)行修改，讓入侵檢測(cè)系統(tǒng)對(duì)后續(xù)的入侵做出響應(yīng)。

3.6 利用蜜罐建立安全事件行為特征庫(kù)

對(duì)于被動(dòng)的防御措施，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)只能檢測(cè)到已知類(lèi)型的攻擊和入侵。蜜罐作為一種主動(dòng)防御技術(shù)，填補(bǔ)了這一不足。蜜罐可以從各種入侵行為中提取有用的信息，從而發(fā)現(xiàn)新的攻擊工具和攻擊模式，并且可以通過(guò)大量的數(shù)據(jù)分析攻擊者的入侵動(dòng)機(jī)，從中制定有效的防御對(duì)策。通過(guò)對(duì)蜜罐技術(shù)收集到的攻擊數(shù)據(jù)進(jìn)行分析，可以進(jìn)一步了解已知的和未知的攻擊方法，攻擊手段以及攻擊源等。通過(guò)對(duì)這些有用的信息進(jìn)行整理，建立起內(nèi)部安全事件行為特征庫(kù)，為處理各種網(wǎng)絡(luò)安全問(wèn)題起到極大的幫助作用。

4 結(jié)束語(yǔ)

隨著互聯(lián)網(wǎng)攻防技術(shù)的不斷更新，蜜罐技術(shù)作為一種主動(dòng)防御的網(wǎng)絡(luò)安全技術(shù)，有力地彌補(bǔ)了傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)被動(dòng)防御的缺點(diǎn)，在分析未知攻擊行為，建立安全行為特征庫(kù)，有效處理各種網(wǎng)絡(luò)安全問(wèn)題方面取得了極好的效果。作為一種新興的網(wǎng)絡(luò)安全技術(shù)，蜜罐技術(shù)越來(lái)越引起廣泛關(guān)注和研究，在對(duì)蜜罐收集到的大量信息中，如何對(duì)數(shù)據(jù)進(jìn)行挖掘，進(jìn)行綜合關(guān)聯(lián)分析，從中提取更多的有價(jià)值的信息，是蜜罐技術(shù)的難點(diǎn)也是今后的研究方向。在蜜罐技術(shù)理論的不斷完善與發(fā)展下，蜜罐技術(shù)將被廣泛地應(yīng)用于網(wǎng)絡(luò)安全中并將發(fā)揮出極其重要的作用。

[1]熊華.網(wǎng)絡(luò)安全--取證與蜜罐[M].北京：人民郵電出版社.2003.

[2]邢長(zhǎng)友；楊莉；陳鳴. 網(wǎng)絡(luò)蠕蟲(chóng)傳播建模分析[J].電子科技大學(xué)學(xué)報(bào) 2007（03）.

[3]楊冬；高為民. 基于虛擬蜜罐的網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 2008（05）

[4]胡文廣；張穎江；，蘭義華．蜜罐研究與應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 2006（05）

[5]董國(guó)鋒；盧艷靜．蜜網(wǎng)技術(shù)綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用2008（12）