江飛

摘 要：文章首先介紹了蜜罐技術(shù)的定義、發(fā)展及分類，分析了蜜罐系統(tǒng)的關(guān)鍵技術(shù)，闡述了蜜罐技術(shù)的具體應(yīng)用。最后總結(jié)了蜜罐技術(shù)的優(yōu)缺點(diǎn)和發(fā)展。

關(guān)鍵詞：蜜罐；Honeyd；蜜網(wǎng)

1 蜜罐技術(shù)概述

1.1 蜜罐技術(shù)的定義

The Honeynet Project（蜜網(wǎng)項(xiàng)目組）創(chuàng)始人Lance Spitzner給蜜罐的定義是：蜜罐是一種安全資源，它的價(jià)值就在于被探測(cè)、被攻擊或被攻陷。其主要功能：一是通過(guò)構(gòu)建蜜罐環(huán)境誘騙攻擊者入侵，從而保護(hù)業(yè)務(wù)系統(tǒng)安全；二是誘騙成功之后捕獲攻擊數(shù)據(jù)進(jìn)行分析，了解并掌握入侵者使用的技術(shù)手段和工具，調(diào)整安全策略以增強(qiáng)業(yè)務(wù)系統(tǒng)的安全防護(hù)。

1.2 蜜罐技術(shù)發(fā)展歷程

蜜罐技術(shù)的發(fā)展經(jīng)歷了三個(gè)階段：

1.2.1 蜜罐（Honeypot）。從1990年蜜罐概念提出到1999年，研究人員相繼開(kāi)發(fā)了欺騙工具包DTK、虛擬蜜罐Honeyd等工具，廣泛應(yīng)用于商業(yè)領(lǐng)域。

1.2.2 蜜網(wǎng)（Honeynet）。1999年蜜網(wǎng)項(xiàng)目組提出并實(shí)現(xiàn)，目前已發(fā)展到第三代蜜網(wǎng)技術(shù)，已有項(xiàng)目應(yīng)用。

1.2.3 蜜場(chǎng)（Honeyfarm）。2003年由Lance Spitzner首次提出蜜場(chǎng)思想，處于研究階段。

1.3 蜜罐技術(shù)分類

蜜罐技術(shù)可以從不同的角度進(jìn)行分類：

根據(jù)系統(tǒng)應(yīng)用目標(biāo)不同，將蜜罐分為產(chǎn)品型和研究型蜜罐。產(chǎn)品型蜜罐可以為系統(tǒng)及網(wǎng)絡(luò)安全提供保障，主要包括攻擊檢測(cè)、防范攻擊造成破壞等功能，且較容易部署，不需要管理人員投入太多精力。研究型蜜罐主要用于研究活動(dòng)，如吸引攻擊、搜集信息、探測(cè)新型攻擊及黑客工具等功能。

根據(jù)系統(tǒng)交互級(jí)別不同，將蜜罐分為低交互和高交互蜜罐。低交互蜜罐通過(guò)模擬操作系統(tǒng)和服務(wù)來(lái)實(shí)現(xiàn)，攻擊者只被允許少量的交互行為。高交互蜜罐通常由真實(shí)的操作系統(tǒng)構(gòu)建，提供給攻擊者真實(shí)的系統(tǒng)和服務(wù)，可以獲得大量有用信息。

另外，蜜罐還可以根據(jù)具體實(shí)現(xiàn)角度或?qū)崿F(xiàn)方式的不同可以分為物理蜜罐和虛擬蜜罐，根據(jù)系統(tǒng)配置規(guī)模大小又可分為單機(jī)蜜罐、蜜罐網(wǎng)絡(luò)和蜜場(chǎng)。

2 蜜罐關(guān)鍵技術(shù)

2.1 網(wǎng)絡(luò)欺騙技術(shù)

由于蜜罐的價(jià)值是在其被探測(cè)、攻擊或者攻陷的時(shí)候才能得到體現(xiàn)，因此沒(méi)有欺騙功能的蜜罐是沒(méi)有價(jià)值的，欺騙技術(shù)也成為蜜罐技術(shù)體系中最為關(guān)鍵的技術(shù)和難題。欺騙信息設(shè)計(jì)技術(shù)是網(wǎng)絡(luò)欺騙技術(shù)的關(guān)鍵，且種類繁多，主要有模擬服務(wù)端口、模擬系統(tǒng)漏洞和應(yīng)用服務(wù)、網(wǎng)絡(luò)流量仿真、網(wǎng)絡(luò)動(dòng)態(tài)配置、組織信息欺騙、IP地址空間欺騙等技術(shù)手段。

2.2 數(shù)據(jù)捕獲技術(shù)

數(shù)據(jù)捕獲是為了捕獲攻擊者的行為，其使用的技術(shù)和工具按照獲取數(shù)據(jù)信息位置的不同可以分為基于主機(jī)和基于網(wǎng)絡(luò)的數(shù)據(jù)獲取兩類。

2.2.1 基于主機(jī)的數(shù)據(jù)獲取

蜜罐所在的主機(jī)上幾乎可以捕獲攻擊者所有攻擊數(shù)據(jù)信息，如連接情況、遠(yuǎn)程命令、系統(tǒng)日志和系統(tǒng)調(diào)用序列等信息，但存在風(fēng)險(xiǎn)大、容易被攻擊者發(fā)現(xiàn)等諸多缺點(diǎn)。典型應(yīng)用工具如Sebek3.0。

2.2.2 基于網(wǎng)絡(luò)的數(shù)據(jù)獲取

網(wǎng)絡(luò)上捕獲蜜罐的數(shù)據(jù)信息，風(fēng)險(xiǎn)小且難以被發(fā)現(xiàn)。目前基于網(wǎng)絡(luò)的數(shù)據(jù)獲取主要包括三個(gè)方面：防火墻記錄所有出入蜜罐主機(jī)的連接；入侵檢測(cè)系統(tǒng)對(duì)蜜罐中的網(wǎng)絡(luò)流量進(jìn)行監(jiān)控、分析和抓取；蜜罐主機(jī)除了使用操作系統(tǒng)自身提供的日志功能以外，還可以采用內(nèi)核級(jí)捕獲工具，隱蔽地將收集到的數(shù)據(jù)信息傳輸?shù)街付ǖ闹鳈C(jī)進(jìn)行處理。

2.3 數(shù)據(jù)控制技術(shù)

蜜罐系統(tǒng)作為網(wǎng)絡(luò)攻擊者的目標(biāo)系統(tǒng)，其自身的安全尤為重要。如果蜜罐系統(tǒng)被攻破，不僅得不到任何有價(jià)值的信息，同時(shí)還有可能被入侵者作為跳板攻擊其他目標(biāo)系統(tǒng)。數(shù)據(jù)控制技術(shù)就是用于控制攻擊者進(jìn)入蜜罐系統(tǒng)后的攻擊行為，保障蜜罐系統(tǒng)自身的安全性。蜜罐通常有兩層數(shù)據(jù)控制，分別是連接控制和路由控制。連接控制由防火墻系統(tǒng)來(lái)完成，限制蜜罐系統(tǒng)發(fā)出的外出連接請(qǐng)求，以防止蜜罐系統(tǒng)被攻擊者作為攻擊源向其他友鄰系統(tǒng)發(fā)起攻擊。路由控制由路由器來(lái)完成，利用其訪問(wèn)控制功能對(duì)從蜜罐系統(tǒng)發(fā)送的外出數(shù)據(jù)包進(jìn)行控制，以防止蜜罐系統(tǒng)被攻擊者作為攻擊源向其他系統(tǒng)發(fā)起攻擊。

2.4 數(shù)據(jù)分析技術(shù)

蜜罐的價(jià)值只有在充分分析捕獲的數(shù)據(jù)信息之后才能得到充分體現(xiàn)，數(shù)據(jù)分析技術(shù)就是將蜜罐捕獲的各種數(shù)據(jù)信息分析處理后，轉(zhuǎn)換成有意義的、易于理解的數(shù)據(jù)信息。蜜罐作為一種主動(dòng)安全防御技術(shù)，其最主要的特征就是能夠通過(guò)分析捕獲到的數(shù)據(jù)信息來(lái)了解和學(xué)習(xí)攻擊者所使用的新的攻擊手段和攻擊工具。

目前出現(xiàn)了一些數(shù)據(jù)分析工具，典型的如Swatch工具，它提供了自動(dòng)報(bào)警功能，能夠監(jiān)視IPTables模塊及Snort系統(tǒng)日志，在攻擊者入侵主機(jī)并向外發(fā)起連接請(qǐng)求時(shí)，匹配到配置文件中指定的相關(guān)特征之后會(huì)自動(dòng)向安全管理人員發(fā)出報(bào)警信息。此外，蜜網(wǎng)網(wǎng)關(guān)（Honeywall）上的Walleye工具提供了輔助分析功能，它實(shí)現(xiàn)了基于Web圖形界面的數(shù)據(jù)輔助分析接口，提供了許多網(wǎng)絡(luò)連接視圖和進(jìn)程視圖等功能模塊，并能夠在單一的視圖中整合各種捕獲數(shù)據(jù)，幫助安全分析人員盡快理解并還原蜜罐系統(tǒng)中所發(fā)生的攻擊行為。

3 蜜罐技術(shù)應(yīng)用

3.1 Honeyd的初次嘗試

一年一度的Cyberdefense（網(wǎng)絡(luò)防御）演習(xí)——一個(gè)美軍軍事院校與來(lái)自國(guó)家安全局（NSA）的紅隊(duì)之間的一次競(jìng)賽。軍事院校學(xué)生組成的小組負(fù)責(zé)保護(hù)業(yè)務(wù)網(wǎng)絡(luò)，而紅隊(duì)視圖攻陷或破壞目標(biāo)網(wǎng)絡(luò)。Honeyd剛發(fā)布不久，學(xué)生小組通過(guò)配置Honeyd創(chuàng)建了幾百個(gè)虛擬蜜罐，嘗試著用來(lái)保護(hù)業(yè)務(wù)網(wǎng)絡(luò)。然而，這一防護(hù)策略的實(shí)施獲得了意外的成功，學(xué)生們饒有興趣地看著紅隊(duì)花費(fèi)數(shù)個(gè)小時(shí)試圖攻破實(shí)際上并不存在的“目標(biāo)機(jī)器”。學(xué)生小組利用Honeyd設(shè)置虛擬蜜罐環(huán)境欺騙并迷惑對(duì)手攻擊，達(dá)到了對(duì)業(yè)務(wù)網(wǎng)絡(luò)保護(hù)的目的。

3.2 —蜜罐技術(shù)的其它應(yīng)用

蜜罐、蜜網(wǎng)技術(shù)在許多網(wǎng)絡(luò)安全事件中可以起到作用，虛擬蜜罐Honeyd在充當(dāng)網(wǎng)絡(luò)誘餌、引誘黑客攻擊、對(duì)抗蠕蟲(chóng)、遏制垃圾郵件等方面都有應(yīng)用。在反蠕蟲(chóng)安全監(jiān)測(cè)應(yīng)用方面，巴西蜜罐聯(lián)盟具體部署了Honeyd，并且起到了很好的監(jiān)測(cè)效果。蜜網(wǎng)技術(shù)也在誘捕黑客攻擊、捕獲高波蠕蟲(chóng)傳播、僵尸網(wǎng)絡(luò)和網(wǎng)絡(luò)釣魚(yú)攻擊的發(fā)現(xiàn)與跟蹤等方面廣泛使用，北京大學(xué)“狩獵女神項(xiàng)目”通過(guò)部署第三代蜜網(wǎng)技術(shù)捕獲Win32平臺(tái)高波蠕蟲(chóng)變種傳播就是很好的應(yīng)用案例。

4 結(jié)束語(yǔ)

蜜罐技術(shù)與眾不同之處在于：它并不限于解決某個(gè)具體問(wèn)題，可以應(yīng)用于不同場(chǎng)合，實(shí)現(xiàn)不同目標(biāo)。蜜罐可以實(shí)現(xiàn)防火墻的防護(hù)功能，可以實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)的入侵檢測(cè)功能，也具有一定的預(yù)警響應(yīng)能力。但蜜罐技術(shù)也有收集面窄、指紋容易被識(shí)別等缺點(diǎn)，因此，蜜罐技術(shù)和防火墻、入侵檢測(cè)等傳統(tǒng)防護(hù)手段配合使用才能更好地發(fā)揮其作用。

參考文獻(xiàn)

[1]吳灝.網(wǎng)絡(luò)攻防技術(shù)[M].北京：北京工業(yè)出版社，2009.

[2]牛少彰，江為強(qiáng).網(wǎng)絡(luò)的攻擊與防范[M].北京：北京郵電大學(xué)出版社，2006.

[3]Lance spitzner.Know Your Enemy： Honeynets[DB/OL]. http：//project.honeynet.org/papers/honeynet.