付強　劉青華

摘要：蜜罐是一種新型的主動防御的網絡安全技術，該技術目前已經成為誘騙攻擊者非常有效實用的方法。文章闡述了蜜罐技術的定義、分類、發(fā)展情況以及主要技術，介紹了蜜罐技術在網絡信息安全領域的應用。

關鍵詞：蜜罐技術；主動防御；網絡安全技術；信息安全；互聯網技術 文獻標識碼：A

中圖分類號：TP309 文章編號：1009-2374（2016）30-0060-03 DOI：10.13535/j.cnki.11-4406/n.2016.30.029

社會經濟的快速發(fā)展下，使得互聯網技術得到較大的進步，而網絡信息的安全問題也逐漸成為了人們共同關注的內容。人們多通過防御網絡，對以往的傳統技術實行攻擊，具體包括防火墻和入侵檢測技術、加密及數據恢復技術等。上述的技術均為被動式的防護模式，而蜜罐（Honeypot）技術屬于新型主動網絡信息中的安全防御技術，這項技術可有效地改善以往防護技術的紕漏。實際運行蜜罐時，通常使其偽裝成一個看似有利用價值的網絡、數據、電腦系統等，并且故意設置了可被利用的Bug或者系統漏洞，來吸引目標的攻擊。因為我們的蜜罐實質并沒有提供有價值的服務，所以任何對蜜罐的訪問嘗試操作都是可疑的，通過蜜罐中的監(jiān)控軟件，我們可以監(jiān)控到入侵者的行為，收集其入侵信息，并快速做出反制操作。蜜罐還可以拖延入侵者攻擊行為，讓他在蜜罐上消耗大量的時間等，所以蜜罐作為主動防御技術，對于日后網絡信息安全，可發(fā)揮不可或缺的作用。

1 蜜罐技術的基本含義

1.1 蜜罐技術概述

蜜罐即為情報收集的系統，屬于誘騙系統的范圍，同時亦為安全資源類的系統。蜜罐的監(jiān)控較為嚴格，它可以引誘入侵者前來攻擊，當蜜罐被入侵者攻擊后，通過監(jiān)控我們就能知道他是如何發(fā)起攻擊的，我們就可以掌握其攻擊手法，掌握入侵者所使用的攻擊手段，分析其攻擊手段后對其他重要設備進行布防，以達到安全防護的目的。我們還可以竊聽入侵者之間的聯系，收集入侵者所使用的工具，逐漸掌握他們的溝通流程等。

1.2 蜜罐分類的統計

1.2.1 實系統蜜罐類型。實系統蜜罐，主要使用的真實存在的設備，其所利用的系統均為真實的，通常該系統具有真實的高危可以利用的漏洞，系統完成基本的安裝后，不需實行其他SP補丁的安裝，僅將值得研究的漏洞保留即可。然后把該蜜罐接入到互聯網上，根據當前的互聯網形勢實行分析，蜜罐能夠在較短的時間將目標吸引并攻擊。經實系統蜜罐上的運行監(jiān)控程序，我們可以記錄下最真實的入侵信息，入侵者的一舉一動都可以被記錄在案。但同時它也是最危險的，因為入侵者的所有入侵操作都是真實的，蜜罐設備都會做出相應的響應，如被溢出攻擊、滲透提權等。

1.2.2 偽系統蜜罐。偽系統蜜罐即在一個真實的系統環(huán)境下，所運行的搭建模擬漏洞環(huán)境，從而能構建出不屬于自身系統平臺的漏洞。但是若入侵人員入侵上述的漏洞，需在相同的程序下加以合理的操作，并不會對真實的系統產生影響，即使是入侵成功了，也沒有可以讓漏洞成立的條件。

如何搭建一個偽系統蜜罐呢，在Windows系統下，我們可以通過虛擬機軟件輕松搭建一套偽蜜罐系統。這個蜜罐的優(yōu)勢：能夠最大限度地避免被入侵、被破壞，也可以模擬不存在的漏洞。當然也有壞處，因為一個聰明的入侵者只需要簡單的判斷就可以識破偽裝。

1.3 蜜罐的優(yōu)勢、劣勢

1.3.1 蜜罐系統優(yōu)勢。蜜罐系統最主要的優(yōu)勢為，能夠有效地減少分析數據的總量，通常對于網站服務器或者是郵件服務器，攻擊流量占總流量的比例非常小，在分析數據的時候往往需要在巨量的數據里面分析出異常流量，這必然就增加了數據分析的難度。而蜜罐進出的流量大部分是攻擊流量，目的性強，中間截獲的數據價值高，這樣瀏覽數據，查明攻擊者的實際行動也就容易多了。通過分析總結，可以得到入侵者的行為特征，建立安全行為特征庫。

1.3.2 蜜罐系統的缺點。蜜罐技術也有自己的局限性，蜜罐只能監(jiān)視入侵者對蜜罐本身的行為。不能監(jiān)控到其所在網絡入侵行為，蜜罐不會像防火墻直接對漏洞實行防護。部署蜜罐也有安全風險，如果入侵者掌控了蜜罐服務器，那么下一步動作就可能是以蜜罐作為跳板對其他系統進行入侵。

1.4 蜜罐技術的發(fā)展現狀分析

20世紀90年代初，蜜罐技術就經歷了欺騙系統、蜜罐和密網、虛擬蜜網等，不同階段的發(fā)展。其中欺騙系統，即為經欺騙目標入侵的動作，實現追蹤入侵人員行為的目的，并可對系統實行全面的保護。蜜罐階段，即為從DTK欺騙工具包——Honeypot起步，并發(fā)展起來的，其中不乏有一些商業(yè)的蜜罐產品。蜜網階段是在蜜罐技術之上逐漸發(fā)展起來的，它本身就是一個網絡體系架構，在網絡體系內運用多種工具收集入侵者信息，同時也提高了網絡的可控性。虛擬蜜網是利用虛擬計算機技術組建而成的一套網絡系統。這樣可有效實現降低蜜網設計成本的目的，并可實行維護、管理。

2 蜜罐主要的操作方法

常見的蜜罐，主要是對網絡欺騙、數據捕獲和數據控制、數據分析以及端口重定向等實行操作。

2.1 網絡欺騙的方式

欺騙，為蜜罐實現的根本手段，利用蜜罐系統的安全弱點和漏洞，通過各式各樣的欺騙手段，引誘入侵者進行攻擊。從一個蜜罐的欺騙手段高低可以判斷這個蜜罐系統是否具有價值，設置一個網絡欺騙手段非常強的蜜罐系統，就可以充分的發(fā)揮其價值，同時也很難被入侵這感知。目前常用的欺騙手段包括服務端口模擬、網絡動態(tài)配置、服務器信息隱藏和系統漏洞模擬、IP流量模擬以及系統應用模擬等。

2.2 數據捕獲的方式

捕獲數據信息，屬于蜜罐設計中的核心功能。其基本的作用機制為：在入侵者進行非法操作的時候記錄其行為軌跡，在捕捉信息的過程中不會被入侵者發(fā)覺。最基礎的就是對系統日志獲取情況，實行全面、深入的分析。這種方式獲取信息，信息的數量會受到一定限制。同時還可以采取利用防火墻/入侵檢測設備，獲取相關的數據信息。經防火墻的方式，獲取入侵人員進到蜜罐系統的日志，利用入侵檢測設備獲取入侵者對蜜罐系統的所有行為數據包，通過入侵者在蜜罐系統所執(zhí)行的命令，所查看過的文件，屏幕顯示過的信息等。最后將獲取到的信息通過網絡連接發(fā)送到遠程服務器上保存，避免被入侵者發(fā)現。

2.3 數據控制

入侵者在成功入侵設備后，有可能以設備為跳板進行其他操作，為了其他設備以及蜜罐系統本身的安全，防止入侵者將蜜罐作為跳板。我們必須對蜜罐系統的數據流量進行限制，在同時也不能讓入侵者產生懷疑。在防火墻上我們可以配置網絡進出的連接，通過屏蔽不需要的連接進行控制。通過路由器我們可以控制進出的流量，保證數據包的可控。

2.4 數據分析

在成功獲取到入侵者在蜜罐系統中的非法行為以及操作之后，需對研究人捕獲的相關數據加以嚴格的分析，進而獲得有利的信息。數據的分析屬于蜜罐技術中當前需要突破的難題，將手機獲取的相關訊息，實行關聯分析。利用數據，了解入侵人員于蜜罐系統中的所有活動以及鍵盤命令和使用工具、攻擊目的等，進而構建入侵人員行為數據的統計模型。

3 蜜罐在網絡信息安全領域中的應用

3.1 蜜罐的網絡部署

對于蜜罐系統的網絡部署相對來說比較簡單，安裝一臺操作系統機器，不安裝系統補丁程序，將設備連接于互聯網，完成蜜罐系統部署操作。還可以利用虛擬機技術來實現一臺虛擬機連接到互聯網上。一般的網絡拓撲中都會有防火墻，蜜罐系統可以放置在防火墻之前也可以放置在防火墻之后，放在不相同的位置也會得到不一樣的結果。如果把蜜罐系統設置于防火墻前，蜜罐會吸引較多的掃描攻擊。利用蜜罐自身，將攻擊信息實行準確的記錄，防火墻內部的其他設備不會產生任何影響，也不用在防火墻上配置關于蜜罐系統的任何策略，不會給內部其他設備增加新的風險。但是如果入侵者來自內部，則無法獲取對應的入侵行為。如果將蜜罐系統部署在防火墻內部，則可以收集到內部入侵信息，還可以收集到透過防火墻的入侵行為，但是需要對防火墻實行有效的調整。若蜜罐系統被外部入侵，這對于整個內網的信息安全無疑會構成嚴重的危害。

3.2 蜜罐系統、入侵檢測系統

在過去入侵檢測系統使用過程中，在系統受到攻擊后，需結合攻擊行為實行嚴格的特征分析。和特征庫比對后，若入侵行為能夠滿足特征庫的條件，系統會做出相關的回應。因此入侵的檢測系統特征庫，應不斷更新以確保當下最新入侵活動能夠被記錄下來。

蜜罐技術能從根本上規(guī)避上述的現象，經蜜罐系統獲得入侵人員的行為信息，將信息傳遞于入侵檢測系統。經入侵檢測系統，結合行為信息提取攻擊特征，最后將新的特征信息插入到特征庫，實現對入侵信息，檢測系統最新入侵方式、入侵目的檢測的效果。進而使得蜜罐系統與入侵檢測系統的配合能夠增加網絡防御

能力。

3.3 蜜罐、僵尸網絡系統

蜜罐系統，可對僵尸網絡加以合理的檢測，僵尸網絡具有分布式特點，一般多可發(fā)出攻擊性指令，蜜罐系統可以根據這個特點進行反向跟蹤與分析。我們搭建一個蜜罐系統，獲取僵尸網絡程序樣本，通過監(jiān)控流量與系統狀態(tài)等進行分析控制者的攻擊行為，可以知道黑客所攻擊的目標，黑客經常發(fā)動攻擊的時間以及他所使用的攻擊方式，通過逆向分析改程序樣本，從而得到僵尸程序控制端所在服務器的信息，通過這些信息可以快速地追蹤僵尸網絡，并獲取攻擊者信息。

3.4 蜜罐與郵件

目前郵件已經成為企業(yè)工作交流以及日常信息傳遞的一種非常流行的溝通方式，但是黑客往往也通過郵件進行傳播木馬與病毒，這也是入侵者發(fā)起攻擊的一種手段。利用蜜罐技術還可以有效控制并防止垃圾郵件傳播。

3.5 蜜罐與蠕蟲病毒

蠕蟲病毒一般具有掃描、感染、復制的特性，根據這一特性我們可以利用蜜罐技術進行管理，主要目的為控制蠕蟲病毒的大量傳播。蜜罐能夠在較短的時間內將蠕蟲病毒感染情況顯示出來。已知蠕蟲病毒可通過防火墻與IDS的策略規(guī)則進行重定向，把已知的蠕蟲病毒都重定向于蜜罐中。若檢測的病毒為新型的蠕蟲病毒，網絡層可通過特定偽造數據包延退應答，以控制病毒掃描的速度。此外，需采取軟件工具、算法等方式，對系統日志實行嚴格的分析，以便實現阻斷、連接的目的。

3.6 蜜罐、安全事件行為作為特征庫

和以往被動防御設備、軟件比較，傳統安全技術可將已知入侵活動顯示出來。而蜜罐技術作為新型主動的防御技術，能夠有效地避免傳統技術的紕漏。經不同的方式，獲取有利的信息，并在較短的時間發(fā)現新的攻擊行為和模式。結合入侵人員活動、入侵的目的，制定針對性的防御措施，以為日后處理不同類型的網絡信息安全問題，提供有利的參照。

4 結語

互聯網快速發(fā)展，各種技術革新早已顛覆了傳統常用的手段，日新月異，但是大部分的重大的安全事件都是在事情發(fā)展到最糟糕的時候才被發(fā)現，被動的防御已經不能有效地防止人們受到網絡攻擊、受到經濟損失。當前，網絡攻防技術在不斷完善，蜜罐技術屬于新型且主動型的防御技術，能夠有效規(guī)避傳統被動防御的問題。經分析未知的攻擊活動，構建完善的安全行為特征庫，以便為處理各種網絡安全問題提供強有力的支持。作為一新型的網絡安全技術，蜜罐能夠收集較多的有利訊息。而如何獲取信息、對入侵人員入侵的目的、方式等，均為接下來研究人員需要攻破的問題。因此，在蜜罐技術理論的完善下，充分發(fā)揮蜜罐在網絡信息安全領域中的應用價值。

參考文獻

[1] 何祥鋒.淺談蜜罐技術在網絡安全中的應用[J].網絡安全技術與應用，2014，（1）.

[2] 孫中廷.蜜罐技術在網絡安全系統中的應用與研究

[J].計算機與網絡，2014，（17）.

[3] 姚東鈮.分布式蜜罐技術在網絡安全中的應用[J].電子測試，2014，（8）.

[4] 唐旭，陳蓓.蜜罐技術在校園網絡安全中的作用分析[J].電腦與電信，2015，（12）.

[5] 張玨.網絡安全新技術——蜜罐系統淺析[J].技術與市場，2014，（8）.

[6] 趙宏，王靈霞.基于蜜罐技術的校園網絡安全防御系統設計與實現[J].自動化與儀器儀表，2015，（3）.

[7] 羅江洲，王朝輝.基于蜜罐技術的網絡安全防御方案研究[J].電腦知識與技術，2014，（8）.

[8] 王宏群，張宇國.基于蜜罐技術的企業(yè)網絡安全模型研究[J].湖南理工學院學報（自然科學版），2014，（1）.

[9] 暢君元，劉暢.網絡證據收集中蜜罐技術的運用及其法律評價[J].法制與經濟旬刊，2014，（7）.

[10] 陳陽.基于蜜罐的網站安全防御系統的設計[J].價值工程，2016，（1）.