曹龍璽 張志強 勵家磊 聞俊 張浩 張浩東

摘要：隨著現(xiàn)代計算機網(wǎng)絡通信技術的迅速發(fā)展，伴隨著網(wǎng)絡安全技術也迅速發(fā)展起來，校園網(wǎng)的網(wǎng)絡安全直接影響教學活動的正常進行以及校園數(shù)據(jù)信息的安全，因此蜜罐技術在校園網(wǎng)網(wǎng)絡安全防御也具有重要的地位，本文就蜜罐系統(tǒng)網(wǎng)絡防御技術進行淺析。

關鍵詞：蜜罐系統(tǒng);網(wǎng)絡防護;網(wǎng)絡安全防護

1.引言：

在伴隨人們生活的同時網(wǎng)絡的安全問題也對人們的安全與隱私產(chǎn)生了影響，網(wǎng)絡的安全問題也隨之受到人們的重視。網(wǎng)絡攻擊是網(wǎng)絡安全面臨的最為嚴峻的問題之一 ，在非法的網(wǎng)絡攻擊可以帶來非法利益的情況下，網(wǎng)絡攻擊手段總是不斷地更新?lián)Q代只為能夠突破也在不斷更新的防護手段。

隨著防護手段的更新人們已經(jīng)不再滿足于單純的防御，在對自身網(wǎng)絡防御的同時也在對攻擊方進行誘導，并且對手段、數(shù)據(jù)等進行記錄。這就是蜜罐，蜜罐可以使防御方對現(xiàn)在所面臨的安全威脅有一定了解，這樣可以通過管理與技術加強網(wǎng)絡安全防護能力。并且蜜罐技術隨著發(fā)展也在不斷的更新著。網(wǎng)絡發(fā)展的過程中伴隨著安全隱患的，而那些有非法之心的人就會應用這些安全隱患來進行網(wǎng)絡攻擊，為應對網(wǎng)絡攻擊也出現(xiàn)了防火墻技術、加解密技術、權限訪問控制等防御手段，但是這些手段一般都是屬于被動防御，被動即先機與優(yōu)勢的丟失，這樣的防御方式已經(jīng)逐漸的不再滿足于社會的需求了。

2.蜜罐技術的提出與發(fā)展

蜜罐的首次出現(xiàn)并沒有受到人們的重視，而在往后的時間中慢慢的發(fā)現(xiàn)了蜜罐技術的發(fā)現(xiàn)是對網(wǎng)絡安全防御的一大提升。蜜罐技術從最初的概念提出到后面的研究員的持續(xù)關注，大致可以分為以下幾個發(fā)展時間段。

（1）概念形成階段：“蜜罐”這一概念雖然是網(wǎng)絡上的一門技術，但是最先提出“蜜罐”概念的并不是在當時的研究文獻中提出的。

（2）蜜罐起始階段：蜜罐作為一個獨立的系統(tǒng)是由Bill Cheswick在1991年發(fā)表的一篇文獻中提出，在文章中指出了蜜罐可以做出一些虛假的服務來進行誘導，從而記錄攻擊者的手段、數(shù)據(jù)等，而蜜罐的發(fā)展是從1998年開始，這個時間許多從事網(wǎng)絡安全研究的研究者開始對蜜罐進行研究，其中做為最知名的網(wǎng)絡安全專家之一的Cohen，提出了欺騙技術在信息保護中的做用以及與使用欺騙技術進行信息保護相關的道德問題。

（3）蜜罐發(fā)展階段：從2000年往后蜜罐技術就處于持續(xù)的發(fā)展階段，在蜜罐技術剛開始時還存在著低交互、易識別、功能單一等缺陷，1999年時安全研究員Spitzner對蜜罐技術進行了一定的加強，在蜜罐技術上添加了真實主機、防火墻、入侵檢測技術、硬件設備等構成了蜜網(wǎng)。

（4）蜜罐新型發(fā)展階段：從2010開始蜜罐技術開始新的技術開發(fā)，廣泛應用工業(yè)控制系統(tǒng)中來防御未知的安全威脅[1]。不僅僅如此蜜罐技術在區(qū)塊鏈上、內(nèi)網(wǎng)、物聯(lián)網(wǎng)也開始著手研究與應用。但是在我國對蜜罐技術的關注和研究晚于國外，從2002年開始進行研究，我國的蜜罐技術發(fā)展還有一段路需要補上。

3.蜜罐技術工作原理

蜜罐技術的學習中應當要分清楚蜜罐與自身主機的差別，所以本段將會在解釋蜜罐技術是什么的同時還對上訴二者之間的差別進行淺析。

（1）蜜罐技術：蜜罐技術是一個具有欺騙性質(zhì)的安全技術，可以通過虛擬機等仿真技術通過布置一系列仿真的主機來進行對攻擊人員的誘導，在攻擊方對我們進行攻擊的同時進行攻擊方的數(shù)據(jù)收集、攻擊手段確定，這樣可以對攻擊方所使用的工具進行確定，并在數(shù)據(jù)收集的過程中可以推測對方的攻擊意圖，并且在一定的程度上可以對攻擊者進行反制。

舉例說明，蜜罐可以說是一個釣魚執(zhí)法的情報收集機構，將一具有價值的仿真物品放在已經(jīng)上鎖的住宅里，而這時有一個小偷想要進行對這個住宅進行盜竊，這時上鎖的門被打開，隨后小偷進行盜竊。而蜜罐技術就相當于這時住宅內(nèi)外的監(jiān)控系統(tǒng)，對小偷使用的開門工具、行進路線、容貌、盜竊目標等等進行記錄。這樣損失了仿真的東西，但進行了記錄，這樣可以對接下來需要保護好的真實的東西進行加強防護，對小偷所使用的工具有了防護措施，并且有了視頻數(shù)據(jù)后可以進行報警的反制行動。

（2）蜜罐與自身主機的區(qū)別：雖然蜜罐與自身的主機都是會被破壞的，但是自身的主機里的內(nèi)容卻是要進行保護的，而蜜罐是一個安全資源，它制作出來的作用是在于被探測、攻擊和損害。當蜜罐受到攻擊時，管理員就會第一時間得到被攻擊的反饋，因為蜜罐做為一個安全資源不是放在網(wǎng)上能夠搜索到的，也不是放在網(wǎng)站的門戶上能夠讓你可見的資源，所以所有流入流出蜜罐的流量都預示著某種攻擊。蜜罐可以說是一個高仿的誘餌主機，真正的主機是需要保護的，而另外一個的意義就在于被攻擊。

4.蜜罐的分類

蜜罐的分類可以通過蜜罐的交互程度和具體的實現(xiàn)方式進行不同的分類。

低交互蜜罐：低交互蜜罐的是一個較為簡單且網(wǎng)絡功能和其他程序功能都不齊全的蜜罐，低交互蜜罐只能模擬一些簡單的網(wǎng)絡服務和一定的操作權限等，不會模擬整個操作系統(tǒng)，因為功能的不齊全低交互被攻陷后很容易發(fā)現(xiàn)這是一個假的，因為低交互很未能達到真實主機的各種模仿，這樣在發(fā)現(xiàn)是一個假的主機之后，攻擊者可能就會馬上調(diào)轉(zhuǎn)方向繼續(xù)攻擊，雖然容易被發(fā)現(xiàn)，但是低交互蜜罐不僅可以用于統(tǒng)計數(shù)據(jù)的收集，可以作為入侵檢測系統(tǒng)使用，對新的攻擊提供自動報警。低交互蜜罐提供有限模擬服務，針對性強，結(jié)構簡單，較容易部署[2]。并且因為低交互所有權限不高，不用擔心系統(tǒng)被完全攻陷。

高交互蜜罐：高交互蜜罐則是通過虛擬機技術等仿真技術做出真實的主機，使得攻擊者在攻擊時發(fā)現(xiàn)是蜜罐的可能性大大的降低，雖然高交互可能能夠真的欺騙住攻擊者，讓攻擊者認為自己真的拿到了該計算機的控制權限，但是在高交互中應用到的一些虛擬機仿真技術，仿真度越高暴露面就越多，因為在你仿真高的同時，攻擊者可以在這個仿真系統(tǒng)上安裝后門作為跳板去掃描內(nèi)網(wǎng)，如果蜜罐真的被攻陷后可能會使用一些虛擬機的漏洞實現(xiàn)垂直權限的提升，本來是虛擬機的權限，但是通過虛擬機攻擊者可以拿到真實計算機的權限，高交互的蜜罐需要注意這一點[3]，而且高交互蜜罐的開發(fā)與維護都較為困難。

5.總結(jié)

校園網(wǎng)根據(jù)蜜罐技術的特點應用于校園網(wǎng)中，通過模擬仿真方法，能夠做到欺騙網(wǎng)絡攻擊者，做到保護校園網(wǎng)安全的作用。

參考文獻：

[1]張成.基于蜜罐技術的工業(yè)控制系統(tǒng)安全性研究與應用[D].江蘇：江蘇科技大學，2020

[2]李珍珍.基于蜜罐技術的網(wǎng)絡安全防御系統(tǒng)的設計[D].南京：東南大學，2019

[3]陳武.淺析蜜罐在內(nèi)網(wǎng)中的部署與應用[J].網(wǎng)絡安全和信息化，2021（11）

資助項目：國家大學生科技創(chuàng)新項目（項目編號：201911488010），作者簡介：曹龍璽，張志強是衢州學院2018級物聯(lián)網(wǎng)工程專業(yè)本科學生。