1 引言

隨著信息技術(shù)的飛速發(fā)展與互聯(lián)網(wǎng)領(lǐng)域的急速擴(kuò)張，網(wǎng)絡(luò)中的不安全因素日漸增多，傳統(tǒng)意義上的維護(hù)措施已經(jīng)無法滿足信息安全的需要，急需盡快提出行之有效的解決辦法。傳統(tǒng)的安全技術(shù)僅限于被動防御，只有攻擊行為發(fā)生后才能予以識別，再進(jìn)行阻隔，這種“后發(fā)制人”的模式只能是處于防不勝防的挨打局面，需要一種“先發(fā)制人”的主動防御技術(shù)來徹底反轉(zhuǎn)主被動關(guān)系，通過對攻擊者的目的進(jìn)行技術(shù)性分析以及預(yù)判，有針對性地防止可能發(fā)生的攻擊。蜜罐網(wǎng)絡(luò)欺騙技術(shù)正是主動防御與入侵檢測為一體模式的代表，不僅可以防止攻擊者的攻擊行為，還可以對其攻擊行為進(jìn)行分析，更重要的是還可以進(jìn)行取證以震懾攻擊者，具有極高的實用價值。

2 蜜罐技術(shù)的定義及其優(yōu)勢

蜜罐技術(shù)是一種旨在保護(hù)網(wǎng)絡(luò)安全運(yùn)行的一種“蜜罐”，即誘導(dǎo)攻擊的誘餌。它也是一種網(wǎng)絡(luò)系統(tǒng)，在被保護(hù)的網(wǎng)絡(luò)系統(tǒng)鄰近運(yùn)行，只不過它故意設(shè)置了些許系統(tǒng)漏洞，可以轉(zhuǎn)移攻擊者的注意力，迷惑攻擊者，代替目標(biāo)網(wǎng)絡(luò)系統(tǒng)，將可能的攻擊轉(zhuǎn)移到蜜罐網(wǎng)絡(luò)上。而作為誘餌的蜜罐網(wǎng)絡(luò)本身并無重要信息，攻擊行為并沒有造成損失，這樣就成功地保護(hù)了目標(biāo)網(wǎng)絡(luò)。蜜罐網(wǎng)絡(luò)是一個相對封閉的閉環(huán)網(wǎng)絡(luò)，一般不對外進(jìn)行內(nèi)容服務(wù)。因此，只要有襲擊者訪問蜜罐網(wǎng)絡(luò)，都會被認(rèn)定為是異常的攻擊行為。

此外，為了便于取證，蜜罐網(wǎng)絡(luò)還布置了網(wǎng)絡(luò)日志腳本記錄程序，對異常的訪問（攻擊）行為進(jìn)行記錄與目的分析?？傊酃蘩锩鏇]有蜂蜜，里面只是一個陷阱，一個可以進(jìn)行主動防御的陷阱。從實用性角度考慮，蜜罐技術(shù)具有幾大優(yōu)勢。

大幅提高檢測正確率。蜜罐網(wǎng)絡(luò)相對封閉，即不會有陌生訪問。當(dāng)攻擊者發(fā)起網(wǎng)絡(luò)攻擊行為時，一般先會掃描服務(wù)器，然后發(fā)出請求。這樣就可以認(rèn)定，只要是蜜罐系統(tǒng)記錄到的訪問請求都來自攻擊者。

適用范圍廣。蜜罐系統(tǒng)內(nèi)置的算法可以識別多種攻擊技術(shù)，并不局限在單一的攻擊技術(shù)或者是某一種攻擊行為。對不同種類的攻擊行為具有廣泛的適用性，即使攻擊者采用未知類型的攻擊技術(shù)，也會起到一定的效果。

價格低廉。蜜罐系統(tǒng)技術(shù)成熟，結(jié)構(gòu)簡單，構(gòu)建容易。關(guān)鍵是找好特定位置搭建服務(wù)器即可構(gòu)建蜜罐系統(tǒng)。一般技術(shù)力量都可以完成一個甚至多個蜜罐系統(tǒng)的搭建工作，維護(hù)與升級也相對簡單，價格低廉 [1]。

3 蜜罐技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

3.1 蜜罐在網(wǎng)絡(luò)中的拓?fù)湮恢?/p>

蜜罐操作系統(tǒng)部署較為簡單。舉例說明，一臺VMware工作站或者模擬處理器即可實現(xiàn)虛擬機(jī)連接互聯(lián)網(wǎng)。蜜罐放置的位置也較為靈活，防火墻前后均可，各有優(yōu)缺點。放在防火墻前，蜜罐替代防火墻承接了海量的掃描攻擊，蜜罐的日志服務(wù)器會把攻擊信息記錄下來，入侵檢測系統(tǒng)也不會發(fā)出警示。同時也無需對防火墻進(jìn)行重新配置，保障了內(nèi)部網(wǎng)的安全；可是一旦有內(nèi)部攻擊者，蜜罐就無法代受掃描攻擊，此時保護(hù)失效，攻擊者將無法被定位。放在防火墻后可以有效地針對內(nèi)部攻擊者，而且還能收集防火墻已經(jīng)甄別的異常數(shù)據(jù)，但缺點是一旦需要對防火墻的規(guī)則進(jìn)行重新配置，一旦蜜罐被攻陷，整個內(nèi)網(wǎng)都將面臨巨大威脅。

3.2 利用蜜罐系統(tǒng)與入侵檢測的聯(lián)動增強(qiáng)防護(hù)能力

入侵系統(tǒng)自帶攻擊行為特征庫，對入侵行為的檢測主要是通過調(diào)用特征庫中的數(shù)據(jù)對其進(jìn)行匹配，一旦與特征庫中的某種數(shù)據(jù)匹配，隨即做出警示。特征庫的數(shù)據(jù)也不是一勞永逸的，需要及時進(jìn)行更新，只有不斷地進(jìn)行完善，才能對新的攻擊行為做出響應(yīng)。蜜罐系統(tǒng)的出現(xiàn)可以省去不定時更新的麻煩，兩系統(tǒng)相互聯(lián)動，蜜罐系統(tǒng)會將記錄的攻擊信息發(fā)送至入侵檢測系統(tǒng)，而后者在接受到該類信息后對其進(jìn)行一系列的處理，剝離分析提取其中的攻擊特征，然后將其加入到特征庫數(shù)據(jù)中，以此及時地完善特征庫，以使入侵檢測系統(tǒng)對之前未知的攻擊行為做出響應(yīng)[2]。兩種系統(tǒng)的聯(lián)動大大加強(qiáng)了入侵檢測系統(tǒng)的防御力。

3.3 利用蜜罐檢測僵尸網(wǎng)絡(luò)

僵尸系統(tǒng)與網(wǎng)絡(luò)是許多黑客常用的攻擊手段，蜜罐系統(tǒng)可以針對性的對其進(jìn)行檢測。僵尸網(wǎng)絡(luò)的特點是分布式的，但數(shù)量極大，常用的攻擊方式有常見的零日攻擊以及掌握攻擊向量，通過遠(yuǎn)程命令通道發(fā)起攻擊行為。蜜罐系統(tǒng)專門利用僵尸網(wǎng)絡(luò)的特點，可以順藤摸瓜，對其進(jìn)行及時地追蹤與檢測分析，進(jìn)而可以評定僵尸網(wǎng)絡(luò)的大概數(shù)量。想要更深入地跟蹤僵尸網(wǎng)絡(luò)，需要的參數(shù)主要是僵尸網(wǎng)絡(luò)服務(wù)器所需要的屬性值，而這種屬性值的獲得可以通過蜜罐手段獲取的僵尸系統(tǒng)程序樣本的逆向分析得到。蜜罐系統(tǒng)的功能不止于此，其還能準(zhǔn)確識別攻擊行為所屬的操作系統(tǒng)，以及對攻擊活動的完整保存與再現(xiàn)。上文提及獲得的僵尸程序樣本，除了進(jìn)行逆向分析之外，還可以通過在線沙盒以及各種殺毒軟件進(jìn)行更進(jìn)一步的分析檢測，在線提交，將攻擊行為特征共享。

3.4 蜜罐在反蠕蟲病毒中的應(yīng)用

蠕蟲病毒是另外一種常見的網(wǎng)絡(luò)攻擊行為，蜜罐技術(shù)同樣可以有針對性地對其進(jìn)行防御與控制，根據(jù)蠕蟲病毒掃描、感染、復(fù)制傳播特點，蜜罐系統(tǒng)可以有幾項的措施對其進(jìn)行處理。蜜罐系統(tǒng)可以檢測出感染階段的蠕蟲病毒，對于已知的蠕蟲病毒，可以直接通過重新設(shè)置防火墻或者修改IDS規(guī)則，然后重定向到蜜罐系統(tǒng)即可。對于未知的蠕蟲病毒，可以通過迂回的方式對其進(jìn)行處理，首先是利用專門為未知病毒設(shè)定的偽造數(shù)據(jù)包，以此延遲系統(tǒng)應(yīng)答與掃描速度，同時使用特定的輔助軟件工具與程序分析系統(tǒng)日志，快速阻斷連接。然后，與入侵檢測系統(tǒng)聯(lián)動，將獲取的攻擊信息分析，提取攻擊特征，再次重新設(shè)置防火墻或者修改IDS規(guī)則，使入侵檢測系統(tǒng)可以對之后的攻擊行為做出警示[3]。

3.5 利用蜜罐建立安全事件行為特征庫

傳統(tǒng)的安全技術(shù)僅限于被動防御，只有攻擊行為發(fā)生后，才能予以識別，最后再進(jìn)行阻隔，且僅限于已知類型的攻擊行為。作為主動防御技術(shù)，蜜罐彌補(bǔ)了這方面的短板。蜜罐技術(shù)通過誘導(dǎo)攻擊的方式，記錄各種入侵行為并對其進(jìn)行分析，通過更深層次的追蹤，發(fā)現(xiàn)未知的攻擊行為和攻擊模式，通過對海量攻擊數(shù)據(jù)的統(tǒng)計分析，更進(jìn)一步地探究攻擊者的入侵動機(jī)，從而使用有針對性的防御策略。從長遠(yuǎn)角度看，通過分析收集到的攻擊數(shù)據(jù)，可以更為全面地了解已知與未知的攻擊行為、攻擊模式、攻擊源頭等。將這些提取出來的信息整合在一起，可以建立起一個相對完善、且能自我更新的特征庫，這將在以后的網(wǎng)絡(luò)安全問題中發(fā)揮極為重要的輔助作用。

4 結(jié)束語

蜜罐技術(shù)是一種安全有效的網(wǎng)絡(luò)安全技術(shù)，其主動防御的特點是傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)的強(qiáng)力補(bǔ)充。面對未知的攻擊模式與攻擊工具，蜜罐技術(shù)可以有效地進(jìn)行處理，及時完善特征庫，在各類網(wǎng)絡(luò)安全問題中扮演了至關(guān)重要的角色，很好地維護(hù)了網(wǎng)絡(luò)安全。隨著時代的發(fā)展與技術(shù)的進(jìn)步，蜜罐技術(shù)將會在網(wǎng)絡(luò)安全維護(hù)中大放異彩。

參考文獻(xiàn)

[1] 謝盛嘉，黃志成.基于蜜罐技術(shù)的校園網(wǎng)絡(luò)安全模型研究[J].電腦開發(fā)與應(yīng)用，2013（05）：13-15.

[2] 藺旭東，薄靜儀等.網(wǎng)絡(luò)安全中的蜜罐技術(shù)和蜜網(wǎng)技術(shù)[J].中國環(huán)境管理干部學(xué)院學(xué)報，2007（03）：110-112.

[3] 王海峰，陳慶奎.蜜網(wǎng)動態(tài)部署研究與設(shè)計[J].計算機(jī)工程與應(yīng)用，2011（10）：89-92.

[4] 向全青.基于網(wǎng)絡(luò)掃描技術(shù)的動態(tài)蜜罐網(wǎng)絡(luò)設(shè)計與實現(xiàn)[J].信息技術(shù)，2013（6）：165-169.

作者簡介：

崔嘉（1982-）男，山東濱州人，碩士研究生，講師；主要研究方向和關(guān)注領(lǐng)域：物聯(lián)網(wǎng)應(yīng)用技術(shù)、裝備管理信息化、信息安全。