蜜罐技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域中的應(yīng)用

付強(qiáng)　劉青華

摘要：蜜罐是一種新型的主動(dòng)防御的網(wǎng)絡(luò)安全技術(shù)，該技術(shù)目前已經(jīng)成為誘騙攻擊者非常有效實(shí)用的方法。文章闡述了蜜罐技術(shù)的定義、分類、發(fā)展情況以及主要技術(shù)，介紹了蜜罐技術(shù)在網(wǎng)絡(luò)信息安全領(lǐng)域的應(yīng)用。

關(guān)鍵詞：蜜罐技術(shù)；主動(dòng)防御；網(wǎng)絡(luò)安全技術(shù)；信息安全；互聯(lián)網(wǎng)技術(shù) 文獻(xiàn)標(biāo)識(shí)碼：A

中圖分類號(hào)：TP309 文章編號(hào)：1009-2374（2016）30-0060-03 DOI：10.13535/j.cnki.11-4406/n.2016.30.029

社會(huì)經(jīng)濟(jì)的快速發(fā)展下，使得互聯(lián)網(wǎng)技術(shù)得到較大的進(jìn)步，而網(wǎng)絡(luò)信息的安全問(wèn)題也逐漸成為了人們共同關(guān)注的內(nèi)容。人們多通過(guò)防御網(wǎng)絡(luò)，對(duì)以往的傳統(tǒng)技術(shù)實(shí)行攻擊，具體包括防火墻和入侵檢測(cè)技術(shù)、加密及數(shù)據(jù)恢復(fù)技術(shù)等。上述的技術(shù)均為被動(dòng)式的防護(hù)模式，而蜜罐（Honeypot）技術(shù)屬于新型主動(dòng)網(wǎng)絡(luò)信息中的安全防御技術(shù)，這項(xiàng)技術(shù)可有效地改善以往防護(hù)技術(shù)的紕漏。實(shí)際運(yùn)行蜜罐時(shí)，通常使其偽裝成一個(gè)看似有利用價(jià)值的網(wǎng)絡(luò)、數(shù)據(jù)、電腦系統(tǒng)等，并且故意設(shè)置了可被利用的Bug或者系統(tǒng)漏洞，來(lái)吸引目標(biāo)的攻擊。因?yàn)槲覀兊拿酃迣?shí)質(zhì)并沒(méi)有提供有價(jià)值的服務(wù)，所以任何對(duì)蜜罐的訪問(wèn)嘗試操作都是可疑的，通過(guò)蜜罐中的監(jiān)控軟件，我們可以監(jiān)控到入侵者的行為，收集其入侵信息，并快速做出反制操作。蜜罐還可以拖延入侵者攻擊行為，讓他在蜜罐上消耗大量的時(shí)間等，所以蜜罐作為主動(dòng)防御技術(shù)，對(duì)于日后網(wǎng)絡(luò)信息安全，可發(fā)揮不可或缺的作用。

1 蜜罐技術(shù)的基本含義

1.1 蜜罐技術(shù)概述

蜜罐即為情報(bào)收集的系統(tǒng)，屬于誘騙系統(tǒng)的范圍，同時(shí)亦為安全資源類的系統(tǒng)。蜜罐的監(jiān)控較為嚴(yán)格，它可以引誘入侵者前來(lái)攻擊，當(dāng)蜜罐被入侵者攻擊后，通過(guò)監(jiān)控我們就能知道他是如何發(fā)起攻擊的，我們就可以掌握其攻擊手法，掌握入侵者所使用的攻擊手段，分析其攻擊手段后對(duì)其他重要設(shè)備進(jìn)行布防，以達(dá)到安全防護(hù)的目的。我們還可以竊聽(tīng)入侵者之間的聯(lián)系，收集入侵者所使用的工具，逐漸掌握他們的溝通流程等。

1.2 蜜罐分類的統(tǒng)計(jì)

1.2.1 實(shí)系統(tǒng)蜜罐類型。實(shí)系統(tǒng)蜜罐，主要使用的真實(shí)存在的設(shè)備，其所利用的系統(tǒng)均為真實(shí)的，通常該系統(tǒng)具有真實(shí)的高?？梢岳玫穆┒矗到y(tǒng)完成基本的安裝后，不需實(shí)行其他SP補(bǔ)丁的安裝，僅將值得研究的漏洞保留即可。然后把該蜜罐接入到互聯(lián)網(wǎng)上，根據(jù)當(dāng)前的互聯(lián)網(wǎng)形勢(shì)實(shí)行分析，蜜罐能夠在較短的時(shí)間將目標(biāo)吸引并攻擊。經(jīng)實(shí)系統(tǒng)蜜罐上的運(yùn)行監(jiān)控程序，我們可以記錄下最真實(shí)的入侵信息，入侵者的一舉一動(dòng)都可以被記錄在案。但同時(shí)它也是最危險(xiǎn)的，因?yàn)槿肭终叩乃腥肭植僮鞫际钦鎸?shí)的，蜜罐設(shè)備都會(huì)做出相應(yīng)的響應(yīng)，如被溢出攻擊、滲透提權(quán)等。

1.2.2 偽系統(tǒng)蜜罐。偽系統(tǒng)蜜罐即在一個(gè)真實(shí)的系統(tǒng)環(huán)境下，所運(yùn)行的搭建模擬漏洞環(huán)境，從而能構(gòu)建出不屬于自身系統(tǒng)平臺(tái)的漏洞。但是若入侵人員入侵上述的漏洞，需在相同的程序下加以合理的操作，并不會(huì)對(duì)真實(shí)的系統(tǒng)產(chǎn)生影響，即使是入侵成功了，也沒(méi)有可以讓漏洞成立的條件。

如何搭建一個(gè)偽系統(tǒng)蜜罐呢，在Windows系統(tǒng)下，我們可以通過(guò)虛擬機(jī)軟件輕松搭建一套偽蜜罐系統(tǒng)。這個(gè)蜜罐的優(yōu)勢(shì)：能夠最大限度地避免被入侵、被破壞，也可以模擬不存在的漏洞。當(dāng)然也有壞處，因?yàn)橐粋€(gè)聰明的入侵者只需要簡(jiǎn)單的判斷就可以識(shí)破偽裝。

1.3 蜜罐的優(yōu)勢(shì)、劣勢(shì)

1.3.1 蜜罐系統(tǒng)優(yōu)勢(shì)。蜜罐系統(tǒng)最主要的優(yōu)勢(shì)為，能夠有效地減少分析數(shù)據(jù)的總量，通常對(duì)于網(wǎng)站服務(wù)器或者是郵件服務(wù)器，攻擊流量占總流量的比例非常小，在分析數(shù)據(jù)的時(shí)候往往需要在巨量的數(shù)據(jù)里面分析出異常流量，這必然就增加了數(shù)據(jù)分析的難度。而蜜罐進(jìn)出的流量大部分是攻擊流量，目的性強(qiáng)，中間截獲的數(shù)據(jù)價(jià)值高，這樣瀏覽數(shù)據(jù)，查明攻擊者的實(shí)際行動(dòng)也就容易多了。通過(guò)分析總結(jié)，可以得到入侵者的行為特征，建立安全行為特征庫(kù)。

1.3.2 蜜罐系統(tǒng)的缺點(diǎn)。蜜罐技術(shù)也有自己的局限性，蜜罐只能監(jiān)視入侵者對(duì)蜜罐本身的行為。不能監(jiān)控到其所在網(wǎng)絡(luò)入侵行為，蜜罐不會(huì)像防火墻直接對(duì)漏洞實(shí)行防護(hù)。部署蜜罐也有安全風(fēng)險(xiǎn)，如果入侵者掌控了蜜罐服務(wù)器，那么下一步動(dòng)作就可能是以蜜罐作為跳板對(duì)其他系統(tǒng)進(jìn)行入侵。

1.4 蜜罐技術(shù)的發(fā)展現(xiàn)狀分析

20世紀(jì)90年代初，蜜罐技術(shù)就經(jīng)歷了欺騙系統(tǒng)、蜜罐和密網(wǎng)、虛擬蜜網(wǎng)等，不同階段的發(fā)展。其中欺騙系統(tǒng)，即為經(jīng)欺騙目標(biāo)入侵的動(dòng)作，實(shí)現(xiàn)追蹤入侵人員行為的目的，并可對(duì)系統(tǒng)實(shí)行全面的保護(hù)。蜜罐階段，即為從DTK欺騙工具包——Honeypot起步，并發(fā)展起來(lái)的，其中不乏有一些商業(yè)的蜜罐產(chǎn)品。蜜網(wǎng)階段是在蜜罐技術(shù)之上逐漸發(fā)展起來(lái)的，它本身就是一個(gè)網(wǎng)絡(luò)體系架構(gòu)，在網(wǎng)絡(luò)體系內(nèi)運(yùn)用多種工具收集入侵者信息，同時(shí)也提高了網(wǎng)絡(luò)的可控性。虛擬蜜網(wǎng)是利用虛擬計(jì)算機(jī)技術(shù)組建而成的一套網(wǎng)絡(luò)系統(tǒng)。這樣可有效實(shí)現(xiàn)降低蜜網(wǎng)設(shè)計(jì)成本的目的，并可實(shí)行維護(hù)、管理。

2 蜜罐主要的操作方法

常見(jiàn)的蜜罐，主要是對(duì)網(wǎng)絡(luò)欺騙、數(shù)據(jù)捕獲和數(shù)據(jù)控制、數(shù)據(jù)分析以及端口重定向等實(shí)行操作。

2.1 網(wǎng)絡(luò)欺騙的方式

欺騙，為蜜罐實(shí)現(xiàn)的根本手段，利用蜜罐系統(tǒng)的安全弱點(diǎn)和漏洞，通過(guò)各式各樣的欺騙手段，引誘入侵者進(jìn)行攻擊。從一個(gè)蜜罐的欺騙手段高低可以判斷這個(gè)蜜罐系統(tǒng)是否具有價(jià)值，設(shè)置一個(gè)網(wǎng)絡(luò)欺騙手段非常強(qiáng)的蜜罐系統(tǒng)，就可以充分的發(fā)揮其價(jià)值，同時(shí)也很難被入侵這感知。目前常用的欺騙手段包括服務(wù)端口模擬、網(wǎng)絡(luò)動(dòng)態(tài)配置、服務(wù)器信息隱藏和系統(tǒng)漏洞模擬、IP流量模擬以及系統(tǒng)應(yīng)用模擬等。

2.2 數(shù)據(jù)捕獲的方式

捕獲數(shù)據(jù)信息，屬于蜜罐設(shè)計(jì)中的核心功能。其基本的作用機(jī)制為：在入侵者進(jìn)行非法操作的時(shí)候記錄其行為軌跡，在捕捉信息的過(guò)程中不會(huì)被入侵者發(fā)覺(jué)。最基礎(chǔ)的就是對(duì)系統(tǒng)日志獲取情況，實(shí)行全面、深入的分析。這種方式獲取信息，信息的數(shù)量會(huì)受到一定限制。同時(shí)還可以采取利用防火墻/入侵檢測(cè)設(shè)備，獲取相關(guān)的數(shù)據(jù)信息。經(jīng)防火墻的方式，獲取入侵人員進(jìn)到蜜罐系統(tǒng)的日志，利用入侵檢測(cè)設(shè)備獲取入侵者對(duì)蜜罐系統(tǒng)的所有行為數(shù)據(jù)包，通過(guò)入侵者在蜜罐系統(tǒng)所執(zhí)行的命令，所查看過(guò)的文件，屏幕顯示過(guò)的信息等。最后將獲取到的信息通過(guò)網(wǎng)絡(luò)連接發(fā)送到遠(yuǎn)程服務(wù)器上保存，避免被入侵者發(fā)現(xiàn)。

2.3 數(shù)據(jù)控制

入侵者在成功入侵設(shè)備后，有可能以設(shè)備為跳板進(jìn)行其他操作，為了其他設(shè)備以及蜜罐系統(tǒng)本身的安全，防止入侵者將蜜罐作為跳板。我們必須對(duì)蜜罐系統(tǒng)的數(shù)據(jù)流量進(jìn)行限制，在同時(shí)也不能讓入侵者產(chǎn)生懷疑。在防火墻上我們可以配置網(wǎng)絡(luò)進(jìn)出的連接，通過(guò)屏蔽不需要的連接進(jìn)行控制。通過(guò)路由器我們可以控制進(jìn)出的流量，保證數(shù)據(jù)包的可控。

2.4 數(shù)據(jù)分析

在成功獲取到入侵者在蜜罐系統(tǒng)中的非法行為以及操作之后，需對(duì)研究人捕獲的相關(guān)數(shù)據(jù)加以嚴(yán)格的分析，進(jìn)而獲得有利的信息。數(shù)據(jù)的分析屬于蜜罐技術(shù)中當(dāng)前需要突破的難題，將手機(jī)獲取的相關(guān)訊息，實(shí)行關(guān)聯(lián)分析。利用數(shù)據(jù)，了解入侵人員于蜜罐系統(tǒng)中的所有活動(dòng)以及鍵盤(pán)命令和使用工具、攻擊目的等，進(jìn)而構(gòu)建入侵人員行為數(shù)據(jù)的統(tǒng)計(jì)模型。

3 蜜罐在網(wǎng)絡(luò)信息安全領(lǐng)域中的應(yīng)用

3.1 蜜罐的網(wǎng)絡(luò)部署

對(duì)于蜜罐系統(tǒng)的網(wǎng)絡(luò)部署相對(duì)來(lái)說(shuō)比較簡(jiǎn)單，安裝一臺(tái)操作系統(tǒng)機(jī)器，不安裝系統(tǒng)補(bǔ)丁程序，將設(shè)備連接于互聯(lián)網(wǎng)，完成蜜罐系統(tǒng)部署操作。還可以利用虛擬機(jī)技術(shù)來(lái)實(shí)現(xiàn)一臺(tái)虛擬機(jī)連接到互聯(lián)網(wǎng)上。一般的網(wǎng)絡(luò)拓?fù)渲卸紩?huì)有防火墻，蜜罐系統(tǒng)可以放置在防火墻之前也可以放置在防火墻之后，放在不相同的位置也會(huì)得到不一樣的結(jié)果。如果把蜜罐系統(tǒng)設(shè)置于防火墻前，蜜罐會(huì)吸引較多的掃描攻擊。利用蜜罐自身，將攻擊信息實(shí)行準(zhǔn)確的記錄，防火墻內(nèi)部的其他設(shè)備不會(huì)產(chǎn)生任何影響，也不用在防火墻上配置關(guān)于蜜罐系統(tǒng)的任何策略，不會(huì)給內(nèi)部其他設(shè)備增加新的風(fēng)險(xiǎn)。但是如果入侵者來(lái)自內(nèi)部，則無(wú)法獲取對(duì)應(yīng)的入侵行為。如果將蜜罐系統(tǒng)部署在防火墻內(nèi)部，則可以收集到內(nèi)部入侵信息，還可以收集到透過(guò)防火墻的入侵行為，但是需要對(duì)防火墻實(shí)行有效的調(diào)整。若蜜罐系統(tǒng)被外部入侵，這對(duì)于整個(gè)內(nèi)網(wǎng)的信息安全無(wú)疑會(huì)構(gòu)成嚴(yán)重的危害。

3.2 蜜罐系統(tǒng)、入侵檢測(cè)系統(tǒng)

在過(guò)去入侵檢測(cè)系統(tǒng)使用過(guò)程中，在系統(tǒng)受到攻擊后，需結(jié)合攻擊行為實(shí)行嚴(yán)格的特征分析。和特征庫(kù)比對(duì)后，若入侵行為能夠滿足特征庫(kù)的條件，系統(tǒng)會(huì)做出相關(guān)的回應(yīng)。因此入侵的檢測(cè)系統(tǒng)特征庫(kù)，應(yīng)不斷更新以確保當(dāng)下最新入侵活動(dòng)能夠被記錄下來(lái)。

蜜罐技術(shù)能從根本上規(guī)避上述的現(xiàn)象，經(jīng)蜜罐系統(tǒng)獲得入侵人員的行為信息，將信息傳遞于入侵檢測(cè)系統(tǒng)。經(jīng)入侵檢測(cè)系統(tǒng)，結(jié)合行為信息提取攻擊特征，最后將新的特征信息插入到特征庫(kù)，實(shí)現(xiàn)對(duì)入侵信息，檢測(cè)系統(tǒng)最新入侵方式、入侵目的檢測(cè)的效果。進(jìn)而使得蜜罐系統(tǒng)與入侵檢測(cè)系統(tǒng)的配合能夠增加網(wǎng)絡(luò)防御

能力。

3.3 蜜罐、僵尸網(wǎng)絡(luò)系統(tǒng)

蜜罐系統(tǒng)，可對(duì)僵尸網(wǎng)絡(luò)加以合理的檢測(cè)，僵尸網(wǎng)絡(luò)具有分布式特點(diǎn)，一般多可發(fā)出攻擊性指令，蜜罐系統(tǒng)可以根據(jù)這個(gè)特點(diǎn)進(jìn)行反向跟蹤與分析。我們搭建一個(gè)蜜罐系統(tǒng)，獲取僵尸網(wǎng)絡(luò)程序樣本，通過(guò)監(jiān)控流量與系統(tǒng)狀態(tài)等進(jìn)行分析控制者的攻擊行為，可以知道黑客所攻擊的目標(biāo)，黑客經(jīng)常發(fā)動(dòng)攻擊的時(shí)間以及他所使用的攻擊方式，通過(guò)逆向分析改程序樣本，從而得到僵尸程序控制端所在服務(wù)器的信息，通過(guò)這些信息可以快速地追蹤僵尸網(wǎng)絡(luò)，并獲取攻擊者信息。

3.4 蜜罐與郵件

目前郵件已經(jīng)成為企業(yè)工作交流以及日常信息傳遞的一種非常流行的溝通方式，但是黑客往往也通過(guò)郵件進(jìn)行傳播木馬與病毒，這也是入侵者發(fā)起攻擊的一種手段。利用蜜罐技術(shù)還可以有效控制并防止垃圾郵件傳播。

3.5 蜜罐與蠕蟲(chóng)病毒

蠕蟲(chóng)病毒一般具有掃描、感染、復(fù)制的特性，根據(jù)這一特性我們可以利用蜜罐技術(shù)進(jìn)行管理，主要目的為控制蠕蟲(chóng)病毒的大量傳播。蜜罐能夠在較短的時(shí)間內(nèi)將蠕蟲(chóng)病毒感染情況顯示出來(lái)。已知蠕蟲(chóng)病毒可通過(guò)防火墻與IDS的策略規(guī)則進(jìn)行重定向，把已知的蠕蟲(chóng)病毒都重定向于蜜罐中。若檢測(cè)的病毒為新型的蠕蟲(chóng)病毒，網(wǎng)絡(luò)層可通過(guò)特定偽造數(shù)據(jù)包延退應(yīng)答，以控制病毒掃描的速度。此外，需采取軟件工具、算法等方式，對(duì)系統(tǒng)日志實(shí)行嚴(yán)格的分析，以便實(shí)現(xiàn)阻斷、連接的目的。

3.6 蜜罐、安全事件行為作為特征庫(kù)

和以往被動(dòng)防御設(shè)備、軟件比較，傳統(tǒng)安全技術(shù)可將已知入侵活動(dòng)顯示出來(lái)。而蜜罐技術(shù)作為新型主動(dòng)的防御技術(shù)，能夠有效地避免傳統(tǒng)技術(shù)的紕漏。經(jīng)不同的方式，獲取有利的信息，并在較短的時(shí)間發(fā)現(xiàn)新的攻擊行為和模式。結(jié)合入侵人員活動(dòng)、入侵的目的，制定針對(duì)性的防御措施，以為日后處理不同類型的網(wǎng)絡(luò)信息安全問(wèn)題，提供有利的參照。

4 結(jié)語(yǔ)

互聯(lián)網(wǎng)快速發(fā)展，各種技術(shù)革新早已顛覆了傳統(tǒng)常用的手段，日新月異，但是大部分的重大的安全事件都是在事情發(fā)展到最糟糕的時(shí)候才被發(fā)現(xiàn)，被動(dòng)的防御已經(jīng)不能有效地防止人們受到網(wǎng)絡(luò)攻擊、受到經(jīng)濟(jì)損失。當(dāng)前，網(wǎng)絡(luò)攻防技術(shù)在不斷完善，蜜罐技術(shù)屬于新型且主動(dòng)型的防御技術(shù)，能夠有效規(guī)避傳統(tǒng)被動(dòng)防御的問(wèn)題。經(jīng)分析未知的攻擊活動(dòng)，構(gòu)建完善的安全行為特征庫(kù)，以便為處理各種網(wǎng)絡(luò)安全問(wèn)題提供強(qiáng)有力的支持。作為一新型的網(wǎng)絡(luò)安全技術(shù)，蜜罐能夠收集較多的有利訊息。而如何獲取信息、對(duì)入侵人員入侵的目的、方式等，均為接下來(lái)研究人員需要攻破的問(wèn)題。因此，在蜜罐技術(shù)理論的完善下，充分發(fā)揮蜜罐在網(wǎng)絡(luò)信息安全領(lǐng)域中的應(yīng)用價(jià)值。

參考文獻(xiàn)

[1] 何祥鋒.淺談蜜罐技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，（1）.

[2] 孫中廷.蜜罐技術(shù)在網(wǎng)絡(luò)安全系統(tǒng)中的應(yīng)用與研究

[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2014，（17）.

[3] 姚東鈮.分布式蜜罐技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].電子測(cè)試，2014，（8）.

[4] 唐旭，陳蓓.蜜罐技術(shù)在校園網(wǎng)絡(luò)安全中的作用分析[J].電腦與電信，2015，（12）.

[5] 張玨.網(wǎng)絡(luò)安全新技術(shù)——蜜罐系統(tǒng)淺析[J].技術(shù)與市場(chǎng)，2014，（8）.

[6] 趙宏，王靈霞.基于蜜罐技術(shù)的校園網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].自動(dòng)化與儀器儀表，2015，（3）.

[7] 羅江洲，王朝輝.基于蜜罐技術(shù)的網(wǎng)絡(luò)安全防御方案研究[J].電腦知識(shí)與技術(shù)，2014，（8）.

[8] 王宏群，張宇國(guó).基于蜜罐技術(shù)的企業(yè)網(wǎng)絡(luò)安全模型研究[J].湖南理工學(xué)院學(xué)報(bào)（自然科學(xué)版），2014，（1）.

[9] 暢君元，劉暢.網(wǎng)絡(luò)證據(jù)收集中蜜罐技術(shù)的運(yùn)用及其法律評(píng)價(jià)[J].法制與經(jīng)濟(jì)旬刊，2014，（7）.

[10] 陳陽(yáng).基于蜜罐的網(wǎng)站安全防御系統(tǒng)的設(shè)計(jì)[J].價(jià)值工程，2016，（1）.