蜜罐

尸網(wǎng)絡(luò)傳播行為的蜜罐系統(tǒng)HoneyCC，并開(kāi)展為期半年的大規(guī)模測(cè)量研究，捕獲四億多攻擊數(shù)據(jù)及5.5萬(wàn)個(gè)BotNet樣本。在此基礎(chǔ)上開(kāi)展多維度的測(cè)量分析，揭露IoT僵尸網(wǎng)絡(luò)現(xiàn)網(wǎng)態(tài)勢(shì)和傳播方法，給出治理和防護(hù)建議。關(guān)鍵詞： 物聯(lián)網(wǎng)； 僵尸網(wǎng)絡(luò)； 漏洞利用； 蜜罐中圖分類號(hào)：TP393? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ?文章編號(hào)：1006-8228（2023）09-37-06Large-scale measurement study of IoT bot

未知威脅的需求，蜜罐技術(shù)的出現(xiàn)及成熟改變了這一被動(dòng)防御的局面。蜜罐（Honeypot Technology）是一種通過(guò)工具誘騙攻擊者，使安全人員能夠觀察攻擊者行為的主動(dòng)網(wǎng)絡(luò)防御技術(shù)[1]，其應(yīng)對(duì)的不是攻擊或漏洞，而是關(guān)注攻擊者本身。該項(xiàng)技術(shù)通過(guò)欺騙誘捕打亂攻擊節(jié)奏，增加攻擊復(fù)雜度，給企業(yè)增加更多響應(yīng)時(shí)間，并有可能對(duì)攻擊者進(jìn)行分析溯源從而預(yù)防攻擊。溯源蜜罐的出現(xiàn)使防守方可以通過(guò)技術(shù)仿真誘導(dǎo)攻擊者進(jìn)入事先準(zhǔn)備好的模擬環(huán)境，實(shí)時(shí)監(jiān)控并收集攻擊者的IP和身份信息，

詞：Web安全；蜜罐；Web探針?biāo)菰?；蜜?biāo)溯源著Web 2.0的發(fā)展，越來(lái)越多的公司、政府、學(xué)校等組織機(jī)構(gòu)開(kāi)始利用Web技術(shù)向外提供服務(wù)。根據(jù)Internet Live Stats 統(tǒng)計(jì)，截至2021年年初，全世界Web站點(diǎn)數(shù)量已超18億。Web技術(shù)優(yōu)秀的標(biāo)準(zhǔn)化工作以及活躍的社區(qū)使普通開(kāi)發(fā)者開(kāi)發(fā)Web應(yīng)用的難度降低，促使了Web 技術(shù)的發(fā)展，但也導(dǎo)致了很多Web安全問(wèn)題。據(jù)國(guó)家信息安全漏洞庫(kù)CNVVD2013年至2020年收錄的漏洞類別統(tǒng)計(jì)顯示，其中涉及W

全資源”[1]，蜜罐被廣泛部署于網(wǎng)絡(luò)中以獲取攻擊者的相關(guān)信息，提升網(wǎng)絡(luò)系統(tǒng)的防御能力。為充分發(fā)揮蜜罐的誘捕能力，以及解決蜜罐策略的靜態(tài)性導(dǎo)致的易被攻擊者檢測(cè)工具識(shí)破并加以利用的問(wèn)題，現(xiàn)有研究主要關(guān)注蜜罐行為策略的適應(yīng)性增強(qiáng)。運(yùn)用博弈論和強(qiáng)化學(xué)習(xí)的馬爾可夫決策過(guò)程（MDP,Markov decision process）模型分析防御方與攻擊方的交互過(guò)程，優(yōu)化蜜罐對(duì)攻擊者命令的響應(yīng)策略是提高其適應(yīng)性的重要方法。蜜罐動(dòng)作策略的優(yōu)化需要綜合考慮以下兩點(diǎn)：一是盡可能

平臺(tái)提出一種新型蜜罐系統(tǒng)，以解決蜜罐系統(tǒng)存在的性能、安全性和真實(shí)性相互制約問(wèn)題。文獻(xiàn)［4］將開(kāi)源蜜罐工具Honeyd、Honeywall和Honeycomb部 署 在Openstack中來(lái)提高云環(huán)境中的威脅檢測(cè)率。文獻(xiàn)［5］在云環(huán)境中使用蜜罐識(shí)別和誘捕內(nèi)部入侵，來(lái)增強(qiáng)云環(huán)境中的安全性能。文獻(xiàn)［6］采用增強(qiáng)型蜜罐算法對(duì)云服務(wù)器中的文件進(jìn)行加密保護(hù)，提高了云服務(wù)器存儲(chǔ)的安全性。上述研究，蜜罐技術(shù)不同于其他安全手段，蜜罐以盡可能多部署在目標(biāo)系統(tǒng)中來(lái)提高捕獲攻擊者

的重要戰(zhàn)略高度。蜜罐技術(shù)是一種網(wǎng)絡(luò)誘騙陷阱，其作用是拖延攻擊者進(jìn)程并收集其信息。分布式蜜罐則是將眾多蜜罐組合成一個(gè)系統(tǒng)，從而力求獲取更大收益［2-3］。隨著網(wǎng)絡(luò)安全問(wèn)題復(fù)雜程度的不斷提高，單一的蜜罐技術(shù)已不足以應(yīng)對(duì)［4］。網(wǎng)絡(luò)攻防是一種偏向于不完全多階段演化博弈的過(guò)程，因此很多學(xué)者嘗試將蜜罐技術(shù)與不同的博弈論思想相結(jié)合。例如，Kiekintveld 等［5］提出若干種博弈模型用于配置蜜罐；石樂(lè)義等［6］基于非合作不完全信息動(dòng)態(tài)博弈理論推理分析了擬態(tài)式蜜罐誘

變得越來(lái)越普遍，蜜罐和反蜜罐作為ICS安全的重要組成部分已經(jīng)成為攻防對(duì)抗的重點(diǎn)，隨著蜜罐技術(shù)的不斷完善發(fā)展，針對(duì)蜜罐的識(shí)別技術(shù)也在相應(yīng)的提高。工業(yè)控制系統(tǒng)蜜罐技術(shù)[2]作為主動(dòng)誘捕手段之一，能夠有效捕獲針對(duì)工業(yè)控制系統(tǒng)發(fā)起的網(wǎng)絡(luò)攻擊，保護(hù)真實(shí)工控資產(chǎn)設(shè)備。安全研究者為了完善蜜罐技術(shù)，開(kāi)始從攻擊者角度出發(fā)，研究蜜罐識(shí)別技術(shù)[3]。傳統(tǒng)蜜罐識(shí)別都是針對(duì)單一特征，Sebek是一種基于內(nèi)核的數(shù)據(jù)捕獲機(jī)制，常用于構(gòu)建高交互蜜罐，因此，識(shí)別出Sebek機(jī)制就可以確定目

園網(wǎng)安全，文中在蜜罐技術(shù)的基礎(chǔ)上開(kāi)發(fā)了一套主動(dòng)式局域網(wǎng)安全防御系統(tǒng)，為校園網(wǎng)的安全運(yùn)行提供了保障。文中設(shè)計(jì)的系統(tǒng)由兩大模塊組成：蜜罐系統(tǒng)模塊及訪問(wèn)控制模塊。蜜罐系統(tǒng)存在的價(jià)值在于對(duì)被攻擊者的探測(cè)、攻擊甚至破壞，其存在能夠誘使攻擊者進(jìn)入設(shè)置好的“陷阱”。同時(shí)，實(shí)時(shí)監(jiān)測(cè)與記錄攻擊者的非法入侵行為并提供網(wǎng)絡(luò)入侵預(yù)警，降低真實(shí)主機(jī)被入侵的可能性。訪問(wèn)控制模塊是對(duì)局域網(wǎng)內(nèi)的網(wǎng)絡(luò)設(shè)備訪問(wèn)網(wǎng)絡(luò)資源進(jìn)行控制的系統(tǒng)碼，其能夠限制入侵主機(jī)的資源訪問(wèn)，從而實(shí)現(xiàn)對(duì)局域網(wǎng)中的信息進(jìn)

個(gè)小分隊(duì)，抱著小蜜罐在花叢中快樂(lè)地跳著舞，興高采烈地采著花蜜，誰(shuí)知半路上遇到了２只抬著大蜜缸的大蜜蜂……大蜜蜂：蜂后有令，從現(xiàn)在開(kāi)始，小蜜蜂們無(wú)需回到蜂巢獻(xiàn)蜜，只需將小蜜罐里的蜂蜜倒入大蜜缸即可。紅蜜蜂：收到，收到，收到！大蜜蜂：別著急，為了更好地配合工作，我們決定重新編排蜜蜂小分隊(duì)。一只小蜜蜂拿一個(gè)小蜜罐，一個(gè)小分隊(duì)采集的蜂蜜剛好可以裝滿一個(gè)大蜜缸。黃蜜蜂：那一個(gè)小分隊(duì)到底要安排多少只小蜜蜂呢？我可不想和紅紅分開(kāi)。

技術(shù)的迫切需求。蜜罐技術(shù)就是為了識(shí)別攻擊和防御未來(lái)攻擊而提出的一項(xiàng)主動(dòng)防御技術(shù)［8］。它是一種安全資源，可用來(lái)吸引攻擊者進(jìn)行非法應(yīng)用而無(wú)需任何業(yè)務(wù)實(shí)用程序［9］。蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過(guò)布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)它們實(shí)施攻擊，從而可以對(duì)攻擊行為進(jìn)行捕獲和分析［8，10］。該技術(shù)在近些年內(nèi)呈現(xiàn)出交互能力由低到高，兼容功能由少到多的發(fā)展趨勢(shì)。事實(shí)上，蜜罐的分類方式最常用的是按照其與外界的交互能力分為低、中、高

被動(dòng)防御技術(shù)，而蜜罐技術(shù)的出現(xiàn)彌補(bǔ)了之前技術(shù)的不足，變被動(dòng)為主動(dòng)。本文基于Docker和Python，設(shè)計(jì)實(shí)現(xiàn)了針對(duì)MySQL惡意攻擊的蜜罐系統(tǒng)，系統(tǒng)包括MySQL服務(wù)器模擬模塊、日志模塊、捕獲模塊、管理模塊和Docker模塊。使用本系統(tǒng)可以捕獲攻擊者信息，追蹤和分析黑客，達(dá)到主動(dòng)防御網(wǎng)絡(luò)威脅的目的。關(guān)鍵詞：主動(dòng)防御;蜜罐;MySQL;網(wǎng)絡(luò)安全中圖分類號(hào)：TP315? ? ?文獻(xiàn)標(biāo)識(shí)碼：ADesign and Implementation of Honey

陳韻 蔡翰智工控蜜罐的擬態(tài)化探索與研究◆王涵1卜佑軍2陳博2張雙雙1陳韻1蔡翰智1（1.網(wǎng)絡(luò)通信與安全紫金山實(shí)驗(yàn)室 江蘇 211100；2.中國(guó)人民解放軍戰(zhàn)略支援部隊(duì)信息工程大學(xué) 河南450002）隨著工業(yè)化與信息化的融合發(fā)展，原本封閉的工業(yè)控制系統(tǒng)在接入互聯(lián)網(wǎng)后逐漸趨向于開(kāi)放化和智能化，工業(yè)控制系統(tǒng)在提高了生產(chǎn)效率的同時(shí)也引入了新的網(wǎng)絡(luò)安全威脅。由于針對(duì)工業(yè)控制系統(tǒng)的攻擊往往是以系統(tǒng)中的IT網(wǎng)絡(luò)為突破口，進(jìn)而影響其OT系統(tǒng)的運(yùn)行，而當(dāng)前互聯(lián)網(wǎng)上存在著大量

聯(lián)網(wǎng)的重中之重。蜜罐系統(tǒng)是網(wǎng)絡(luò)安全領(lǐng)域的重要技術(shù)之一，主要通過(guò)誘使攻擊者進(jìn)行攻擊，監(jiān)控和記錄攻擊者在蜜罐中所進(jìn)行的一系列操作，掌握攻擊者的入侵意圖，以及所使用的攻擊方法等重要信息，從而有助于被攻擊者快速準(zhǔn)確地采取最有效的防范措施［1］。本文設(shè)計(jì)的蜜罐框架系統(tǒng)是基于Golang 開(kāi)發(fā)的一個(gè)系統(tǒng)，后端主要采用Gin框架，數(shù)據(jù)庫(kù)采用了SQLite 數(shù)據(jù)庫(kù)［2-3］。它通過(guò)模擬各種真實(shí)服務(wù)與極其逼真的網(wǎng)頁(yè)去引誘攻擊者對(duì)其進(jìn)行攻擊，蜜罐受攻擊的數(shù)據(jù)會(huì)存儲(chǔ)到數(shù)據(jù)庫(kù)中，

昆華 王胤濤基于蜜罐技術(shù)的醫(yī)院信息安全管理建設(shè)與應(yīng)用◆周帆帆 何懋 陶博 張?jiān)?王昆華 王胤濤（昆明醫(yī)科大學(xué)第一附屬醫(yī)院 云南 650031）隨著信息安全等保2.0的要求及醫(yī)院信息化建設(shè)的需要，如何高效、準(zhǔn)確的檢查出網(wǎng)絡(luò)惡意代碼和防御通過(guò)系統(tǒng)漏洞進(jìn)行的攻擊，對(duì)醫(yī)院提升自身安全防御，科學(xué)合理應(yīng)用安全等級(jí)保護(hù)2.0技術(shù)至關(guān)重要。本文從信息安全實(shí)際工作出發(fā)，結(jié)合信息安全等保2.0的要求，提出利用蜜罐捕獲網(wǎng)絡(luò)攻擊，并對(duì)蜜罐的設(shè)計(jì)部署和需要注意的問(wèn)題進(jìn)行了闡述，同時(shí)

侵的威脅。物聯(lián)網(wǎng)蜜罐技術(shù)通過(guò)構(gòu)建安全可控的誘餌環(huán)境，主動(dòng)引誘入侵者攻擊，捕捉入侵者信息并進(jìn)行入侵行為審計(jì)，為后續(xù)的攻擊組織畫(huà)像及溯源工作提供情報(bào)支撐，同時(shí)與具有真實(shí)服務(wù)的物聯(lián)網(wǎng)設(shè)備建立情報(bào)共享，及時(shí)阻斷入侵行為，盡可能地減少損失。1 物聯(lián)網(wǎng)蜜罐定義物聯(lián)網(wǎng)蜜罐是指以物聯(lián)網(wǎng)計(jì)算、網(wǎng)絡(luò)、感知及執(zhí)行等資源為誘餌，部署于真實(shí)物聯(lián)網(wǎng)設(shè)備周邊，具有物聯(lián)網(wǎng)安全威脅發(fā)現(xiàn)、捕獲、分析和告警功能，保護(hù)真實(shí)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)欺騙技術(shù)[2]。區(qū)別于常規(guī)蜜罐，物聯(lián)網(wǎng)蜜罐硬件平臺(tái)多源異構(gòu)

新的防御手段——蜜罐技術(shù)被研究學(xué)者提出來(lái)［1～2］，既主動(dòng)設(shè)置陷阱來(lái)誘惑攻擊者進(jìn)行攻擊和掃描，從而獲取攻擊者的行為數(shù)據(jù)實(shí)現(xiàn)對(duì)攻擊者的追蹤和分析［3］。然而，蜜罐本身也存在易被識(shí)破、配置和維護(hù)困難等問(wèn)題［4～5］。所以，動(dòng)態(tài)蜜罐的思想也就隨之而生［6］，只要將一個(gè)蜜罐程序部署到所需網(wǎng)絡(luò)中去，它會(huì)自動(dòng)地檢測(cè)周圍的網(wǎng)絡(luò)環(huán)境，收集數(shù)據(jù)，配置適當(dāng)數(shù)量的蜜罐，并且還能夠隨著網(wǎng)絡(luò)環(huán)境的改變自動(dòng)做出相應(yīng)的調(diào)整。因此，構(gòu)建動(dòng)態(tài)蜜罐系統(tǒng)模型，并對(duì)系統(tǒng)模型的性能和安全性進(jìn)行評(píng)估

240）0 引言蜜罐作為一種主動(dòng)性防御手段，在對(duì)攻擊手段的研究和業(yè)務(wù)網(wǎng)絡(luò)的保護(hù)上都具有非常重要的作用。蜜罐按照與攻擊方的交互程度，可分為高交互蜜罐和低交互蜜罐。高交互蜜罐采用真實(shí)系統(tǒng)搭建，能夠比較容易地構(gòu)建出一個(gè)具有良好誘騙性的蜜罐欺騙環(huán)境。低交互蜜罐通過(guò)編制軟件的模擬仿真方式實(shí)現(xiàn)，為攻擊方提供受限的交互[1]?；旌?span id="j5i0abt0b" class="hl">蜜罐的基本思想是在網(wǎng)絡(luò)的前端利用較少的資源部署大量低交互蜜罐，通過(guò)與后端少量高交互蜜罐之間的流量遷移，實(shí)現(xiàn)攻擊捕獲和分析。但是，傳統(tǒng)蜜網(wǎng)粗粒度

測(cè)率的平衡。基于蜜罐的方法是抵御DDoS攻擊的有效方法之一，在保護(hù)網(wǎng)絡(luò)的同時(shí)也消耗更少的資源。它還可以影響和干擾入侵者的選擇，有利于進(jìn)一步檢測(cè)入侵者的攻擊意圖。因此，很多學(xué)者將博弈論應(yīng)用于蜜罐誘騙系統(tǒng)，以提高蜜罐的自適應(yīng)性和幫助決策優(yōu)化。阮鐵權(quán)[5]提出了一種基于博弈論的攻防策略，結(jié)合主動(dòng)防御的需求，設(shè)計(jì)并實(shí)現(xiàn)了最優(yōu)主動(dòng)防御選取算法。趙柳榕等[6]運(yùn)用博弈理論與信息安全經(jīng)濟(jì)學(xué)，搭建入侵檢測(cè)系統(tǒng)和蜜罐組合模型，探討了入侵檢測(cè)系統(tǒng)的檢測(cè)概率和蜜罐數(shù)量對(duì)最優(yōu)配置

胡先君一種擬態(tài)蜜罐系統(tǒng)的設(shè)計(jì)與研究◆王涵1卜佑軍2江逸茗2陳博2陳韻1胡先君1（1.網(wǎng)絡(luò)通信與安全紫金山實(shí)驗(yàn)室 江蘇 211100；2.中國(guó)人民解放軍戰(zhàn)略支援部隊(duì)信息工程大學(xué) 河南 450002）互聯(lián)網(wǎng)一直以來(lái)受到各種各樣的網(wǎng)絡(luò)安全威脅，網(wǎng)絡(luò)攻擊方式層出不窮、手段多變且攻擊目標(biāo)各異，特別是高級(jí)持續(xù)性攻擊隱蔽性很強(qiáng)。在攻防過(guò)程中，即使一個(gè)微小的設(shè)計(jì)疏忽都可能產(chǎn)生嚴(yán)重的漏洞，攻擊者利用這些漏洞攻擊系統(tǒng)可能產(chǎn)生嚴(yán)重的危害。而防御者則需要將系統(tǒng)或者節(jié)點(diǎn)的防御做到

◆黃 為蜜罐技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域中的應(yīng)用◆黃 為（佛山市華材職業(yè)技術(shù)學(xué)校 廣東 528000）隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，人們?nèi)粘Ｉa(chǎn)生活中各種信息數(shù)據(jù)都處在網(wǎng)絡(luò)之上，如何做好網(wǎng)絡(luò)安全工作不單是相關(guān)工作人員的研究方向，同時(shí)也是網(wǎng)絡(luò)發(fā)展的必然要求。蜜罐系統(tǒng)作為新出現(xiàn)的一項(xiàng)主動(dòng)性的網(wǎng)絡(luò)防御技術(shù),在近年有比較普遍的應(yīng)用，如何將其與傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)結(jié)合也是其后續(xù)發(fā)展的主要方式之一。本文首先論述了蜜罐系統(tǒng)的含義以及實(shí)施過(guò)程中需要考慮的內(nèi)容，然后在此基礎(chǔ)上研究了具體的應(yīng)

威脅的寶貴信息，蜜罐提供了檢測(cè)組織內(nèi)部、外部的攻擊者，或未經(jīng)授權(quán)窺探者的最佳方法。數(shù)十年來(lái)，蜜罐一直沒(méi)有騰飛，雖然數(shù)量繼續(xù)增長(zhǎng)，但它們似乎終于達(dá)到了臨界點(diǎn)，如果您正在考慮蜜罐部署，則必須考慮以下10個(gè)因素。目的是什么蜜罐通常有2個(gè)作用：預(yù)警或惡意行為分析。可以在其中建立一個(gè)或多個(gè)偽造系統(tǒng)，這些偽造系統(tǒng)只要會(huì)被稍加探測(cè)就能立即記錄下惡意信息。預(yù)警蜜罐非常適合捕獲其他系統(tǒng)遺漏的黑客和惡意軟件。為什么？由于蜜罐系統(tǒng)是偽造的，因此任何單一的連接嘗試或探測(cè)（在過(guò)濾掉

公司通過(guò)對(duì)該公司蜜罐的數(shù)據(jù)包分析捕獲了大量的針對(duì)IoT的惡意樣本，根據(jù)惡意軟件攻擊的IP地址的地理位置統(tǒng)計(jì)發(fā)現(xiàn)，在所有已捕獲樣本的攻擊目標(biāo)中，中國(guó)的IP地址占比13.95%，排名第二。2017年Mirai僵尸網(wǎng)絡(luò)的爆發(fā)導(dǎo)致很多公共網(wǎng)站受到大規(guī)模DDoS（Distributed denial of service attack）攻擊，使得多家網(wǎng)站癱瘓。論文Understanding the Mirai Botnet[4]中對(duì)于Mirai僵尸網(wǎng)絡(luò)進(jìn)行了完整的分

任萬(wàn)杰蜜罐蟻是一種生活在北美洲的螞蟻。一般情況下，我們是無(wú)法在地面上見(jiàn)到它們的，因?yàn)樗鼈兇蠖鄶?shù)時(shí)間都是在地下活動(dòng)。當(dāng)我們挖開(kāi)蜜罐蟻的巢穴，可以看到不少顏色各異，如同葡萄般的半透明“球體”，這些“球體”不是真的葡萄，而是蜜罐蟻膨脹的肚子。蜜罐蟻的肚子之所以會(huì)呈現(xiàn)出不同的顏色，主要是因?yàn)樗鼈兂赃M(jìn)了不同的食物。這些食物由于顏色不同，在蜜罐蟻肚子里經(jīng)過(guò)消化系統(tǒng)的吸收分解，會(huì)呈現(xiàn)出比較明顯的顏色差異。但是總體來(lái)說(shuō)，蜜罐蟻那圓圓的肚子，看起來(lái)就像是儲(chǔ)滿了蜂蜜的蜜罐，這

被自己撐死的蜜罐蟻蜜罐蟻是一種生活在北美洲的螞蟻。一般情況下，我們是無(wú)法在地面上見(jiàn)到蜜罐蟻的，因?yàn)檫@種螞蟻大多數(shù)時(shí)間都是在地下活動(dòng)。當(dāng)我們挖開(kāi)蜜罐蟻的巢穴，可以看到不少顏色各異，如同葡萄一般的半透明“球體”，這些“球體”不是真的葡萄，而是蜜罐蟻膨脹的肚子。在眾多食物中，蜜罐蟻?zhàn)钕矚g吃的無(wú)疑就是花蜜了。每當(dāng)大雨過(guò)后，植物就會(huì)分泌比平時(shí)多得多的花蜜。這個(gè)時(shí)候，蜜罐蟻會(huì)變得比蜜蜂還要勤勞，一個(gè)個(gè)趴在花朵上拼命地吸食花蜜，很多蜜罐蟻都會(huì)在這種情況下被蜜撐破肚子死去

劉詢蜜罐是一種誘餌系統(tǒng)，用于檢測(cè)和警告攻擊者的惡意活動(dòng)。智能蜜罐解決方案可以將黑客從真實(shí)數(shù)據(jù)中心轉(zhuǎn)移出去，還可以更詳細(xì)地了解他們的行為，而不會(huì)對(duì)數(shù)據(jù)中心或云性能造成任何干擾。蜜罐的部署方式和誘餌的復(fù)雜程度各不相同。對(duì)不同類型的蜜罐進(jìn)行分類的一種方法是通過(guò)它們的參與程度或交互程度。企業(yè)可以選擇低交互蜜罐、中型交互蜜罐或高交互蜜罐。讓我們看看關(guān)鍵差異以及每個(gè)的利弊。低交互蜜罐低交互蜜罐只會(huì)讓攻擊者非常有限地訪問(wèn)操作系統(tǒng)?！暗徒换ァ币馕吨?，對(duì)手無(wú)法在任何深度上與

高楓蜜罐是IT專業(yè)人員鎖定了惡意黑客，希望他們會(huì)在提供有用的情報(bào)的方式與之交互陷阱。這是IT中最古老的安全措施之一，但要注意：即使在孤立的系統(tǒng)上，將黑客吸引到您的網(wǎng)絡(luò)上也是一種危險(xiǎn)的游戲。蜜罐是一種計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)，旨在模仿可能的網(wǎng)絡(luò)攻擊目標(biāo)。通常情況下，蜜罐會(huì)被故意配置已知的漏洞，以便為攻擊者制定更具誘惑力或明顯的目標(biāo)。蜜罐不會(huì)包含生產(chǎn)數(shù)據(jù)或參與您網(wǎng)絡(luò)上的合法流量，就是您可以通過(guò)攻擊來(lái)判斷其中發(fā)生任何事情的方式。蜜罐類型蜜罐的分類有2種不同的方案：一種

軼 劉恒馳基于蜜罐的網(wǎng)絡(luò)防御技術(shù)研究◆楊 軼 劉恒馳（沈陽(yáng)理工大學(xué)（沈陽(yáng)）信息科學(xué)與工程學(xué)院 遼寧 110159）蜜罐技術(shù)就是一種體現(xiàn)主動(dòng)防御思想的安全資源，蜜罐的思想是一個(gè)故意設(shè)計(jì)為有缺陷的系統(tǒng)，專門用于引誘攻擊者進(jìn)入受控環(huán)境中，然后使用各種監(jiān)控技術(shù)來(lái)捕獲攻擊者的行為。本文設(shè)計(jì)實(shí)現(xiàn)了通過(guò)對(duì)虛擬蜜網(wǎng)技術(shù)的研究，利用相關(guān)的虛擬軟件和蜜網(wǎng)工具實(shí)現(xiàn)一個(gè)穩(wěn)定的虛擬蜜網(wǎng)系統(tǒng)，通過(guò)對(duì)蜜網(wǎng)網(wǎng)關(guān)和蜜罐進(jìn)行相關(guān)配置，構(gòu)建出可真實(shí)攻擊的攻擊目標(biāo)系統(tǒng)，為攻擊訓(xùn)練平臺(tái)提供網(wǎng)絡(luò)攻

止，這種動(dòng)物就是蜜罐蟻。蜜罐蟻是一種生活在北美洲的螞蟻。一般情況下，我們是無(wú)法在地面上見(jiàn)到蜜罐蟻的，因?yàn)檫@種螞蟻大多數(shù)時(shí)間都是在地下活動(dòng)。當(dāng)我們挖開(kāi)蜜罐蟻的巢穴，可以看到不少顏色各異，如同葡萄一般的半透明“球體”，這些“球體”不是真的葡萄，而是蜜罐蟻膨脹的肚子。蜜罐蟻的肚子之所以會(huì)呈現(xiàn)出不同的顏色，主要是因?yàn)樗鼈兂赃M(jìn)了不同的食物。這些食物由于顏色不同，在蜜罐蟻肚子里經(jīng)過(guò)消化系統(tǒng)的吸收分解，會(huì)呈現(xiàn)出比較明顯的顏色差異。但是總體來(lái)說(shuō)，蜜罐蟻那圓圓的肚子，看起來(lái)

功實(shí)施一項(xiàng)稱為“蜜罐”的IT安全項(xiàng)目，可用于開(kāi)發(fā)IT安全早期預(yù)警系統(tǒng)，防范網(wǎng)絡(luò)攻擊。CISPA 的研究人員針對(duì)這種攻擊類型設(shè)置了“蜜罐”項(xiàng)目，即有意將自己的電腦做成極易受攻擊的普通電腦或網(wǎng)絡(luò)服務(wù)器暴露給黑客，就像蜜罐吸引熊，引誘DDoS。通過(guò)由幾十個(gè)“蜜罐”構(gòu)成的全球傳感器網(wǎng)，研究人員現(xiàn)已記錄到超過(guò)1450萬(wàn)次的攻擊。他們發(fā)現(xiàn)，大約每190秒就會(huì)有德國(guó)的目標(biāo)遭遇黑客攻擊。研究人員希望基于已知的攻擊模式開(kāi)發(fā)早期預(yù)警系統(tǒng)，以采取防范對(duì)策。此外，通過(guò)特殊指紋方法

的高校數(shù)據(jù)中心多蜜罐平臺(tái)設(shè)計(jì)研究◆謝超群(福建中醫(yī)藥大學(xué)現(xiàn)代教育技術(shù)中心 福建 350000)隨著高校信息化的不斷深入，高校校園業(yè)務(wù)增長(zhǎng)迅速，學(xué)校數(shù)據(jù)中心面臨的網(wǎng)絡(luò)攻擊日趨嚴(yán)重，如何有效記錄和分析攻擊者的行為成為高校數(shù)據(jù)中心面對(duì)的難題。本文結(jié)合高校數(shù)據(jù)中心所面對(duì)的安全形勢(shì)，基于開(kāi)源多蜜罐平臺(tái)提出了一種解決方案。多蜜罐平臺(tái)；T-pot；數(shù)據(jù)中心0 引言隨著高校信息化程度的不斷提高，高校的業(yè)務(wù)系統(tǒng)不斷增多。各種業(yè)務(wù)系統(tǒng)由于所采取的軟件框架和操作系統(tǒng)各不相同，部

及不足，分析通過(guò)蜜罐捕獲勒索蠕蟲(chóng)病毒的利弊，并針對(duì)蜜罐本身的局限性，提出終端與蜜罐服務(wù)相關(guān)聯(lián)的分布式蜜罐原型，并通過(guò)相關(guān)實(shí)驗(yàn)進(jìn)行論證，通過(guò)此部署方式可以最大化發(fā)現(xiàn)內(nèi)網(wǎng)存在的安全威脅，并有效降低運(yùn)維成本。1 內(nèi)網(wǎng)終端安全現(xiàn)狀目前大多數(shù)的政企事業(yè)單位在辦公電腦上均統(tǒng)一安裝殺毒軟件或者終端管理軟件，但依然存在大量?jī)?nèi)網(wǎng)用戶使用未打補(bǔ)丁的操作系統(tǒng)。而且由于辦公區(qū)域暫未執(zhí)行嚴(yán)格網(wǎng)絡(luò)安全準(zhǔn)入策略，存在大量外部移動(dòng)辦公設(shè)備進(jìn)入內(nèi)網(wǎng)，也成為內(nèi)網(wǎng)辦公安全管理短板。同時(shí)近年來(lái)出

于被動(dòng)防御技術(shù)。蜜罐技術(shù)是基于主動(dòng)安全策略的安全防護(hù)技術(shù)，在現(xiàn)有的校園網(wǎng)安全防護(hù)體系中加入蜜罐技術(shù)并利用它對(duì)網(wǎng)絡(luò)攻擊者所進(jìn)行的各種非法入侵活動(dòng)進(jìn)行提前預(yù)警和事后響應(yīng)，可以起到主動(dòng)防御的作用；此外，通過(guò)對(duì)非法入侵者的入侵?jǐn)?shù)據(jù)分析，可以幫助網(wǎng)絡(luò)安全管理人員修復(fù)一些未知的系統(tǒng)漏洞以及追蹤定位攻擊者的位置，提高抵御網(wǎng)絡(luò)入侵的能力。這對(duì)校園網(wǎng)安全可起到重要的保障作用，具有較好的應(yīng)用價(jià)值。1 蜜罐技術(shù)簡(jiǎn)介1.1 蜜罐技術(shù)蜜罐是一種在互聯(lián)網(wǎng)上運(yùn)行的計(jì)算機(jī)系統(tǒng)，是網(wǎng)絡(luò)安全

型網(wǎng)絡(luò)安全威脅。蜜罐是一組帶有缺陷的安全資源，正因?yàn)樗腥毕荩拍芪粽邔?duì)其掃描、探測(cè)、攻擊和利用。在攻擊者攻擊過(guò)程中，防御方記錄攻擊者的行為，對(duì)攻擊者的方法、手段、技術(shù)能力進(jìn)行學(xué)習(xí)，從而能夠更好的制定防御方法和措施。蜜罐分為高交互式蜜罐和低交互式蜜罐。高交互式蜜罐基于真實(shí)的軟硬件構(gòu)建，真實(shí)度高，不容易被識(shí)別，能夠檢測(cè)未知安全威脅，但是被攻擊后，容易被利用去攻擊其他的系統(tǒng)，因此風(fēng)險(xiǎn)比較高。低交互式蜜罐基于軟件模擬實(shí)現(xiàn)，使用資源比較少，不容易被利用，但是

創(chuàng)建虛擬蜜罐主機(jī)，輕松誘捕黑客Honeyd的安裝方法很簡(jiǎn)單，本文不再贅述。這里以創(chuàng)建兩臺(tái)虛擬蜜罐主機(jī)為例，來(lái)說(shuō)明如何使用 Honeyd。 進(jìn) 入“/usr/local/share/honeyd” 目錄，其中保存有Honeyd的配置文件信息。執(zhí)行“vim honeyd.conf”命令，在初始狀態(tài)下，該文件內(nèi)容為空。輸 入“create default”、“set default default tcp action block”、“set default d

文提出了一種基于蜜罐技術(shù)的DDoS攻擊防御技術(shù)，有了如下改進(jìn)：（1）本技術(shù)部署在受害服務(wù)器端，不需要ISP的支持與配合，不依賴資源優(yōu)勢(shì)和更多額外設(shè)備的支持。（2）本技術(shù)通過(guò)蜜罐技術(shù)采集異常網(wǎng)絡(luò)流量來(lái)檢測(cè)被保護(hù)的服務(wù)器系統(tǒng)是否受到DDoS攻擊，不考慮源IP地址的真?zhèn)?。?）蜜罐系統(tǒng)對(duì)攻擊行為進(jìn)行記錄，遠(yuǎn)程存儲(chǔ)的日志記錄對(duì)攻擊行為的分析和防御措施的部署提供詳細(xì)的參考信息，甚至還可以對(duì)攻擊取證提供法律證據(jù)。（4）本技術(shù)采取判斷重定向機(jī)制，能夠識(shí)別、滲透和分析這種

的活“糧倉(cāng)”——蜜罐蟻。蜜罐蟻分布范圍較廣，多數(shù)生活在美國(guó)、墨西哥和澳大利亞的荒漠地區(qū)，喜歡在山脊和沙丘的最高處筑巢。為了躲避敵人，蟻群大多將巢穴的入口修建在一個(gè)凹坑內(nèi)，穴口呈圓形狀，看上去就像一座微型火山。不同于普通蟻群，蜜罐蟻?zhàn)迦阂?guī)模較大，每個(gè)種群大約有5000多名成員，容納它們的“地下工事”最長(zhǎng)可達(dá)1.7米。在螞蟻?zhàn)迦褐校?span id="j5i0abt0b" class="hl">蜜罐蟻的多少，跟食物的豐富量息息相關(guān)：當(dāng)食物匱乏的時(shí)候，只有體型最大的工蟻才有資格成為蜜罐蟻。工蟻從“轉(zhuǎn)行”為蜜罐蟻的那一刻起，就

汁。這些被稱為“蜜罐蟻”的工蟻從此哪兒也不去，外面喧囂美好的世界不再屬于它們。除了要耐得住寂寞，還要忍受蜜露幾乎將肚子撐破的苦痛。當(dāng)漫長(zhǎng)的干旱襲來(lái)，蟻群外出覓食再難有收獲時(shí)，“蜜罐蟻”便“開(kāi)罐放糧”，讓同伴們吃它們肚中的蜜汁，以順利度過(guò)困難期并繁衍生息。一旦工蟻選擇了做“蜜罐蟻”，也就選擇了一輩子吊在洞壁上。由于蜜蟻與其他螞蟻一樣，身體表面覆蓋著一層硬硬的骨骼，蜜汁將骨骼撐開(kāi)，蜜罐蟻正常的行動(dòng)能力也就喪失殆盡?！?span id="j5i0abt0b" class="hl">蜜罐蟻”中的蜜也會(huì)引得人類垂涎，如澳洲的土著

寶——漂亮的水晶蜜罐去買蜂蜜?！皢眩┖┬軄?lái)買蜂蜜呀！”精明狐熱情地迎了出來(lái)。她一看到那只閃閃發(fā)光的水晶蜜罐，頓時(shí)兩眼放光，計(jì)上心來(lái)，說(shuō)：“今天，我們來(lái)打個(gè)賭，你要是答對(duì)我的題目，我就把蜂蜜送給你；要是答錯(cuò)的話，你要留下蜜罐?！边€沒(méi)等憨憨熊答應(yīng)，精明狐就說(shuō)：“請(qǐng)聽(tīng)題，大勺一次盛5兩蜂蜜，小勺一次盛3兩，用這兩種勺子能量出7兩嗎？”憨憨熊一聽(tīng)，立刻傻眼了，這可怎么量呀？一大勺5兩，兩大勺10兩，10大于7，行不通；一小勺3兩，兩小勺6兩，6小于7，還是行不通

汁。這些被稱為“蜜罐蟻”的工蟻從此哪兒也不去，外面喧囂美好的世界不再屬于它們。除了要耐得住寂寞，還要忍受蜜露幾乎將肚子撐破的苦痛。因?yàn)?span id="j5i0abt0b" class="hl">蜜罐蟻不停地接受伙伴們采來(lái)的蜜露，直到把自己的肚子撐得圓滾滾。因儲(chǔ)存蜜汁的顏色不一樣，蜜罐蟻的肚子會(huì)形成不同的顏色，蜜蟻穴壁上宛然一些五顏六色的琥珀小球懸空而掛。當(dāng)雨季飛快地過(guò)去，漫長(zhǎng)的干旱襲來(lái)，蟻群外出覓食再難有收獲時(shí)，蜜罐蟻便“開(kāi)罐放糧”，讓同伴們吃它肚中的蜜汁，順利度過(guò)困難期并繁衍生息。不要以為肚子中的蜜汁被伙伴們吃完

可能發(fā)生的攻擊。蜜罐網(wǎng)絡(luò)欺騙技術(shù)正是主動(dòng)防御與入侵檢測(cè)為一體模式的代表，不僅可以防止攻擊者的攻擊行為，還可以對(duì)其攻擊行為進(jìn)行分析，更重要的是還可以進(jìn)行取證以震懾攻擊者，具有極高的實(shí)用價(jià)值。2 蜜罐技術(shù)的定義及其優(yōu)勢(shì)蜜罐技術(shù)是一種旨在保護(hù)網(wǎng)絡(luò)安全運(yùn)行的一種“蜜罐”，即誘導(dǎo)攻擊的誘餌。它也是一種網(wǎng)絡(luò)系統(tǒng)，在被保護(hù)的網(wǎng)絡(luò)系統(tǒng)鄰近運(yùn)行，只不過(guò)它故意設(shè)置了些許系統(tǒng)漏洞，可以轉(zhuǎn)移攻擊者的注意力，迷惑攻擊者，代替目標(biāo)網(wǎng)絡(luò)系統(tǒng)，將可能的攻擊轉(zhuǎn)移到蜜罐網(wǎng)絡(luò)上。而作為誘餌的蜜

汁。這些被稱為“蜜罐蟻”的工蟻從此哪兒也不去，外面喧囂美好的世界不再屬于它們。除了要耐得住寂寞，還要忍受蜜露幾乎將肚子撐破的苦痛。因?yàn)?span id="j5i0abt0b" class="hl">蜜罐蟻不停地接受伙伴們采來(lái)的蜜露，直到把自己的肚子撐得圓滾滾。因儲(chǔ)存蜜汁的顏色不一樣，蜜罐蟻的肚子會(huì)形成不同的顏色，蜜蟻穴壁上宛然一些五顏六色的琥珀小球懸空而掛。當(dāng)雨季飛快地過(guò)去，漫長(zhǎng)的干旱襲來(lái)，蟻群外出覓食再難有收獲時(shí)，蜜罐蟻便“開(kāi)罐放糧”，讓同伴們吃它肚中的蜜汁，順利度過(guò)困難期并繁衍生息。不要以為肚子中的蜜汁被伙伴們吃完

汁。這些被稱為“蜜罐蟻”的工蟻從此哪兒也不去，外面喧囂美好的世界不再屬于它們。除了要耐得住寂寞，還要忍受蜜露幾乎將肚子撐破的苦痛。因?yàn)?span id="j5i0abt0b" class="hl">蜜罐蟻不停地接受伙伴們采來(lái)的蜜露，直到把自己的肚子撐得圓滾滾。因儲(chǔ)存蜜汁的顏色不一樣，蜜罐蟻的肚子會(huì)形成不同的顏色，蜜蟻穴壁上宛然一些五顏六色的琥珀小球懸空而掛。當(dāng)雨季飛快地過(guò)去，漫長(zhǎng)的干旱襲來(lái)，蟻群外出覓食再難有收獲時(shí)，蜜罐蟻便“開(kāi)罐放糧”，讓同伴們吃它肚中的蜜汁，順利度過(guò)困難期并繁衍生息。不要以為肚子中的蜜汁被伙伴們吃完

226000)蜜罐技術(shù)在校園網(wǎng)絡(luò)安全中的作用分析唐旭1陳蓓2(1．南通開(kāi)放大學(xué)，江蘇 南通 226000；2．南通市人民檢察院，江蘇 南通 226000)隨著近年我國(guó)教育事業(yè)的發(fā)展，全國(guó)各學(xué)校也走進(jìn)了數(shù)字化校園的時(shí)代，在數(shù)字化教學(xué)不斷發(fā)展的同時(shí)，校園網(wǎng)絡(luò)安全問(wèn)題也越發(fā)突出。為了加強(qiáng)校園網(wǎng)絡(luò)安全性，我們可以使用蜜罐技術(shù)來(lái)采取主動(dòng)防御措施。本文主要講述了校園網(wǎng)絡(luò)的安全隱患并對(duì)蜜罐技術(shù)在校園網(wǎng)絡(luò)安全中的作用做出分析。蜜罐技術(shù)；校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全1 引言隨著信息

發(fā)生的攻擊?；?span id="j5i0abt0b" class="hl">蜜罐的網(wǎng)絡(luò)欺騙技術(shù)正是主動(dòng)防御和入侵檢測(cè)技術(shù)的代表，該技術(shù)除了可以防御入侵者的攻擊外，還可以對(duì)攻擊行為進(jìn)行分析和取證，具有很高的實(shí)用價(jià)值[1,2]。2 蜜罐技術(shù)蜜罐技術(shù)，是一種在需要保護(hù)的網(wǎng)絡(luò)附近運(yùn)行的，存在一定漏洞的網(wǎng)絡(luò)系統(tǒng)，用于對(duì)主動(dòng)發(fā)起攻擊者進(jìn)行欺騙，吸引其對(duì)蜜罐網(wǎng)絡(luò)發(fā)起攻擊，把原來(lái)可能針對(duì)目標(biāo)網(wǎng)絡(luò)的攻擊轉(zhuǎn)移到蜜罐網(wǎng)絡(luò)上，而蜜罐網(wǎng)絡(luò)中又不存在有價(jià)值的信息，這樣就成功轉(zhuǎn)移了攻擊目標(biāo)，使得受保護(hù)目標(biāo)免于受到攻擊。同時(shí)，由于蜜罐網(wǎng)絡(luò)中不對(duì)外

的一個(gè)重要方向.蜜罐技術(shù)采用主動(dòng)防御的方式，在監(jiān)測(cè)網(wǎng)絡(luò)入侵、保護(hù)網(wǎng)絡(luò)客體、信息學(xué)習(xí)反饋、提高完善反擊入侵能力等網(wǎng)絡(luò)安全方面有極大的優(yōu)勢(shì)［1］.分布式蜜罐系統(tǒng)是將多個(gè)蜜罐和蜜網(wǎng)通過(guò)網(wǎng)絡(luò)互聯(lián)按照分布式體系進(jìn)行部署的網(wǎng)絡(luò)，數(shù)據(jù)采集和數(shù)據(jù)管理是分布式蜜罐系統(tǒng)的兩個(gè)重要組成部分.和普通的單一蜜罐相比，分布式蜜罐系統(tǒng)對(duì)于分布式網(wǎng)絡(luò)來(lái)說(shuō)，在捕獲網(wǎng)絡(luò)威脅方面起到了更有效的作用，能捕捉到大范圍內(nèi)的攻擊者的活動(dòng)，獲得大量的相關(guān)數(shù)據(jù)進(jìn)行安全分析，為保障網(wǎng)絡(luò)安全起到重要的作用.1

取被動(dòng)防護(hù)模式，蜜罐（Honeypot）技術(shù)作為一種主動(dòng)的網(wǎng)絡(luò)安全防御技術(shù)，有效地彌補(bǔ)了傳統(tǒng)防護(hù)技術(shù)的不足。蜜罐技術(shù)通過(guò)構(gòu)建一個(gè)誘騙系統(tǒng)來(lái)吸引入侵者的攻擊，通過(guò)監(jiān)控入侵者的行為，收集入侵信息，分析入侵方式，提取攻擊特征，從而發(fā)現(xiàn)新的入侵行為特征，對(duì)未知的攻擊起著有效地防范作用。蜜罐技術(shù)在網(wǎng)絡(luò)安全應(yīng)用中起著越來(lái)越重要的作用。1 蜜罐技術(shù)概述1.1 蜜罐技術(shù)的定義蜜罐是一個(gè)誘騙系統(tǒng)，是一種安全資源，它是被嚴(yán)格監(jiān)控的，通過(guò)被掃描、被攻擊來(lái)體現(xiàn)它的價(jià)值。設(shè)計(jì)蜜罐的

程靜基于動(dòng)態(tài)蜜罐技術(shù)的虛擬網(wǎng)絡(luò)設(shè)計(jì)程靜（霍山縣委黨校信息化辦公室，安徽六安237200）通過(guò)利用蜜罐技術(shù)和網(wǎng)絡(luò)掃描技術(shù)完成動(dòng)態(tài)網(wǎng)絡(luò)蜜罐的設(shè)計(jì),以設(shè)計(jì)一個(gè)動(dòng)態(tài)自適應(yīng)虛擬網(wǎng)絡(luò)系統(tǒng)為目標(biāo)來(lái)實(shí)現(xiàn)對(duì)真實(shí)網(wǎng)絡(luò)環(huán)境的虛擬模擬與動(dòng)態(tài)信息收集，從而配置一個(gè)與實(shí)際網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)十分類似的虛擬網(wǎng)絡(luò)，用以誘騙攻擊、轉(zhuǎn)移攻擊，對(duì)于消解黑客攻擊帶來(lái)的威脅、掌握黑客攻擊特性與新型攻擊方式很有幫助.蜜罐技術(shù)；網(wǎng)絡(luò)掃描技術(shù)；動(dòng)態(tài)蜜罐網(wǎng)絡(luò)；虛擬網(wǎng)絡(luò)信息技術(shù)和網(wǎng)絡(luò)計(jì)算機(jī)的快速發(fā)展為國(guó)家經(jīng)濟(jì)發(fā)展和

劉丹陽(yáng)企業(yè)設(shè)置“蜜罐”的五大理由■劉丹陽(yáng)蜜罐技術(shù)做為安全工具已經(jīng)有了近20年的發(fā)展。1991年1月，一群荷蘭黑客試圖進(jìn)入貝爾實(shí)驗(yàn)室的一個(gè)系統(tǒng)。而當(dāng)時(shí)貝爾實(shí)驗(yàn)室的一個(gè)研究團(tuán)隊(duì)將這伙黑客引導(dǎo)到了他們自己管理的一個(gè)”數(shù)字沙盒“。這被認(rèn)為是第一個(gè)蜜罐技術(shù)的應(yīng)用。隨著時(shí)間的推移，越來(lái)越多的企業(yè)意識(shí)到蜜罐技術(shù)的重要性。企業(yè)采取蜜罐技術(shù)在遭到黑客攻擊時(shí)可以提供報(bào)警。這樣的技術(shù)具有較低的誤報(bào)率，能夠同時(shí)對(duì)內(nèi)部人員和外部黑客的攻擊進(jìn)行報(bào)警，更重要的是，一旦設(shè)置好以后，蜜罐基

0061）分布式蜜罐技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用姚東鈮（陜西學(xué)前師范學(xué)院實(shí)驗(yàn)室與網(wǎng)絡(luò)管理處，西安陜西,710061）本文以蜜罐技術(shù)為基礎(chǔ)設(shè)計(jì)了一種分布式蜜罐系統(tǒng)，針對(duì)外部網(wǎng)和內(nèi)部網(wǎng)不同平臺(tái)建立的分布式蜜罐系統(tǒng)形成一個(gè)交互的體系，通過(guò)模擬多種操作系統(tǒng)甚至是應(yīng)用系統(tǒng)的漏洞,對(duì)網(wǎng)絡(luò)攻擊者進(jìn)行信息采集和分析。同時(shí)運(yùn)用多種安全資源結(jié)合的思想，使分布式蜜罐技術(shù)與傳統(tǒng)安全資源的入侵檢測(cè)系統(tǒng)（IDS）和防火墻協(xié)同聯(lián)動(dòng)，全面反饋網(wǎng)絡(luò)情況。該分布式蜜罐系統(tǒng)的部署提供了大量網(wǎng)絡(luò)攻擊行

臨的一個(gè)新問(wèn)題。蜜罐(Honey pot)技術(shù)是一種主動(dòng)的網(wǎng)絡(luò)安全誘騙技術(shù)，通過(guò)建立一個(gè)受嚴(yán)格監(jiān)控的，真實(shí)的或者模擬的網(wǎng)絡(luò)誘騙系統(tǒng)來(lái)吸引入侵者的攻擊，并收集攻擊者入侵的行為和過(guò)程信息，對(duì)其特征進(jìn)行分析，發(fā)現(xiàn)新的入侵行為，從而避免真實(shí)網(wǎng)絡(luò)系統(tǒng)受到侵害。1 蜜罐的簡(jiǎn)介蜜罐(Honey pot)是一個(gè)包含漏洞的誘騙系統(tǒng)，它用真實(shí)的或虛擬的系統(tǒng)模擬一個(gè)或多個(gè)易受攻擊的主機(jī)，給入侵者提供一個(gè)容易攻擊的目標(biāo)，蜜罐的價(jià)值在于被探測(cè)、被攻擊[1]。簡(jiǎn)單的蜜罐可以用計(jì)算機(jī)所

233100）蜜罐技術(shù)在校園網(wǎng)系統(tǒng)中的應(yīng)用研究賀文娟（安徽科技學(xué)院理學(xué)院計(jì)算機(jī)公共教學(xué)部，安徽鳳陽(yáng) 233100）隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)重.通過(guò)蜜罐技術(shù)，建立一個(gè)新型的主動(dòng)防御的校園網(wǎng)安全系統(tǒng).該系統(tǒng)可誘使攻擊者連接蜜罐，進(jìn)而可以收集到攻擊者的相關(guān)信息.通過(guò)蜜罐技術(shù)結(jié)合傳統(tǒng)的網(wǎng)絡(luò)安全工具，可以保障校園網(wǎng)的正常運(yùn)行.蜜罐；校園網(wǎng)；主動(dòng)防御1 引言校園網(wǎng)作為學(xué)校正常運(yùn)轉(zhuǎn)的重要組成部分之一，對(duì)提高工作效率起到了重要的推動(dòng)作用.但我們?cè)谙硎芫W(wǎng)上便

00 ）0 引言蜜罐是一種主動(dòng)防御工具，在網(wǎng)絡(luò)安全問(wèn)題的預(yù)防、檢測(cè)和響應(yīng)階段都發(fā)揮著它的作用。隨著網(wǎng)絡(luò)中入侵攻擊越來(lái)越多，蜜罐正逐漸成為企業(yè)信息安全的新防御手段。對(duì)于一般的企業(yè)應(yīng)用，企業(yè)網(wǎng)是一個(gè)單一的網(wǎng)絡(luò)，目前市場(chǎng)上已有不少的免費(fèi)的或商業(yè)化的蜜罐工具可供使用；而對(duì)于一些在全國(guó)多個(gè)省份設(shè)立分支機(jī)構(gòu)的企業(yè)，因其本身企業(yè)內(nèi)部網(wǎng)是較復(fù)雜的分布式網(wǎng)絡(luò)，簡(jiǎn)單的在各個(gè)分支結(jié)構(gòu)獨(dú)立的設(shè)置多個(gè)蜜罐是無(wú)法很好的發(fā)揮其作用的。因此，本文針對(duì)這類分布式的企業(yè)內(nèi)部網(wǎng)設(shè)計(jì)了一種分布式

50300)淺析蜜罐技術(shù)與IDS結(jié)合的可行性倪 超 凡(福建師范大學(xué)福清分校 數(shù)學(xué)與計(jì)算機(jī)科學(xué)系，福建 福清 350300)基于入侵檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)(IDS)，與傳統(tǒng)的防火墻相比，有能夠同時(shí)監(jiān)控進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流，不需要跨接在任何鏈路上，無(wú)須網(wǎng)絡(luò)流量流經(jīng)便可以工作等優(yōu)點(diǎn)，但也存在一些缺陷，比如對(duì)未知的攻擊行為無(wú)能為力，漏報(bào)率和誤報(bào)率過(guò)高等.蜜罐技術(shù)是基于主動(dòng)防御理論而提出的一種入侵誘騙技術(shù)，它的主要作用就是通過(guò)模擬真實(shí)的網(wǎng)絡(luò)和服務(wù)來(lái)吸引黑客進(jìn)行攻擊，收

無(wú)線802.11蜜罐近年來(lái)越來(lái)越多地受到關(guān)注。無(wú)線802.11蜜罐[2]是等待攻擊者或惡意用戶訪問(wèn)的無(wú)線資源，它通過(guò)搭建具有無(wú)線服務(wù)資源平臺(tái)的蜜罐,誘使攻擊者入侵,將攻擊者拖延在該蜜罐上,使得攻擊者花費(fèi)大量精力對(duì)付偽造的目標(biāo),達(dá)到消耗攻擊者的資源、降低攻擊造成的破壞程度,從而間接保護(hù)真實(shí)的無(wú)線系統(tǒng),同時(shí)記錄攻擊頻率、攻擊手段、攻擊成功的次數(shù)、攻擊者的技術(shù)水平及最容易被攻擊的目標(biāo)等真實(shí)統(tǒng)計(jì)數(shù)據(jù)。1 典型的無(wú)線802.11蜜罐蜜罐蜜網(wǎng)技術(shù)已經(jīng)被廣泛應(yīng)用于各種網(wǎng)

neyd的產(chǎn)品型蜜罐系統(tǒng)曾曉光, 鄭成輝, 賴海光, 趙 成(解放軍理工大學(xué)指揮自動(dòng)化學(xué)院 江蘇南京210007)在研究型蜜罐技術(shù)的基礎(chǔ)上,分析了產(chǎn)品型蜜罐所應(yīng)具備的基本特性,設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于Honeyd的產(chǎn)品型蜜罐系統(tǒng).系統(tǒng)應(yīng)用了公鑰加密、圖形化操作等技術(shù),具有較高的安全性和實(shí)用性.蜜罐;蜜網(wǎng);產(chǎn)品型蜜罐;Honeyd0 引言網(wǎng)絡(luò)與信息安全技術(shù)的核心問(wèn)題是對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行有效的防護(hù).安全可以分為預(yù)防、檢測(cè)、反應(yīng)3個(gè)層次[1].很多安全技術(shù)只在其