淺談蜜罐技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

何祥鋒

（國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心海南分中心 海南 570206）

0 引 言

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)安全問題日益突出。常用于防御攻擊的傳統(tǒng)技術(shù)如防火墻技術(shù)、入侵檢測技術(shù)、加密技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)等都是采取被動防護模式，蜜罐（Honeypot）技術(shù)作為一種主動的網(wǎng)絡(luò)安全防御技術(shù)，有效地彌補了傳統(tǒng)防護技術(shù)的不足。蜜罐技術(shù)通過構(gòu)建一個誘騙系統(tǒng)來吸引入侵者的攻擊，通過監(jiān)控入侵者的行為，收集入侵信息，分析入侵方式，提取攻擊特征，從而發(fā)現(xiàn)新的入侵行為特征，對未知的攻擊起著有效地防范作用。蜜罐技術(shù)在網(wǎng)絡(luò)安全應(yīng)用中起著越來越重要的作用。

1 蜜罐技術(shù)概述

1.1 蜜罐技術(shù)的定義

蜜罐是一個誘騙系統(tǒng)，是一種安全資源，它是被嚴格監(jiān)控的，通過被掃描、被攻擊來體現(xiàn)它的價值。設(shè)計蜜罐的目的是讓黑客入侵，由蜜罐系統(tǒng)設(shè)置的功能對黑客攻擊的行為和過程進行分析，以此收集攻擊信息。蜜罐不能提高被攻擊系統(tǒng)的安全性，但作為一種主動防御技術(shù)卻是其他安全策略所不可替代的。

1.2 蜜罐的分類

1.2.1 蜜罐可分為產(chǎn)品型蜜罐和研究型蜜罐用于不同的設(shè)計要求。產(chǎn)品型蜜罐的設(shè)計目的是為了加強系統(tǒng)的安全措施，防范入侵者的攻擊，對入侵行為進行檢測并且做出應(yīng)對。常見的產(chǎn)品型蜜罐有DTK、honeyd等開源工具和KFSensor、ManTraq 等商業(yè)產(chǎn)品。研究型蜜罐的設(shè)計目的是用于研究和獲取入侵信息。研究型蜜罐不能增強系統(tǒng)的安全性，而是通過收集攻擊者的信息來尋找更有效的應(yīng)對方式。研究型蜜罐常用于第二代蜜網(wǎng)技術(shù)中。

1.2.2 從信息交互程度的不同，蜜罐可分為低交互蜜罐、中交互蜜罐和高交互蜜罐。低交互蜜罐只是對操作系統(tǒng)的一部分或一個服務(wù)進行模擬，例如模擬存在代碼漏洞的TELNET服務(wù)，當(dāng)攻擊者利用該漏洞入侵時，可以觀察到入侵行為。中交互是對操作系統(tǒng)的各種行為的模擬，它與攻擊者交互的信息更多，也獲得更多的攻擊信息。高交互蜜罐是一個可被攻陷的真實操作系統(tǒng)，通過真實系統(tǒng)與攻擊者進行交互，獲取攻擊者在系統(tǒng)中詳盡的入侵信息。

1.3 蜜罐的優(yōu)點與缺點

1.3.1 蜜罐系統(tǒng)的優(yōu)點

大大減少了所要分析的數(shù)據(jù)，目的性強，捕獲的數(shù)據(jù)價值高；通過蜜罐系統(tǒng)可以捕獲攻擊者的入侵信息，從而發(fā)現(xiàn)新的攻擊手段及戰(zhàn)術(shù)方法；和現(xiàn)在的入侵檢測系統(tǒng)IDS比較，蜜罐具有較低的誤報率和漏報率；蜜罐系統(tǒng)通過分析可以發(fā)現(xiàn)新的入侵行為特征，建立安全事件行為特征庫；通過對黑客入侵行為的分析，有利于管理員掌握黑客攻擊的一些知識。

1.3.2 蜜罐系統(tǒng)的缺點

蜜罐技術(shù)也存在著一些缺陷，蜜罐技術(shù)只能對蜜罐的攻擊行為進行監(jiān)視和分析，其視圖較為有限，不能通過旁路偵聽等技術(shù)對整個網(wǎng)絡(luò)進行監(jiān)控；蜜罐技術(shù)不能直接防護有漏洞的信息系統(tǒng)；部署蜜罐存在一定的安全風(fēng)險，蜜罐可能被黑客識別并作為跳板對第三方發(fā)起攻擊。

1.4 蜜罐技術(shù)的發(fā)展

從90年代初開始，蜜罐技術(shù)的發(fā)展主要經(jīng)歷了欺騙系統(tǒng)、蜜罐（Honeypot）、蜜網(wǎng)（Honeynet）幾個發(fā)展階段。欺騙系統(tǒng)階段主要是建立一種欺騙方式達到追蹤入侵者行為和保護系統(tǒng)的目的。蜜罐階段出現(xiàn)了 DTK（欺騙工具包）、Honeyd等開源工具，還有一些商業(yè)蜜罐產(chǎn)品如KFSensor、Specter等。蜜網(wǎng)階段是在蜜罐技術(shù)上逐漸發(fā)展起來的，它是一種網(wǎng)絡(luò)體系架構(gòu)，運用多種工具收集攻擊者的入侵信息，同時也對網(wǎng)絡(luò)提供了高度可控性。虛擬蜜網(wǎng)是利用計算機虛擬技術(shù)在一臺主機系統(tǒng)上虛擬出幾臺計算機并構(gòu)建成一個網(wǎng)絡(luò)系統(tǒng)，虛擬蜜網(wǎng)的出現(xiàn)，大大降低了蜜網(wǎng)設(shè)計的成本，而且易于管理。

2 蜜罐的主要技術(shù)

蜜罐的主要技術(shù)有網(wǎng)絡(luò)欺騙技術(shù)、數(shù)據(jù)捕獲技術(shù)、數(shù)據(jù)控制技術(shù)、數(shù)據(jù)分析和端口重定向技術(shù)等。

2.1 網(wǎng)絡(luò)欺騙技術(shù)：是蜜罐的核心技術(shù)，通過設(shè)置各種欺騙手段，利用系統(tǒng)的安全弱點和漏洞，引誘黑客的攻擊。一個蜜罐系統(tǒng)是否有價值，體現(xiàn)了網(wǎng)絡(luò)欺騙技術(shù)的強與弱。設(shè)置一個網(wǎng)絡(luò)欺騙技術(shù)強的蜜罐系統(tǒng)，可以充分發(fā)揮蜜罐的價值，同時還不易被黑客察覺。目前常用的網(wǎng)絡(luò)欺騙技術(shù)有如下幾種：模擬服務(wù)端口；模擬系統(tǒng)漏洞；模擬應(yīng)用服務(wù)；IP空間欺騙；流量仿真；網(wǎng)絡(luò)動態(tài)配置等。

2.2 數(shù)據(jù)捕獲技術(shù)：數(shù)據(jù)捕獲是蜜罐設(shè)計中的核心功能模塊。其作用是盡可能多的捕獲入侵信息，而不被攻擊者發(fā)現(xiàn)。對于低交互蜜罐系統(tǒng)，數(shù)據(jù)捕獲一般是對系統(tǒng)日志記錄的分析，捕獲的信息量有限。對于高交互蜜罐系統(tǒng)，可以應(yīng)用防火墻、入侵檢測設(shè)備來實現(xiàn)更多數(shù)據(jù)的捕獲。通過防火墻來捕獲進入蜜罐的網(wǎng)絡(luò)連接日志記錄；通過入侵檢測系統(tǒng)捕獲蜜罐系統(tǒng)所有的網(wǎng)絡(luò)數(shù)據(jù)包；通過蜜罐主機獲取所有的系統(tǒng)日志以及輸入、輸出及屏幕顯示等，同時通過網(wǎng)絡(luò)傳輸把這些數(shù)據(jù)存放在遠程服務(wù)器中。

2.3 數(shù)據(jù)控制技術(shù)：為了保障蜜罐系統(tǒng)的自身安全，防止攻擊者將蜜罐作為跳板去攻擊其他系統(tǒng)或第三方主機。必須對進出蜜罐系統(tǒng)的數(shù)據(jù)流量進行控制，同時不被黑客懷疑?？刂七M出蜜罐系統(tǒng)的數(shù)據(jù)流量可以分成二層，分別是連接控制和路由控制。通過防火墻來控制蜜罐系統(tǒng)的外出連接；通過路由器來控制外出的數(shù)據(jù)包。

2.4 數(shù)據(jù)分析技術(shù)：數(shù)據(jù)分析技術(shù)是蜜罐技術(shù)中的一個難點，主要是對收集到的所有信息進行綜合分析和關(guān)聯(lián)。通過分析可以掌握攻擊者在蜜罐系統(tǒng)中的活動、擊鍵行為、訪問系統(tǒng)所使用的工具、攻擊目的等，同時可以對攻擊者的行為建立數(shù)據(jù)統(tǒng)計模型。數(shù)據(jù)分析主要包括網(wǎng)絡(luò)協(xié)議分析、網(wǎng)絡(luò)攻擊分析和攻擊特征分析。

2.5 端口重定向技術(shù)：端口重定向是為了讓攻擊者進入到蜜罐系統(tǒng)設(shè)置的一個模擬服務(wù)中，而不是進入到系統(tǒng)真實的服務(wù)中，從而降低攻擊者對真實系統(tǒng)的威脅。根據(jù)重定向用戶的不同，端口重定向技術(shù)可以分為兩類，一類是客戶端重定向，一類是服務(wù)器端重定向。

3 蜜罐在網(wǎng)絡(luò)安全中的應(yīng)用

3.1 蜜罐在網(wǎng)絡(luò)中的拓撲位置

將一臺沒有打補丁的操作系統(tǒng)機器放置在互聯(lián)網(wǎng)上就可以完成蜜罐操作系統(tǒng)的部署。例如，可以利用VMware工作站或者QEMU來實現(xiàn)一臺虛擬機連接互聯(lián)網(wǎng)。蜜罐放置的位置可以在防火墻之前也可以放在防火墻之后，不同的位置蜜罐系統(tǒng)所起的作用也不盡相同。放在防火墻之前，優(yōu)點是蜜罐會吸引大量的掃描攻擊，蜜罐本身將攻擊信息記錄下來，內(nèi)部的IDS系統(tǒng)不會產(chǎn)生警告，無需調(diào)整防火墻及其它的資源的配置，不會給內(nèi)部網(wǎng)增加新的風(fēng)險；缺點是無法定位或捕捉到內(nèi)部攻擊者。放在防火墻之后，優(yōu)點是可以收集到已經(jīng)通過防火墻的有害數(shù)據(jù)，還可以探查內(nèi)部攻擊者；缺點是需要調(diào)整防火墻規(guī)則，如果蜜罐被外部攻擊者攻陷將就會危害整個內(nèi)網(wǎng)。

3.2 利用蜜罐系統(tǒng)與入侵檢測的聯(lián)動增強防護能力

入侵檢測系統(tǒng)對入侵行為的檢測主要是通過對攻擊行為進行特征庫匹配，如果攻擊行為滿足特征庫中的條件，將做出響應(yīng)。入侵檢測系統(tǒng)的特征庫需要不斷的更新，才能檢測到新的攻擊行為。蜜罐系統(tǒng)彌補了這一不足，蜜罐系統(tǒng)將記錄到的入侵信息傳遞給入侵檢測系統(tǒng)，入侵檢測系統(tǒng)收到事件信息后對其進行分析并提取攻擊特征，最后將新的攻擊特征添加到系統(tǒng)的攻擊特征庫中，從而使得入侵檢測系統(tǒng)可以檢測出未知的攻擊手段。利用蜜罐系統(tǒng)與入侵檢測系統(tǒng)的聯(lián)動可以比較成功地增強入侵檢測系統(tǒng)對網(wǎng)絡(luò)的防御能力。

3.3 利用蜜罐檢測僵尸網(wǎng)絡(luò)

利用蜜罐系統(tǒng)對僵尸系統(tǒng)（bot）和僵尸網(wǎng)絡(luò)（botnet）進行檢測。根據(jù)僵尸網(wǎng)絡(luò)具有分布式的特點，通常利用零日攻擊或已知攻擊向量通過遠程命令通道進行攻擊。蜜罐系統(tǒng)可利用僵尸網(wǎng)絡(luò)的這一特點，對其進行跟蹤和分析，從而發(fā)現(xiàn)僵尸網(wǎng)絡(luò)的規(guī)模?？梢岳妹酃奘侄潍@取僵尸系統(tǒng)的程序樣本，利用逆向分析方法來分析樣本，從中獲得僵尸程序連接僵尸網(wǎng)絡(luò)服務(wù)器所需要的屬性值，通過這些屬性值可以深入地跟蹤僵尸網(wǎng)絡(luò)。例如，蜜罐可以通過監(jiān)測IRC控制通道提供實時攻擊流量。同時蜜罐還可以識別攻擊者操作系統(tǒng)類型以及存儲/重演攻擊活動的能力。對于蜜罐捕獲到的僵尸程序樣本可以提交給在線沙盒和多種反病毒掃描工具進行進一步分析，并形成共享的威脅信息。

3.4 蜜罐在反垃圾郵件中的應(yīng)用

垃圾郵件往往成為傳播病毒的一種載體，也常被黑客利用來進行攻擊的一種手段，垃圾郵件的危害越來越大。利用蜜罐技術(shù)可以有效地控制和防止垃圾郵件的傳播。首先，可以利用蜜罐欺騙垃圾郵件制造者收集虛假地址。其次，根據(jù)垃圾郵件發(fā)送的行為特征，利用流量檢測或者虛擬的郵箱賬戶捕獲垃圾郵件，將垃圾郵件重定向到蜜罐中，進行分析和研究。最后，還可以在蜜罐中設(shè)置一個虛假代理，用于欺騙需要代理的垃圾郵件發(fā)送者。常用的開源工具Honeyd 可以能用來創(chuàng)建虛假的，模擬轉(zhuǎn)發(fā)垃圾郵件的郵件服務(wù)器。蜜罐技術(shù)對于反垃圾郵件已經(jīng)有實際的應(yīng)用，并且成功捕獲大量的垃圾郵件。

3.5 蜜罐在反蠕蟲病毒中的應(yīng)用

根據(jù)蠕蟲病毒一般分為掃描、感染、復(fù)制的傳播過程，利用蜜罐技術(shù)可以有效地防止和控制蠕蟲病毒的傳播。在蠕蟲感染的階段蜜罐能檢測蠕蟲的入侵行為，對于已知的蠕蟲，可以通過設(shè)置防火墻和IDS規(guī)則，直接重定向到蜜罐中。對于全新的蠕蟲，可以在網(wǎng)絡(luò)層用特定的偽造數(shù)據(jù)包來延遲應(yīng)答，延緩其掃描速度，并使用一些軟件工具或者算法對系統(tǒng)日志進行分析，采取快速阻斷連接。同時，通過蜜罐系統(tǒng)對捕獲到的入侵信息進行分析，提取入侵行為特征，進而對防火墻和 IDS規(guī)則進行修改，讓入侵檢測系統(tǒng)對后續(xù)的入侵做出響應(yīng)。

3.6 利用蜜罐建立安全事件行為特征庫

對于被動的防御措施，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)只能檢測到已知類型的攻擊和入侵。蜜罐作為一種主動防御技術(shù)，填補了這一不足。蜜罐可以從各種入侵行為中提取有用的信息，從而發(fā)現(xiàn)新的攻擊工具和攻擊模式，并且可以通過大量的數(shù)據(jù)分析攻擊者的入侵動機，從中制定有效的防御對策。通過對蜜罐技術(shù)收集到的攻擊數(shù)據(jù)進行分析，可以進一步了解已知的和未知的攻擊方法，攻擊手段以及攻擊源等。通過對這些有用的信息進行整理，建立起內(nèi)部安全事件行為特征庫，為處理各種網(wǎng)絡(luò)安全問題起到極大的幫助作用。

4 結(jié)束語

隨著互聯(lián)網(wǎng)攻防技術(shù)的不斷更新，蜜罐技術(shù)作為一種主動防御的網(wǎng)絡(luò)安全技術(shù)，有力地彌補了傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)被動防御的缺點，在分析未知攻擊行為，建立安全行為特征庫，有效處理各種網(wǎng)絡(luò)安全問題方面取得了極好的效果。作為一種新興的網(wǎng)絡(luò)安全技術(shù)，蜜罐技術(shù)越來越引起廣泛關(guān)注和研究，在對蜜罐收集到的大量信息中，如何對數(shù)據(jù)進行挖掘，進行綜合關(guān)聯(lián)分析，從中提取更多的有價值的信息，是蜜罐技術(shù)的難點也是今后的研究方向。在蜜罐技術(shù)理論的不斷完善與發(fā)展下，蜜罐技術(shù)將被廣泛地應(yīng)用于網(wǎng)絡(luò)安全中并將發(fā)揮出極其重要的作用。

[1]熊華.網(wǎng)絡(luò)安全--取證與蜜罐[M].北京：人民郵電出版社.2003.

[2]邢長友；楊莉；陳鳴. 網(wǎng)絡(luò)蠕蟲傳播建模分析[J].電子科技大學(xué)學(xué)報 2007（03）.

[3]楊冬；高為民. 基于虛擬蜜罐的網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計與實現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 2008（05）

[4]胡文廣；張穎江；，蘭義華．蜜罐研究與應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 2006（05）

[5]董國鋒；盧艷靜．蜜網(wǎng)技術(shù)綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用2008（12）