蜜罐技術研究進展

◆銀 偉 雷 琪 韓 笑 徐 軍 金志文 銀 霞

(1.95899部隊 北京 100085；2.陜西省軍區(qū)人民武裝學校 陜西 710000；3.湖南邵陽市大祥區(qū)第一實驗中學 湖南 422000 )

0 前言

當今時代，受經濟和政治利益的驅使，網(wǎng)絡空間已成為國家和個人攻擊滲透的主渠道、主戰(zhàn)場、最前沿。網(wǎng)絡安全面臨著前所未有的嚴峻形勢。個人計算機需要防范來自木馬、病毒、蠕蟲、僵尸、DoS等各種各樣的安全威脅。隨著攻擊技術的發(fā)展，網(wǎng)絡攻擊開始呈現(xiàn)出一些新的特點：（1）攻擊自動化程度和攻擊速度越來越快；（2）攻擊工具越來越復雜；（3）安全漏洞的發(fā)現(xiàn)越來越快；（4）防火墻的滲透率越來越高；（5）對基礎設施構成越來越大的威脅。網(wǎng)絡空間的安全狀況不容樂觀。

最近的“震網(wǎng)”和“火焰”等APT（高級持續(xù)性威脅）攻擊表明，針對應用自身的 0day漏洞攻擊已經成為新的安全威脅，而防火墻、入侵檢測以及反病毒等被動的安全防護方式對這些新型安全威脅已經失效，迫切需要研究主動型的防御技術來應對新型網(wǎng)絡安全威脅。蜜罐是一組帶有缺陷的安全資源，正因為它有缺陷，才能吸引攻擊者對其掃描、探測、攻擊和利用。在攻擊者攻擊過程中，防御方記錄攻擊者的行為，對攻擊者的方法、手段、技術能力進行學習，從而能夠更好的制定防御方法和措施。

蜜罐分為高交互式蜜罐和低交互式蜜罐。高交互式蜜罐基于真實的軟硬件構建，真實度高，不容易被識別，能夠檢測未知安全威脅，但是被攻擊后，容易被利用去攻擊其他的系統(tǒng)，因此風險比較高。低交互式蜜罐基于軟件模擬實現(xiàn)，使用資源比較少，不容易被利用，但是容易被識別，而且只能檢測已知安全威脅。蜜罐的部署方式主要有蜜罐、蜜網(wǎng)和分布式蜜網(wǎng)三種。蜜罐是將單獨的一個蜜罐部署到Internet中，缺點是捕獲的安全威脅數(shù)據(jù)有限，視野受限。蜜網(wǎng)將多個蜜罐組成蜜網(wǎng)網(wǎng)絡，蜜網(wǎng)網(wǎng)絡通過蜜網(wǎng)網(wǎng)關與Internet相連。蜜網(wǎng)比蜜罐視野開闊些，但是由于其是部署在一個地區(qū)，不能對全網(wǎng)的安全威脅態(tài)勢進行感知。分布式蜜網(wǎng)將多個蜜網(wǎng)網(wǎng)絡以分布式的方式部署在不同地區(qū)，從而實現(xiàn)對全網(wǎng)的安全威脅數(shù)據(jù)進行捕獲。本文針對蜜罐/蜜網(wǎng)技術，從新的蜜罐類型、數(shù)據(jù)分析技術、蜜罐配置技術和識別與反識別技術四個方面對蜜罐進行綜述。

1 新的蜜罐類型

Adachi提出BitSaucer。它是一個集低交互式和高交互式蜜罐為一體的混合式蜜罐，同時具備低交互式蜜罐對資源要求低和高互式蜜罐響應能力高的特征。機制的關鍵在于設計運行在主機上的代理。代理是守護進程，負責根據(jù)網(wǎng)絡流量按需自動生成虛擬主機并構建高交互式蜜罐。由于高交互式蜜罐是按需生成，大大降低了資源消耗。

Alosefer設計了低交互式客戶端蜜罐——Honeyware，用于檢測惡意的web服務器。Alosefer使用Honeyware對94個網(wǎng)頁鏈接（其中有84個惡意鏈接，10個正常的鏈接）進行了檢測，并與Capture-HPC客戶端蜜罐做了比較。Honeyware能發(fā)現(xiàn)83個惡意鏈接。而Capture-HPC檢測到62個惡意鏈接，23個正常鏈接以及不確定剩下9個鏈接的歸屬。Honeyware是低交互式蜜罐。它接收到的數(shù)據(jù)會被一個外部處理引擎處理，對每個鏈接的處理時間大約是1分鐘，而Capture-HPC大約只需17秒。Alosefer認為將來在web客戶端蜜罐設計方面，必須將高、低交互式蜜罐結合起來使用才能發(fā)揮它們各自的優(yōu)勢。低交互式蜜罐容易安裝，但是需要外部數(shù)據(jù)處理，而高交互式蜜罐有數(shù)據(jù)處理模塊，但是不容易安裝。

Anagnostakis在高交互式蜜罐的精度和異常檢測的廣度兩個方面進行折中，提出“影子蜜罐”?！坝白用酃蕖笔钦鎸崢I(yè)務網(wǎng)絡中嵌有蜜罐代碼的網(wǎng)絡應用程序。所有的請求都被異常檢測模塊做預先處理，被裁定為正常請求的，都會被轉發(fā)給業(yè)務服務器，如果被裁定為惡意的，就會被移交給“影子蜜罐”?！坝白用酃蕖毕裆诚湟粯?，對請求進行虛擬執(zhí)行并進行裁定。如果“影子蜜罐”裁定為正常的，則將請求轉發(fā)給業(yè)務服務器，當被“影子蜜罐”裁定為惡意時，攻擊者所有操作都會被倒退回去。

Bailey結合使用低、高交互式蜜罐以期實現(xiàn)高覆蓋面（低交互式蜜罐的優(yōu)點）和高保真度（高交互式蜜罐的優(yōu)點）。高覆蓋面是指對不同種類的網(wǎng)絡流量類型（不同地址、端口以及應用等）都具備監(jiān)測能力。高保真度是指蜜罐能夠獲取詳盡的信息，包括攻擊行為以及攻擊者的響應等。Bailey提出使用多個低交互式蜜罐作為傳感器來收集網(wǎng)絡流量信息，以提高覆蓋面。如果低交互式蜜罐發(fā)現(xiàn)與威脅相關的行為或者請求，則將會話移交給高交互式蜜罐。通過這個方式，在實際部署中，對高交互式蜜罐的需求就會大大減少，降低了資源消耗，同時低交互式蜜罐能夠涵蓋多種類型的安全威脅。

Das提出一種對抗拒絕服務攻擊（DoS）的機制。將業(yè)務服務器放在訪問網(wǎng)關之后。訪問網(wǎng)關對客戶進行認證，如果認證通過，那么訪問網(wǎng)關就為客戶和業(yè)務服務器開辟一條通信路徑。如果認證沒有通過，訪問網(wǎng)關就像蜜罐一樣工作，并且把客戶限制在里邊。如果客戶對多個訪問網(wǎng)關都具有訪問權，那么只需要其中一個訪問網(wǎng)關對他進行認證就可以。由于在對業(yè)務服務器訪問之前要進行訪問網(wǎng)關的認證，有效阻止了對業(yè)務服務器的DoS攻擊。

路由協(xié)議，如RIP、OSPF以及BGP，經常成為被攻擊的目標，而針對路由器目前還沒有一個高交互式蜜罐來提高其安全性。Ghourabi為路由器提出一個客戶端蜜罐，能夠檢測到針對路由器的未知的攻擊。該蜜罐是基于 Quagga路由套件研發(fā)的高交互式蜜罐。它能依據(jù)協(xié)議規(guī)范，主動的給遠程路由器發(fā)送數(shù)據(jù)，觀察路由器的響應數(shù)據(jù)以此來判定該路由器是否被攻陷。對遠程路由器返回的數(shù)據(jù)使用wireshark進行捕獲。作者對RIP和OSPF協(xié)議進行了測試，證實該蜜罐能檢測到對路由器的攻擊。

虛擬機是非常龐大復雜的軟件系統(tǒng)，它們必然存在著軟件bug和安全漏洞，某些錯誤配置也會導致問題。這意味著虛擬機本身的以及運行在其之上的蜜罐都存在很高的風險。Jiang提出使用兩個傳感器來監(jiān)測高交互式蜜罐。內部傳感器在蜜罐內部運行，記錄系統(tǒng)調用以及它們的響應，包括哪個進程調用了哪個系統(tǒng)調用等信息。由于運行在蜜罐內部，內部傳感器容易被攻擊者攻陷。而外部傳感器工作在蜜罐外部，不容易被攻擊。外部傳感器通過攔截出入蜜罐的數(shù)據(jù)來監(jiān)視攻擊。

Khattab設計了方案來對抗針對業(yè)務服務器的DoS攻擊。蜜罐和業(yè)務進程在網(wǎng)絡中能夠遷移。當業(yè)務進程遷移到其他主機上時該主機自動變成蜜罐。蜜罐的作用是將攻擊者困住，因此能防止和延緩DoS攻擊。當大部分請求是DoS攻擊時，這種方案非常有效。

Kreibichi提出一個蜜罐原型系統(tǒng)。它為入侵檢測自動生成識別標志，而不需要預先對任何特征進行硬編碼，從而實現(xiàn)對未知0day惡意軟件的檢測。原型系統(tǒng)的核心包括連接監(jiān)測組件和惡意軟件識別標志生成算法。連接監(jiān)測組件對連接創(chuàng)建過程和連接建立階段的連接進行監(jiān)測。對于大部分連接請求，在連接創(chuàng)建階段可以看到它們的蹤影，但通常并沒有完成連接建立就夭折了。提出的蜜罐原型系統(tǒng)通過區(qū)分這兩個階段進而大大減少要監(jiān)測的連接數(shù)目。識別標志生成算法模塊對每個可疑的連接進行協(xié)議層和應用層分析，通過它們的行為和相關性來生成識別標志。

蜜罐的最初設計目的是被防御方用來提高主動防御能力，最近Lauinger發(fā)現(xiàn)蜜罐技術已經被攻擊者所利用。攻擊者針對即時通訊軟件開發(fā)了一款高交互式蜜罐軟件。它通過劫持會話消息實施釣魚攻擊。黑客首先邀請兩個用戶啟動即時通訊會話。然后，建立到這兩個用戶的連接。蜜罐作為中間人對他們的會話消息進行轉發(fā)。轉發(fā)的同時實施會話監(jiān)聽和消息的篡改。

在當前釣魚站點檢測技術中，當垃圾郵件捕獲器捕獲到垃圾郵件時，要求系統(tǒng)管理員人為對其進行分析，并啟動一個客戶端蜜罐訪問該垃圾郵件包含的站點以此來確定該站點是否是釣魚站點。這個過程歷時較長，因此容易被黑客察覺。為應對該問題，Li為網(wǎng)上銀行系統(tǒng)設計了phoneybots分布式蜜罐系統(tǒng)，集成了垃圾郵件捕獲功能，將釣魚站點的處理過程自動化，并對該釣魚站點進行響應，分析潛在的危險。此外，該系統(tǒng)還能夠監(jiān)視使用虛假賬號進行銀行交易的過程，捕獲黑客的行為。

Nazario提出 PhoneyC蜜罐，在兩個方面拓展了已有蜜罐特征。第一是讓蜜罐變得主動，即實現(xiàn)客戶端蜜罐。第二是增加動態(tài)網(wǎng)頁內容處理器，能解析二進制動態(tài)內容，包括 Javascript，VB以及Active X控件。通過人工方式分析二進制代碼異常困難，二進制解析器能輔助網(wǎng)絡安全管理員發(fā)現(xiàn)惡意的網(wǎng)站服務器。將這兩個方面的功能融入到網(wǎng)頁應用中，實現(xiàn)主動型客戶端蜜罐，自動的從大量的網(wǎng)頁服務器檢測出惡意的服務器。

Portokalidis設計了Argos蜜罐，將未知惡意軟件的監(jiān)測、檢測以及識別標志生成過程自動化，減緩了蠕蟲和病毒等未知惡意軟件的傳播。它還改進了已有機制Minos和Vigilante的一些缺點。Minos不能為入侵檢測生成識別標志，而Vigilante不能保護操作系統(tǒng)內核。Argos執(zhí)行動態(tài)污點分析，它記錄從網(wǎng)絡連接來的數(shù)據(jù)，如果數(shù)據(jù)在本地執(zhí)行，則進行標識。當檢測到一個疑似被污染的數(shù)據(jù)，Argos向進程動態(tài)的插入?yún)R編代碼，提取關于該進程的相關信息，或者修改該進程的執(zhí)行路徑以減緩該進程執(zhí)行速率，從而減少它的危害。

Prathapani為無線網(wǎng)狀網(wǎng)絡設計了一個蜜罐來檢測黑洞路由器。黑洞路由器對外宣告虛假的最優(yōu)路徑從而吸引網(wǎng)絡流量。接收到流量后對報文進行丟棄處理，形成黑洞。Prathapani的蜜罐包含反饋模塊、警告模塊以及路由器模塊。路由器模塊通過查詢到的路由或者已有的路由向反饋模塊發(fā)送一條消息。反饋模塊對該消息作出響應。如果路由器模塊沒有收到響應，則它判斷被測試的路由器是黑洞。然后警告模塊向網(wǎng)絡中其他路由器發(fā)送警告消息宣告黑洞，讓其他路由器避免使用該黑洞。

一般來說攻擊者會遠離含有蜜罐的網(wǎng)絡。利用這一點，Rowe提出虛假蜜罐技術來保護真實的業(yè)務網(wǎng)絡。虛假蜜罐是指偽裝成蜜罐的蜜罐。虛假蜜罐有意讓攻擊者檢測到，從而讓攻擊者認為可能業(yè)務網(wǎng)絡也是蜜罐系統(tǒng)，進而保護了真正的業(yè)務系統(tǒng)。

社交網(wǎng)絡中的垃圾信息是向社交網(wǎng)絡用戶發(fā)送的包含惡意鏈接的信息，用戶點擊該惡意鏈接后就受到了攻擊。針對日趨流行的社交網(wǎng)絡中的垃圾信息，Webb設計了一個高交互式蜜罐。該蜜罐通過分析Myspace社交網(wǎng)絡的“用戶添加請求”信息來進行測試。首先，Webb在Myspace中創(chuàng)建了51個靜默賬戶，等待垃圾信息中的好友請求，然后下載垃圾信息中好友簡歷，記錄源地址，識別它們的地理位置信息。Webb發(fā)現(xiàn)大部分惡意信息來自美國中西部，而加利福利亞州是惡意信息最大的來源。57.2%的垃圾信息使用“關于我”的內容。而在垃圾信息中包含了成千上萬的惡意鏈接。

Zhuge提出“HoneyBow”蜜罐，對病毒和蠕蟲等惡意軟件進行自動檢測和捕獲，而不需要人工分析蜜罐中的輸出數(shù)據(jù)。HoneyBow主要包括MnFetcher、MmWatcher和MmHunter三大組件。MnFetcher組件讓惡意軟件對文件進行操作，然后比較文件的MD5哈希值來判定文件是否被修改。如果文件被修改了，那么該軟件被認定為惡意軟件，同時將被修改文件恢復。MmWatcher組件對創(chuàng)建文件、修改文件等系統(tǒng)調用行為進行監(jiān)測，這些行為將導致啟動入侵檢測。最終，MmHunter組件以調試器方式監(jiān)測代碼執(zhí)行情況來檢測惡意軟件的可疑行為。

Kwon基于蜜網(wǎng)提出一個DDoS攻擊預測系統(tǒng)體系結構。該預測系統(tǒng)體系結構包括四個模塊：數(shù)據(jù)提供模塊、數(shù)據(jù)收集模塊、入侵預測模塊和預測后處理模塊。數(shù)據(jù)提供模塊提供預測攻擊所需的原始數(shù)據(jù)。Kwon部署內部和外部蜜網(wǎng)來收集原始數(shù)據(jù)，使用Hflow工具對網(wǎng)絡流、入侵防御系統(tǒng)日志以及Sebek捕獲的入侵行為數(shù)據(jù)進行融合和存儲。數(shù)據(jù)收集模塊從數(shù)據(jù)提供模塊獲取數(shù)據(jù)，將數(shù)據(jù)量化，并轉換為容易分析的格式，提交給入侵預測模塊。入侵預測模塊使用統(tǒng)計模型、機器學習算法對數(shù)據(jù)進行分析，并對DDoS攻擊進行預測。預測后處理模塊對預測結果和實際結果進行比較，并將結果反饋給入侵預測模塊，預測模塊再根據(jù)反饋結果對參數(shù)進行調整，提高預測精度。

針對僵尸網(wǎng)絡行為分析，Kumar基于第三代蜜網(wǎng)技術構建了一個分布式蜜網(wǎng)系統(tǒng)。該系統(tǒng)由三部分組成：分布式蜜網(wǎng)客戶節(jié)點、中心數(shù)據(jù)庫以及分析服務器。分布式蜜網(wǎng)客戶節(jié)點由nepenthes構建的低交互式蜜罐和Linux/window XP構建的高交互式蜜罐混合組成，通過Virtual Box虛擬化技術將這些蜜罐部署到一臺主機上，降低硬件成本。中心數(shù)據(jù)庫使用MySql軟件存儲捕獲到的惡意代碼二進制文件。分析服務器對存儲的二進制文件進行分析，提取僵尸網(wǎng)絡的特征。

Pawar創(chuàng)建了一個低交互式蜜罐，對HTTP和Telnet服務進行了模擬。HTTP服務對攻擊源地址進行監(jiān)測，創(chuàng)建黑名單列表，從而保護真正的業(yè)務網(wǎng)絡。Telnet服務對針對登錄的攻擊進行追蹤和記錄。

SSH 是點到點之間保密傳輸信息的協(xié)議，用來取代明文傳輸協(xié)議，如telnet和rsh等。Valli使用Kippo軟件構建了一個SSH蜜網(wǎng)。Kippo是中等交互式蜜罐，通過調用基于Python編寫的開源軟件Twisted庫函數(shù)來模擬SSH服務。在攻擊成功后，Kippo蜜罐還能模擬邏輯上正確的文件系統(tǒng)。Kippo蜜罐使用MySQL數(shù)據(jù)庫來存儲攻擊者與Kippo蜜罐的交互數(shù)據(jù)，并將數(shù)據(jù)傳輸給一個中央控制的Postgresql SQL服務器。

其他的優(yōu)秀成果有諸葛建偉提出的Spampot誘捕系統(tǒng)，是一個基于分布式低交互式誘捕系統(tǒng)的垃圾郵件捕獲系統(tǒng)。還有汪潔提出的HoneypotIDS系統(tǒng)，在入侵檢測系統(tǒng)中引入誘捕系統(tǒng)技術，對未知攻擊進行識別。王超杰也提出一種基于雙層動態(tài)誘捕系統(tǒng)技術的智能交通系統(tǒng)主動防御方案。還有段凱元搭建了基于Kippo誘捕系統(tǒng)的主動防御系統(tǒng),對SSH服務攻擊進行了研究。

2 數(shù)據(jù)分析技術

自誕生以來，蜜罐就成為了網(wǎng)絡安全專家所關注的重點。主要原因是對蜜罐搜集到的原始數(shù)據(jù)進行理解、分析和利用需要具備全面的分析技能，而且需要具備網(wǎng)絡協(xié)議、應用、網(wǎng)絡硬件設備，操作系統(tǒng)以及用戶管理方面的專業(yè)技能。除了專業(yè)知識背景外，還需要具備相關的網(wǎng)絡安全管理經驗。盡管蜜罐技術具有很大的潛力，但是這些先決條件卻阻礙了其成為提高網(wǎng)絡安全能力的流行手段。在過去五年里，科學家開展了相關工作來簡化數(shù)據(jù)處理過程，并提升數(shù)據(jù)自動處理能力。他們將入侵檢測、數(shù)據(jù)挖掘、專家系統(tǒng)、人工智能、以及博弈論等相關領域的進展也應用到蜜罐數(shù)據(jù)處理中。在這節(jié)中，我們將討論這些技術。

Chen將入侵容忍技術通過蜜罐融合到網(wǎng)絡安全取證中。Chen稱之為動態(tài)安全取證技術。即使入侵者進行數(shù)據(jù)修改，該方案也能確保取證分析的數(shù)據(jù)是可靠的。動態(tài)安全取證技術的關鍵組件是入侵檢測，它對威脅進行監(jiān)測。當檢測到高等級的安全威脅，動態(tài)取證系統(tǒng)被激活對安全威脅進行驗證。如果證實威脅存在，則將網(wǎng)絡流量導向至蜜罐中。并允許攻擊進行到一定程度，再阻止所有的攻擊流量。這樣做的目的是防止收集到的數(shù)據(jù)被攻擊者篡改。然后，系統(tǒng)對攻擊行為進行分析，提取特征以供檢測未知攻擊使用。證據(jù)收集代理負責對所有警報和防火墻/負載均衡器進行日志和數(shù)據(jù)記錄。當警報級別超過一個門限值時，防火墻/負載均衡器負責將攻擊流量重導向到蜜罐中。

Cooke對蜜罐所面對的僵尸網(wǎng)絡新威脅進行了研究。雖然蜜罐是用來檢測和防御僵尸網(wǎng)絡的工具，但是Cooke的論文發(fā)現(xiàn)僵尸網(wǎng)絡的最新進展嚴重威脅著蜜罐。通過大量實驗Cooke發(fā)現(xiàn)蜜罐被僵尸網(wǎng)絡反復攻陷，有時候還同時被多個僵尸網(wǎng)絡攻擊。這表明需要設計新的蜜罐來應對猖獗的僵尸網(wǎng)絡。Cooke提出“超蜜罐”技術?！俺酃蕖笔敲酃薜拿酃蕖Ｔ摷夹g先設置蜜罐，讓僵尸網(wǎng)絡感染和攻陷，然后設置“超蜜罐”監(jiān)測和學習蜜罐行為，用以防御僵尸網(wǎng)絡。

Dantu為蠕蟲檢測提出一個基礎架構，通過監(jiān)測外連連接速率來檢測蠕蟲。該架構還基于閉環(huán)反饋控制調節(jié)創(chuàng)建外連連接的速率，以此來減緩蠕蟲。具體做法是設定一個目標值，通過PID算法將外連連接速率調節(jié)至設定值，以此來減緩蠕蟲的傳播。實驗顯示，該算法能將蠕蟲的傳播時間延長5倍。通過殺死受感染的進程、主機黑名單技術、多反饋閉環(huán)控制和智能連接排隊算法，可以大大減少感染蠕蟲的主機數(shù)量，進而阻止蠕蟲的蔓延。

Linux虛擬文件系統(tǒng)的數(shù)據(jù)收集功能存在一個局限性，即不能從inode節(jié)點中獲取文件名信息。當inode針對安全異常發(fā)出警報時，取證分析不能依托 inode獲取文件名信息，因為 Linux操作系統(tǒng)僅僅存在文件名到inode的單向映射。Fairbanks提出了一個方案解決了這個問題。他修改了Linux內核中的虛擬文件系統(tǒng)代碼，讓內核保存一個dentry的數(shù)據(jù)結構，維護inode到文件名的反向映射。即使攻擊者想修改日志文件來隱藏攻擊事件，蜜罐管理者也可以使用串行連接通過將dentry保存到遠程文件。這樣即使攻擊者修改了文件也能被蜜罐管理者檢測出來。

為了協(xié)調異構蜜罐之間的行為，讓異構的蜜罐系統(tǒng)之間交互輸出數(shù)據(jù)，以支持更好更快的發(fā)現(xiàn)網(wǎng)絡安全威脅，Hoepers設計并實現(xiàn)了一個標準協(xié)議，提出了一個可互操作的、開放系統(tǒng)的語法，描述了語義和面向對象的編碼，對未來數(shù)據(jù)擴展也提供了支持。

目前蜜罐的數(shù)據(jù)分析存在兩個問題。一是從捕獲的大量數(shù)據(jù)中檢測異常數(shù)據(jù)是非常費時費力的。二是對數(shù)據(jù)進行分析需要具備專業(yè)技能、專門的經驗和培訓的人才能勝任。Krasser認為可視化蜜罐收集到的數(shù)據(jù)能解決這兩個問題。他將攻擊時間線、報文大小、源 IP地址分布、協(xié)議類型、每個連接的持續(xù)時間以及訪問的本地端口號進行可視化，還提供實時的包捕獲展示，重放功能，對指定的設備能進行交互操作，自動的二維、三維圖像展示。

對多態(tài)蠕蟲進行特征提取是一個難題，因為多態(tài)蠕蟲經常修改自身來防止產生精確的指紋信息。Mohammed提出雙蜜網(wǎng)和重要分析組件（Principal Component Analysis）架構來提升多態(tài)蠕蟲特征提取的精確度。該系統(tǒng)包含兩個蜜網(wǎng)。第一個蜜網(wǎng)捕獲蠕蟲，并且提供機會讓它去感染第二個蜜網(wǎng)。給蠕蟲充分的自由度，在這兩個蜜網(wǎng)中反復感染。而在傳播過程中蠕蟲所有演化版本都被記錄下來，由重要分析組件進行特征提取，并用于入侵檢測系統(tǒng)中來檢測多態(tài)蠕蟲。

有個假定認為如果惡意軟件能夠檢測到基于虛擬機實現(xiàn)的蜜罐，那么這些蜜罐就不容易成功的檢測出針對瀏覽器弱點進行偷渡式下載攻擊的站點。Narvaez對該假設進行了驗證。他設置好一個基于虛擬機的蜜罐系統(tǒng)和一個基于真實主機的蜜罐系統(tǒng)。蜜罐軟件使用Capture-HPC實現(xiàn)。兩個蜜罐連接到同一組已知是惡意站點的站點，然后研究他們檢測惡意站點的能力。實驗結果表明基于虛擬機實現(xiàn)的蜜罐的檢測能力并沒有比真實系統(tǒng)構建的蜜罐弱。

Newsome在有噪音情形下針對多態(tài)蠕蟲特征提取問題進行了研究，提出一種自動特征提取方法，并且具有低的假陰性和假陽性。因為有噪音，提取出來的特征是分離的幾個內容子串，而不是一個獨立的子串。為了有效進行特征提取，先將對象內容劃分為三個片段，包括不變、通配符和代碼字節(jié)片段，再對特征進行識別，特征是指以某個特定順序出現(xiàn)的字串，或者是使用分簇技術實現(xiàn)的正則表達式。作者的結論是基于內容的特征提取方法對多態(tài)蠕蟲同樣有效。

Raynal提出信息取證方法對服務器入侵事件進行研究，主要分析攻擊意圖、入侵者使用的技術以及工具。提出的取證分析步驟包含網(wǎng)絡行為分析、系統(tǒng)和文件分析以及證據(jù)收集。Raynal指出使用蜜罐的最大挑戰(zhàn)是設計一套系統(tǒng)的方法來分析蜜罐收集到的數(shù)據(jù)來預防已知和未知的網(wǎng)絡攻擊，以及如何傳播這些技能和經驗。

Su將數(shù)據(jù)挖掘技術應用到蜜罐捕獲的數(shù)據(jù)分析中，實現(xiàn)自動化檢測新的攻擊。作者引入了片段的概念。片段是指一系列事件。這些事件被劃分為串行、并行，以及復雜事件（串行和并行的組合事件）。作者對眾多相關的片段進行數(shù)據(jù)挖掘，發(fā)現(xiàn)了Korgo，Shelp以及Sasser蠕蟲。

Tang提出“雙蜜罐”技術有效提取蠕蟲特征，從而實現(xiàn)檢測0day多態(tài)蠕蟲，“雙蜜罐”架構包含一個入站蜜罐、一個出站蜜罐和地址解析器?！半p蜜罐”技術根據(jù)蠕蟲從入站蜜罐打開外連連接到出站蜜罐的特性來檢測蠕蟲?；凇半p蜜罐”架構，Tang提出一種的新的數(shù)據(jù)分析方法，稱為“地理感知分布式特征（Position Aware Distribution Signature）”。現(xiàn)行蠕蟲檢測中，提取的蠕蟲特征是固定的，而“地址感知分布式特征”數(shù)據(jù)分析方法允許特征進行變化，提高了多態(tài)蠕蟲檢測精度。為了控制特征每個位置的變化，“地址感知分布式特征”數(shù)據(jù)分析方法對字節(jié)頻率分布進行分析，指定特征字符串中每個位置都具有多大可能性發(fā)生變化并且發(fā)生什么樣的變化。

一般而言，安全管理人員需要投入相當大的精力到原始數(shù)據(jù)分析中去，但從其中提取到攻擊數(shù)據(jù)的成功率卻很低。Thonnard在付出和回報這兩個方面做了一個折中。使用基于圖論的數(shù)據(jù)分簇技術以及相似度距離技術進行數(shù)據(jù)分析。基于圖論的方法使用圖來描述數(shù)據(jù)簇之間的拓撲關系。數(shù)據(jù)簇使用相似度來區(qū)分。Thonnard首先對數(shù)據(jù)進行了特征提取。用數(shù)據(jù)特征之間的相似程度作為相似度。

Trivedi將蜜罐設置為開放代理，對即時通信軟件捕獲的惡意信息進行了分析。Trivedi發(fā)現(xiàn)大部分惡意信息的目的是引誘用戶點擊信息中包含的惡意站點。為避免被檢測，惡意信息中使用了不同的目的地址URL，而這些URL使用了重定向技術又將用戶導向惡意站點。惡意信息還使用了隨機標記文本技術，將隨機的字符插入到信息的文本行中，從而避免被入侵檢測系統(tǒng)檢測。

Wagener使用蜜罐捕獲的數(shù)據(jù)重組TCP會話并提出一個模型對該TCP會話進行驗證。該模型在進行網(wǎng)絡取證分析時能定量分析數(shù)據(jù)信任度。重組TCP會話的過程是對屬于同一個TCP會話的報文進行識別和重組的過程，目的是觀察在這個會話中發(fā)生了什么。重點是確定TCP會話中發(fā)生的錯誤，包括被忽略的IP分段速率，不完全的報文捕獲率，錯誤識別的TCP會話數(shù)。

Yegneswaran對蜜罐捕獲的數(shù)據(jù)進行分析，目的是區(qū)分蠕蟲、僵尸網(wǎng)絡以及網(wǎng)絡管理員錯誤配置引起的異常。他提出使用暫時IP地址源數(shù)目、到達窗口調節(jié)、到達分布分析，目的網(wǎng)絡掃描足跡圖譜，源地址掃描、源地址生命周期分析等技術對可疑數(shù)據(jù)進行分析，并推測出可能的情況。

Zhao設計了一個模型預示蠕蟲的傳播，進而使用蜜罐阻止蠕蟲的傳播。將網(wǎng)絡劃分為子網(wǎng)絡，蜜罐被部署到子網(wǎng)絡的某些主機上。成為中心節(jié)點。將主機的狀態(tài)劃分為易感染、已感染以及免疫，并評估感染速率?；诖?，確定每個主機的防御方案，最大化阻止蠕蟲傳播。

Wang對高級僵尸網(wǎng)絡進行了研究。為了預測僵尸網(wǎng)絡的演化，Wang設計了混合式對等僵尸網(wǎng)絡。這種僵尸網(wǎng)絡相對現(xiàn)在的僵尸網(wǎng)絡來說，更加難以關停、監(jiān)測和劫持?；旌鲜綄Φ冉┦W(wǎng)絡的核心是擁有兩種類型的僵尸，即服務器和客戶。服務器在全球因特網(wǎng)范圍內都可以公共訪問?？蛻羰褂盟接械刂?，部署在防火墻之后，在全球范圍內不可以訪問。通過讓一些節(jié)點不可全局訪問，即使發(fā)現(xiàn)了一些僵尸節(jié)點并獲取他們的對等體列表，也很難將混合式僵尸網(wǎng)絡全部關停。為了應對這種混合式僵尸網(wǎng)絡，Wang提出部署大量的基于靜態(tài)IP地址的蜜罐系統(tǒng)對僵尸網(wǎng)絡進行投毒，填滿對等列表，獲取足夠多的信息來關閉僵尸網(wǎng)絡。

Kansal使用Nepenthes和Virtualbox軟件實現(xiàn)了一個包含有低、高交互式蜜罐的蜜網(wǎng)體系架構。該蜜網(wǎng)體系架構沒有建立數(shù)據(jù)集中存儲中心，只是將數(shù)據(jù)存儲在各個操作系統(tǒng)之上。在構建蜜網(wǎng)過程中，僅使用了一臺物理主機，運行基本操作系統(tǒng)，之上運行多個客戶操作系統(tǒng)作為虛擬蜜罐。蜜罐被配置為運行隨機的服務，服務器端口上運行服務代理。

3 蜜罐配置

蜜罐沒有得到普遍流行的另一個原因是配置難度高。蜜罐是陷阱，在不被察覺的情況下捕捉攻擊者并對其行為進行監(jiān)測。正如陷阱一樣，蜜罐必須經過認真的配置才能吸引正確的目標。蜜罐的管理者要思考以下幾個問題：對哪些行為進行監(jiān)測，對誰的行為進行監(jiān)測，什么時候進行行為監(jiān)測等。如果配置不好，蜜罐不僅不能吸引到獵物，而且很容易被攻擊者劫持。盲目的捕捉大量的網(wǎng)絡行為將導致數(shù)據(jù)處理上的困難。因此，需要針對某個特定的目標，對蜜罐進行配置。這節(jié)中討論蜜罐研究中關于如何減少配置難度、或者自動化蜜罐配置的方法來提高蜜罐的有效性。

Briffaut設計了分布式的高交互蜜罐架構。通過使用入侵檢測等其他工具定期檢測高交互式蜜罐的狀態(tài)，當檢測到蜜罐的異常行為或者攻擊者對蜜罐進行修改和劫持后，能自動對蜜罐進行重裝，提高了高交互式蜜罐管理自動化程度。缺點是頻繁的重裝增大了關機時間，因此容易成為DoS攻擊的目標。

Carroll使用博弈論的方法研究如何將蜜罐有策略的部署到網(wǎng)絡中，實現(xiàn)攻防雙方博弈的平等性。Carroll將系統(tǒng)劃分為四類：業(yè)務系統(tǒng)、假的業(yè)務系統(tǒng)（即偽裝成業(yè)務系統(tǒng)的蜜罐）、蜜罐（即沒有偽裝成業(yè)務系統(tǒng)的蜜罐）以及假的蜜罐（偽裝成蜜罐的業(yè)務系統(tǒng)），并設計了一個模型將這四類系統(tǒng)部署到網(wǎng)絡中。

Chen設置蜜罐捕獲SQL注入攻擊并對此進行了研究。Chen認為應該設置高交互式蜜罐對數(shù)據(jù)操作行為實施監(jiān)測，而且為了使蜜罐看起來盡可能真實，需要配置其他非業(yè)務系統(tǒng)來使用該蜜罐的數(shù)據(jù)庫系統(tǒng)。該蜜罐至少能允許攻擊者對數(shù)據(jù)進行操作，但是對攻擊者試圖改變系統(tǒng)的行為進行監(jiān)測和限制。在網(wǎng)絡架構中，使用一個蜜罐模擬一個真實的網(wǎng)絡，該網(wǎng)絡將所有的 SQL注入攻擊導向到一個高交互式蜜罐，而高交互式蜜罐與數(shù)據(jù)庫相連。數(shù)據(jù)庫中存放著看起來像是真實的數(shù)據(jù)。在web前端和數(shù)據(jù)服務器之間設置一個代理，阻止某些SQL命令對數(shù)據(jù)庫的操作。作者還建議使用蜜罐標記。蜜罐標記不是真實數(shù)據(jù)而是在使用時能夠被追蹤的數(shù)據(jù)。

Hecker設計了一個叫做Honeyd配置管理器的系統(tǒng)，來動態(tài)的部署低交互式蜜罐。首先該管理器使用nmap軟件對網(wǎng)絡進行掃描，收集該網(wǎng)絡的主機系統(tǒng)信息，包括操作系統(tǒng)類型和開放端口等。掃描的過程是建立配置文件的過程。配置文件包含將要模擬的網(wǎng)絡主機信息，可以由管理員進行修改，對開放端口和 IP地址進行配置等。配置管理器根據(jù)此配置文件生成低交互式蜜罐模擬整個網(wǎng)絡。

Kohlrausch使用蜜罐對W32.Conficker蠕蟲進行了分析。該蜜罐使用了動態(tài)污點分析技術。具體而言，該技術是通過Argos蜜罐，snort入侵檢測系統(tǒng)和調試器組合實現(xiàn)的。Argos是數(shù)據(jù)捕獲工具，能對未知威脅進行檢測，snort能檢測已知安全威脅，Argos和 snort對網(wǎng)絡中獲取的數(shù)據(jù)的每一個字節(jié)都進行標記，在調試器中對其行為進行跟蹤。作者認為工作的難點是如何在如此多數(shù)據(jù)中確定每個行為的影響和后果。

Spitzner使用蜜罐和蜜令牌檢測來自內部網(wǎng)絡的安全威脅。來自內部網(wǎng)絡的安全威脅不同于來自外部網(wǎng)絡的威脅，因為內部攻擊已經獲得系統(tǒng)的訪問權，而且對系統(tǒng)非常熟悉。為了捕獲內部攻擊者，需要將蜜罐從外部網(wǎng)絡移到內部網(wǎng)絡，而且占用所有未使用的 IP地址。因為他們對系統(tǒng)很熟悉，所有的蜜罐必須為高交互式的。內部攻擊者的目的是盡可能多的獲取信息，因此，蜜罐需要提供一些攻擊者想知道的信息，包括假的商業(yè)計劃、設計規(guī)范等。這些虛假文檔以及那些用來登錄蜜罐系統(tǒng)的密碼稱為密令牌。

Wang提出蜜罐動態(tài)部署方案，在網(wǎng)絡中將不同蜜罐部署到不同區(qū)域。提出的方案自動調整高、中和低交互式蜜罐的分布。低交互式蜜罐主要用于應對已知的攻擊類型，而中、高交互式蜜罐主要應對未知安全威脅。方案將網(wǎng)絡劃分為四種區(qū)域：防火墻之外、內部網(wǎng)絡、非軍事區(qū)以及子網(wǎng)絡內。針對每次檢測到的攻擊，系統(tǒng)確定在哪個區(qū)域、哪個級別以及使用哪些蜜罐進行分布式部署。實驗表明，這種方案設計的系統(tǒng)比靜態(tài)部署的蜜罐來說，能夠更有效的減緩和阻止攻擊。

蜜網(wǎng)技術的一個難點問題在于仿真一個真實的網(wǎng)絡。Hecker提出基于被動掃描和主動掃描的架構來獲取被模擬網(wǎng)絡的信息，包括操作系統(tǒng)版本、開放端口和服務等，被動掃描通過tcpdump和p0f軟件實現(xiàn)，主動掃描通過nmap和Xprobe2實現(xiàn)。通過掃描生成Honeyd和XML配置文件，分別利用Honeyd和XML配置文件生成低、高交互式蜜罐。

4 蜜罐識別與反識別技術

蜜罐對攻擊者的行為和操作進行監(jiān)控，目的是為了防止受保護的業(yè)務網(wǎng)絡遭受此類攻擊以及為將來起訴攻擊者進行取證。因此，蜜罐的真正價值在于在不被識別的情況下監(jiān)控攻擊者的行為。因此，從攻擊者角度來說，對蜜罐進行檢測是非常重要的一環(huán)。他們設計了很多系統(tǒng)的方法來識別蜜罐。大部分的手段是針對某些特定高、低交互式類型的蜜罐。而對于蜜罐管理者，他們也是想方設法的避免蜜罐被攻擊者識破。因此，識別與反識別一直以來是蜜罐研究的熱點問題。

Dornseif展示了在沒有任何日志記錄情況下，蜜罐是如何被攻陷和被黑客控制的。Sebek模塊是用在高交互式蜜罐中進行日志記錄的模塊。Dornseif講述了四種方式來檢測、關閉和逃避Sebek。Sebek使用自定義的read（）函數(shù)，替代了系統(tǒng)的read（）函數(shù)，實現(xiàn)擊鍵記錄的監(jiān)聽。由于新read（）函數(shù)開銷大，Dornseif提出通過發(fā)送大量ping報文查看響應報文的時延來識別sebek模塊。由于新的read（）函數(shù)在內存的位置與其他系統(tǒng)調用相距較遠，基于此也可以檢測 sebek模塊。Dornseif還提出通過查看內核中運行的模塊是否包含sebek來進行檢測。這些手段說明了檢測Sebek是一件比較容易的事情。Dornseif建議將Sebek作為一個內核補丁，而不是加載的模塊，以此來防止攻擊者識別。

Holz討論了針對高交互式蜜罐的檢測技術。高交互式蜜罐一般運行在虛擬機上，如VMWare。虛擬機在管理模式下運行用戶進程?；跁r間線的檢測能發(fā)現(xiàn)運行在虛擬機上的進程。主要對服務器的響應時間進行測量，依據(jù)是來自蜜罐的響應要比真實業(yè)務主機的慢。因此，基于此原理設計自動化的提取蜜罐指紋特征的軟件并不是一件難事，嚴重影響到蜜罐的安全。

McCarty研究出一個叫做“蜜罐獵捕者”的反蜜罐工具，用來幫助垃圾郵件制造者檢測郵件蜜罐。郵件蜜罐作為開放代理進行郵件中繼。為了檢測郵件蜜罐，“蜜罐獵捕者”創(chuàng)建一個本地郵件服務器，連接到目標郵件代理。然后它嘗試從代理回連到自己。如果目標郵件代理宣稱連接已經成功，但是郵件服務器并沒有收到回連請求，那么就檢測到了蜜罐?！懊酃瞢C捕者”也可以給目標系統(tǒng)發(fā)送一些測試郵件，觀察它們是否被投遞。如果沒有，則判定是蜜罐。

Mukkamala通過時間線分析、服務器服務以及TCP/IP指紋特征來檢測低交互式蜜罐和運行在虛擬機上的高交互式蜜罐。時間線分析測量服務器的響應時間，依據(jù)是來自蜜罐的響應要比真實業(yè)務主機的慢。Mukkamala建議使用門限值4.4*10-4秒來區(qū)別真實業(yè)務系統(tǒng)和基于虛擬機的蜜罐系統(tǒng)。另外，蜜罐沒有實現(xiàn)其模擬的主機系統(tǒng)上運行的所有服務和特征，因此可以對網(wǎng)絡服務進行特征識別，從而檢測出蜜罐系統(tǒng)。蜜罐系統(tǒng)和真實業(yè)務系統(tǒng)的TCP/IP指紋特征是不同的，通過對TCP和IP報文頭部進行指紋特征識別也能發(fā)現(xiàn)蜜罐。

Perdisci提出使用噪音注入的方式來對抗蜜罐自動提取蠕蟲特征的技術，如Newsome。噪音注入是通過向蜜罐注入與多態(tài)蠕蟲相似的數(shù)據(jù)但是該數(shù)據(jù)不包含多態(tài)蠕蟲中不變的部分，以達到迷惑特征提取軟件的目的，阻止從蠕蟲中識別出多態(tài)蠕蟲不變部分。Perdisci通過實驗展示經過精心構造噪音，例如在噪音為50%（噪音與不變字節(jié)的比例）時，Newsome不能從多態(tài)蠕蟲中提取出特征（即不變字節(jié)）。

Zou提出了一種使用僵尸網(wǎng)絡來檢測和避開蜜罐的技術。一般來說，蜜罐管理員不允許蜜罐去攻擊其他網(wǎng)絡。利用這點啟示，Zou設計了蜜罐檢測系統(tǒng)。僵尸網(wǎng)絡管理節(jié)點首先向僵尸節(jié)點發(fā)送攻擊信息，攻擊信息控制僵尸節(jié)點對某個目標發(fā)起攻擊行為。僵尸節(jié)點中可能有一些是蜜罐。僵尸節(jié)點完全受僵尸網(wǎng)絡管理節(jié)點控制，不聽指揮的便是蜜罐，僵尸網(wǎng)絡管理節(jié)點以此為依據(jù)將蜜罐從僵尸網(wǎng)絡中移除。

5 發(fā)展趨勢

近年來，蜜罐技術受到安全界的持續(xù)關注并獲得長足發(fā)展，但是蜜罐技術的應用還受著不少問題的困擾，主要表現(xiàn)在以下幾個方面。

（1）對高交互式蜜罐需要細粒度的數(shù)據(jù)控制來控制風險。采用真實的硬件和操作系統(tǒng)構建的高交互式蜜罐，雖然比較真實，不容易被識別，但是被攻陷后容易被利用去攻擊其他的系統(tǒng)，帶來責任和法律問題。目前的數(shù)據(jù)控制機制采取限制對外連接數(shù)目和連接速率的方式。這種方法沒有完全阻止攻擊流量的外流，只能在一定程度上限制攻擊者利用蜜罐作為跳板攻擊其他主機和系統(tǒng)，因此責任和法律問題依然存在。而完全阻止流量的外流也不是一種好的方法。這是因為僵尸網(wǎng)絡在傳播過程中，需要從攻擊源那里獲取指控信息，阻止全部流量就不能很好的學習僵尸網(wǎng)絡的行為。此外，阻止所有流量外流會成為一個蜜罐的識別特征，讓攻擊者快速的識別蜜罐。因此，急需一種更加細粒度的數(shù)據(jù)控制機制對外流的報文進行內容檢查，僅限制攻擊流量外流。

（2）對低交互式蜜罐，需要提高仿真度，防止被識別。基于模擬實現(xiàn)的低交互式蜜罐雖然利用資源少，但是真實度差，交互能力有限，因此被識別的風險比較高。如何自動感知和學習被模擬的操作系統(tǒng)和服務特征，動態(tài)適應網(wǎng)絡變化，實現(xiàn)系統(tǒng)自動配置，增強蜜罐系統(tǒng)的仿真度，是有待研究的問題。

（3）蜜場架構中需要解決好蜜場網(wǎng)關設計問題。在蜜罐的部署方式研究上，國內外提出了蜜罐、蜜網(wǎng)、分布式蜜網(wǎng)和蜜場的體系架構。由于蜜罐和蜜網(wǎng)體系架構是集中式架構，不能對全網(wǎng)的安全威脅態(tài)勢進行感知，而分布式的蜜網(wǎng)雖然能夠分布式的監(jiān)測網(wǎng)絡威脅，但是維護開銷大，管理比較困難。而蜜場以分布式的方式部署監(jiān)測節(jié)點，以集中式的方式管理偽裝系統(tǒng)，但是它還僅僅是一個概念模型，還沒有具體實現(xiàn)。其中蜜場網(wǎng)關的設計是蜜場架構問題的關鍵，重點需要解決數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析功能，目前還沒有一個很好的方案。

（4）統(tǒng)一數(shù)據(jù)格式，融合多源信息。在大規(guī)模網(wǎng)絡環(huán)境中，對來自不同地區(qū)多個數(shù)據(jù)源的數(shù)據(jù)進行融合，是生成安全威脅態(tài)勢和進行趨勢預測的關鍵問題。一方面，需要根據(jù)局部信息分析攻擊行為，另一方面，需要匯集和融合局部的數(shù)據(jù)，對整體的安全狀況進行分析預測，以形成更準確的威脅態(tài)勢信息。因此需要建立統(tǒng)一的數(shù)據(jù)格式，方便從各個監(jiān)測點獲取、融合與分析數(shù)據(jù)，提高快速性和準確性。

（5）數(shù)據(jù)自動分析與特征自動提取。對蜜罐數(shù)據(jù)的分析往往需要專家投入較多精力和時間，特別的，某些數(shù)據(jù)的分析需要專家直接參與分析過程才能得到有用的信息。因此，需要借鑒其他領域中處理數(shù)據(jù)的成熟方式方法，對蜜罐采集數(shù)據(jù)使用可視化、統(tǒng)計分析、機器學習和數(shù)據(jù)挖掘等方法來研究自動特征提取技術，自動識別攻擊工具、手段、目的，并分析攻擊趨勢。

（6）與其他安全技術結合使用，構建優(yōu)勢互補的安全體系。對待安全威脅，以防御為主，在防御失效的情況下才要求具備攻擊檢測能力。蜜罐只能檢測對它實施攻擊的行為，不能防護有漏洞的系統(tǒng)。而且將其部署到業(yè)務網(wǎng)絡中會帶來一定的風險。因此，蜜罐需要與防火墻、反病毒、入侵檢測等其他防護系統(tǒng)配合使用，如何與傳統(tǒng)的安全防護設備進行交互，實現(xiàn)協(xié)作和聯(lián)動，提高阻止、檢測和響應攻擊的能力，是網(wǎng)絡安全縱深防御需要研究的問題。

6 總結

蜜罐是主動型的防御技術，能夠捕獲新型安全威脅，在網(wǎng)絡縱深防御體系中扮演著非常重要的角色。本文從新的蜜罐類型、數(shù)據(jù)分析技術、蜜罐配置技術和識別與反識別技術四個方面對蜜罐技術的研究進展進行綜述。最后對蜜罐的發(fā)展趨勢和新的研究問題做了展望。

[1]Y. Adachi, and o. Oyama, “Malware Analysis System using Process-Level Virtualization,” Proceedings of IEEE Symposium on Computers and Communications，2009.

[2]Y. Alosefer, and O. Rana, “Honeyware-Web based low interaction client honeypot,” Proceedings of the International conference on Software Testing, verification and validation Workshops，2010.

[3]K. G. Anagnostakis, S. Sidiroglou, P. Akritidis, K. Xinidis,E. Markatos, and A. D. Keromytis, “Detecting Targeted Attacks using shadow honeypots,” Proceedings of the Conference on USENIX security symposium，2005.

[4]M. D. Bailey, E. Cooke, F. Jahanian, N. Provos, K.Rosaen, and D. Watson, “Data Reduction for the scalable automated analysis of distributed for the scalable automated analysis of distributed darknet traffic,” Proceedings of the ACM SIGCOMM Conference on Internet Measurement， 2005.

[5]V. V. Das, “Honeypot Scheme for distributed denial-of-service,” Proceedings of the 2009 International Conference on Advanced computer control，2009.

[6]A. Ghourabi, T. Abbes, and A. Bouhoula, “Honeypot Router for routing protocols protection,” Proceedings of the International Conference on Risks and Security of Internet and System， 2009.

[7]X. Jiang, and X. Wang, “Out-of-the-box Monitoring of VM-Based High-interaction Honeypots,” Proceedings of the International Conference on Recent Advances in Intrusion Detection，2007.

[8]S. M. Khattab, C. Sangpachatanaruk, D. Moss, R. Melhem,and T. Znati, “Roaming Honeypots for Mitigating service-level denial-of-service attacks,” Proceedings of the International Conference on Distributed Computing System，2004.

[9]C. Kreibichi, and J. Crowcroft, “Honeycomb- creating Intrusion detection signatures using honeypots,” ACM SIGCOMM Computer Communcation Review， 2004.

[10]T. Lauinger, V. Pankakoski, D. Balzarotti, and E. Kirda,“Honeybot, Your man in the middle for automated social engineering,” Proceedings of USENIX symposium on Networked systems design and implementation，2010.

[11]S. Li, and R. Schmitz, “a novel anti-phishing framework based on honeypots,” Proceedings of eCrime Researchers Summit，2009.

[12]J. Nazario, “PhoneyC: a virtual client honeypot,”Proceedings of USENIX Workshop on Large-Scale and Emergent Threats，2009.

[13]G. Portokalidis, A. Slowinska, and H. Bos, “Argos: an Emulator for Fingerprinting zero-day attacks,” ACM SIGOPS Operating systems review， 2006.

[14]A. Prathapani, L. Santhanam, and D. P. Agrawal,“Intelligent honeypot agent for blackhole attack detection in wireless mesh networks,” Proceedings of IEEE International Conference on Mobile adhoc and sensor systems, pp. 753-758,Oct. 2009.

[15]N. C. Rowe, E. J. Custy, and B. T. Duong, “Defending cyberspace with fake honeypots,” Journal of Computers，2007.

[16]S. Webb, J. Caverlee, and C. Pu, “Social honeypots:making friends with a spammer near you,” Proceedings of the Conference on Email and Anti-spam，2008.

[17]j. Zhuge, T. Holz, X. Han, and W. Zou, “Collecting autonomous Spreading malware using high-interaction honeypots,” Proceedings of the International Conference on information and communication security，2007.

[18]D. Kwon, J. W.-K. Hong, and H. Ju, Proceedings of 14th Asia-Pacific Network Operations and Management Symposium (APNOMS)，2012.

[19]S. Kumar, P. Singh, R. Sehgal, and J. S. Bhatia,“Distributed Honeynet System Using Gen III Virtual Honeynet,” International Journal of Computer Theory and Engineering (IJCTE)，2012.

[20]A. Pawar, K. Siddhabhati, S. Bhise, and S. Tamhane,“Web Application Honeypot,” International Journal of Advance Research in Computer Science and Management Studies，2014.

[21]C. Valli, P. Rabadia, and A. Woodard, “A Profile of Prolonged, Persistent SSH Attack on a Kippo Based Honeynet,”Proceedings of the Conference on Digital Forensics, Security and Law，2015.

[22]郭軍權, 諸葛建偉, 孫東紅, 段海新.Spampot：基于分布式蜜罐的垃圾郵件捕獲系統(tǒng).計算機研究與發(fā)展， 2014.

[23]汪潔，楊柳.基于蜜罐的入侵檢測系統(tǒng)的設計與實現(xiàn).計算機應用研究，2012.

[24]王超杰，黃宇達，趙紅專，王迤冉.基于雙層動態(tài)蜜罐技術的智能交通主動防御方案.計算機應用研究，2015.

[25]段凱元，何申，程葉霞.基于Kippo蜜罐的SSH暴力破解行為分析.信息安全與通信保密，2014.

[26]L. Chen, Z. Li, C. Gao, and L. Liu, “Dynamic Forensics based on Intrusion Tolerance,” Proceedings of IEEE International Symposium on Parallel and Distributed Processing with Applications，2009.

[27]E. Cooke, F. Jahanian, and D. McPherson, “The Zombie Roundu: understanding, detecting, and disrupting botnets,” Proceedings of the USENIX steps to reducing unwanted traffic on the Internet on steps to reducing unwanted traffic on the internet workshop，2005.

[28]R. Dantu, J. W. Cangussu, and S. Patwardhan, “Fast Worm Containment using feedback control,” IEEE transactions on dependable and secure computing，2007.

[29]K. D. Fairbanks, Y. H. Xia, and H. L. Owen, “A method for historical Ext3 Inode to Filename Translation on Honeypots,” Proceedings of the IEEE International Computer Software and Applications conference， 2009.

[30]C. Hoepers, N. L. Vijaykumar, and A. Montes, “HIDEF:a data exchange format for information collected in honeypots and honeynets,” INFOCOMP journal of computer science， 2008.

[31]S. Krasser, G. Conti, J. Grizzard, J. Gribschaw, and H.Owen, “Real-time and forensics network data analysis using animated and coordinated visualization,” Proceedings of IEEE International Conference on System, Man and Cybernetics information assurance workshop， 2005.

[32]M. M. Z. E. Mohammed, H. A. Chan, N. Ventura, M.Hashim, I. Amin, and E. Bashier, “Detection of Zero-Day Polymorphic worms using principal component analysis,”Proceedings of International Conference on Networking and Services，2007.

[33]J. Narvaez, C. Aval, B. Endicott-Popovsky, C. Seifert, A.Malviya, and D. Nordwall, “Assessment of virtualization as a sensor technique,” Proceedings of the IEEE International Workshop on Systematic Approaches to Digital Forensic Engineering，2010.

[34]J. Newsome, B. Karp, and D. Song, “Polygraph:Automatically generating signatures for polymorphic worms,”Proceedings of IEEE Symposium on security and Privacy，2005.

[35]F. Raynal, Y. Berthier, P. Biondi, and D. Kaminsky,“Honeypot Forensics Part 1: Analyzing the Network,” IEEE Security and Privacy， 2004.

[36]M.-Y. Su, “Internet Worms Identification through serial Episodes mining,” Proceedings of the International conference on Electrical Engineering/Electronics Computer Telecommnications and Information， 2010.

[37]Y. Tang, and S. Chen, “Defending against Internet Worms: A signature-based approach,” Proceedings of IEEE INFOCOM，2005.

[38]O. Thonnard, and M. Dadier, “A Framework for Attack Pattern's Discovery in Honeynet Data,” Digital Investigation，2008.

[39]A. J. Trivedi, P. Q. Judge, and S. Krasser, “Analyzing network and content characteristics of Spm using honeypots,”Proceedings of the USENIX Workshop on steps to reducing unwanted traffic on the Internet，2007.

[40]G. Wagener, A. Dulaunoy, and T. Engel, “Towards an estimation of the in network forensics of TCP reassembly accuracy,” Proceedings of the International Conference on Future Generation Communication and Networking，2008.

[41]V. Yegneswaran, P. Barford, and V. Paxon, “Using Honeynets for Internet Situatonal awareness,” Proceedings of the ACM/USENIX workshop on Hot Topic in Networks，2005.

[42]N. Zhao, and X. Zhang, “The Worm Propagation Model and Control Strategy based on Distributed honeynet,”Proceedings of the International Conference on Computer Science and Software Engineering，2008.

[43]P. Wang, S. Sparks, and C. C. Zou, “an advanced hybrid peer-to-peer botnet,” IEEE transaction on dependable and secure computing，2010.

[44]D. Kansal, and N. S. Sethi, “Network Forensic Based on Honeynet,” IOSR Journal of Engineering， 2015.

[45]J. Briffaut, J. F. Lalande, and C. Toinard, “Security and Results of a Large-Scale High-Interaction Honeypot,” Journal of Computers Special Issue on Security and high performance computer system，2009.

[46]T. E. Carroll, and D. Grosu, “A game theoretic investigation of deception in network security,” Proceedings of the International conference on computer communications and networks，2009.

[47]T. M. Chen, and J. Buford, “Design considerations for a honeypot for SQL injection attacks,” Proceedings of IEEE local computer networks，2009.

[48]C. Hecker, K. L. Nance, and B. Hay, “Dynamic Honeypot construction,” Proceedings of the Colloquium for information systems security education， 2006.

[49]J. Kohlrausch, “experiences with the NoAH honeynet Testbed to detect new Internet worms,” Proceedings of the International Conference on IT security Incident management and IT forensics，2009.

[50]L. Spitzner, “Honeypots: Catching the Insider Threat,”Proceedings of the Computer Security Applications Conference，2003.

[51]H. Wang, and Q. Chen, “Design of cooperative deployment in distributed honeynet system,” Proceedings of the International conference on computer communications and networks， 2010.

[52]C. Hecker, and B. Hay, “Automated Honeynet Deployment for Dynamic Network Environment,” Proceedings of 2013 46th Hawaii International Conference on System Sciences (HICSS)，2013.

[53]M. Dornseif, T. Holz, and C. N. Klein,“NoSEBrEaK-Attacking Honeynets,” Proceedings of International Conference on System, Man and Cybernetics Information Assurance Workshop，2004.

[54]T. Holz, and F. Raynal, “Detecting Honeypots and other suspicious environments,” Proceedings of IEEE International Conference on System, Man and Cybernetics Information Assurance Workshop，2005.

[55]B. McCarty, “Anti-honeypot Technology,” IEEE Security and Privacy， 2004.

[56]S. Mukkamala, K. Yendrapalli, R. Basnet, M. K.Shankarapani, and A. H. Sung, “Detection of Virtual environments and low interaction honeypots,” Proceedings of IEEE International Conference on System, Man and Cybernetics Information Assurance Workshop，2007.

[57]R. Perdisci, D. Dagon, W. Lee, P. Fogla, and M. Sharif,“Misleading Worm Signature Generators using deliberate noise injection,” Proceedings of IEEE symposium on Security and Privacy， 2006.

[58]C. C. Zou, and R. Cunningham, “ Honeypot-aware advanced botnet construction and maintenance,” Proceedings of the international conference on dependable systems and networks，2006.