蜜罐技术的研究与分析

摘 要： 蜜罐是基于主动防御理论提出来的，在监测入侵、保护客体、信息反馈、提高反击入侵能力的网络安全系统中，日益受到重视。本文展示了虚拟蜜罐的一些基本概念、主要的关键技术，以及蜜罐技术的优缺点。

关键词： 蜜罐技术 虚拟蜜罐 定义和分类 关键技术 优缺点

1.引言

伴随着网络普及与发展，网络安全问题日益严峻。面对不断出现的新的攻击方法和攻击工具，传统的、被动防御的网络防护技术越来越无法适应网络安全的需要，网络安全防护体系由被动防御转向主动防御是大势所趋。作为一种新兴的主动防御技术，蜜罐日益受到网络安全工作者的重视。研究蜜罐及其关键技术对未来的网络安全防护具有深远的意义。

2.蜜罐的定义和分类

2.1蜜罐的定义

蜜罐（又称为黑客诱骗技术）是一种受到严密监控的网络诱骗系统，通过真实或模拟的网络和服务，来吸引攻击，从而在黑客攻击蜜罐期间，对其行为和过程记录分析，以搜集信息，对新攻击发出预警，同时蜜罐可以延缓攻击时间和转移攻击目标。蜜罐本身并不直接增强网络的安全性，相反，它通过吸引入侵，来搜集信息。将蜜罐和现有的安全防卫手段，如入侵检测系统（IDS）、防火墙（Firewall）、杀毒软件等结合使用，可以有效提高系统安全性。

2.2蜜罐的分类

蜜罐有三种分类方法。

2.2.1从应用层面，可分为产品型和研究型。

2.2.1.1产品型蜜罐。指由网络安全厂商开发的商用蜜罐，一般用来作为诱饵，把黑客的攻击尽可能长时间地捆绑在蜜罐上，赢得时间，保护实际网络环境，也用来搜集证据作为黑客的依据，但这种应用在法律方面仍然具有争议。

2.2.1.2研究型的蜜罐。主要应用于研究，吸引攻击，搜集信息，探测新型攻击和新型黑客工具，了解黑客和黑客团体的背景、目的、活动规律，等等。在编写新的IDS特征库，发现系统漏洞，分析分布式拒绝服务攻击等方面是很有价值的［１］。

2.2.2从技术层面，根据交互程度，可分为以下三种。

2.2.2.1低交互蜜罐。只是运行于现有系统上的一个仿真服务，在特定的端口监听记录所有进入的数据包，提供少量的交互功能，黑客只能在仿真服务预设的范围内动作。低交互蜜罐上没有真正的操作系统和服务，结构简单，部署容易，风险很低，所能收集的信息也是有限的。

2.2.2.2中交互蜜罐：不提供真实的操作系统，而是应用脚本或小程序来模拟服务行为，提供的功能主要取决于脚本。在不同的端口进行监听，通过更多和更复杂的互动，让攻击者产生是一个真正操作系统的错觉，能够收集更多数据。

2.2.2.3高交互蜜罐。由真实的操作系统来构建，提供给黑客的是真实的系统和服务，可以学习黑客运行的全部动作，获得大量的有用信息，包括完全不了解的新的网络攻击方式。正因为高交互蜜罐提供了完全开放的系统给黑客，带来了更高的风险，即黑客可能通过这个开放的系统去攻击其他系统。

2.2.3从具体实现的角度，分为物理蜜罐和虚拟蜜罐。

2.2.3.1物理蜜罐：通常是一台或多台真实的在网络上存在的主机操作，主机上运行着真实的操作系统，拥有自己的IP地址，提供真实的网络服务来吸引攻击。

2.2.3.2虚拟蜜罐：通常用的是虚拟的机器、虚拟的操作系统，它会响应发送到虚拟蜜罐的网络数据流，提供模拟的网络服务等。

3.蜜罐的关键技术

蜜罐的关键技术主要包括欺骗技术、数据捕获技术、数据控制技术、数据分析技术，等等。其中，数据捕获技术与数据控制技术是蜜罐技术的核心。

3.1欺骗技术

蜜罐的价值是在其被探测、攻击或者攻陷的时候才得到体现的。将攻击者的注意力吸引到蜜罐上，是蜜罐进行工作的前提。欺骗的成功与否取决于欺骗质量的高低。常用的欺骗技术有以下五种。

3.1.1IP空间欺骗。

IP空间欺骗利用计算机的多宿主能力，在一块网卡上分配多个IP地址，来增加入侵者的搜索空间，从而显著增加他们的工作量，间接实现了安全防护的目的。这项技术和虚拟机技术结合可建立一个大的虚拟网段，且花费极低。

3.1.2 漏洞模拟。

即通过模拟操作系统和各种应用软件存在的漏洞，吸引入侵者进入设置好的蜜罐。入侵者在发起攻击前，一般要对系统进行扫描，而具有漏洞的系统，最容易引起攻击者攻击的欲望。漏洞模拟的关键是要恰到好处，没有漏洞会使入侵者望而生畏，漏洞百出又会使入侵者心生疑虑。

3.1.3 流量仿真。

蜜罐只有以真实网络流量为背景，才能真正吸引入侵者长期停驻。流量仿真技术是利用各种技术使蜜罐产生欺骗的网络流量，这样即使使用流量分析技术，也无法检测到蜜罐的存在。目前的方法:一是采用重现方式复制真正的网络流量到诱骗环境;二是从远程产生伪造流量，使入侵者可以发现和利用［２］。

3.1.4 服务伪装。

进入蜜罐的攻击者如发现该蜜罐不提供任何服务，就会意识到危险而迅速离开蜜罐，使蜜罐失效。服务伪装可以在蜜罐中模拟Http、FTP、Telent等网络基本服务并伪造应答，使入侵者确信这是一个正常的系统。

3.1.5 重定向技术［３］。

即在攻击者不知情的情况下，将其引到蜜罐中，可以在重要服务器的附近部署蜜罐，当服务器发现可疑行为后，将其重定向到蜜罐。还可以使用蜜罐，以及多个蜜罐模拟真正的服务器，当对服务器的请求到来时，利用事先定义好的规则，将请求随机发送到蜜罐和服务器中的一个，用以迷惑攻击者，增大攻击者陷入蜜罐的概率。

3.2数据捕获技术

如果无法捕获攻击者的活动，蜜罐就失去了存在的意义。数据捕获的目标是捕捉攻击者从扫描、探测、发起攻击，直到离开蜜罐的每一步动作。捕获的数据来自三个层次:防火墙日志、网络数据流和主机系统内核级的数据提取。第一层数据捕获由防火墙日志根据设定的过滤规则，记录入侵者出入蜜罐的行为信息，数据直接放在本地;第二层数据捕获由入侵检测系统捕获网络原始报文，并放在IDS本地，IDS报警信息可以让系统管理员了解系统中正发生的状况;第三层数据捕获由蜜罐主机完成。主要是主机日志，用户击键序列和屏幕显示，这些数据应异地存储，以防攻击者发现。随着加密技术的发展，越来越多的攻击者开始使用加密工具，保护和隐藏他们的通信。系统内核级的数据提取必须应对入侵者数据加密的情况，目前最先进的技术是开发特殊的内核数据处理模块来替代系统内核函数，从而记录下入侵者的行为。

3.3数据控制技术。

数据控制技术既控制数据流，又不引起攻击者的怀疑。如攻击者进入蜜罐，但不能向外发起连接，他们就会对系统产生怀疑，而完全开放的蜜罐资源在攻击者手中会成为向第三方发起攻击的攻击跳板。目前数据控制技术主要从以下两方面对攻击者进行限制。［３］

3.3.1限制攻击者从蜜罐向外的连接数量。

传统的限制方法是通过配置防火墙，设置从蜜罐向外的连接数目，超过数量即中断连接。这种方法较安全，但易被攻击者识破。改进方法是将防火墙技术与入侵检测技术结合，形成入侵检测控制。即在系统上安装一个包含已知攻击模式的签名数据库，以检测捕获的攻击是否与数据库匹配。如果匹配，就切断连接;如果不匹配，则根据需要设定连接次数。这样既可以学习更多的未知攻击，又可以迷惑攻击者。

3.3.2限制攻击者在蜜罐中的活动能力。

这包括连接限制、带宽限制、沙箱技术等较新的技术。连接限制就是修改外出连接的网络包，使其不能到达目的地，同时给入侵者造成网络包已正常发出的假象，麻痹攻击者。带宽限制即通过控制带宽利用率和网络延时，限制入侵者由蜜罐向外发包的能力。这种方法往往使攻击者认为网络本身出现了问题，意识不到自己已身陷蜜罐。沙箱技术可对应用进程进行定量限制和定性限制，比如限制CPU的使用率和只允许访问特定的资源等，这无疑降低了应用程序的访问能力［５］。实践证明，若要真正实现既控制数据流，又不引起攻击者的怀疑的目的，单靠某一种技术是不行的，必须综合而灵活地使用上述数据控制技术。

3.4数据分析技术。

数据分析包括网络协议分析、网络行为分析和攻击特征分析等。要从大量的网络数据中，提取攻击行为的特征和模型是很难的。现有的蜜罐系统都没有很好地解决使用数学模型自动分析和挖掘出网络攻击行为这一难题［４］。

4.蜜罐技术的优缺点

4.1蜜罐的优点。

4.1.1数据价值高。

当今，安全组织所面临的一个问题就是怎样从收集到的海量数据中获取有价值的信息，从防火墙日志、系统日志和入侵检测系统发出的警告信息中收集到的数据的量非常大，从中提取有价值的信息很困难。蜜罐不同于其他安全工具，每天收集到若干GB的数据，大多数Honeypot每天收集到的数据只有几兆，并且这些数据的价值非常高，因为蜜罐没有任何产品型的功能，所有对它的访问都是非法的、可疑的。

4.1.2资源消耗少。

当前大多数安全组织所面临的另一个难题就是有时会由于网络资源耗尽，因而导致安全措施失去了作用。例如，当防火墙的状态检测表满的时候，它就不能接受新的连接了，它会强迫防火墙阻断所有的连接。同样入侵检测系统会因为网络流量太大，使其缓冲区承受不起，所以导致IDS丢失数据包。因为Honeypot只需要监视对它自己的连接，需要捕获和监视的网络行为很少，很少会存在网络流量大的压力，所以一般不会出现资源耗尽的情况。我们不需要在充当蜜罐的主机的硬件配置上投入大量的资金，只需要一些相对便宜的计算机，就可以完成蜜罐的部署工作。

4.1.3实现简单。

部署一个蜜罐，不需要开发复杂和新奇的算法，不需要维护特征数据库，不需要配置规则库。只要配置好蜜罐，把它放在网络中，就可以静观其变。

4.2蜜罐的缺点。

4.2.1数据收集面狭窄。

如果没有人攻击蜜罐，它们就变得毫无用处。在某些情况下，攻击者可能识别出蜜罐，就会避开蜜罐，直接进入网络中的其他主机，这样蜜罐就不会发现入侵者已经进入了你的网络。

4.2.2有一定风险。

蜜罐可能会把风险带入它所在的网络环境。蜜罐一旦被攻陷，就有可能成为攻击、潜入或危害其他的系统或组织的跳板。

5.结语

蜜罐技术的出现为整个安全界注入了新鲜的血液。它不仅可以作为独立的信息安全工具，而且可以与其他安全工具协作使用，从而取长补短，对入侵者进行检测。蜜罐可以查找并发现新型攻击和新型攻击工具，从而解决了入侵检测系统和防火墙中无法对新型攻击迅速做出反应的问题。蜜罐系统是一个有相当价值的资源，特别是对潜在的攻击者和他们所使用工具相关信息的收集，没有其他的机制比蜜罐系统更有效。

参考文献：

［1］翟继强，叶飞.蜜罐技术的研究与分析.网络安全技术与应用，2006，（4）：15-17.

［2］胡文广，张颖江，兰义华.蜜罐研究与应用.网络安全技术与应用，2006，（5）：48-49.

［3］潘军，刘建峰，李祥和.基于闭环控制的入侵诱骗系统的探讨与实现.计算机应用与软件，2005，（11）：122-124.

［4］崔志磊，房岚，陶文琳.一种全新的网络安全策略――蜜罐及其技术［J］.计算机应用与软件，2004，（1）：99-101.