蜜罐和蜜网

合集下载

蜜罐技术是什么

第一章蜜罐技术蜜罐（Honeypot Technology）技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐好比是情报收集系统。

蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。

所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。

还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

第二章详细解释2.1蜜罐的定义首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别，虽然这两者都有可能被入侵破坏，但是本质却完全不同，蜜罐是网络管理员经过周密布置而设下的“黑匣子”，看似漏洞百出却尽在掌握之中，它收集的入侵数据十分有价值；而后者，根本就是送给入侵者的礼物，即使被入侵也不一定查得到痕迹……因此，蜜罐的定义是：“蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。

”设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能：发现攻击、产生警告、强大的记录能力、欺骗、协助调查。

另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。

2.2涉及的法律问题蜜罐是用来给黑客入侵的，它必须提供一定的漏洞，但是我们也知道，很多漏洞都属于“高危”级别，稍有不慎就会导致系统被渗透，一旦蜜罐被破坏，入侵者要做的事情是管理员无法预料的。

例如，一个入侵者成功进入了一台蜜罐，并且用它做“跳板”（指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为）去攻击别人，那么这个损失由谁来负责？设置一台蜜罐必须面对三个问题：设陷技术、隐私、责任。

设陷技术关系到设置这台蜜罐的管理员的技术，一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏，由此导致的后果将十分严重。

蜜罐及蜜网技术

信息系统安全与对抗技术蜜罐及蜜网技术❖L.Spiuner是一名蜜罐技术专家，他对蜜罐的定义：蜜罐是一种资源，它的价值是被攻击或攻陷，这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的，蜜罐不会修补任何东西，这样就为使用者提供了额外的、有价值的信息。

❖蜜罐不会直接提高计算机网络安全，但它却是其他安全策略所不可替代的一种主动防御技术。

❖产品型蜜罐的价值•运用于特定组织中以减小各种网络威胁，它增强了产品资源的安全性•防护•检测•响应❖研究型蜜罐的安全价值•研究型蜜罐可以捕获自动攻击•研究型蜜罐并不会降低任何风险与威胁，但是它们可以帮助使用者获得更多入侵者的信息❖诱骗服务（Deception Service）❖弱化系统（Weakened System）❖强化系统（Hardened System）❖用户模式服务器❖诱骗服务（Deception Service）•足以让攻击者相信是一件非常困难的事情❖弱化系统（Weakened System）❖强化系统（Hardened System）❖用户模式服务器❖诱骗服务（Deception Service ）❖弱化系统（Weakened System ）❖强化系统（Hardened System ）❖用户模式服务器•是一个配置有已知攻击弱点的操作系统•恶意攻击者更容易进入系统❖诱骗服务（Deception Service）❖弱化系统（Weakened System）❖强化系统（Hardened System）•强化系统并不配置一个看似有效的系统❖用户模式服务器❖诱骗服务（Deception Service）❖弱化系统（Weakened System）❖强化系统（Hardened System）❖用户模式服务器❖配置蜜罐的实例•蜜罐系统应该与任何真实的产品系统隔离•尽量将蜜罐放置在距离外网最近的位置•需要有步骤地记录所有通过蜜罐的信息❖配置蜜罐的实例❖产品型蜜罐❖研究型蜜罐❖根据交互的程度分类•低交互蜜罐：只提供—些特殊的虚假服务低交互蜜罐蜜罐的分类❖根据交互的程度分类•低交互蜜罐：只提供—些特殊的虚假服务•中交互蜜罐：中交互蜜罐提供了更多的交互信息，但还是没有提供一个真实的操作系统中交互蜜罐蜜罐的分类❖根据交互的程度分类•低交互蜜罐：只提供—些特殊的虚假服务•中交互蜜罐：中交互蜜罐提供了更多的交互信息，但还是没有提供一个真实的操作系统•高交互蜜罐：高交互蜜罐具有一个真实的操作系统高交互蜜罐蜜罐的分类❖蜜罐基本分类•牺牲型蜜罐•外观型蜜罐•测量型蜜罐❖由多个系统和多个攻击检测应用组成的网络❖信息控制❖信息捕获❖信息收集密网（Honeynet）分布式蜜网❖只要谈及蜜罐，就会使人联想到“诱骗”。

蜜罐技术在网络安全防护中的应用研究

蜜罐技术在网络安全防护中的应用研究摘要：随着全球信息的飞速发展，各种信息化系统已经成为关键的基础设施，蜜罐技术的出现使网络防御战由被动转向主动，可以帮助即时发现系统漏洞。

本文通过对蜜罐技术的概念阐述，探讨蜜罐技术的应用可能性。

关键词：蜜罐技术；密网；欺骗技术；主动防御1蜜罐技术的概念界定1.1蜜罐技术的概念在网络安全中，蜜罐是一种入侵诱饵，引诱黑客进行攻击，进而浪费黑客的时间和资源，收集黑客的信息，保留证据[1]。

因此，蜜罐一般作为诱饵设置在网络连接设备中，用于检测攻击者所使用的攻击方式，了解攻击者的攻击目标。

蜜罐技术的设计目标主要为捕获攻击信息、伪装欺骗、防御攻击及向管理者提供有价值的分析报告。

1.2蜜罐技术的工作原理一个简单的低交互蜜罐通常由计算机、应用程序和模拟真实系统行为的数据组成，所采用的真实系统往往对攻击者有很大的吸引力，如金融系统、物联网设备和公共设施等[2]。

通过模拟真实系统行为使得蜜罐看起来像是具有很高价值的攻击对象，但实际上是孤立并受到密切监控的网络防御系统。

正是由于常规的合法用户不会访问蜜罐，所以任何访问蜜罐的尝试都可以认为是恶意的攻击方式并被记录，因此误报率几乎为零。

蜜罐技术在按照部署方式和设计用途可以分为生产型蜜罐和研究型蜜罐[3]。

生产型蜜罐作为生产网络的真实组成部分，通常与生产服务器一起部署在实际的生产网络中，能够吸引并转移攻击者的攻击，使系统安全管理员有足够的时间评估攻击的威胁等级并做出适当的防御。

研究型蜜罐主要用于对攻击者的活动进行分析并发现新的攻击方式、规律和系统漏洞等。

1.3蜜罐技术分类蜜罐技术按照与攻击者的交互程度可以分为高交互蜜罐、中交互蜜罐和低交互蜜罐[4]。

高交互蜜罐利用真实的操作系统和环境进行构建，对攻击者来说是最真实的系统。

虽然高交互蜜罐因为其交互程度更高难以被识别，但是带来了更高的风险，很可能会被攻击者攻破并利用其攻击其他系统。

中交互蜜罐用于监控蜜罐与网络的连接，不提供真实的操作系统和服务，这类蜜罐是最复杂且最难维护。

蜜罐技术

蜜罐（Honeypot）技术蜜罐技术是入侵检测技术的一个重要发展方向，它已经发展成为诱骗攻击者的一种非常有效而实用的方法，它不仅可以转移入侵者的攻击，保护主机和网络不受入侵，而且可以为入侵的取证提供重要的线索和信息。

蜜罐概述蜜罐是一种在互联网上运行的计算机系统，它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人而设计的。

蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或者多个易受攻击的主机，给攻击者提供一个容易攻击的目标。

由于蜜罐并没有像外界提供真正有价值的服务，因此所有链接的尝试都将被视为是可疑的。

蜜罐的另一个用途是拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间。

这样，最初的攻击目标得到了保护，真正有价值的内容没有受到侵犯。

此外，蜜罐也可以为追踪攻击者提供有用的线索，为起诉攻击者搜集有力的证据。

从这个意义上说，蜜罐就是“诱捕”攻击者的一个陷阱。

1.1 蜜罐的概念L.Spitzner是一名蜜罐技术专家，他对蜜罐做了这样的定义：蜜罐是一种资源，它的价值是被攻击或者攻陷，这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的，蜜罐不会修补任何东西，这样就为使用者提供了额外的、有价值的信息。

蜜罐不会直接提高计算机网络安全，但它却是其他安全策略所不可替代的一种主动防御技术。

无论使用者如何建立和使用蜜罐，只有蜜罐受到攻击，它的作用才能发挥出来。

为了方便攻击者攻击，最好是将蜜罐设置成域名服务器（DNS）、Web或者电子邮件转发服务等流行应用中的某一种。

1.2蜜罐的安全价值根据设计的最终目的不同可以将蜜罐分为产品型蜜罐和研究型蜜罐。

1、产品型蜜罐产品型蜜罐一般运用于特定组织中以减小各种网络威胁，它增强了产品资源的安全性。

产品型蜜罐最大的价值就是检测，这是因为产品型蜜罐可以降低误报率和漏报率，这极大地提高了检测非法入侵行为的成功率。

在响应中也会增强整个组织对意外事件的响应能力，但是蜜罐不能阻止入侵者进入那些易受攻击的系统。

蜜罐与蜜网技术介绍

蜜罐技术弱势

劳力/技术密集型局限的视图不能直接防护信息系统带来的安全风险
17
北京大学计算机科学技术研究所
安全风险

发现蜜罐

黑客知道要避免进入哪些系统向蜜罐反馈虚假、伪造的信息消除蜜罐的指纹蜜罐-反蜜罐技术：博弈问题! 期望黑客获得蜜罐的root权限黑客会将其用作危害第三方的跳板引入多层次的数据控制机制人为分析和干预

团队协作
5
北京大学计算机科学技术研究所
网络攻防的不对称博弈

工作量不对称

攻击方：夜深人静, 攻其弱点防守方：24*7*365, 全面防护攻击方：通过网络扫描、探测、踩点对攻击目标全面了解防守方：对攻击方一无所知攻击方：任务失败，极少受到损失防守方：安全策略被破坏，利益受损
6

信息不对称

提供真实的操作系统和服务，而不是模拟可以捕获更丰富的信息部署复杂，高安全风险实例：ManTrap, Gen II蜜网
15

北京大学计算机科学技术研究所
蜜罐技术优势

高保真－高质量的小数据集
很小的误报率很小的漏报率

捕获新的攻击及战术并不是资源密集型简单
16
北京大学计算机科学技术研究所
18

利用蜜罐攻击第三方

北京大学计算机科学技术研究所
蜜罐工具实例

DTK
Deception Toolkit (1997) by Fred Cohen Fred Cohen, A Framework for Deception.

技术培训-蜜罐与蜜网技术介绍

蜜罐的分类
交互性：攻击者在蜜罐中活动的交互性级别低交互型－虚拟蜜罐
• 模拟服务和操作系统 • 只能捕获少量信息 / 容易部署，减少风险 • 例: Honeyd
高交互型－物理蜜罐
• 提供真实的操作系统和服务，而不是模拟 • 可以捕获更丰富的信息 / 部署复杂，高安全风险 • 例: 蜜网
虚拟机蜜罐－虚拟硬件、真实操作系统/网络服务
蜜罐技术优势
高度保真的小数据集
• 低误报率 • 低漏报率
能够捕获新的攻击方法及技术并不是资源密集型原理简单，贴近实际
蜜罐技术概述
蜜罐技术的提出蜜罐技术基本概念、分类及优势虚拟蜜罐工具－Honeyd 蜜罐技术发展历程，当前研究热点
16
Honeyd
A virtual honeypot framework
• Honeyd 1.0 (Jan 22, 2005) by Niels Provos, Google Inc.
支持同时模拟多个IP地址主机
• 经过测试，最多同时支持65535个IP地址 • 支持模拟任意的网络拓扑结构
通过服务模拟脚本可以模拟任意TCP/UDP网络服务
• IIS, Telnet, pop3…
• 仅限对讲解内容相关的问题 • 对问题不感兴趣的可自由活动
讲座结束后留充分时间问答
• 欢迎任何问题 • 欢迎加入HoneynetCN邮件组讨论
蜜罐技术概述
蜜罐技术的提出蜜罐技术基本概念、分类及优势虚拟蜜罐工具－Honeyd 蜜罐技术发展历程，当前研究热点
8
互联网安全状况
安全基础薄弱
络攻防知识建模，恶意软件分析及防范技术 • 博士论文方向：基于数据融合框架的网络攻击关联分
析技术研究 • 2004年微软学者，2005年IBM Ph.D. Fellowship • Email: zhugejianwei@

蜜罐和蜜网

低交互度Honeypot的实现
-Kfsensor

部署目标检测攻击增加攻击代价为应急响应提供丰富信息研究部署位置直接接入互联网DMZ非军事区内部网络攻击检测、诱骗网络
低交互度Honeypot的实现
-Honeyd /
经过测试，最多同时支持65535个IP地址对ping和traceroute做出响应
支持同时模拟多个IP地址主机

支持ICMP

通过代理和重定向支持对实际主机、网络服务的整合-重定向使得我们可以将一个到虚拟蜜罐上的服务的连接请求转发到一台真实服务器运行的服务进程。

add windows tcp port 23 proxy “162.105.204.159 23”
因此架设一个中交互系统是比较复杂的，要求实施者对网络协议与服务有深刻的认识。同时，因为中交互系统提供了较多的网络服务，有可能被攻击者利用成为跳板，因此，在实施该系统的网络内，因经常检查系统日志，并严格检查是否有安全漏洞已经被黑客利用。

Honeypot的类型
高交互度的Honeypot-复杂度大大增加,面对攻击者的是真实操作系统的真实应用服务。高交互度Honeypot为攻击者提供对实际操作系统的访问权,在此环境下无任何实体模拟或受限, Honeypot收集攻击者信息的能力也大大增强,但同时它也面临高风险,一旦攻击者掌握了对某个 Honeypot的控制权,即拥有了被侵入机器完整可操作系统的控制权,从而会在被侵入系统内进一步扩大侵害。高交互系统可以提供真实的操作系统环境，攻击者完全可以认为它就是一台真实的服务器主机，因此，它可以对攻击者的攻击方法进行详细的日志记录。当攻击者自认为成功入侵时，系统也成功的记录了它的入侵过程，这样可以帮助系统发现当前系统漏洞并采取相应措施修补漏洞。当然，因为部署了真实的操作系统，就难免有攻击者可以通过蜜罐系统对其它内网主机进行攻击，因此，管理员应定期检查蜜罐主机的安全性和完整性，也可通过其它方法将蜜罐主机与受保护主机隔离，使攻击者即使攻破了蜜罐系统也无法跳板攻击其它主机。

蜜罐与蜜网技术

增加黑客攻击系统所花的开销．使攻代码工具．ＤｒｄＣｈｎ所开发的ＤＫ码工具和ＫＳｎｏｎｒｑ等一系列ＦｅｓｒＭａＴａ￣ＦｅｏｅＴ
击者劳而无功．而降低黑客攻击系（从欺骗工具包）ｉｌＰｏｏ开发的的商业产品。研究型蜜罐则是专门用、Ｎｅｓｒｖｓ通统的兴趣减少重要系统被攻击的危Ｈｎｙｏｅｄ等，同时也出现了像ＫＳｎｏ，于对黑客攻击的捕获和分析．过部Ｆｅｓｒ
维普资讯
Ｔｌｃｍｒｅｅｅｏｍａｋｔ技术前沿
蜜罐与蜜网技术
牛少彰张玮（北京邮电大学
摘要：网络Байду номын сангаас全领域日益受到重视，新兴的蜜罐与蜜网技术。基于主动防御理论而提出。蜜罐与蜜网技术通过精心布置的诱骗环境来吸引容忍入侵，进而了解攻击思路．攻击工具和攻击目的等行为信息根据获取的攻击者的情报能更好地理解网络系统当前面临的危险，并且知道如何阻止这些危险的发生。在网络安全防护中做到有的放矢，获得最大的主动权。关键词：网络安全。蜜罐技术。蜜网技术
术．一类是蜜网（ｏｅｎｔｈｎｙｅ）工程。
一
种思想．常由网络管理人员应用．蜜罐的目的在于为一个组织的网络提通
包括检测攻击防止攻国际上的一些安全组织首先研究通过欺骗黑客达到追踪的目的。这～供安全保护．
网络诱骗系统．网络诱骗系统是进出该网络的数据和网络诱骗主机上于使用真实的主机、操作系统和应用

网络信息安全的蜜罐与蜜网技术

网络信息安全的蜜罐与蜜网技术网络信息安全是当今社会中不可忽视的重要议题之一。

为了应对不断增长的网络攻击和威胁，各种安全技术被研发出来，其中蜜罐与蜜网技术在网络安全领域中扮演着重要的角色。

蜜罐与蜜网技术可以说是网络防御体系中的“绊脚石”，通过诱使攻击者的注意力转移到虚假目标上，保护真实系统的安全。

本文将深入探讨蜜罐与蜜网技术的原理、应用以及其对网络安全的影响。

一、蜜罐技术蜜罐技术是一种利用安全漏洞吸引攻击者并收集攻击信息的方法。

蜜罐可以是一个虚拟机、一个系统、一个应用程序等，并通过实施合适的伪造，使攻击者产生对其价值的错觉。

当攻击者攻击了蜜罐，管理员就可以获取攻击者的信息以及攻击方式。

这种技术可以帮助安全专家识别攻击者的手段和目的，提供关于攻击者行为的详细记录，进一步优化网络防御策略。

蜜罐可以分为低交互蜜罐和高交互蜜罐两种类型。

低交互蜜罐主要用于攻击者获取目标及攻击信息，并能提供类似真实环境的部分服务；而高交互蜜罐则可以模拟完整的网络环境和服务，与攻击者进行实时互动，收集更多的信息并增加攻击者暴露自身的风险。

在实际应用中，蜜罐技术主要用于安全研究、网络攻击监测、攻击溯源和黑客防范等方面。

通过搭建蜜罐系统，安全专家能够分析攻击者的行为，预测新的攻击模式，从而提前采取相应的安全措施。

同时，蜜罐技术也可以用于对抗黑客，并增加网络安全的整体强度。

二、蜜网技术蜜网技术是指将多个蜜罐组成一个密集的网络环境，形成一个蜜罐阵列。

蜜网技术通过在网络中分布多个虚拟、伪造或易受攻击的系统，吸引攻击者进行攻击。

与蜜罐单独使用相比，蜜网技术可以提供更大规模和复杂度的攻击模拟环境，更好地了解攻击者的动机、行为以及他们之间可能存在的关联。

蜜网技术在网络安全中具有重要作用。

首先，它为安全人员提供更多真实攻击事件的数据，帮助他们分析攻击者的行为和策略，改善网络安全防护。

其次，蜜网技术可以用于主动监控攻击行为，及时发现并阻止未知安全威胁。

防黑阻击-入侵检测之蜜罐蜜网

防黑阻击入侵检测之蜜罐与蜜网入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术。

主要包括蜜罐(Honeypot)和蜜网(Honeynet)两种。

它是用特有的特征吸引攻击者，同时对攻击者的各种攻击行为进行分析，并找到有效的对付方法。

为了吸引攻击者，网络管理员通常还在Honeypot上故意留下一些安全后门，或者放置一些攻击者希望得到的敏感信息，当然这些信息都是虚假。

当入侵者正为攻入目标系统而沾沾自喜时，殊不知自己在目标系统中的所做所为，包括输入的字符，执行的操作等都已经被Honeypot所纪录。

蜜罐技术Honeypot是一个资源，它的价值在于它会受到探测，攻击或攻陷。

蜜罐并不修正任何问题，它们仅提供额外的、有价值的信息。

所以说Honeypot并非是一种安全的解决方案，这是因为它并不会“修理”任何错误。

它只是一种工具，如何使用这个工具取决于用户想做什么。

Honeypot可以对其他系统和应用进行仿真，创建一个监禁环境将攻击者困在其中。

无论用户如何建立和使用Honeypot，只有Honeypot受到攻击，它的作用才能发挥出来。

所以为了方便攻击，最好是将Honeypot设置成域名服务器WEB或电子邮件转发服务等流行应用中的一种。

蜜罐的部署蜜罐并不需要一个特定的支撑环境，它可以放置在一个标准服务器能够放置的任何地方。

当然，根据所需要的服务，某些位置可能比其他位置更好一些。

如图(1)显示了通常放置的三个位置：1.在防火墙前面；2.DMZ中；3.在防火墙后面。

如果把蜜罐放在防火墙的前面，不会增加内部网络的任何安全风险，可以消除在防火墙后面出现一台失陷主机的可能性（因为蜜罐主机很容易被攻陷）。

但是同时也不能吸引和产生不可预期的通信量，如端口扫描或网络攻击所导致的通信流，无法定位内部的攻击信息，也捕获不到内部攻击者。

如果把蜜罐放在防火墙的后面，那么有可能给内部网络引入新的安全威胁，特别是如果蜜罐和内部网络之间没有额外的防火墙保护。

沙箱、蜜罐和欺骗防御的区别

沙箱、蜜罐和欺骗防御的区别网络、网络攻击，以及用于阻止网络攻击的策略，一直在进化发展。

欺骗防御(Deception)是令研究人员和信息安全人员得以观察攻击者行为的新兴网络防御战术，能让攻击者在“自以为是”的公司网络中表现出各种恶意行为。

“欺骗防御”这个术语从去年开始才逐渐流传开来，所以很难讲清这些解决方案与其他试图诱骗攻击者的工具——比如沙箱和蜜罐，到底有什么区别。

与其他战术一样，网络欺骗技术诱骗攻击者和恶意应用暴露自身，以便研究人员能够设计出有效防护措施。

但网络欺骗防御更依赖于自动化和规模化，无需太多专业知识和技能来设置并管理。

这三种技术都有各自独特的需求和理想用例，要想切实理解，需更仔细地深入了解其中每一种技术。

1、沙箱Sandboxie(又叫沙箱、沙盘)即是一个虚拟系统程序，允许你在沙盘环境中运行浏览器或其他程序，因此运行所产生的变化可以随后删除。

它创造了一个类似沙盒的独立作业环境，在其内部运行的程序并不能对硬盘产生永久性的影响。

在网络安全中，沙箱指在隔离环境中，用以测试不受信任的文件或应用程序等行为的工具。

沙箱是一种按照安全策略限制程序行为的执行环境。

早期主要用于测试可疑软件等，比如黑客们为了试用某种病毒或者不安全产品，往往可以将它们在沙箱环境中运行。

经典的沙箱系统的实现途径一般是通过拦截系统调用，监视程序行为，然后依据用户定义的策略来控制和限制程序对计算机资源的使用，比如改写注册表，读写磁盘等。

几乎自网络和第三方程序出现起，对网络流量和程序的分析需求就一直存在。

上世纪70年代，为测试人工智能应用程序而引入的沙箱技术，能令恶意软件在一个封闭的环境中安装并执行，令研究人员得以观测恶意软件的行为，识别潜在风险，开发应对措施。

当前的有效沙箱基本都是在专用虚拟机上执行。

这么做可以在与网络隔离的主机上用多种操作系统安全地测试恶意软件。

安全研究人员会在分析恶意软件时采用沙箱技术，很多高级反恶意软件产品也用沙箱来根据可疑文件的行为确定其是否真的是恶意软件。

蜜罐主机和蜜罐网络

高等教育出版社
网络攻防原理与实践
蜜罐的优点
❖ 简捷性
无需开发奇异的算法，无需维护签名数据库，不会出现错误配置的规则库。只要把蜜罐拿过来，放到组织中的某个地方，然后就可以静观其变了。
❖ 投资回报
蜜罐迅速且不断地展现着其自身的价值所在，它不仅可以用来证实其自身的价值，而且还包括对其他安全资源所做的投资。
威慑型蜜罐对攻击者产生心理上的威吓及迷惑作用的蜜罐系统，其主要职责就是告诉攻击者自己是个蜜罐系统，这样可以形成一定的阻吓作用，减弱攻击者的攻击意图。
高等教育出版社
网络攻防原理与实践
蜜罐的分类
检测型蜜罐通过提高蜜罐系统的检测能力，用户不只可以通过蜜罐系统的活动情况判断攻击行为的发生，还可以更加广泛和细致的监测攻击活动。
高等教育出版社
网络攻防原理与实践
蜜罐的缺点
❖ 视野有限
蜜罐只能看到何种活动是直接针对它们自身的，而漏掉周围的事件。
❖ 指纹识别
指纹识别指的是由于蜜罐具备一些特定的预期特征或者行为，因而能够被攻击者识别出其真实身份的情况。
❖ 风险
一旦一个蜜罐遭受了攻击，就可以被用于攻击、渗透，甚至危害其他的系统或者组织。
高等教育出版社
网络攻防原理与实践
蜜罐的伪装
❖ 采用真实系统作蜜罐，能提供黑客与系统的交互能力，伪装程度明显提高。
❖ 还要对这些真实系统进行配置，最为逼真的配置办法是把一个修改过敏感信息的工作系统的内容直接拷贝到蜜罐上。
❖ 目前蜜罐的主要网络欺骗技术有：
模拟端口模拟系统漏洞和应用服务 IP空间欺骗流量仿真网络动态配置组织信息欺骗网络服务蜜罐主机
防火墙可以配置防火墙记录所有的出入数据，供以后仔细地检查。

蜜罐和蜜网专利技术

link邓成王务鹏（等同第一作者）国家知识产权局专利局专利审查协作四川中心邓成，男，硕士研究生，从事发明专利审查工作；王务鹏，男，硕士研究生，从事发明专利审查工作。

本文针对蜜罐和蜜网专利进行了分析并梳理了其技术分支和重点申请人、国内外申请量情况，提出中国相关领域的技术发展不落后于国外，但是仍然需要持续努力发展以取得进一步优势的观点。

在蜜罐和蜜网专利技术领中国科技信息2020年第17期·CHINA SCIENCE AND TECHNOLOGY INFORMATION Sep.2020◎专利分析始出现大的增加，基本占到全球申请量的一半，这一现象也与蜜罐技术在中国的发展历史相契合，北京大学在2004年组建了“狩猎女神项目组”着手研究蜜罐技术，并在2005年正式加入了蜜网项目组织开始承担网络安全研究。

专利技术分布分析如图2所示，蜜罐和蜜网的专利技术主要集中在中国和美国，二者的申请总量占据了全球申请量的80%以上，其次是韩国、欧洲和日本等。

在上述图中也反映出，在当前，中国和美国在蜜罐和蜜网技术领域各自申请量所占的比例基本相同。

历年申请量分析由于2018和2019之后的部分专利申请尚未公开，这之后的发展趋势并未完全体现在图3中。

如图3所示，在2006年之前，在蜜罐和蜜网技术领域，美国的专利申请量遥遥领先于全球其他国家和地区，而自2006年开始，中国的专利申请量开始出现大的增长，并且呈现出逐渐追、持平并超越美国申请量的趋势，而这也反映出中国在蜜罐和蜜网技术领域虽然起步略晚于美国，但经过多年的技术努力和快速发展，当前总体技术发展上与美国持平。

全球主要申请人分析如图4所示，居于全球申请量首位的是IBM 公司，IBM 公司作为全球著名的老牌IT 技术公司，自然十分重视网络安全。

紧随IBM 位居申请量第二的是中国的技术公司哈尔滨安天科技股份有限公司，这说明国内已有网络安全相关技术企业对蜜罐和蜜网技术领域做了研究，但从整体分布情况看，全球前十的申请人中仅有三家属于中国，由此也说明中国的其他网络安全相关企业或组织在蜜罐和蜜网技术领域仍然有较大的提升空间。

如何构建蜜网

您是否准备好超越平常的抵御入侵者的方法，掌握更多的主动权？不用再坐等入侵者进犯，现在你可以利用伪装服务器或者伪装网络引诱（有些情况下甚至是捕获）入侵者，我们称之为蜜罐（honeypot）或蜜网（honeynet）。

入侵检测和入侵防护是IT安全规划的重要目标，最好的入侵检测/防护策略会结合使用多种方法。

以前我曾经谈到过如何选择能与业务一同发展的IDS/IPS工具或者软件产品。

这里将介绍一种相应的防御入侵者企破坏网络安全的方法。

某些组织机构采用更为主动的方法，即设置“蜜罐”——一台伪装成实际的生产用设备的服务器，而它的实际用途只是要吸引黑客。

甚至有时整个网络都由这样的设备组成(经常是在某台服务器上运行的多个虚拟服务器)。

下面介绍如何在您的入侵检测和入侵防护策略中加入蜜罐或蜜网，以及它们如何成为网络中“真实”的一部分。

蜜网工作方式蜜罐或蜜网是网上“针刺”操作的基础：它能够诱敌深入，不用冒着暴露生产网络的风险就可以追踪入侵者的行为。

这一方法目前是如此流行，以至于有了自己的博客网站：honeyblog。

虽然蜜罐电脑看似网络的一部分，但实际上与网络隔绝并有所保护，因此闯入蜜罐电脑的入侵者无法触及网络的其他部分。

蜜罐的诱惑力源自其上所储存的资源，这些资源看起来很象敏感或者保密的文件，能够提起黑客的兴趣。

蜜罐处于严密监视下，入侵者很早就会被侦测出来，并能追查到黑客的源头。

蜜罐还有一个次要的作用就是转移入侵者的注意力，从而保护生产网络。

实施蜜罐或蜜网一旦您决定在入侵检测/入侵防护策略上加点“蜜”，你就需要确定以下问题：在网络何处安置蜜罐/蜜网实施单一的蜜罐还是多计算机的蜜网使用实体设备、虚拟软件还是使用专为实施蜜罐设计的多设备模拟蜜罐软件。

蜜罐的安置你可以将蜜罐放置在内部网上，但是你的网络防护措施会保护蜜罐免受来自互联网的入侵者的袭击。

内网蜜罐因此可以用来侦测来自LAN内部的袭击。

如果内网蜜罐遭到来自互联网的袭击，就说明网络边界的安全措施不够完善。

计算机网络基础试卷名词解释集结

终端：指一台计算机的外部设备，包括显示器和键盘，无中央处理器和内存通信子网由通信控制处理机（Central Processing Processor,CPP)、通信线路与其他通信设备组成，负责完成网络数据传输、转发等通信处理任务。

智能终端：具有独立数据处理能力，连接在多用户系统中的计算机。

通信子网：由通信控制处理机（Central Processing Processor,CPP),通信线路与其他通信设备组成，负责完成网络数据传输、转发等通信处理任务。

资源子网：由主机系统、终端、终端控制器、联网外部设备、各种软件资源与信息资源组成。

资源子网实现全网的面向应用的数据处理和网络资源共享，它由各种硬件和软件组成。

半双工通信：通信信道的每一端可以是发送端也可以是接收端。

（1分）在同一时刻里，信息只能有一个传输方向。

2分（对讲机）全双工通信：通信的双方可以同时接收和发送信息。

（电话）单工通信：只能有一个方向的通信而没有反方向的交互。

（无、有线电广播，电视广播）码元速率也称波特率、调制速率、波形速率或符号速率，表示单位时间内通过信道传输的码元个数，单位记作baud波特。

数据速率：也称通信速率，是指单位时间内信道上传送的信息量（比特数），单位为bps。

信道容量：是指信道中能不失真的传输脉冲序列的最高速率，它由数字信道的通频带也即带宽所决定。

奈式定理：1924年奈奎斯特推导出有限带宽无噪声信道的极限速率，称为奈式定理。

信道带宽为W，奈式定理的最大码元速率为：B=2W(Baud)。

信道延迟：信号在信道中从源端到达宿端需要的时间即为信道延迟。

它与信道的长度以及信号的传播速度有关。

基带传输：指对基带信号不加调制而直接在线路上进行传输，它将占用线路的全部带宽，也可称为数字基带传输。

频带传输：将数字信号变换为模拟信号过程中，模拟信号通常由某一频率或某几个频率组成，它占用了一个固有频带。

不归零编码（NRZ，Non-Return to Zero Coding）NRZ码规定用负电平表示“0”，用正电平表示“1”亦可有其他表示法。

蜜罐

一．蜜罐是什么蜜罐，是Honeypot的中文译名。

这是一种颇具神秘感的安全技术，很难给蜜罐下一个具体的定义。

蜜罐与大部分传统的安全机制（如防火墙、入侵检测系统等）有很大不同，它是一种供攻击者攻击从而产生价值的安全设施，也就是说蜜罐只有在受到攻击情况下才能展现出价值，而不是在避开或阻止那些攻击的时候。

给蜜罐下一个相对通用的定义就是：蜜罐是一种安全资源，其价值体现在被探测、攻击或者摧毁的时候。

这就意味着无论我们将何指定为蜜罐，其目标就是被别人探测、攻击（甚至被攻破）。

而这种资源究竟是什么倒没什么关系。

如果系统从未被探测或攻击过，那么价值就很有限或者根本没有了。

这正是大部分产品系统的对立面，一般大家都不会希望它们被探测或者攻击。

蜜罐为我们提供了一个优势，那就是进攻的能力。

从传统意义上说，主动权往往都掌握在攻击者手中。

他们控制着攻击的对象、时间和方式。

在安全界所能做的只有防御：制定安全措施、防止攻击者攻入，然后随时检测这些预防措施是否失效。

蜜罐的出现却赋予了安全界人员取得主动权的能力。

蜜罐与大部分安全工具的不同之处在于：它们可以具有不同的表现形式。

目前所用的大部分安全技术都是针对特定问题的解决而设计的。

譬如，防火墙是一种通过控制何种流量可以向何处流动来保护组织的技术。

它们用作一种访问控制设备。

我们通常将防火墙部署在组织的边界，以阻断未经授权的访问。

网络入侵检测系统则通过对系统或者网络活动的监视来进行攻击检测。

它们用于识别那些未经授权的活动。

而蜜罐并不限于解决某个具体问题。

相反，这是一种可应用于大量不同场合的高度灵活的工具。

这就是蜜罐乍一看让人觉得很模糊的原因所在，因为可以使用它们实现很多不同的目标，并且其形式也是形形色色。

譬如，蜜罐可以用于阻止攻击，这是一种和防火墙类似的目的；可以用于检测攻击，这类似于入侵检测系统的功能；可以用于捕获和分析自动化的攻击（如蠕虫）；可以充当先期的指示或者预警传感器；还可以研究黑客界的活动、捕获攻击者们击键信息或者对话信息的能力。

蜜罐在行动中捕获黑客的陷阱

蜜罐在行动中捕获黑客的陷阱作者：高枫来源：《计算机与网络》2019年第10期蜜罐是IT专业人员锁定了恶意黑客，希望他们会在提供有用的情报的方式与之交互陷阱。

这是IT中最古老的安全措施之一，但要注意：即使在孤立的系统上，将黑客吸引到您的网络上也是一种危险的游戏。

蜜罐是一种计算机或计算机系统，旨在模仿可能的网络攻击目标。

通常情况下，蜜罐会被故意配置已知的漏洞，以便为攻击者制定更具诱惑力或明显的目标。

蜜罐不会包含生产数据或参与您网络上的合法流量，就是您可以通过攻击来判断其中发生任何事情的方式。

蜜罐类型蜜罐的分类有2种不同的方案：一种基于它们的构建方式，另一种基于它们的用途。

纯蜜罐是这样一种方式，在攻击者引诱下配置一个物理服务器。

特殊监控软件会密切关注蜜罐与网络其它部分之间的连接。

由于这些都是成熟的机器，它们为攻击者提供了更加逼真的目标，但攻击者可能会在蜜罐的创建者身上转换表格并使用蜜罐作为攻击的临时服务器。

他们配置和管理也是劳动密集型的。

高交互蜜罐使用的虚拟机，与保持潜在的损害系统隔离。

多个虚拟蜜罐可以在单个物理设备上运行，这样可以更容易地扩展到多个蜜罐和沙箱受损系统，然后关闭并重新启动它们，恢复到原始状态。

但是，每个VM仍然是一个成熟的服务器，具有所有附带的配置成本。

一个低交互蜜罐是一个VM只运行一组有限的服务代表最常见的攻击向量或攻击媒介队伍建设的蜜罐是最感兴趣的，这种类型的蜜罐是更容易建立和维护，消耗资源较少，但更有可能对攻击者“假”。

将蜜罐分开的另一种方法是建立它们的人背后的意图：有研究蜜罐和生产蜜罐。

二者之间的区别进入了蜜罐在实践中实际使用的杂草，因此我们将在下一步讨论。

蜜罐和蜜网之间的区别蜜网是蜜罐概念的合理延伸。

蜜罐是一台独立的机器（或虚拟机），而蜜网则是一系列联网的蜜罐。

当然，攻击者不仅希望在受害者的基础设施上找到一台机器，而且还会找到许多不同专用类型的服务器。

例如，通过观察攻击者在网络中从文件服务器移动到网络服务器，将更好地了解他们正在做什么以及他们如何做，而且他们认为真的进入了你的网络。

蜜罐及蜜网技术研究进展国防科学技术大学

计算机研究与发展ISSN 100021239ΠCN 1121777ΠTPJournal of Computer Research and Development 45(Suppl 1):375～378,2008　收稿日期:2007-07-10　基金项目:国家自然科学基金项目(60603062);湖南省自然科学基金项目(06JJ3035);湖南省教育厅资助科研项目(07C718)蜜罐及蜜网技术研究进展程杰仁1,2　殷建平1　刘　运1　钟经伟11(国防科学技术大学计算机学院　长沙　410073)2(湘南学院数学系　郴州　423000)(cjr22@1631com )Advances in the H oneypot and H oneynet T echnologiesCheng Jieren 1,2,Y in Jianping 1,Liu Yun 1,and Zhong Jingwei 11(School of Com puter Science ,N ational U niversity of Def ense Technology ,Changsha 410073)2(Depart ment of M athem atics ,Xiangnan U niversity ,Chenz hou 423000)Abstract In recent years ,there have been extensive studies and rapid progresses in honeypot and honeynet ,which is one of the hotspots and key techniques in the network security field 1Highlighting the challenging issues and research trends for honeypot and honeynet technologies ,Presented in this paper is a survey on the up 2to 2date development in honeypot and honeynet ,including definition and key technologies 1It is pointed out that problems such as disguise service ,architecture ,multi 2resource data fusion ,attack analysis and legal ramifications are the key problems to the study of honeypot and honeynet 1Possible solutions to these problems are also discussed respectively 1Finally ,some future directions of research are given 1K ey w ords honeypot ;honeynet ;network security ;intrusion detection ;early detection摘　要　蜜罐及蜜网是网络安全领域的研究热点与核心技术,近年来得到了广泛的关注和快速的发展1提出了蜜罐及蜜网技术所面临的挑战1从蜜罐和蜜网的概念及其关键技术等方面对其研究进展进行综述评论1认为系统伪装、体系结构、多源信息融合、攻击分析与特征提取以及计算机取证与法律等问题是目前蜜罐及蜜网研究的关键问题,并讨论了这些问题可能采取的方法1最后对研究的方向进行了展望1关键词　蜜罐;蜜网;网络安全;入侵检测;预警中图法分类号　TP31115 目前借助计算机和互联网对信息资源所进行的攻击日益严重1现有以防火墙(firewall )和入侵检测系统(IDS )为核心的防御技术通常滞后于各种各样的攻击技术1蜜罐(honeypot )和蜜网(honeynet )技术作为一种主动防御技术逐渐得到了广泛的关注和快速的发展[1]1本文介绍蜜罐和蜜网技术的最新研究,重点讨论蜜罐和蜜网在网络安全实际应用中所面临的问题及最新进展,从概念、关键技术、相关问题、现状和趋势等方面进行归纳和评论,最后给出全文的总结和相关技术的展望11　蜜罐与蜜网的概念和研究动态111　基本概念蜜罐是一种安全资源,其价值体现在被探测、攻击或者攻陷的时候[2]1蜜罐只有虚假的敏感数据,不是用于对外的正常服务1它可以是一个网络、一台主机、一项服务,也可以是数据库中的某些无用的数据项以及伪装的用户名及其弱口令等,因此任何与它交互的行为都可被认为是攻击行为,这样简化了检测过程1它可以部署在各个内部子网或关键主机上,检测来自网络系统外部和内部的攻击,是一种以检测、监视并捕获攻击行为和保护真实主机为目标的诱骗技术1蜜网是由若干个能收集和交换信息的蜜罐构成的一个黑客诱捕网络体系架构[2]1它是将蜜罐纳入到一个完整的蜜网体系中,并融入数据控制、数据捕获和数据采集等元素,使得安全研究人员能够方便地追踪入侵到蜜网中的黑客并对他们的攻击行为进行控制和分析1112　研究动态蜜罐和蜜网的研究主要涉及5类关键技术:网络欺骗、攻击捕获、数据控制、攻击分析与特征提取、预警防御技术111211　网络欺骗技术网络欺骗技术是使蜜罐系统在网络上与真实的主机系统难以区分1目前主要有两种实现方式11)采用经过安全处理的、与目标网络环境相一致的真实系统,这种系统称为真实蜜罐或蜜网1如蜜网项目组(The Honeynet Project)推出的第3代蜜网(G en Ⅲ)[2]12)采用与目标网络环境相一致的虚拟系统,这种系统称为虚拟蜜罐或蜜网1如H oneyd, KFSens or,S pecter和ManT rap等虚拟蜜罐,Prov os[3]实现的虚拟蜜网1Artail[4]等人实现了一个混合的蜜罐系统,由低交互的虚拟蜜罐Honeyd和高交互的真实蜜网Honeynet组成,但是在大规模网络环境中部署和配置仍较困难1Spitzner提出动态蜜罐(dynamic honeypot)的概念,系统自动地进行配置,实时地与目标网络环境保持一致1Kuwatly[5]等人实现一个动态蜜罐用于检测攻击,但是仍需要人工参与配置1 11212　攻击捕获技术攻击捕获技术是捕获攻击者的入侵行为1为了确保捕获的攻击数据的准确性、完整性和时效性,攻击捕获一般从3个层次进行数据采集11)访问控制层次(access control layer)1在路由器、网关或防火墙上捕获黑客对蜜罐和蜜网的所有网络连接和网络数据,如IPTables12)网络层次(network layer)1在网络上捕获黑客对蜜罐和蜜网的攻击,如TCPdump13)系统层次(system layer)1在蜜罐所在的主机上捕获攻击者的所有攻击行为,风险较大,容易被攻击者发现,如Sebek111213　数据控制技术数据控制技术是控制攻击者出入蜜罐的活动,使其不会以蜜罐为跳板攻击和危害别的主机[6]1它通常遵循这样的原则:不限制蜜罐的数据流入,限制蜜罐的数据流出1为了防止因单个机制被攻破而导致系统沦陷,通常采用多层次的数据控制机制1如G enⅢ使用IPTables防火墙限制每台蜜罐主机在单位时间内允许向外发起的连接数以及流量速率,使用网络入侵防御系统snort inline检测并控制蜜罐外出的每个数据包1Spitzner引入重定向技术,提出了的蜜场(honeyfarm)的概念,即通过重定向器(redirector)将网络各个子网中发现的恶意的或未授权的活动重定向到蜜场里的蜜罐中,以集中监控和捕获1Jiang[6]等人实现了一个用于检测服务器和客户端的安全威胁的蜜场系统Collapsar,但是不适合大规模的网络环境111214　攻击分析与特征提取攻击分析与特征提取是对捕获的各种攻击数据进行融合、挖掘,分析黑客的工具、策略以及动机,提取未知攻击的特征1G enⅢ中,由Roo光盘中的Walleye提供基于Web方式的网络连接视图,结合Sebek310对蜜罐主机中捕获到的攻击者键击记录进行浏览,协助安全人员分析蜜网中所发生的攻击事件1基于蜜罐或蜜网自动提取攻击特征的研究也取得了一些成果1如Kreibich等人提出了一种比较简单LCS(longest2common2substring)算法[7],但是提取的质量较差1Thakar通过可视化、统计分析等方法辅助人工筛选出可疑数据,然后采用LCS算法自动提取攻击特征[8]1Yegneswaran等人利用协议的语义实现从Honeynet数据中自动提取攻击特征[9]1 11215　预警防御技术预警防御技术是感知网络安全威胁态势,分析网络系统漏洞,评定网络风险级别,在黑客攻击或攻陷产品系统之前,采取相应的防御措施1文献[10]提出了一种利用Honeynet数据对业务网络进行实时的风险评估的方法1G enⅢ通过使用Swatch以Email或者拨打电话方式自动报警1针对各种特定攻击,基于蜜罐系统产生了许多防御方法,目前主要有以下几个方面:1)检测内部攻673计算机研究与发展　2008,45(增刊)击1如Honeytoken[11]是将一些正常情况下不会使用的信息内容作为诱饵以发现并追踪攻击活动12)检测缓冲区溢出攻击1如shadow honeypot[12]是通过监测被保护软件的副本“shadow honeypot”内部的运行状态来检测攻击13)防御DoS攻击1如honeypot back2propagation[13]是用一些伪装在服务器池中的roaming honeypots来欺骗和阻止DoS攻击14)检测恶意代码的攻击1如HoneyStat[14]利用蜜罐技术和Logistic回归理论来实现病毒检测15)检测对无线网络的攻击1如wireless honeypot trickery[15]16)检测恶意网站对浏览器的攻击1如H oneyMonkey[16]17)检测垃圾邮件的攻击1如文献[17]介绍了利用honeypot检测和分析垃圾邮件18)检测Web应用攻击1如G oogle hacking honeypot[18]12　主要挑战和发展趋势蜜罐和蜜网技术经过近20年的不断发展,在安全领域的应用越来越广泛1但是,蜜罐和蜜网技术的大规模应用仍受到很多问题的困扰,下面主要论述解决这些关键问题可能采取的方法1211　系统伪装采用真实的计算机系统构建蜜罐系统,其交互程度高,但是部署和管理困难;采用虚拟仿真技术,其部署容易、风险较低,但是交互程度低,较容易识别;尤其在大规模网络环境中部署和管理蜜罐系统困难;此外检测和攻击蜜罐的技术也在发展,模拟不同的操作系统或已知的漏洞,容易被入侵者识别[19] 1如何通过增强系统伪装的智能性,感知和学习实时的网络环境,动态自适应网络变化,自动地进行系统配置,提高模拟服务的质量和被攻击、探测的概率,确保蜜罐内容的高度真实性和迷惑性,有待进一步的研究1212　体系结构目前国内外提出的各种各样的蜜罐体系结构存在以下不足:缺乏面向应用需求的攻击行为采集与分析方案定制系统;集中式结构蜜罐不适合大规模网络环境;分布式结构蜜罐部署和管理困难;现有蜜场采用分布式部署监测节点、集中式管理伪装系统,仍然较难适应大型的分布式网络环境,攻击分析与特征提取和安全响应没有系统地加入到体系结构中,缺乏与其他安全系统的协作和联动1建立一体化软件体系框架,包括层次化、支持分布式处理、统一资源管理、统一用户界面接口、可配置算法服务和工作流、良好的可扩展能力等,构成一个有效的网络安全风险感知模型,确保其他业务对攻击数据资源的需求与共享,提高网络整体的安全防护水平,便成为分布式蜜罐系统体系结构研究,尤其是大规模早期预警防御系统体系结构研究的一个重要问题1213　多源信息融合多源信息融合是感知网络风险的重要环节之一1它使得一方面可以及时利用局部获得的采集信息来分析攻击,预测潜在的安全隐患,另一方面又能通过局部信息的汇集与融合对攻击和整体的安全状况进行分析预测并反过来对攻击和局部的安全隐患形成更准确的判断1随着相关技术的迅速发展以及空间数据库的规模日益扩大,不同层次、类型、特征的多源数据所包含信息的冗余性、不确定性更加突出,遍历所有的融合算法并进行比较分析无疑是不现实的1因此设计具有良好逻辑性、自完备的、跨平台的数据分析中间件,对多源信息统一数据的表示和存储,并进行精化处理与数据挖掘,根据信息的特性选择最优化的融合算法,以提高融合分析的快速性与准确性,具有更加现实的意义1214　攻击分析与特征提取目前对捕获的攻击数据进行分析并提取攻击特征,仍需要安全人员投入较多的精力和时间,很多有价值的信息要通过专家的手工分析才能得到,难以满足实际的需要1从研究方法上讲,攻击分析和特征提取可以借鉴其他领域中处理数据信息的一些成熟的理论、方法和技术,例如机器学习、人工智能、数据挖掘等,以加强基于数据可视化、协议还原、攻击工具自动识别、入侵场景自动分析、攻击特征自动提取等技术,提供更多深层次的安全信息1215　计算机取证和法律问题蜜罐系统没有正常的网络活动,收集的都是与入侵者有关的信息,可以离线分析,信息量小,因此从中可以迅速找到犯罪证据1蜜罐和蜜网是一种防御系统,只要不对部署的蜜罐进行宣传从而引诱黑客进行攻击,就不会触犯到法律,可能引发法律纠纷的是黑客利用蜜罐向第三方网络发起攻击造成破坏,因此对黑客利用蜜罐向第三方网络发起的攻击时,要采取控制措施来避免此风险1773程杰仁等:蜜罐及蜜网技术研究进展3　结束语本文从蜜罐和蜜网的概念、网络欺骗、攻击捕获、数据控制、攻击分析与特征提取、预警防御等方面总结了蜜罐技术近年来的研究进展,重点讨论了近期所面临的一些主要问题及最新成果,并对将来的一些研究工作进行了展望1蜜罐和蜜网技术是一种应用欺骗思想的主动防御技术,是现有安全机制的有力补充1随着机器学习、数据挖掘和相关领域理论和技术研究的深入,针对不同实际应用,特别是系统伪装、体系结构、多源信息融合、攻击分析与特征提取及计算机取证等问题,将成为蜜罐和蜜网相关研究和应用的重点和主要突破的方向1参考文献[1]B Krishnamurthy1Mohonk:Mobile honeypots to traceunwanted traffic early1The ACM SIGCOMM Workshop onNetwork Troubleshooting(Net T’04),Portland,Oregon,USA,2004[2]The Honeynet Project1http:ΠΠwww1honeynet1org,2007[3]N Provos1A virtual honeypot framework1The13th USENIXSecurity Symposium,San Diego,CA,USA,2004[4]Hassan Artail,Haidar Safa,Malek Sraj,et al1A hybridhoneypot framework for improving intrusion detection systems inprotecting organizational networks1Computers&Security,Alexandria,VA,USA,2006[5]Z Kuwatly,Masri M Sraj,H Artail1A dynamic honeypotdesign for intrusion detection1ACSΠIEEE Int’l Conf onPervasive Services(ICPS2004),Beirut,Lebanon,2004 [6]Xuxian Jiang,Dongyan Xu,Y i2Min Wang1Collapsar:A VM2based honeyfarm and reverse honeyfarm architecture for networkattack capture and detention1Journal of Parallel and DistributedComputing,2006,66(9):1165-1180[7]C Kreibich,J Crowcroft1Honeycomb:Creating intrusiondetection signatures using honeypots1ACM SIGCOMMComputer Communication Review,2004,34(1):51-56 [8]Urjita Thakar1HoneyAnalyzer:Analysis and extraction ofintrusion detection patterns&signatures using honeypot1The2nd Int’l Conf on Innovations in Information Technology,Dubai,UAE,2005[9]Y egneswaran,et al1An architecture for generating semantics2aware signatures1Usenix Security Symposium,Baltimore,MD,2005[10]Riebach,Rathgeb,T dtmann1Risk assessment of productionnetworks using honeynets2some practical experience1In:LNCS33391Berlin:Springer,2005[11]L Spitzner1Honeypots:Catching the insider threat1The19thAnnual Computer Security Applications Conference,Las Vegas,Nevada,USA,2003[12]K Anagnostakis,S Sidiroglou,P Akritidis,et al1Detectingtargeted attacks using shadow honeypots1Usenix SecuritySymposium,Baltimore,MD,2005[13]Sherif Khattab,Rami Melhem,Daniel Mossé,et al1Honeypotback2propagation for mitigating spoofing distributed denial2of2service attacks1Journal of Parallel and Distributed Computing,2006,66(9):1152-1164[14]Wireless Honeypot Trickery1http:ΠΠwww1securityfocus1comΠinfocusΠ1761,2004[15]Y2M Wang,D Beck,X Jiang,et al1Automated Web patrolwith strider HoneyMonkeys:Finding Web sites that exploitbrowser vulnerabilities1The13th Network and DistributedSystem Security Symposium,San Diego,CA,USA,2006 [16]David Dagon,Xinzhou Qin,Guofei Gu,et al1HoneyStat:Local worm detection using honeypots1The7th Int’l Symp onRecent Advances in Intrusion Detection,Sophia Antipolis,France,2004[17]Guido Schryen1The impact that placing email addresses on theInternet has on the receipt of spam:An empirical analysis.Computers&Security,Alexandria,VA,USA,2007[18]G oogle Hack Honeypot1http:ΠΠghh1sourceforge1netΠ,2007[19]N Krawetz.Anti2honeypot technology1IEEE Security&Privacy,2004,2(1):76-79 程杰仁　男,1974年生,博士研究生,讲师,主要研究方向为网络安全1 殷建平　男,1963年生,教授,博士生导师,主要研究方向为人工智能、模式识别、信息安全等1 刘　运　男,1979年生,博士研究生,主要研究方向为网络安全1 钟经伟　男,1978年生,博士研究生,主要研究方向为网络安全1873计算机研究与发展　2008,45(增刊)。

蜜罐及蜜网技术简介

蜜罐及蜜网技术简介Introduction to Honeypot and Honeynet北大计算机科学技术研究所信息安全工程研究中心诸葛建伟，2004-10-15AbstractThe purpose of this paper is to overview the honeypot and honeynet technologies, including the concept, history, present and future. The most well known and applicable honeynet – Gen2 honeynet framework developed by The Honeynet Project is introduced. Furthermore, the emerging research directions in this area are presented.摘要本文给出了对蜜罐及蜜网技术的综述报告，包括蜜罐和蜜网的基本概念、发展历程、核心功能，并介绍了目前最为成熟的“蜜网项目组”推出的第二代蜜网架构。

此外本文还给出了蜜罐及蜜网技术的进一步研究方向。

关键字网络攻击；蜜罐；蜜网；诱捕网络1问题的提出众所周知，目前的互联网安全面临着巨大的考验。

美国CERT（计算机应急响应组）统计的安全事件数量以每年翻番的惊人指数级增长，在2003年已经达到了137,529次。

导致互联网目前如此糟糕的安全状况的原因有很多，一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷，同时，大部分的网络使用者还未真正拥有安全意识，也还很少进行安全加强工作，如及时打补丁、安装防火墙和其他安全工具等，从而导致了目前的互联网具有巨大的安全隐患。

另一方面，随着网络攻击技术的发展，特别是分布式拒绝服务攻击、跳板（Step-stone）攻击及互联网蠕虫的盛行，互联网上的每一台主机都已经成为攻击的目标。