蜜罐与蜜网技术介绍

第一章蜜罐技术蜜罐（Honeypot Technology）技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐好比是情报收集系统。

蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。

所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。

还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

第二章详细解释2.1蜜罐的定义首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别，虽然这两者都有可能被入侵破坏，但是本质却完全不同，蜜罐是网络管理员经过周密布置而设下的“黑匣子”，看似漏洞百出却尽在掌握之中，它收集的入侵数据十分有价值；而后者，根本就是送给入侵者的礼物，即使被入侵也不一定查得到痕迹……因此，蜜罐的定义是：“蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。

”设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能：发现攻击、产生警告、强大的记录能力、欺骗、协助调查。

另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。

2.2涉及的法律问题蜜罐是用来给黑客入侵的，它必须提供一定的漏洞，但是我们也知道，很多漏洞都属于“高危”级别，稍有不慎就会导致系统被渗透，一旦蜜罐被破坏，入侵者要做的事情是管理员无法预料的。

例如，一个入侵者成功进入了一台蜜罐，并且用它做“跳板”（指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为）去攻击别人，那么这个损失由谁来负责？设置一台蜜罐必须面对三个问题：设陷技术、隐私、责任。

设陷技术关系到设置这台蜜罐的管理员的技术，一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏，由此导致的后果将十分严重。

信息系统安全与对抗技术蜜罐及蜜网技术❖L.Spiuner是一名蜜罐技术专家，他对蜜罐的定义：蜜罐是一种资源，它的价值是被攻击或攻陷，这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的，蜜罐不会修补任何东西，这样就为使用者提供了额外的、有价值的信息。

❖蜜罐不会直接提高计算机网络安全，但它却是其他安全策略所不可替代的一种主动防御技术。

❖产品型蜜罐的价值•运用于特定组织中以减小各种网络威胁，它增强了产品资源的安全性•防护•检测•响应❖研究型蜜罐的安全价值•研究型蜜罐可以捕获自动攻击•研究型蜜罐并不会降低任何风险与威胁，但是它们可以帮助使用者获得更多入侵者的信息❖诱骗服务（Deception Service）❖弱化系统（Weakened System）❖强化系统（Hardened System）❖用户模式服务器❖诱骗服务（Deception Service）•足以让攻击者相信是一件非常困难的事情❖弱化系统（Weakened System）❖强化系统（Hardened System）❖用户模式服务器❖诱骗服务（Deception Service ）❖弱化系统（Weakened System ）❖强化系统（Hardened System ）❖用户模式服务器•是一个配置有已知攻击弱点的操作系统•恶意攻击者更容易进入系统❖诱骗服务（Deception Service）❖弱化系统（Weakened System）❖强化系统（Hardened System）•强化系统并不配置一个看似有效的系统❖用户模式服务器❖诱骗服务（Deception Service）❖弱化系统（Weakened System）❖强化系统（Hardened System）❖用户模式服务器❖配置蜜罐的实例•蜜罐系统应该与任何真实的产品系统隔离•尽量将蜜罐放置在距离外网最近的位置•需要有步骤地记录所有通过蜜罐的信息❖配置蜜罐的实例❖产品型蜜罐❖研究型蜜罐❖根据交互的程度分类•低交互蜜罐：只提供—些特殊的虚假服务低交互蜜罐蜜罐的分类❖根据交互的程度分类•低交互蜜罐：只提供—些特殊的虚假服务•中交互蜜罐：中交互蜜罐提供了更多的交互信息，但还是没有提供一个真实的操作系统中交互蜜罐蜜罐的分类❖根据交互的程度分类•低交互蜜罐：只提供—些特殊的虚假服务•中交互蜜罐：中交互蜜罐提供了更多的交互信息，但还是没有提供一个真实的操作系统•高交互蜜罐：高交互蜜罐具有一个真实的操作系统高交互蜜罐蜜罐的分类❖蜜罐基本分类•牺牲型蜜罐•外观型蜜罐•测量型蜜罐❖由多个系统和多个攻击检测应用组成的网络❖信息控制❖信息捕获❖信息收集密网（Honeynet）分布式蜜网❖只要谈及蜜罐，就会使人联想到“诱骗”。

网络诱骗技术之蜜罐摘要：基于主动防御理论系统而提出的新兴蜜罐技术，日益受到网络安全领域的重视，蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵，进而了解攻击思路、攻击工具和攻击目的等行为信息，特别是对各种未知攻击行为信息的学习。

根据获取的攻击者得情报，安全组织就能更好地理解网络系统当前面临的危险，并知道如何阻止危险的发生。

本文首先系统地介绍了蜜罐和蜜罐网络诱骗系统的原理知识及关键技术,重点阐述了蜜罐的发展趋势及研究方向。

关键词：蜜罐、网络诱骗、网络安全、蜜网Phishing technology Honeypot(Northeastern University at Qinhuangdao, Qinhuangdao, 066004) Abstract: Based on active defense system proposed by the emerging theory of honeypot technology, increasingly the importance of network security, honeypots, mainly through careful layout of the environment to attract and tolerance decoy invasion, and then understand the idea of attack, attack tools, and the purpose of acts such as attacks information, especially information on a variety of learning unknown attacks. According to the attacker have access to intelligence and security organizations can better understand the danger facing the network system, and how to prevent dangerous place. This article first systematic introduction to honeypots and honeypot network decoy system, the principle knowledge and key technologies, focusing on trends and honeypot research.Keywords: Honeypot, Phishing, network security, Honeynet0引言“蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo’s Egg》中，在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并发现一起商业间谍案的故事。

网络信息安全的蜜罐与蜜网技术网络信息安全是当今社会中不可忽视的重要议题之一。

为了应对不断增长的网络攻击和威胁，各种安全技术被研发出来，其中蜜罐与蜜网技术在网络安全领域中扮演着重要的角色。

蜜罐与蜜网技术可以说是网络防御体系中的“绊脚石”，通过诱使攻击者的注意力转移到虚假目标上，保护真实系统的安全。

本文将深入探讨蜜罐与蜜网技术的原理、应用以及其对网络安全的影响。

一、蜜罐技术蜜罐技术是一种利用安全漏洞吸引攻击者并收集攻击信息的方法。

蜜罐可以是一个虚拟机、一个系统、一个应用程序等，并通过实施合适的伪造，使攻击者产生对其价值的错觉。

当攻击者攻击了蜜罐，管理员就可以获取攻击者的信息以及攻击方式。

这种技术可以帮助安全专家识别攻击者的手段和目的，提供关于攻击者行为的详细记录，进一步优化网络防御策略。

蜜罐可以分为低交互蜜罐和高交互蜜罐两种类型。

低交互蜜罐主要用于攻击者获取目标及攻击信息，并能提供类似真实环境的部分服务；而高交互蜜罐则可以模拟完整的网络环境和服务，与攻击者进行实时互动，收集更多的信息并增加攻击者暴露自身的风险。

在实际应用中，蜜罐技术主要用于安全研究、网络攻击监测、攻击溯源和黑客防范等方面。

通过搭建蜜罐系统，安全专家能够分析攻击者的行为，预测新的攻击模式，从而提前采取相应的安全措施。

同时，蜜罐技术也可以用于对抗黑客，并增加网络安全的整体强度。

二、蜜网技术蜜网技术是指将多个蜜罐组成一个密集的网络环境，形成一个蜜罐阵列。

蜜网技术通过在网络中分布多个虚拟、伪造或易受攻击的系统，吸引攻击者进行攻击。

与蜜罐单独使用相比，蜜网技术可以提供更大规模和复杂度的攻击模拟环境，更好地了解攻击者的动机、行为以及他们之间可能存在的关联。

蜜网技术在网络安全中具有重要作用。

首先，它为安全人员提供更多真实攻击事件的数据，帮助他们分析攻击者的行为和策略，改善网络安全防护。

其次，蜜网技术可以用于主动监控攻击行为，及时发现并阻止未知安全威胁。

防黑阻击 入侵检测之蜜罐与蜜网入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术。

主要包括蜜罐(Honeypot)和蜜网(Honeynet)两种。

它是用特有的特征吸引攻击者，同时对攻击者的各种攻击行为进行分析，并找到有效的对付方法。

为了吸引攻击者，网络管理员通常还在Honeypot上故意留下一些安全后门，或者放置一些攻击者希望得到的敏感信息，当然这些信息都是虚假。

当入侵者正为攻入目标系统而沾沾自喜时，殊不知自己在目标系统中的所做所为，包括输入的字符，执行的操作等都已经被Honeypot所纪录。

蜜罐技术Honeypot是一个资源，它的价值在于它会受到探测，攻击或攻陷。

蜜罐并不修正任何问题，它们仅提供额外的、有价值的信息。

所以说Honeypot并非是一种安全的解决方案，这是因为它并不会“修理”任何错误。

它只是一种工具，如何使用这个工具取决于用户想做什么。

Honeypot可以对其他系统和应用进行仿真，创建一个监禁环境将攻击者困在其中。

无论用户如何建立和使用Honeypot，只有Honeypot受到攻击，它的作用才能发挥出来。

所以为了方便攻击，最好是将Honeypot设置成域名服务器WEB或电子邮件转发服务等流行应用中的一种。

蜜罐的部署蜜罐并不需要一个特定的支撑环境，它可以放置在一个标准服务器能够放置的任何地方。

当然，根据所需要的服务，某些位置可能比其他位置更好一些。

如图(1)显示了通常放置的三个位置：1.在防火墙前面；2.DMZ中；3.在防火墙后面。

如果把蜜罐放在防火墙的前面，不会增加内部网络的任何安全风险，可以消除在防火墙后面出现一台失陷主机的可能性（因为蜜罐主机很容易被攻陷）。

但是同时也不能吸引和产生不可预期的通信量，如端口扫描或网络攻击所导致的通信流，无法定位内部的攻击信息，也捕获不到内部攻击者。

如果把蜜罐放在防火墙的后面，那么有可能给内部网络引入新的安全威胁，特别是如果蜜罐和内部网络之间没有额外的防火墙保护。

蜜罐技术背景描述针对目前网络严重的安全威胁，网络安全人员和管理员却仍然对黑客社团所知甚少。

当网络被攻陷破坏后，甚至还不知道幕后黑手是谁。

对他们使用了哪些工具、以何种方式达成攻击目标，以及为什么进行攻击更是一无所知。

“知己知彼，百战不殆”，安全防护工作者，无论是安全研究人员、安全产品研发人员、安全管理人员和安全响应服务人员，都需要首先对黑客社团有深入的了解，包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。

只有在充分了解对手的前提下，安全技术人员和网络管理员才能更有效地维护互联网安全。

而蜜罐和蜜网技术为捕获黑客的攻击行为，并深入分析黑客提供了基础。

工作原理1.蜜罐蜜罐(Honeypot)是一种在互联网上运行的计算机系统，它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人而设计的。

蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标。

蜜罐的另一个用途是拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间。

此外，蜜罐也可以为追踪攻击者提供有力的线索，为起诉攻击者搜集有力的证据。

简单地说，蜜罐就是诱捕攻击者的一个陷阱。

一些专门用于欺骗黑客的开源工具，如Fred Cohen 所开发的DTK(欺骗工具包)、Niels Provos 开发的Honeyd 等，同时也出现了像KFSensor、Specter 等一些商业蜜罐产品。

这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。

虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。

但是由于虚拟蜜罐工具存在着交互程度低，较容易被黑客识别等问题，从2000年之后，安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐，但与之前不同的是，融入了更强大的数据捕获、数据分析和数据控制的工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。

1.引言随着人类社会生活对Internet需求的日益增长，网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题，特别是1993年以后Internet开始商用化，通过Internet进行的各种电子商务业务日益增多，加之Internet/Intranet技术日趋成熟，很多组织和企业都建立了自己的内部网络并将之与Internet联通。

上述上电子商务应用和企业网络中的商业秘密均成为攻击者的目标。

据美国商业杂志《信息周刊》公布的一项调查报告称，黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失，在全球范围内每数秒钟就发生一起网络攻击事件。

2003年夏天，对于运行着Microsoft Windows的成千上万台主机来说简直就是场噩梦！也给广大网民留下了悲伤的回忆，这一些都归结于冲击波蠕虫的全世界范围的传播。

2.蜜罐技术的发展背景网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。

网络安全防护涉及面很广，从技术层面上讲主要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。

在这些安全技术中，大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护。

而蜜罐技术可以采取主动的方式。

顾名思义，就是用特有的特征吸引攻击者，同时对攻击者的各种攻击行为进行分析并找到有效的对付办法。

（在这里，可能要声明一下，刚才也说了，“用特有的特征去吸引攻击者”，也许有人会认为你去吸引攻击者，这是不是一种自找麻烦呢，但是，我想，如果攻击者不对你进行攻击的话，你又怎么能吸引他呢？换一种说话，也许就叫诱敌深入了）。

3. 蜜罐的概念在这里，我们首先就提出蜜罐的概念。

美国 L．Spizner是一个著名的蜜罐技术专家。

他曾对蜜罐做了这样的一个定义：蜜罐是一种资源，它的价值是被攻击或攻陷。

这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的，蜜罐不会修补任何东西，这样就为使用者提供了额外的、有价值的信息。

link邓 成 王务鹏（等同第一作者）国家知识产权局专利局专利审查协作四川中心邓成，男，硕士研究生，从事发明专利审查工作；王务鹏，男，硕士研究生，从事发明专利审查工作。

本文针对蜜罐和蜜网专利进行了分析并梳理了其技术分支和重点申请人、国内外申请量情况，提出中国相关领域的技术发展不落后于国外，但是仍然需要持续努力发展以取得进一步优势的观点。

在蜜罐和蜜网专利技术领中国科技信息2020年第17期·CHINA SCIENCE AND TECHNOLOGY INFORMATION Sep.2020◎专利分析始出现大的增加，基本占到全球申请量的一半，这一现象也与蜜罐技术在中国的发展历史相契合，北京大学在2004年组建了“狩猎女神项目组”着手研究蜜罐技术，并在2005年正式加入了蜜网项目组织开始承担网络安全研究。

专利技术分布分析如图2所示，蜜罐和蜜网的专利技术主要集中在中国和美国，二者的申请总量占据了全球申请量的80%以上，其次是韩国、欧洲和日本等。

在上述图中也反映出，在当前，中国和美国在蜜罐和蜜网技术领域各自申请量所占的比例基本相同。

历年申请量分析 由于2018和2019之后的部分专利申请尚未公开，这之后的发展趋势并未完全体现在图3中。

如图3所示，在2006年之前，在蜜罐和蜜网技术领域，美国的专利申请量遥遥领先于全球其他国家和地区，而自2006年开始，中国的专利申请量开始出现大的增长，并且呈现出逐渐追、持平并超越美国申请量的趋势，而这也反映出中国在蜜罐和蜜网技术领域虽然起步略晚于美国，但经过多年的技术努力和快速发展，当前总体技术发展上与美国持平。

全球主要申请人分析如图4所示，居于全球申请量首位的是IBM 公司，IBM 公司作为全球著名的老牌IT 技术公司，自然十分重视网络安全。

紧随IBM 位居申请量第二的是中国的技术公司哈尔滨安天科技股份有限公司，这说明国内已有网络安全相关技术企业对蜜罐和蜜网技术领域做了研究，但从整体分布情况看，全球前十的申请人中仅有三家属于中国，由此也说明中国的其他网络安全相关企业或组织在蜜罐和蜜网技术领域仍然有较大的提升空间。

主动防御技术之蜜罐总结传统防御技术在在攻防演练中仍然有精彩的表现，同时也能感受到主动防御技术发挥的巨大作用，最典型的莫过于蜜罐了，红方人员误入蜜罐，被蓝方人员捕捉到并进行身份画像，从而实现追踪溯源。

下面我们来聊聊蜜罐技术。

一、从被动防御到主动防御一直以来，被动防御是通过面向已知特征的威胁，基于特征库精确匹配来发现可疑行为，将目标程序与特征库进行逐一比对，实现对异常行为进行监控和阻断，这些特征库是建立在已经发生的基础之上，这就很好的解释了为什么被动防御是一种“事后”的行为。

典型的技术有防火墙、入侵检测等。

但是对于未知的攻击如0day，依赖于特征库匹配的防御是无法有效应对的，为了应对这种攻防不对等的格局，主动防御技术出现了，典型的技术有网络空间拟态防御等。

二、引入主动防御策略随着攻击技术的进一步提高，越来越多的方法可以绕过传统的被动防御技术来对目标系统发动攻击，传统的被动防御技术也引进了主动防御策略，除此之外，也有新型的主动防御技术如沙箱、蜜罐等相继出现，进一步弥补了攻防不对称的局面。

这类技术主要解决“已知的未知威胁”，例如，蜜罐通过构建伪装的业务主动引诱攻击者，从而捕获行为。

在攻防演练期间，就存在将蜜罐伪装成某服的VPN映射在外网引诱攻击者攻击，从而迷惑攻击者，通过捕获IP进行封堵来提高攻击者的时间成本，也可对攻击者进行溯源，但是蜜罐技术还是无法应对0day。

三、沙箱技术沙箱技术源于软件错误隔离技术（software-based fault isolation,SFI）。

SFI 主要思想是隔离。

沙箱通过采用虚拟化等技术构造一个隔离的运行环境，并且为其中运行的程序提供基本的计算资源抽象，通过对目标程序进行检测分析，准确发现程序中的恶意代码等，进而达到保护宿主机的目的。

如默安的架构采用kvm，长亭采用的是docker。

由于沙箱具有隔离性，恶意程序不会影响到沙箱隔离外的系统，而且沙箱还具有检测分析的功能，来分析程序是否为恶意程序。

浅议蜜网技术摘要：蜜罐技术改变了传统网络安全防御技术一律将入侵者“拒之门外”的被动做法，而是提出全新的“请君入瓮”主动防御概念。

虽然蜜罐技术目前仍存在很多争议，但它无疑是学习敌方情报最好的工具。

本文主要从蜜网的功能、蜜网系统的总体设计、蜜网系统的测试三方面对蜜网技术进行了浅议。

关键词：蜜网；蜜罐；功能；测试；总体设计蜜罐技术思想本质就是使用“蜜”来诱骗入侵者入侵，通过精心布置的“罐”来监控入侵者的入侵行为，尽可能多地捕获并学习入侵者相关信息，从而间接或直接地保护系统安全。

它改变了传统网络安全防御技术一律将入侵者“拒之门外”的被动做法，而是提出全新的“请君入瓮”主动防御概念。

虽然蜜罐技术目前仍存在很多争议，但它无疑是学习敌方情报最好的工具。

一、简述蜜网的功能1.欺骗功能。

在蜜网内设置多个有不同操作系统的蜜罐主机，如windows系统和linux系统，在不同的蜜罐主机上开放不同的网络服务，以此来模拟真实的系统和真实的服务。

在这个系统中，其欺骗功能程度主要依赖于各蜜罐主机仿真的逼真程度。

由此可见，该蜜网系统实质是一个实施欺骗的蜜罐主机的集合。

2.数据控制功能。

构建蜜网时，通常在防火墙与各蜜罐群集之间，还会设置一个路由器。

放置路由器的原因有二：首先，路由器的存在使防火墙具有“不可见”性，入侵者攻入蜜罐后可能会察看蜜罐外发的路由，放置路由器更接近真实的网络环境，入侵者一般不能注意到防火墙的存在；其次，路由器可以作为对防火墙访问控制的很好补充，我们可以设置一些路由规则进行路由控制，确保各蜜罐不会被用来攻击蜜网之外的机器。

3.数据捕获功能。

蜜网系统的一个非常重要的功能就是数据捕获，而这些捕获数据一直是入侵者们想删除或者篡改的。

在蜜网系统中，对数据捕获的方式是对防火墙日志、ids日志及各蜜罐系统日志的收集、分析及保护。

为防止入侵者攻破蜜网之后修改各蜜罐主机的日志，蜜罐主机通常会利用操作系统自身提供的日志功能，这充分体现了基于网络的信息收集策略，为蜜网提供了安全强大的数据捕获功能。