蜜罐与计算机取证技术

蜜罐与计算机网络取证技术

摘要:随着信息化的飞速发展，网络安全得到人们前所未有的关注。对于网络安全的防护，传统的被动防御已经无法满足人们的需要，蜜罐技术作为一种主动枝术弥补了传统防护系统的不足。从定义、分类以及关键技术等方面对蜜罐技术给出一个比较系统的解释，并指出了蜜罐技术存在的问题，探讨了将来的发展趋势。本文结合当前网监工作面临的维护网络安全和打击网络犯罪艰巨任务，由于网络和计算机的特性.，是我们对计算机犯罪的预防、取证和侦破面临了很大的困难。提出了将蜜罐技术引入到网监工作中，使之成为维护网络安全和打击网络犯罪的有力武器。

关键词:蜜罐、蜜罐技术应用、网络安全、犯罪取证

一、引言

以计算机网络为核心的信息技术的飞速发展使得电子商务、电子政务和电子军务等的应用日益广泛，也使得网络信息安全成为人们日益关注的问题。随着网络的不断普及，个人信息窃取、网络诈骗、病毒传播、网络攻击等网络犯罪也日益猖獗，例如：一些不法分子建立假冒的网上银行、向用户发送含有诈骗信息的电子邮件等，以窃取用户网上银行的用户名和密码，盗取用户资金；一些黑客为了证明自己的技术而去入侵政府官网，并肆意篡改网页内容，造成了极大的破坏。为了保障网络安全，防火墙和入侵检测等技术应运而生，并在各个领域得到了广泛的应用。然而，它们检测网络入侵行为大都是被动的、基于规则的，对入侵的发现及报警也是在规则的基础上，对一些新的入侵手段则无能为力，因此，单纯的防火墙或入侵检测等技术已不能满足需要。为了利用法律手段严惩网络犯罪，我们就必须取得入侵者犯罪的证据，于是，计算机取证技术也孕育而生了，蜜罐技术则是计算机取证中的一项关键技术。

计算机取证（Computer Forensics）是网络主动防御技术在打击网络犯罪中的应用，它是应用计算机的辨析方法，对网络犯罪的行为进行捕获和分析，以保留犯罪的电子证据，并以此作为重要证据提起诉讼。对于网络入侵的犯罪行为，对被入侵的计算机、网络设备与系统进行扫描，将入侵的全过程重组，并将其获取、保存、分析、出示，形成具有法律效力的电子证据。计算机取证在计算机和网络犯罪猖獗的今天有着至关重要的作用，它是法学和计算机科学的融合，通过在计算机上提取犯罪证据，以打击计算机和网络犯罪。

二、蜜罐技术

1、蜜罐的概念和发展历程

“蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo's Egg》中，在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并发现一起商业间谍案的故事。“蜜网项目组”(The Honeynet Project)的创始人Lance Spitzner给出了对蜜罐的权威定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作

用，因此所有流人/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。

2、蜜罐的定义

蜜罐(Honeypot)是一种专门设计成被扫描、攻击和入侵的网络资源。具体来说，蜜罐就是一个包含漏洞的系统，它可以模拟一个或多个易受攻击的主机，可以包含一些不威胁系统安全的数据以引诱攻击者。由于它没被授权任何行为，没有任何产品价值，因此，所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐作为一种安全资源，其价值就在于被探测、被攻击或攻陷，尔后对这些攻击活动进行监视、检测和分析。

设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。

3、蜜罐的类型

世界上不会有非常全面的事物，蜜罐也一样。根据管理员的需要，蜜罐的系统和漏洞设置要求也不尽相同，蜜罐是有针对性的，而不是盲目设置来无聊的，因此，就产生了多种多样的蜜罐。

3.1.实系统蜜罐

实系统蜜罐是最真实的蜜罐，它运行着真实的系统，并且带着真实可入侵的漏洞，属于最危险的漏洞，但是它记录下的入侵信息往往是最真实的。这种蜜罐安装的系统一般都是最初的，没有任何SP补丁，或者打了低版本SP补丁，根据管理员需要，也可能补上了一些漏洞，只要值得研究的漏洞还存在即可。然后把蜜罐连接上网络，根据目前的网络扫描频繁度来看，这样的蜜罐很快就能吸引到目标并接受攻击，系统运行着的记录程序会记下入侵者的一举一动，但同时它也是最危险的，因为入侵者每一个入侵都会引起系统真实的反应，例如被溢出、渗透、夺取权限等。

3.2.伪系统蜜罐

什么叫伪系统呢?不要误解成“假的系统”，它也是建立在真实系统基础上的，但是它最大的特点就是“平台与漏洞非对称性”。

大家应该都知道，世界上操作系统不是只有Windows一家而已，在这个领域，还有Linux、Unix、OS2、BeOS等，它们的核心不同，因此会产生的漏洞缺陷也就不尽相同，简单的说，就是很少有能同时攻击几种系统的漏洞代码，也许你用LSASS溢出漏洞能拿到Windows的权限，但是用同样的手法去溢出Linux只能徒劳。根据这种特性，就产生了“伪系统蜜罐”，它利用一些工具程序强大的模仿能力，伪造出不属于自己平台的“漏洞”，入侵这样的“漏洞”，只能是在一个程序框架里打转，即使成功“渗透”，也仍然是程序制造的梦境，也就是说系统本来就没有让这种漏洞成立的条件，谈何“渗透”?实现一个“伪系统”并不困难，Windows平台下的一些虚拟机程序、Linux自身的脚本功能加上第三方工具就能轻松实现，甚至在Linux/Unix下还能实时由管理员产生一些根本不存在的“漏洞”，让入侵者自以为得逞的在里面瞎忙。实现跟踪记录也很容易，只要在后台开着相应的记录程序即可。

这种蜜罐的好处在于，它可以最大程度防止被入侵者破坏，也能模拟不存在的漏洞，甚至可以让一些Windows蠕虫攻击Linux,即只要你模拟出符合条件的Windows特征!但是它也存在坏处，因为一个聪明的入侵者只要经过几个回合就会识破伪装，另者，编写脚本不是很简便的事情，除非那个管理员很有耐心或者十分悠闲。

4、蜜罐的关键技术

蜜罐系统的优点之一就是它们大大减少了所要分析的数据。对于通常的网站或邮件服务器，攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量。因而，浏览数据、查明攻击者的实际行为也就容易多了。