蜜罐与蜜网技术的研究与分析

＼．网络通讯及安全．．．．．．本栏目责任编辑：冯誓

蜜罐与蜜网技术的研究与分析

邹文．唐心玉

（湖南商学院，湖南长沙４１０２０５）

摘要：本文给出了蜜罐和蜜网的定义及分类．介绍了蜜罐的主要技术原理。并且比较和分析了第一代和第二代蜜网模型。

关键词：蜜罐；蜜网；防火墙；入侵检测系统

文章编号：１００９－３０４４（２００８）们ｒ－１１２１枷３

中图分类号：ＴＰ３９３文献标识码：Ａ

ＴｈｅＲｅｓｅａｒｃｈａｎｄＡｎａｌｙｓｉｓｏｆＨｏｎｅｙｐｏｔａｎｄＨｏｎｅｙｎｅｔ

ＺＯＵＷｅｎ，ＴＡＮＧＸｉｎ－ｙｕ

Ｏ－ＩｕｎａｎＵｎｉｖｅｒｓｉｔｙｏｆＣｏｍｍｅｒｃｅ，Ｃｌ［１ａｎｇｓｈａ４１０２０５，ｃｈｉｍ）

Ａｂｓｔｒａｃｔ：Ｔｈｉｓｔｅｘｔｇｉｖｅｄｅｆｉｎｉｔｉｏｎａｎｄｃｌａｓｓｉｆｉｃａｔｉｏｎｏｆｈｏｎｅｙｐｏｔａｎｄｈｏｎｅｙｎｅｔ，ｉｎｔｒｏｄｕｃｅｄｔｈｅｍａｉｎｔｅｃｈｎｉｑｕｅｏｆｈｏｎｅｙｐｏｔ，ａｎｄａｎａｌｙｚｅｄｔｈｅｍｏｄｅｌｏｆＧｅｎＩａｎｄＧｅｎＩＩｈｏｎｅｙｎｅｔ．

Ｋｅｙｗｏｒｄｓ：ｈｏｎｅｙｐｏｔ；ｈｏｎｅｙｎｅｔ；ｉｎｕｍｉｏｎｄｅｔｅｃｔｉｏｎｓｙｓｔｅｍ；ｆｉｒｅｗａｌｌ

１引言

随着计算机网络技术的迅猛发展．开放式的网络体系的安全隐患日益明显地暴露出来，从上世纪八十年代至今各种计算机安全事件不断发生。传统意义上的网络安全，如防火墙、入侵检测系统、加密等等，都是被动防御的。它们的策略是，先考虑系统可能出现哪些问题，然后对问题进行分析解决，而蜜罐技术提出了一种新的网络安全防御策略，变被动防御为主动进攻，使其具有主动交互性。蜜罐系统的主要作用是学习了解人侵者的思路、工具、目的，通过获取这些信息，让互联网上的组织更好地了解他们所遇到的威胁．并且针对这些威胁及时找出相应的防御策略来提高系统的安全。

２蜜罐的定义和国内外研究现状

２．１譬罐的定义

蜜罐（ＨｏｎｅｙＰｏｔ）。是受到严密监控的网络诱骗系统，它通过真实或模拟的网络和服务来吸引攻击，从而在黑客攻击蜜罐期间对其攻击行为及过程进行记录分析，以搜集信息，同时对新攻击发出预警。蜜罐本身并不直接增强网络的安全性，但可以延缓攻击和转移攻击目标。简单地说．蜜罐就是诱捕攻击者的一个陷阱。

蜜Ｉｉ／ｌ（Ｈｏｎｅｙｎｅｔ）是蜜罐技术的延伸和发展，是一种高交互性的蜜罐。在一台或多台蜜罐主机基础上，结合防火墙、路由器、入侵检测系统组成的网络系统。蜜网可以合理记录下攻击者的行动，同时尽量减小或排除对因特网上其它系统造成的风险。

２．２蜜罐的国内外研究现状

目前在国外的学术界．对蜜罐技术研究最多的是蜜网项目（ＨｏｎｅｙｎｅｔＰｒｏｊｅｃｔ）组织．它是一个非官方，非营利的由３０多位安全专家组成的组织．专门致力于了解黑客团体使用的工具、策略和动机。形成了一系列的理论基础，并提出了蜜网的一代、二代模型。

在国内．蜜罐、蜜网的研究还处于发展阶段，还没有形成自己的理论体系和流派，更没有成熟的产品。北京大学２００４年９月狩猎女神项目启动（ＴｈｅＡｒｔｅｍｉｓＰｒｏｊｅｃｔ），随后加入蜜网研究联盟，是国内唯一的蜜网研究联盟成员。

３蜜罐的分类～按照产品设计的目的可以将蜜罐分为产品型蜜罐和研究型蜜罐：

产品型蜜罐的目的是减轻组织受到的攻击的威胁。增强受保护组织的安全性。它们所做的工作就是检测并且对付恶意的攻击者。它一般运用于商业组织的网络中。

研究型蜜罐是专门以研究和获取攻击信息为目的设计。这类蜜罐并没有增强特定组织的安全性，恰恰相反，蜜罐要做的是让研

收稿日期：２００８一０１—０８

作者简介：邹文（１９８１－）．女，湖南长沙人．湖南商学院助教，在读硕士．研究方向：网络安全。

１２１４，劫电＿知识与拄木

　万方数据

本栏目责任编辑：冯蕾······网络通讯及安全·

究组织面对各类网络威胁，并寻找能够对付这些威胁更好的方式，它们所要进行的工作就是收集恶意攻击者的信息。它一般运用于军队，安全研究组织。

按照蜜罐的交互性可将蜜罐分为低交互性蜜罐、中交互性蜜罐、高交互性蜜罐：

低交互的蜜罐通常只提供某些特定的模拟服务．这些服务能够通过监听一个特定的端口来实现。在低交互的蜜罐中没有真实的操作系统让黑客操作，这很大程度地减小了蜜罐的风险。但另一方面，这也是它的一个弊端，它不能观察黑客与操作系统的交互，而这也许才是真正有价值的。

中交互的蜜罐也不提供真实的操作系统．而是应用脚本或小程序来模拟服务行为。在不同的端口进行监听．通过更多和更复杂的互动，让攻击者会产生是一个真正操作系统的错觉．能够收集更多数据。开发中交互蜜罐．要确保在模拟服务和漏洞时并不产生新的真实漏洞，而给黑客渗透和攻击真实系统的机会。

高交互性蜜罐给黑客提供一个真实的操作系统，可以掌握学习黑客运行的全部动作，获得大量的有用信息，包括完全不了解的新的网络攻击方式。正因为高交互蜜罐提供了完全开放的系统给黑客．所以也就带来了更高的风险，即黑客可能通过这个开放的系统去攻击其他的系统。

蜜罐交互性的高低决定了它提供的功能的多少。交互性越高，通过蜜罐获得的有价值的信息越多。对黑客和其攻击的了解越深；相应地蜜罐的复杂性也越高。由蜜罐所带来的危险性也越高。

４蜜罐技术原理

蜜罐的主要技术有网络欺骗，数据控制和数据捕获等。

４．１网络欺骗

由于蜜罐的价值是在其被探测、攻击或者攻陷的时候才得到体现。所以如果没有网络欺骗功能的蜜罐是没有价值的．网络欺骗技术因此也是蜜罐技术体系中最为关键的核心技术和难题。网络欺骗技术的强与弱从一个侧面也反映了蜜罐本身的价值。目前蜜罐主要的网络欺骗技术有如下几种：模拟服务端口、模拟系统漏洞和应用服务、ＩＰ空间欺骗、流量仿真、网络动态配置、组织信息欺骗、网络服务等。

４．２数据捕获

数据捕获是蜜罐的核心功能模块。数据捕获的目标是捕捉攻击者从扫描、探测到攻击到攻陷蜜罐主机到最后离开蜜罐的每一步动作．为了达到这个目标。我们将数据捕捉分为了三层来实现。最外层数据捕捉由防火墙来完成．主要是对出入蜜罐系统的网络连接进行日志记录，这些日志记录存放在防火墙本地。第二层数据捕捉由入侵检测系统（ＩＤＳ）来完成，ＩＤＳ抓取蜜罐系统内所有的网络包，这些抓取的网络包存放在ＩＤＳ本地。最里层的数据捕捉由蜜罐主机来完成，主要是蜜罐主机的所有系统日志、所有用户击键序列和屏幕显示．这些数据通过网络传输送到远程日志服务器存放。

４．３数据分析

数据分析包括网络协议分析、网络行为分析和攻击特征分析等。数据分析是蜜罐技术中的难点。要从大量的网络数据中提取出攻击行为的特征和模型是相当困难的。

４．４数据控制

蜜罐系统作为网络攻击者的攻击目标，如果被攻破，那么我们将得不到任何有价值的信息。同时蜜罐系统将被入侵者利用作为攻击其他系统的跳板。数据控制是蜜罐系统必需的核心功能之一．用于保障蜜罐系统自身的安全。

我们允许所有对蜜罐的访问，但是要对从蜜罐系统外出的网络连接进行控制。我们可以限制一定时间段内外出的连接数，甚至可以修改这些外出连接的网络包，使其不能到达它的目的地。同时又给入侵者网络包已正常发出的假象。蜜罐通常有两层数据控制，分别是连接控制和路由控制完成。连接控制由防火墙来完成，路由控制由路由器来完成，主要利用路由器的访问控制功能对外出的数据包进行控制。

５蜜网模型

５．１第一代蜜网模型

第一代蜜网模型由蜜网项目提出，蜜网模型见图１．防火墙把这个蜜网分隔成三个部分，即陷阱部分、外部网络和管理控制平台。陷阱部分是由一个或多个蜜罐机组成的引诱系统，处于同一网段中。外部网络包括Ｉｎｔｅｍｅｔ和内部工作网络两部分。管理控制平台是用来控制和收集敷据的地方，有较高的安全性，由防火墙、入侵检测、路由器和日志服务器组成。可由一台或多台机器组成。

所有进出陷阱部分的数据包都将通过最前端的防火墙进出．它能对所有从蜜罐机器往外的每一个连接进行追踪和控制。外发连接达到预先设定的上限值时，防火墙便会阻塞那些数据包，避免蜜罐成为攻击其它系统的跳板，起到数据控制作用。防火墙与蜜罐之间还放置了一个路由器，使防火墙变得透明，使得蜜网更像一个真实网络。并且路由器也可以对访问控制进行一些限制，是对防火墙的一个很好补充。路由器仅仅允许源地址是蜜罐的ＩＰ包往外发。入侵检测器能检测到网络中的所有的机器，能捕获所有的入侵并存入二进制文件中便于检索和分析。当数据包中特征字串匹配入侵特征库时及时发出报警，将数据发送到日志报警服务器上。日志报警服务器主要用于存储蜜罐主机发来的日志、防火墙日志和入侵检测收集到的数据，便于管理员进行分析并做出及时报警。

１２１５　万方数据