蜜罐技术及其应用研究

蜜罐技术及其应用研究

文章首先介绍了蜜罐技术的定义、发展及分类，分析了蜜罐系统的关键技术，阐述了蜜罐技术的具体应用。最后总结了蜜罐技术的优缺点和发展。

标签：蜜罐；Honeyd；蜜网

1 蜜罐技术概述

1.1 蜜罐技术的定义

The Honeynet Project（蜜网项目组）创始人Lance Spitzner给蜜罐的定义是：蜜罐是一种安全资源，它的价值就在于被探测、被攻击或被攻陷。其主要功能：一是通过构建蜜罐环境诱骗攻击者入侵，从而保护业务系统安全；二是诱骗成功之后捕获攻击数据进行分析，了解并掌握入侵者使用的技术手段和工具，调整安全策略以增强业务系统的安全防护。

1.2 蜜罐技术发展历程

蜜罐技术的发展经历了三个阶段：

1.2.1 蜜罐（Honeypot）。从1990年蜜罐概念提出到1999年，研究人员相继开发了欺骗工具包DTK、虚拟蜜罐Honeyd等工具，广泛应用于商业领域。

1.2.2 蜜网（Honeynet）。1999年蜜网项目组提出并实现，目前已发展到第三代蜜网技术，已有项目应用。

1.2.3 蜜场（Honeyfarm）。2003年由Lance Spitzner首次提出蜜场思想，处于研究阶段。

1.3 蜜罐技术分类

蜜罐技术可以从不同的角度进行分类：

根据系统应用目标不同，将蜜罐分为产品型和研究型蜜罐。产品型蜜罐可以为系统及网络安全提供保障，主要包括攻击检测、防范攻击造成破坏等功能，且较容易部署，不需要管理人员投入太多精力。研究型蜜罐主要用于研究活动，如吸引攻击、搜集信息、探测新型攻击及黑客工具等功能。

根据系统交互级别不同，将蜜罐分为低交互和高交互蜜罐。低交互蜜罐通过模拟操作系统和服务来实现，攻击者只被允许少量的交互行为。高交互蜜罐通常由真实的操作系统构建，提供给攻击者真实的系统和服务，可以获得大量有用信息。

另外，蜜罐还可以根据具体实现角度或实现方式的不同可以分为物理蜜罐和虚拟蜜罐，根据系统配置规模大小又可分为单机蜜罐、蜜罐网络和蜜场。

2 蜜罐关键技术

2.1 网络欺骗技术

由于蜜罐的价值是在其被探测、攻击或者攻陷的时候才能得到体现，因此没有欺骗功能的蜜罐是没有价值的，欺骗技术也成为蜜罐技术体系中最为关键的技术和难题。欺骗信息设计技术是网络欺骗技术的关键，且种类繁多，主要有模拟服务端口、模拟系统漏洞和应用服务、网络流量仿真、网络动态配置、组织信息欺骗、IP地址空间欺骗等技术手段。

2.2 数据捕获技术

数据捕获是为了捕获攻击者的行为，其使用的技术和工具按照获取数据信息位置的不同可以分为基于主机和基于网络的数据获取两类。

2.2.1 基于主机的数据获取

蜜罐所在的主机上几乎可以捕获攻击者所有攻击数据信息，如连接情况、远程命令、系统日志和系统调用序列等信息，但存在风险大、容易被攻击者发现等诸多缺点。典型应用工具如Sebek3.0。

2.2.2 基于网络的数据获取

网络上捕获蜜罐的数据信息，风险小且难以被发现。目前基于网络的数据获取主要包括三个方面：防火墙记录所有出入蜜罐主机的连接；入侵检测系统对蜜罐中的网络流量进行监控、分析和抓取；蜜罐主机除了使用操作系统自身提供的日志功能以外，还可以采用内核级捕获工具，隐蔽地将收集到的数据信息传输到指定的主机进行处理。

2.3 数据控制技术

蜜罐系统作为网络攻击者的目标系统，其自身的安全尤为重要。如果蜜罐系统被攻破，不仅得不到任何有价值的信息，同时还有可能被入侵者作为跳板攻击其他目标系统。数据控制技术就是用于控制攻击者进入蜜罐系统后的攻击行为，保障蜜罐系统自身的安全性。蜜罐通常有两层数据控制，分别是连接控制和路由控制。连接控制由防火墙系统来完成，限制蜜罐系统发出的外出连接请求，以防止蜜罐系统被攻击者作为攻击源向其他友邻系统发起攻击。路由控制由路由器来完成，利用其访问控制功能对从蜜罐系统发送的外出数据包进行控制，以防止蜜罐系统被攻击者作为攻击源向其他系统发起攻击。

2.4 数据分析技术

蜜罐的价值只有在充分分析捕获的数据信息之后才能得到充分体现，数据分析技术就是将蜜罐捕获的各种数据信息分析处理后，转换成有意义的、易于理解的数据信息。蜜罐作为一种主动安全防御技术，其最主要的特征就是能够通过分析捕获到的数据信息来了解和学习攻击者所使用的新的攻击手段和攻击工具。

目前出现了一些数据分析工具，典型的如Swatch工具，它提供了自动报警功能，能够监视IPTables模块及Snort系统日志，在攻击者入侵主机并向外发起连接请求时，匹配到配置文件中指定的相关特征之后会自动向安全管理人员发出报警信息。此外，蜜网网关（Honeywall）上的Walleye工具提供了辅助分析功能，它实现了基于Web图形界面的数据辅助分析接口，提供了许多网络连接视图和进程视图等功能模块，并能够在单一的视图中整合各种捕获数据，帮助安全分析人员尽快理解并还原蜜罐系统中所发生的攻击行为。

3 蜜罐技术应用

3.1 Honeyd的初次尝试

一年一度的Cyberdefense（网络防御）演习——一个美军军事院校与来自国家安全局（NSA）的红队之间的一次竞赛。军事院校学生组成的小组负责保护业务网络，而红队视图攻陷或破坏目标网络。Honeyd刚发布不久，学生小组通过配置Honeyd创建了几百个虚拟蜜罐，尝试着用来保护业务网络。然而，这一防护策略的实施获得了意外的成功，学生们饶有兴趣地看着红队花费数个小时试图攻破实际上并不存在的“目标机器”。学生小组利用Honeyd设置虚拟蜜罐环境欺骗并迷惑对手攻击，达到了对业务网络保护的目的。

3.2 —蜜罐技术的其它应用

蜜罐、蜜网技术在许多网络安全事件中可以起到作用，虚拟蜜罐Honeyd在充当网络诱饵、引诱黑客攻击、对抗蠕虫、遏制垃圾邮件等方面都有应用。在反蠕虫安全监测应用方面，巴西蜜罐联盟具体部署了Honeyd，并且起到了很好的监测效果。蜜网技术也在诱捕黑客攻击、捕获高波蠕虫传播、僵尸网络和网络钓鱼攻击的发现与跟踪等方面广泛使用，北京大学“狩猎女神项目”通过部署第三代蜜网技术捕获Win32平台高波蠕虫变种传播就是很好的应用案例。

4 结束语

蜜罐技术与众不同之处在于：它并不限于解决某个具体问题，可以应用于不同场合，实现不同目标。蜜罐可以实现防火墙的防护功能，可以实现入侵检测系统的入侵检测功能，也具有一定的预警响应能力。但蜜罐技术也有收集面窄、指纹容易被识别等缺点，因此，蜜罐技术和防火墙、入侵检测等传统防护手段配合使用才能更好地发挥其作用。