蜜罐技术论文

蜜罐技术论文

摘要：蜜罐(Honeypot)是一种在互联网上运行的计算机系统。它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客)而设计的，蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标。由于蜜罐并没有向外界提供真正有价值的服务，因此所有对蜜罐尝试都被视为可疑的。蜜罐的另一个用途是拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间。简单点一说：蜜罐就是诱捕攻击者的一个陷阱。

关键词：设计蜜罐；蜜罐的分类；拓扑位置；安全价值；信息收集

一、设计蜜罐

现在网络安全面临的一个大问题是缺乏对入侵者的了解。即谁正在攻击、攻击的目的是什么、如何攻击以及何时进行攻击等，而蜜罐为安全专家们提供一个研究各种攻击的平台。它是采取主动的方式，用定制好的特征吸引和诱骗攻击者，将攻击从网络中比较重要的机器上转移开，同时在黑客攻击蜜罐期间对其行为和过程进行深入的分析和研究，从而发现新型攻击，检索新型黑客工具，了解黑客和黑客团体的背景、目的、活动规律等。

蜜罐在编写新的IDS特征库、发现系统漏洞、分析分布式拒绝服务（DDOS）攻击等方面是很有价值的。蜜罐本身并不直接增强网络的安全性，将蜜罐和现有的安全防卫手段如入侵检测系统(IDS)、防火墙(Firewall)、杀毒软件等结合使用，可以有效提高系统安全性。

设置蜜罐并不难，只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。因为黑客可能会设陷阱，以获取计算机的日志和审查功能，你就要在计算机和因特网连接之间安置一套网络监控系统，以便悄悄记录下进出计算机的所有流量。然后只要坐下来，等待攻击者自投罗网。

不过，设置蜜罐并不是说没有风险。这是因为，大部分安全遭到危及的系统会被黑客用来攻击其它系统。这就是下游责任（downstream liability），由此引出了蜜网（honeynet）这一话题。

而是防止蜜罐建立出站连接。不过，虽然这种方法使蜜罐不会破坏其它系统，但同时很容易被黑客发现。

二、蜜罐的分类

根据蜜罐的交互程度，可以将蜜罐分为3类：

蜜罐的交互程度（Level of Involvement）指攻击者与蜜罐相互作用的程度。

⑴低交互蜜罐

只是运行于现有系统上的一个仿真服务，在特定的端口监听记录所有进入的数据包，提供少量的交互

功能，黑客只能在仿真服务预设的范围内动作。低交互蜜罐上没有真正的操作系统和服务，结构简单，

部署容易，风险很低，所能收集的信息也是有限的。

⑵中交互蜜罐

也不提供真实的操作系统，而是应用脚本或小程序来模拟服务行为，提供的功能主要取决于脚本。在

不同的端口进行监听，通过更多和更复杂的互动，让攻击者会产生是一个真正操作系统的错觉，能够

收集更多数据。开发中交互蜜罐，要确保在模拟服务和漏洞时并不产生新的真实漏洞，而给黑客渗透

和攻击真实系统的机会。

⑶高交互蜜罐

由真实的操作系统来构建，提供给黑客的是真实的系统和服务。给黑客提供一个真实的操作系统，可以学习黑客运行的全部动作，获得大量的有用信息，包括完全不了解的新的网络攻击方式。正因为高交互蜜罐提供了完全开放的系统给黑客，也就带来了更高的风险，即黑客可能通过这个开放的系统去攻击其他的系统。

三、蜜罐的拓扑位置

蜜罐本身作为一个标准服务器对周围网络环境并没有什么特别需要。理论上可以布置在网络的任何位置。但是不同的位置其作用和功能也是不尽相同。

如果用于内部或私有网络，可以放置在任何一个公共数据流经的节点。如用于互联网的连接，蜜罐可以位于防火墙前面，也可以是后面。

⑴防火墙之前：如见图1中蜜罐（1）,蜜罐会吸引象端口扫描等大量的攻击，而这些攻击不会被防火墙记录也不让内部IDS系统产生警告，只会由蜜罐本身来记录。

因为位于防火墙之外，可被视为外部网络中的任何一台普通的机器，不用调整防火墙及其它的资源的配置，不会给内部网增加新的风险，缺点是无法定位或捕捉到内部攻击者，防火墙限制外向交通，也限制了蜜罐的对内网信息收集。

⑵防火墙之后：如图1中蜜罐（2），会给内部网带来安全威胁，尤其是内部网没有附加的防火墙来与蜜罐相隔离。蜜罐提供的服务，有些是互联网的输出服务，要求由防火墙把回馈转给蜜罐,不可避免地调整防火墙规则，因此要谨慎设置，保证这些数据可以通过防火墙进入蜜罐而不引入更多的风险。

优点是既可以收集到已经通过防火墙的有害数据，还可以探查内部攻击者。缺点是一旦蜜罐被外部攻击者攻陷就会危害整个内网。

还有一种方法，把蜜罐置于隔离区DMZ内，如图1中蜜罐（3）。隔离区只有需要的服务才被允许通过防火墙，因此风险相对较低。DMZ内的其它系统要安全地和蜜罐隔离。此方法增加了隔离区的负担，具体实施也比较困难。

四、蜜罐的安全价值

蜜罐是增强现有安全性的强大工具，是一种了解黑客常用工具和攻击策略的有效手段。根据P2DR 动态安全模型，从防护、检测和响应三方面分析蜜罐的安全价值。

⑴防护蜜罐在防护中所做的贡献很少，并不会将那些试图攻击的入侵者拒之门外。事实上蜜罐设计的初衷就是妥协，希望有人闯入系统，从而进行记录和分析。

有些学者认为诱骗也是一种防护。因为诱骗使攻击者花费大量的时间和资源对蜜罐进行攻击，从而防止或减缓了对真正系统的攻击。

⑵检测蜜罐的防护功能很弱，却有很强的检测功能。因为蜜罐本身没有任何生产行为，所有与蜜罐的连接都可认为是可疑行为而被纪录。这就大大降低误报率和漏报率，也简化了检测的过程。

现在的网络主要是使用入侵检测系统IDS来检测攻击。面对大量正常通信与可疑攻击行为相混杂的网络，要从海量的网络行为中检测出攻击是很困难的，有时并不能及时发现和处理真正的攻击。高误报率使IDS失去有效的报警作用，蜜罐的误报率远远低于大部分IDS工具。

另外目前的IDS还不能够有效地对新型攻击方法进行检测，无论是基于异常的还是基于误用的，都有可能遗漏新型或未知的攻击。蜜罐可以有效解决漏报问题，使用蜜罐的主要目的就是检测新的攻击。