蜜罐技術(shù)的研究與分析

　　摘 要： 蜜罐是基于主動(dòng)防御理論提出來的，在監(jiān)測入侵、保護(hù)客體、信息反饋、提高反擊入侵能力的網(wǎng)絡(luò)安全系統(tǒng)中，日益受到重視。本文展示了虛擬蜜罐的一些基本概念、主要的關(guān)鍵技術(shù)，以及蜜罐技術(shù)的優(yōu)缺點(diǎn)。
　　關(guān)鍵詞： 蜜罐技術(shù) 虛擬蜜罐 定義和分類 關(guān)鍵技術(shù) 優(yōu)缺點(diǎn)
　　
　　1.引言
　　伴隨著網(wǎng)絡(luò)普及與發(fā)展，網(wǎng)絡(luò)安全問題日益嚴(yán)峻。面對不斷出現(xiàn)的新的攻擊方法和攻擊工具，傳統(tǒng)的、被動(dòng)防御的網(wǎng)絡(luò)防護(hù)技術(shù)越來越無法適應(yīng)網(wǎng)絡(luò)安全的需要，網(wǎng)絡(luò)安全防護(hù)體系由被動(dòng)防御轉(zhuǎn)向主動(dòng)防御是大勢所趨。作為一種新興的主動(dòng)防御技術(shù)，蜜罐日益受到網(wǎng)絡(luò)安全工作者的重視。研究蜜罐及其關(guān)鍵技術(shù)對未來的網(wǎng)絡(luò)安全防護(hù)具有深遠(yuǎn)的意義。
　　2.蜜罐的定義和分類
　　2.1蜜罐的定義
　　蜜罐（又稱為黑客誘騙技術(shù)）是一種受到嚴(yán)密監(jiān)控的網(wǎng)絡(luò)誘騙系統(tǒng)，通過真實(shí)或模擬的網(wǎng)絡(luò)和服務(wù)，來吸引攻擊，從而在黑客攻擊蜜罐期間，對其行為和過程記錄分析，以搜集信息，對新攻擊發(fā)出預(yù)警，同時(shí)蜜罐可以延緩攻擊時(shí)間和轉(zhuǎn)移攻擊目標(biāo)。蜜罐本身并不直接增強(qiáng)網(wǎng)絡(luò)的安全性，相反，它通過吸引入侵，來搜集信息。將蜜罐和現(xiàn)有的安全防衛(wèi)手段，如入侵檢測系統(tǒng)（IDS）、防火墻（Firewall）、殺毒軟件等結(jié)合使用，可以有效提高系統(tǒng)安全性。
　　2.2蜜罐的分類
　　蜜罐有三種分類方法。
　　2.2.1從應(yīng)用層面，可分為產(chǎn)品型和研究型。
　　2.2.1.1產(chǎn)品型蜜罐。指由網(wǎng)絡(luò)安全廠商開發(fā)的商用蜜罐，一般用來作為誘餌，把黑客的攻擊盡可能長時(shí)間地捆綁在蜜罐上，贏得時(shí)間，保護(hù)實(shí)際網(wǎng)絡(luò)環(huán)境，也用來搜集證據(jù)作為起訴黑客的依據(jù)，但這種應(yīng)用在法律方面仍然具有爭議。
　　2.2.1.2研究型的蜜罐。主要應(yīng)用于研究，吸引攻擊，搜集信息，探測新型攻擊和新型黑客工具，了解黑客和黑客團(tuán)體的背景、目的、活動(dòng)規(guī)律，等等。在編寫新的IDS特征庫，發(fā)現(xiàn)系統(tǒng)漏洞，分析分布式拒絕服務(wù)攻擊等方面是很有價(jià)值的［１］。
　　2.2.2從技術(shù)層面，根據(jù)交互程度，可分為以下三種。
　　2.2.2.1低交互蜜罐。只是運(yùn)行于現(xiàn)有系統(tǒng)上的一個(gè)仿真服務(wù)，在特定的端口監(jiān)聽記錄所有進(jìn)入的數(shù)據(jù)包，提供少量的交互功能，黑客只能在仿真服務(wù)預(yù)設(shè)的范圍內(nèi)動(dòng)作。低交互蜜罐上沒有真正的操作系統(tǒng)和服務(wù)，結(jié)構(gòu)簡單，部署容易，風(fēng)險(xiǎn)很低，所能收集的信息也是有限的。
　　2.2.2.2中交互蜜罐：不提供真實(shí)的操作系統(tǒng)，而是應(yīng)用腳本或小程序來模擬服務(wù)行為，提供的功能主要取決于腳本。在不同的端口進(jìn)行監(jiān)聽，通過更多和更復(fù)雜的互動(dòng)，讓攻擊者產(chǎn)生是一個(gè)真正操作系統(tǒng)的錯(cuò)覺，能夠收集更多數(shù)據(jù)。
　　2.2.2.3高交互蜜罐。由真實(shí)的操作系統(tǒng)來構(gòu)建，提供給黑客的是真實(shí)的系統(tǒng)和服務(wù)，可以學(xué)習(xí)黑客運(yùn)行的全部動(dòng)作，獲得大量的有用信息，包括完全不了解的新的網(wǎng)絡(luò)攻擊方式。正因?yàn)楦呓换ッ酃尢峁┝送耆_放的系統(tǒng)給黑客，帶來了更高的風(fēng)險(xiǎn)，即黑客可能通過這個(gè)開放的系統(tǒng)去攻擊其他系統(tǒng)。
　　2.2.3從具體實(shí)現(xiàn)的角度，分為物理蜜罐和虛擬蜜罐。
　　2.2.3.1物理蜜罐：通常是一臺或多臺真實(shí)的在網(wǎng)絡(luò)上存在的主機(jī)操作，主機(jī)上運(yùn)行著真實(shí)的操作系統(tǒng)，擁有自己的IP地址，提供真實(shí)的網(wǎng)絡(luò)服務(wù)來吸引攻擊。
　　2.2.3.2虛擬蜜罐：通常用的是虛擬的機(jī)器、虛擬的操作系統(tǒng)，它會(huì)響應(yīng)發(fā)送到虛擬蜜罐的網(wǎng)絡(luò)數(shù)據(jù)流，提供模擬的網(wǎng)絡(luò)服務(wù)等。
　　3.蜜罐的關(guān)鍵技術(shù)
　　蜜罐的關(guān)鍵技術(shù)主要包括欺騙技術(shù)、數(shù)據(jù)捕獲技術(shù)、數(shù)據(jù)控制技術(shù)、數(shù)據(jù)分析技術(shù)，等等。其中，數(shù)據(jù)捕獲技術(shù)與數(shù)據(jù)控制技術(shù)是蜜罐技術(shù)的核心。
　　3.1欺騙技術(shù)
　　蜜罐的價(jià)值是在其被探測、攻擊或者攻陷的時(shí)候才得到體現(xiàn)的。將攻擊者的注意力吸引到蜜罐上，是蜜罐進(jìn)行工作的前提。欺騙的成功與否取決于欺騙質(zhì)量的高低。常用的欺騙技術(shù)有以下五種。
　　3.1.1IP空間欺騙。
　　IP空間欺騙利用計(jì)算機(jī)的多宿主能力，在一塊網(wǎng)卡上分配多個(gè)IP地址，來增加入侵者的搜索空間，從而顯著增加他們的工作量，間接實(shí)現(xiàn)了安全防護(hù)的目的。這項(xiàng)技術(shù)和虛擬機(jī)技術(shù)結(jié)合可建立一個(gè)大的虛擬網(wǎng)段，且花費(fèi)極低。
　　3.1.2 漏洞模擬。
　　即通過模擬操作系統(tǒng)和各種應(yīng)用軟件存在的漏洞，吸引入侵者進(jìn)入設(shè)置好的蜜罐。入侵者在發(fā)起攻擊前，一般要對系統(tǒng)進(jìn)行掃描，而具有漏洞的系統(tǒng)，最容易引起攻擊者攻擊的欲望。漏洞模擬的關(guān)鍵是要恰到好處，沒有漏洞會(huì)使入侵者望而生畏，漏洞百出又會(huì)使入侵者心生疑慮。
　　3.1.3 流量仿真。
　　蜜罐只有以真實(shí)網(wǎng)絡(luò)流量為背景，才能真正吸引入侵者長期停駐。流量仿真技術(shù)是利用各種技術(shù)使蜜罐產(chǎn)生欺騙的網(wǎng)絡(luò)流量，這樣即使使用流量分析技術(shù)，也無法檢測到蜜罐的存在。目前的方法:一是采用重現(xiàn)方式復(fù)制真正的網(wǎng)絡(luò)流量到誘騙環(huán)境;二是從遠(yuǎn)程產(chǎn)生偽造流量，使入侵者可以發(fā)現(xiàn)和利用［２］。
　　3.1.4 服務(wù)偽裝。
　　進(jìn)入蜜罐的攻擊者如發(fā)現(xiàn)該蜜罐不提供任何服務(wù)，就會(huì)意識到危險(xiǎn)而迅速離開蜜罐，使蜜罐失效。服務(wù)偽裝可以在蜜罐中模擬Http、FTP、Telent等網(wǎng)絡(luò)基本服務(wù)并偽造應(yīng)答，使入侵者確信這是一個(gè)正常的系統(tǒng)。
　　3.1.5 重定向技術(shù)［３］。
　　即在攻擊者不知情的情況下，將其引到蜜罐中，可以在重要服務(wù)器的附近部署蜜罐，當(dāng)服務(wù)器發(fā)現(xiàn)可疑行為后，將其重定向到蜜罐。還可以使用代理蜜罐，以及多個(gè)蜜罐模擬真正的服務(wù)器，當(dāng)對服務(wù)器的請求到來時(shí)，利用事先定義好的規(guī)則，將請求隨機(jī)發(fā)送到蜜罐和服務(wù)器中的一個(gè)，用以迷惑攻擊者，增大攻擊者陷入蜜罐的概率。
　　3.2數(shù)據(jù)捕獲技術(shù)
　　如果無法捕獲攻擊者的活動(dòng)，蜜罐就失去了存在的意義。數(shù)據(jù)捕獲的目標(biāo)是捕捉攻擊者從掃描、探測、發(fā)起攻擊，直到離開蜜罐的每一步動(dòng)作。捕獲的數(shù)據(jù)來自三個(gè)層次:防火墻日志、網(wǎng)絡(luò)數(shù)據(jù)流和主機(jī)系統(tǒng)內(nèi)核級的數(shù)據(jù)提取。第一層數(shù)據(jù)捕獲由防火墻日志根據(jù)設(shè)定的過濾規(guī)則，記錄入侵者出入蜜罐的行為信息，數(shù)據(jù)直接放在本地;第二層數(shù)據(jù)捕獲由入侵檢測系統(tǒng)捕獲網(wǎng)絡(luò)原始報(bào)文，并放在IDS本地，IDS報(bào)警信息可以讓系統(tǒng)管理員了解系統(tǒng)中正發(fā)生的狀況;第三層數(shù)據(jù)捕獲由蜜罐主機(jī)完成。主要是主機(jī)日志，用戶擊鍵序列和屏幕顯示，這些數(shù)據(jù)應(yīng)異地存儲，以防攻擊者發(fā)現(xiàn)。隨著加密技術(shù)的發(fā)展，越來越多的攻擊者開始使用加密工具，保護(hù)和隱藏他們的通信。系統(tǒng)內(nèi)核級的數(shù)據(jù)提取必須應(yīng)對入侵者數(shù)據(jù)加密的情況，目前最先進(jìn)的技術(shù)是開發(fā)特殊的內(nèi)核數(shù)據(jù)處理模塊來替代系統(tǒng)內(nèi)核函數(shù)，從而記錄下入侵者的行為。
　　3.3數(shù)據(jù)控制技術(shù)。
　　數(shù)據(jù)控制技術(shù)既控制數(shù)據(jù)流，又不引起攻擊者的懷疑。如攻擊者進(jìn)入蜜罐，但不能向外發(fā)起連接，他們就會(huì)對系統(tǒng)產(chǎn)生懷疑，而完全開放的蜜罐資源在攻擊者手中會(huì)成為向第三方發(fā)起攻擊的攻擊跳板。目前數(shù)據(jù)控制技術(shù)主要從以下兩方面對攻擊者進(jìn)行限制。［３］
　　3.3.1限制攻擊者從蜜罐向外的連接數(shù)量。
　　傳統(tǒng)的限制方法是通過配置防火墻，設(shè)置從蜜罐向外的連接數(shù)目，超過數(shù)量即中斷連接。這種方法較安全，但易被攻擊者識破。改進(jìn)方法是將防火墻技術(shù)與入侵檢測技術(shù)結(jié)合，形成入侵檢測控制。即在系統(tǒng)上安裝一個(gè)包含已知攻擊模式的簽名數(shù)據(jù)庫，以檢測捕獲的攻擊是否與數(shù)據(jù)庫匹配。如果匹配，就切斷連接;如果不匹配，則根據(jù)需要設(shè)定連接次數(shù)。這樣既可以學(xué)習(xí)更多的未知攻擊，又可以迷惑攻擊者。
　　3.3.2限制攻擊者在蜜罐中的活動(dòng)能力。
　　這包括連接限制、帶寬限制、沙箱技術(shù)等較新的技術(shù)。連接限制就是修改外出連接的網(wǎng)絡(luò)包，使其不能到達(dá)目的地，同時(shí)給入侵者造成網(wǎng)絡(luò)包已正常發(fā)出的假象，麻痹攻擊者。帶寬限制即通過控制帶寬利用率和網(wǎng)絡(luò)延時(shí)，限制入侵者由蜜罐向外發(fā)包的能力。這種方法往往使攻擊者認(rèn)為網(wǎng)絡(luò)本身出現(xiàn)了問題，意識不到自己已身陷蜜罐。沙箱技術(shù)可對應(yīng)用進(jìn)程進(jìn)行定量限制和定性限制，比如限制CPU的使用率和只允許訪問特定的資源等，這無疑降低了應(yīng)用程序的訪問能力［５］。實(shí)踐證明，若要真正實(shí)現(xiàn)既控制數(shù)據(jù)流，又不引起攻擊者的懷疑的目的，單靠某一種技術(shù)是不行的，必須綜合而靈活地使用上述數(shù)據(jù)控制技術(shù)。
　　
　　3.4數(shù)據(jù)分析技術(shù)。
　　數(shù)據(jù)分析包括網(wǎng)絡(luò)協(xié)議分析、網(wǎng)絡(luò)行為分析和攻擊特征分析等。要從大量的網(wǎng)絡(luò)數(shù)據(jù)中，提取攻擊行為的特征和模型是很難的?，F(xiàn)有的蜜罐系統(tǒng)都沒有很好地解決使用數(shù)學(xué)模型自動(dòng)分析和挖掘出網(wǎng)絡(luò)攻擊行為這一難題［４］。
　　4.蜜罐技術(shù)的優(yōu)缺點(diǎn)
　　4.1蜜罐的優(yōu)點(diǎn)。
　　4.1.1數(shù)據(jù)價(jià)值高。
　　當(dāng)今，安全組織所面臨的一個(gè)問題就是怎樣從收集到的海量數(shù)據(jù)中獲取有價(jià)值的信息，從防火墻日志、系統(tǒng)日志和入侵檢測系統(tǒng)發(fā)出的警告信息中收集到的數(shù)據(jù)的量非常大，從中提取有價(jià)值的信息很困難。蜜罐不同于其他安全工具，每天收集到若干GB的數(shù)據(jù)，大多數(shù)Honeypot每天收集到的數(shù)據(jù)只有幾兆，并且這些數(shù)據(jù)的價(jià)值非常高，因?yàn)槊酃逈]有任何產(chǎn)品型的功能，所有對它的訪問都是非法的、可疑的。
　　4.1.2資源消耗少。
　　當(dāng)前大多數(shù)安全組織所面臨的另一個(gè)難題就是有時(shí)會(huì)由于網(wǎng)絡(luò)資源耗盡，因而導(dǎo)致安全措施失去了作用。例如，當(dāng)防火墻的狀態(tài)檢測表滿的時(shí)候，它就不能接受新的連接了，它會(huì)強(qiáng)迫防火墻阻斷所有的連接。同樣入侵檢測系統(tǒng)會(huì)因?yàn)榫W(wǎng)絡(luò)流量太大，使其緩沖區(qū)承受不起，所以導(dǎo)致IDS丟失數(shù)據(jù)包。因?yàn)镠oneypot只需要監(jiān)視對它自己的連接，需要捕獲和監(jiān)視的網(wǎng)絡(luò)行為很少，很少會(huì)存在網(wǎng)絡(luò)流量大的壓力，所以一般不會(huì)出現(xiàn)資源耗盡的情況。我們不需要在充當(dāng)蜜罐的主機(jī)的硬件配置上投入大量的資金，只需要一些相對便宜的計(jì)算機(jī)，就可以完成蜜罐的部署工作。
　　4.1.3實(shí)現(xiàn)簡單。
　　部署一個(gè)蜜罐，不需要開發(fā)復(fù)雜和新奇的算法，不需要維護(hù)特征數(shù)據(jù)庫，不需要配置規(guī)則庫。只要配置好蜜罐，把它放在網(wǎng)絡(luò)中，就可以靜觀其變。
　　4.2蜜罐的缺點(diǎn)。
　　4.2.1數(shù)據(jù)收集面狹窄。
　　如果沒有人攻擊蜜罐，它們就變得毫無用處。在某些情況下，攻擊者可能識別出蜜罐，就會(huì)避開蜜罐，直接進(jìn)入網(wǎng)絡(luò)中的其他主機(jī)，這樣蜜罐就不會(huì)發(fā)現(xiàn)入侵者已經(jīng)進(jìn)入了你的網(wǎng)絡(luò)。
　　4.2.2有一定風(fēng)險(xiǎn)。
　　蜜罐可能會(huì)把風(fēng)險(xiǎn)帶入它所在的網(wǎng)絡(luò)環(huán)境。蜜罐一旦被攻陷，就有可能成為攻擊、潛入或危害其他的系統(tǒng)或組織的跳板。
　　5.結(jié)語
　　蜜罐技術(shù)的出現(xiàn)為整個(gè)安全界注入了新鮮的血液。它不僅可以作為獨(dú)立的信息安全工具，而且可以與其他安全工具協(xié)作使用，從而取長補(bǔ)短，對入侵者進(jìn)行檢測。蜜罐可以查找并發(fā)現(xiàn)新型攻擊和新型攻擊工具，從而解決了入侵檢測系統(tǒng)和防火墻中無法對新型攻擊迅速做出反應(yīng)的問題。蜜罐系統(tǒng)是一個(gè)有相當(dāng)價(jià)值的資源，特別是對潛在的攻擊者和他們所使用工具相關(guān)信息的收集，沒有其他的機(jī)制比蜜罐系統(tǒng)更有效。
　　
　　參考文獻(xiàn)：
　?。?］翟繼強(qiáng)，葉飛.蜜罐技術(shù)的研究與分析.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006，（4）：15-17.
　?。?］胡文廣，張穎江，蘭義華.蜜罐研究與應(yīng)用.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006，（5）：48-49.
　?。?］潘軍，劉建峰，李祥和.基于閉環(huán)控制的入侵誘騙系統(tǒng)的探討與實(shí)現(xiàn).計(jì)算機(jī)應(yīng)用與軟件，2005，（11）：122-124.
　?。?］崔志磊，房嵐，陶文琳.一種全新的網(wǎng)絡(luò)安全策略——蜜罐及其技術(shù)［J］.計(jì)算機(jī)應(yīng)用與軟件，2004，（1）：99-101.