蜜罐技術及其應用研究

江飛

摘 要：文章首先介紹了蜜罐技術的定義、發展及分類，分析了蜜罐系統的關鍵技術，闡述了蜜罐技術的具體應用。最后總結了蜜罐技術的優缺點和發展。

關鍵詞：蜜罐；Honeyd；蜜網

1 蜜罐技術概述

1.1 蜜罐技術的定義

The Honeynet Project（蜜網項目組）創始人Lance Spitzner給蜜罐的定義是：蜜罐是一種安全資源，它的價值就在于被探測、被攻擊或被攻陷。其主要功能：一是通過構建蜜罐環境誘騙攻擊者入侵，從而保護業務系統安全；二是誘騙成功之后捕獲攻擊數據進行分析，了解并掌握入侵者使用的技術手段和工具，調整安全策略以增強業務系統的安全防護。

1.2 蜜罐技術發展歷程

蜜罐技術的發展經歷了三個階段：

1.2.1 蜜罐（Honeypot）。從1990年蜜罐概念提出到1999年，研究人員相繼開發了欺騙工具包DTK、虛擬蜜罐Honeyd等工具，廣泛應用于商業領域。

1.2.2 蜜網（Honeynet）。1999年蜜網項目組提出并實現，目前已發展到第三代蜜網技術，已有項目應用。

1.2.3 蜜場（Honeyfarm）。2003年由Lance Spitzner首次提出蜜場思想，處于研究階段。

1.3 蜜罐技術分類

蜜罐技術可以從不同的角度進行分類：

根據系統應用目標不同，將蜜罐分為產品型和研究型蜜罐。產品型蜜罐可以為系統及網絡安全提供保障，主要包括攻擊檢測、防范攻擊造成破壞等功能，且較容易部署，不需要管理人員投入太多精力。研究型蜜罐主要用于研究活動，如吸引攻擊、搜集信息、探測新型攻擊及黑客工具等功能。

根據系統交互級別不同，將蜜罐分為低交互和高交互蜜罐。低交互蜜罐通過模擬操作系統和服務來實現，攻擊者只被允許少量的交互行為。高交互蜜罐通常由真實的操作系統構建，提供給攻擊者真實的系統和服務，可以獲得大量有用信息。

另外，蜜罐還可以根據具體實現角度或實現方式的不同可以分為物理蜜罐和虛擬蜜罐，根據系統配置規模大小又可分為單機蜜罐、蜜罐網絡和蜜場。

2 蜜罐關鍵技術

2.1 網絡欺騙技術

由于蜜罐的價值是在其被探測、攻擊或者攻陷的時候才能得到體現，因此沒有欺騙功能的蜜罐是沒有價值的，欺騙技術也成為蜜罐技術體系中最為關鍵的技術和難題。欺騙信息設計技術是網絡欺騙技術的關鍵，且種類繁多，主要有模擬服務端口、模擬系統漏洞和應用服務、網絡流量仿真、網絡動態配置、組織信息欺騙、IP地址空間欺騙等技術手段。

2.2 數據捕獲技術

數據捕獲是為了捕獲攻擊者的行為，其使用的技術和工具按照獲取數據信息位置的不同可以分為基于主機和基于網絡的數據獲取兩類。

2.2.1 基于主機的數據獲取

蜜罐所在的主機上幾乎可以捕獲攻擊者所有攻擊數據信息，如連接情況、遠程命令、系統日志和系統調用序列等信息，但存在風險大、容易被攻擊者發現等諸多缺點。典型應用工具如Sebek3.0。

2.2.2 基于網絡的數據獲取

網絡上捕獲蜜罐的數據信息，風險小且難以被發現。目前基于網絡的數據獲取主要包括三個方面：防火墻記錄所有出入蜜罐主機的連接；入侵檢測系統對蜜罐中的網絡流量進行監控、分析和抓取；蜜罐主機除了使用操作系統自身提供的日志功能以外，還可以采用內核級捕獲工具，隱蔽地將收集到的數據信息傳輸到指定的主機進行處理。

2.3 數據控制技術

蜜罐系統作為網絡攻擊者的目標系統，其自身的安全尤為重要。如果蜜罐系統被攻破，不僅得不到任何有價值的信息，同時還有可能被入侵者作為跳板攻擊其他目標系統。數據控制技術就是用于控制攻擊者進入蜜罐系統后的攻擊行為，保障蜜罐系統自身的安全性。蜜罐通常有兩層數據控制，分別是連接控制和路由控制。連接控制由防火墻系統來完成，限制蜜罐系統發出的外出連接請求，以防止蜜罐系統被攻擊者作為攻擊源向其他友鄰系統發起攻擊。路由控制由路由器來完成，利用其訪問控制功能對從蜜罐系統發送的外出數據包進行控制，以防止蜜罐系統被攻擊者作為攻擊源向其他系統發起攻擊。

2.4 數據分析技術

蜜罐的價值只有在充分分析捕獲的數據信息之后才能得到充分體現，數據分析技術就是將蜜罐捕獲的各種數據信息分析處理后，轉換成有意義的、易于理解的數據信息。蜜罐作為一種主動安全防御技術，其最主要的特征就是能夠通過分析捕獲到的數據信息來了解和學習攻擊者所使用的新的攻擊手段和攻擊工具。

目前出現了一些數據分析工具，典型的如Swatch工具，它提供了自動報警功能，能夠監視IPTables模塊及Snort系統日志，在攻擊者入侵主機并向外發起連接請求時，匹配到配置文件中指定的相關特征之后會自動向安全管理人員發出報警信息。此外，蜜網網關（Honeywall）上的Walleye工具提供了輔助分析功能，它實現了基于Web圖形界面的數據輔助分析接口，提供了許多網絡連接視圖和進程視圖等功能模塊，并能夠在單一的視圖中整合各種捕獲數據，幫助安全分析人員盡快理解并還原蜜罐系統中所發生的攻擊行為。

3 蜜罐技術應用

3.1 Honeyd的初次嘗試

一年一度的Cyberdefense（網絡防御）演習——一個美軍軍事院校與來自國家安全局（NSA）的紅隊之間的一次競賽。軍事院校學生組成的小組負責保護業務網絡，而紅隊視圖攻陷或破壞目標網絡。Honeyd剛發布不久，學生小組通過配置Honeyd創建了幾百個虛擬蜜罐，嘗試著用來保護業務網絡。然而，這一防護策略的實施獲得了意外的成功，學生們饒有興趣地看著紅隊花費數個小時試圖攻破實際上并不存在的“目標機器”。學生小組利用Honeyd設置虛擬蜜罐環境欺騙并迷惑對手攻擊，達到了對業務網絡保護的目的。

3.2 —蜜罐技術的其它應用

蜜罐、蜜網技術在許多網絡安全事件中可以起到作用，虛擬蜜罐Honeyd在充當網絡誘餌、引誘黑客攻擊、對抗蠕蟲、遏制垃圾郵件等方面都有應用。在反蠕蟲安全監測應用方面，巴西蜜罐聯盟具體部署了Honeyd，并且起到了很好的監測效果。蜜網技術也在誘捕黑客攻擊、捕獲高波蠕蟲傳播、僵尸網絡和網絡釣魚攻擊的發現與跟蹤等方面廣泛使用，北京大學“狩獵女神項目”通過部署第三代蜜網技術捕獲Win32平臺高波蠕蟲變種傳播就是很好的應用案例。

4 結束語

蜜罐技術與眾不同之處在于：它并不限于解決某個具體問題，可以應用于不同場合，實現不同目標。蜜罐可以實現防火墻的防護功能，可以實現入侵檢測系統的入侵檢測功能，也具有一定的預警響應能力。但蜜罐技術也有收集面窄、指紋容易被識別等缺點，因此，蜜罐技術和防火墻、入侵檢測等傳統防護手段配合使用才能更好地發揮其作用。

參考文獻

[1]吳灝.網絡攻防技術[M].北京：北京工業出版社，2009.

[2]牛少彰，江為強.網絡的攻擊與防范[M].北京：北京郵電大學出版社，2006.

[3]Lance spitzner.Know Your Enemy： Honeynets[DB/OL]. http：//project.honeynet.org/papers/honeynet.