何祥锋

（国家计算机网络应急技术处理协调中心海南分中心 海南 570206）

0 引 言

随着互联网技术的快速发展，互联网安全问题日益突出。常用于防御攻击的传统技术如防火墙技术、入侵检测技术、加密技术、数据恢复技术等都是采取被动防护模式，蜜罐（Honeypot）技术作为一种主动的网络安全防御技术，有效地弥补了传统防护技术的不足。蜜罐技术通过构建一个诱骗系统来吸引入侵者的攻击，通过监控入侵者的行为，收集入侵信息，分析入侵方式，提取攻击特征，从而发现新的入侵行为特征，对未知的攻击起着有效地防范作用。蜜罐技术在网络安全应用中起着越来越重要的作用。

1 蜜罐技术概述

1.1 蜜罐技术的定义

蜜罐是一个诱骗系统，是一种安全资源，它是被严格监控的，通过被扫描、被攻击来体现它的价值。设计蜜罐的目的是让黑客入侵，由蜜罐系统设置的功能对黑客攻击的行为和过程进行分析，以此收集攻击信息。蜜罐不能提高被攻击系统的安全性，但作为一种主动防御技术却是其他安全策略所不可替代的。

1.2 蜜罐的分类

1.2.1 蜜罐可分为产品型蜜罐和研究型蜜罐用于不同的设计要求。产品型蜜罐的设计目的是为了加强系统的安全措施，防范入侵者的攻击，对入侵行为进行检测并且做出应对。常见的产品型蜜罐有DTK、honeyd等开源工具和KFSensor、ManTraq 等商业产品。研究型蜜罐的设计目的是用于研究和获取入侵信息。研究型蜜罐不能增强系统的安全性，而是通过收集攻击者的信息来寻找更有效的应对方式。研究型蜜罐常用于第二代蜜网技术中。

1.2.2 从信息交互程度的不同，蜜罐可分为低交互蜜罐、中交互蜜罐和高交互蜜罐。低交互蜜罐只是对操作系统的一部分或一个服务进行模拟，例如模拟存在代码漏洞的TELNET服务，当攻击者利用该漏洞入侵时，可以观察到入侵行为。中交互是对操作系统的各种行为的模拟，它与攻击者交互的信息更多，也获得更多的攻击信息。高交互蜜罐是一个可被攻陷的真实操作系统，通过真实系统与攻击者进行交互，获取攻击者在系统中详尽的入侵信息。

1.3 蜜罐的优点与缺点

1.3.1 蜜罐系统的优点

大大减少了所要分析的数据，目的性强，捕获的数据价值高；通过蜜罐系统可以捕获攻击者的入侵信息，从而发现新的攻击手段及战术方法；和现在的入侵检测系统IDS比较，蜜罐具有较低的误报率和漏报率；蜜罐系统通过分析可以发现新的入侵行为特征，建立安全事件行为特征库；通过对黑客入侵行为的分析，有利于管理员掌握黑客攻击的一些知识。

1.3.2 蜜罐系统的缺点

蜜罐技术也存在着一些缺陷，蜜罐技术只能对蜜罐的攻击行为进行监视和分析，其视图较为有限，不能通过旁路侦听等技术对整个网络进行监控；蜜罐技术不能直接防护有漏洞的信息系统；部署蜜罐存在一定的安全风险，蜜罐可能被黑客识别并作为跳板对第三方发起攻击。

1.4 蜜罐技术的发展

从90年代初开始，蜜罐技术的发展主要经历了欺骗系统、蜜罐（Honeypot）、蜜网（Honeynet）几个发展阶段。欺骗系统阶段主要是建立一种欺骗方式达到追踪入侵者行为和保护系统的目的。蜜罐阶段出现了 DTK（欺骗工具包）、Honeyd等开源工具，还有一些商业蜜罐产品如KFSensor、Specter等。蜜网阶段是在蜜罐技术上逐渐发展起来的，它是一种网络体系架构，运用多种工具收集攻击者的入侵信息，同时也对网络提供了高度可控性。虚拟蜜网是利用计算机虚拟技术在一台主机系统上虚拟出几台计算机并构建成一个网络系统，虚拟蜜网的出现，大大降低了蜜网设计的成本，而且易于管理。

2 蜜罐的主要技术

蜜罐的主要技术有网络欺骗技术、数据捕获技术、数据控制技术、数据分析和端口重定向技术等。

2.1 网络欺骗技术：是蜜罐的核心技术，通过设置各种欺骗手段，利用系统的安全弱点和漏洞，引诱黑客的攻击。一个蜜罐系统是否有价值，体现了网络欺骗技术的强与弱。设置一个网络欺骗技术强的蜜罐系统，可以充分发挥蜜罐的价值，同时还不易被黑客察觉。目前常用的网络欺骗技术有如下几种：模拟服务端口；模拟系统漏洞；模拟应用服务；IP空间欺骗；流量仿真；网络动态配置等。

2.2 数据捕获技术：数据捕获是蜜罐设计中的核心功能模块。其作用是尽可能多的捕获入侵信息，而不被攻击者发现。对于低交互蜜罐系统，数据捕获一般是对系统日志记录的分析，捕获的信息量有限。对于高交互蜜罐系统，可以应用防火墙、入侵检测设备来实现更多数据的捕获。通过防火墙来捕获进入蜜罐的网络连接日志记录；通过入侵检测系统捕获蜜罐系统所有的网络数据包；通过蜜罐主机获取所有的系统日志以及输入、输出及屏幕显示等，同时通过网络传输把这些数据存放在远程服务器中。

2.3 数据控制技术：为了保障蜜罐系统的自身安全，防止攻击者将蜜罐作为跳板去攻击其他系统或第三方主机。必须对进出蜜罐系统的数据流量进行控制，同时不被黑客怀疑。控制进出蜜罐系统的数据流量可以分成二层，分别是连接控制和路由控制。通过防火墙来控制蜜罐系统的外出连接；通过路由器来控制外出的数据包。

2.4 数据分析技术：数据分析技术是蜜罐技术中的一个难点，主要是对收集到的所有信息进行综合分析和关联。通过分析可以掌握攻击者在蜜罐系统中的活动、击键行为、访问系统所使用的工具、攻击目的等，同时可以对攻击者的行为建立数据统计模型。数据分析主要包括网络协议分析、网络攻击分析和攻击特征分析。

2.5 端口重定向技术：端口重定向是为了让攻击者进入到蜜罐系统设置的一个模拟服务中，而不是进入到系统真实的服务中，从而降低攻击者对真实系统的威胁。根据重定向用户的不同，端口重定向技术可以分为两类，一类是客户端重定向，一类是服务器端重定向。

3 蜜罐在网络安全中的应用

3.1 蜜罐在网络中的拓扑位置

将一台没有打补丁的操作系统机器放置在互联网上就可以完成蜜罐操作系统的部署。例如，可以利用VMware工作站或者QEMU来实现一台虚拟机连接互联网。蜜罐放置的位置可以在防火墙之前也可以放在防火墙之后，不同的位置蜜罐系统所起的作用也不尽相同。放在防火墙之前，优点是蜜罐会吸引大量的扫描攻击，蜜罐本身将攻击信息记录下来，内部的IDS系统不会产生警告，无需调整防火墙及其它的资源的配置，不会给内部网增加新的风险；缺点是无法定位或捕捉到内部攻击者。放在防火墙之后，优点是可以收集到已经通过防火墙的有害数据，还可以探查内部攻击者；缺点是需要调整防火墙规则，如果蜜罐被外部攻击者攻陷将就会危害整个内网。

3.2 利用蜜罐系统与入侵检测的联动增强防护能力

入侵检测系统对入侵行为的检测主要是通过对攻击行为进行特征库匹配，如果攻击行为满足特征库中的条件，将做出响应。入侵检测系统的特征库需要不断的更新，才能检测到新的攻击行为。蜜罐系统弥补了这一不足，蜜罐系统将记录到的入侵信息传递给入侵检测系统，入侵检测系统收到事件信息后对其进行分析并提取攻击特征，最后将新的攻击特征添加到系统的攻击特征库中，从而使得入侵检测系统可以检测出未知的攻击手段。利用蜜罐系统与入侵检测系统的联动可以比较成功地增强入侵检测系统对网络的防御能力。

3.3 利用蜜罐检测僵尸网络

利用蜜罐系统对僵尸系统（bot）和僵尸网络（botnet）进行检测。根据僵尸网络具有分布式的特点，通常利用零日攻击或已知攻击向量通过远程命令通道进行攻击。蜜罐系统可利用僵尸网络的这一特点，对其进行跟踪和分析，从而发现僵尸网络的规模。可以利用蜜罐手段获取僵尸系统的程序样本，利用逆向分析方法来分析样本，从中获得僵尸程序连接僵尸网络服务器所需要的属性值，通过这些属性值可以深入地跟踪僵尸网络。例如，蜜罐可以通过监测IRC控制通道提供实时攻击流量。同时蜜罐还可以识别攻击者操作系统类型以及存储/重演攻击活动的能力。对于蜜罐捕获到的僵尸程序样本可以提交给在线沙盒和多种反病毒扫描工具进行进一步分析，并形成共享的威胁信息。

3.4 蜜罐在反垃圾邮件中的应用

垃圾邮件往往成为传播病毒的一种载体，也常被黑客利用来进行攻击的一种手段，垃圾邮件的危害越来越大。利用蜜罐技术可以有效地控制和防止垃圾邮件的传播。首先，可以利用蜜罐欺骗垃圾邮件制造者收集虚假地址。其次，根据垃圾邮件发送的行为特征，利用流量检测或者虚拟的邮箱账户捕获垃圾邮件，将垃圾邮件重定向到蜜罐中，进行分析和研究。最后，还可以在蜜罐中设置一个虚假代理，用于欺骗需要代理的垃圾邮件发送者。常用的开源工具Honeyd 可以能用来创建虚假的，模拟转发垃圾邮件的邮件服务器。蜜罐技术对于反垃圾邮件已经有实际的应用，并且成功捕获大量的垃圾邮件。

3.5 蜜罐在反蠕虫病毒中的应用

根据蠕虫病毒一般分为扫描、感染、复制的传播过程，利用蜜罐技术可以有效地防止和控制蠕虫病毒的传播。在蠕虫感染的阶段蜜罐能检测蠕虫的入侵行为，对于已知的蠕虫，可以通过设置防火墙和IDS规则，直接重定向到蜜罐中。对于全新的蠕虫，可以在网络层用特定的伪造数据包来延迟应答，延缓其扫描速度，并使用一些软件工具或者算法对系统日志进行分析，采取快速阻断连接。同时，通过蜜罐系统对捕获到的入侵信息进行分析，提取入侵行为特征，进而对防火墙和 IDS规则进行修改，让入侵检测系统对后续的入侵做出响应。

3.6 利用蜜罐建立安全事件行为特征库

对于被动的防御措施，传统的网络安全技术只能检测到已知类型的攻击和入侵。蜜罐作为一种主动防御技术，填补了这一不足。蜜罐可以从各种入侵行为中提取有用的信息，从而发现新的攻击工具和攻击模式，并且可以通过大量的数据分析攻击者的入侵动机，从中制定有效的防御对策。通过对蜜罐技术收集到的攻击数据进行分析，可以进一步了解已知的和未知的攻击方法，攻击手段以及攻击源等。通过对这些有用的信息进行整理，建立起内部安全事件行为特征库，为处理各种网络安全问题起到极大的帮助作用。

4 结束语

随着互联网攻防技术的不断更新，蜜罐技术作为一种主动防御的网络安全技术，有力地弥补了传统网络安全技术被动防御的缺点，在分析未知攻击行为，建立安全行为特征库，有效处理各种网络安全问题方面取得了极好的效果。作为一种新兴的网络安全技术，蜜罐技术越来越引起广泛关注和研究，在对蜜罐收集到的大量信息中，如何对数据进行挖掘，进行综合关联分析，从中提取更多的有价值的信息，是蜜罐技术的难点也是今后的研究方向。在蜜罐技术理论的不断完善与发展下，蜜罐技术将被广泛地应用于网络安全中并将发挥出极其重要的作用。

[1]熊华.网络安全--取证与蜜罐[M].北京：人民邮电出版社.2003.

[2]邢长友；杨莉；陈鸣. 网络蠕虫传播建模分析[J].电子科技大学学报 2007（03）.

[3]杨冬；高为民. 基于虚拟蜜罐的网络安全系统的设计与实现[J].网络安全技术与应用 2008（05）

[4]胡文广；张颖江；，兰义华．蜜罐研究与应用[J].网络安全技术与应用 2006（05）

[5]董国锋；卢艳静．蜜网技术综述[J].网络安全技术与应用2008（12）