1 引言

随着信息技术的飞速发展与互联网领域的急速扩张，网络中的不安全因素日渐增多，传统意义上的维护措施已经无法满足信息安全的需要，急需尽快提出行之有效的解决办法。传统的安全技术仅限于被动防御，只有攻击行为发生后才能予以识别，再进行阻隔，这种“后发制人”的模式只能是处于防不胜防的挨打局面，需要一种“先发制人”的主动防御技术来彻底反转主被动关系，通过对攻击者的目的进行技术性分析以及预判，有针对性地防止可能发生的攻击。蜜罐网络欺骗技术正是主动防御与入侵检测为一体模式的代表，不仅可以防止攻击者的攻击行为，还可以对其攻击行为进行分析，更重要的是还可以进行取证以震慑攻击者，具有极高的实用价值。

2 蜜罐技术的定义及其优势

蜜罐技术是一种旨在保护网络安全运行的一种“蜜罐”，即诱导攻击的诱饵。它也是一种网络系统，在被保护的网络系统邻近运行，只不过它故意设置了些许系统漏洞，可以转移攻击者的注意力，迷惑攻击者，代替目标网络系统，将可能的攻击转移到蜜罐网络上。而作为诱饵的蜜罐网络本身并无重要信息，攻击行为并没有造成损失，这样就成功地保护了目标网络。蜜罐网络是一个相对封闭的闭环网络，一般不对外进行内容服务。因此，只要有袭击者访问蜜罐网络，都会被认定为是异常的攻击行为。

此外，为了便于取证，蜜罐网络还布置了网络日志脚本记录程序，对异常的访问（攻击）行为进行记录与目的分析。总之，蜜罐里面没有蜂蜜，里面只是一个陷阱，一个可以进行主动防御的陷阱。从实用性角度考虑，蜜罐技术具有几大优势。

大幅提高检测正确率。蜜罐网络相对封闭，即不会有陌生访问。当攻击者发起网络攻击行为时，一般先会扫描服务器，然后发出请求。这样就可以认定，只要是蜜罐系统记录到的访问请求都来自攻击者。

适用范围广。蜜罐系统内置的算法可以识别多种攻击技术，并不局限在单一的攻击技术或者是某一种攻击行为。对不同种类的攻击行为具有广泛的适用性，即使攻击者采用未知类型的攻击技术，也会起到一定的效果。

价格低廉。蜜罐系统技术成熟，结构简单，构建容易。关键是找好特定位置搭建服务器即可构建蜜罐系统。一般技术力量都可以完成一个甚至多个蜜罐系统的搭建工作，维护与升级也相对简单，价格低廉 [1]。

3 蜜罐技术在网络安全中的应用

3.1 蜜罐在网络中的拓扑位置

蜜罐操作系统部署较为简单。举例说明，一台VMware工作站或者模拟处理器即可实现虚拟机连接互联网。蜜罐放置的位置也较为灵活，防火墙前后均可，各有优缺点。放在防火墙前，蜜罐替代防火墙承接了海量的扫描攻击，蜜罐的日志服务器会把攻击信息记录下来，入侵检测系统也不会发出警示。同时也无需对防火墙进行重新配置，保障了内部网的安全；可是一旦有内部攻击者，蜜罐就无法代受扫描攻击，此时保护失效，攻击者将无法被定位。放在防火墙后可以有效地针对内部攻击者，而且还能收集防火墙已经甄别的异常数据，但缺点是一旦需要对防火墙的规则进行重新配置，一旦蜜罐被攻陷，整个内网都将面临巨大威胁。

3.2 利用蜜罐系统与入侵检测的联动增强防护能力

入侵系统自带攻击行为特征库，对入侵行为的检测主要是通过调用特征库中的数据对其进行匹配，一旦与特征库中的某种数据匹配，随即做出警示。特征库的数据也不是一劳永逸的，需要及时进行更新，只有不断地进行完善，才能对新的攻击行为做出响应。蜜罐系统的出现可以省去不定时更新的麻烦，两系统相互联动，蜜罐系统会将记录的攻击信息发送至入侵检测系统，而后者在接受到该类信息后对其进行一系列的处理，剥离分析提取其中的攻击特征，然后将其加入到特征库数据中，以此及时地完善特征库，以使入侵检测系统对之前未知的攻击行为做出响应[2]。两种系统的联动大大加强了入侵检测系统的防御力。

3.3 利用蜜罐检测僵尸网络

僵尸系统与网络是许多黑客常用的攻击手段，蜜罐系统可以针对性的对其进行检测。僵尸网络的特点是分布式的，但数量极大，常用的攻击方式有常见的零日攻击以及掌握攻击向量，通过远程命令通道发起攻击行为。蜜罐系统专门利用僵尸网络的特点，可以顺藤摸瓜，对其进行及时地追踪与检测分析，进而可以评定僵尸网络的大概数量。想要更深入地跟踪僵尸网络，需要的参数主要是僵尸网络服务器所需要的属性值，而这种属性值的获得可以通过蜜罐手段获取的僵尸系统程序样本的逆向分析得到。蜜罐系统的功能不止于此，其还能准确识别攻击行为所属的操作系统，以及对攻击活动的完整保存与再现。上文提及获得的僵尸程序样本，除了进行逆向分析之外，还可以通过在线沙盒以及各种杀毒软件进行更进一步的分析检测，在线提交，将攻击行为特征共享。

3.4 蜜罐在反蠕虫病毒中的应用

蠕虫病毒是另外一种常见的网络攻击行为，蜜罐技术同样可以有针对性地对其进行防御与控制，根据蠕虫病毒扫描、感染、复制传播特点，蜜罐系统可以有几项的措施对其进行处理。蜜罐系统可以检测出感染阶段的蠕虫病毒，对于已知的蠕虫病毒，可以直接通过重新设置防火墙或者修改IDS规则，然后重定向到蜜罐系统即可。对于未知的蠕虫病毒，可以通过迂回的方式对其进行处理，首先是利用专门为未知病毒设定的伪造数据包，以此延迟系统应答与扫描速度，同时使用特定的辅助软件工具与程序分析系统日志，快速阻断连接。然后，与入侵检测系统联动，将获取的攻击信息分析，提取攻击特征，再次重新设置防火墙或者修改IDS规则，使入侵检测系统可以对之后的攻击行为做出警示[3]。

3.5 利用蜜罐建立安全事件行为特征库

传统的安全技术仅限于被动防御，只有攻击行为发生后，才能予以识别，最后再进行阻隔，且仅限于已知类型的攻击行为。作为主动防御技术，蜜罐弥补了这方面的短板。蜜罐技术通过诱导攻击的方式，记录各种入侵行为并对其进行分析，通过更深层次的追踪，发现未知的攻击行为和攻击模式，通过对海量攻击数据的统计分析，更进一步地探究攻击者的入侵动机，从而使用有针对性的防御策略。从长远角度看，通过分析收集到的攻击数据，可以更为全面地了解已知与未知的攻击行为、攻击模式、攻击源头等。将这些提取出来的信息整合在一起，可以建立起一个相对完善、且能自我更新的特征库，这将在以后的网络安全问题中发挥极为重要的辅助作用。

4 结束语

蜜罐技术是一种安全有效的网络安全技术，其主动防御的特点是传统网络安全技术的强力补充。面对未知的攻击模式与攻击工具，蜜罐技术可以有效地进行处理，及时完善特征库，在各类网络安全问题中扮演了至关重要的角色，很好地维护了网络安全。随着时代的发展与技术的进步，蜜罐技术将会在网络安全维护中大放异彩。

参考文献

[1] 谢盛嘉，黄志成.基于蜜罐技术的校园网络安全模型研究[J].电脑开发与应用，2013（05）：13-15.

[2] 蔺旭东，薄静仪等.网络安全中的蜜罐技术和蜜网技术[J].中国环境管理干部学院学报，2007（03）：110-112.

[3] 王海峰，陈庆奎.蜜网动态部署研究与设计[J].计算机工程与应用，2011（10）：89-92.

[4] 向全青.基于网络扫描技术的动态蜜罐网络设计与实现[J].信息技术，2013（6）：165-169.

作者简介：

崔嘉（1982-）男，山东滨州人，硕士研究生，讲师；主要研究方向和关注领域：物联网应用技术、装备管理信息化、信息安全。