◆银 伟 雷 琪 韩 笑 徐 军 金志文 银 霞

(1.95899部队 北京 100085；2.陕西省军区人民武装学校 陕西 710000；3.湖南邵阳市大祥区第一实验中学 湖南 422000 )

0 前言

当今时代，受经济和政治利益的驱使，网络空间已成为国家和个人攻击渗透的主渠道、主战场、最前沿。网络安全面临着前所未有的严峻形势。个人计算机需要防范来自木马、病毒、蠕虫、僵尸、DoS等各种各样的安全威胁。随着攻击技术的发展，网络攻击开始呈现出一些新的特点：（1）攻击自动化程度和攻击速度越来越快；（2）攻击工具越来越复杂；（3）安全漏洞的发现越来越快；（4）防火墙的渗透率越来越高；（5）对基础设施构成越来越大的威胁。网络空间的安全状况不容乐观。

最近的“震网”和“火焰”等APT（高级持续性威胁）攻击表明，针对应用自身的 0day漏洞攻击已经成为新的安全威胁，而防火墙、入侵检测以及反病毒等被动的安全防护方式对这些新型安全威胁已经失效，迫切需要研究主动型的防御技术来应对新型网络安全威胁。蜜罐是一组带有缺陷的安全资源，正因为它有缺陷，才能吸引攻击者对其扫描、探测、攻击和利用。在攻击者攻击过程中，防御方记录攻击者的行为，对攻击者的方法、手段、技术能力进行学习，从而能够更好的制定防御方法和措施。

蜜罐分为高交互式蜜罐和低交互式蜜罐。高交互式蜜罐基于真实的软硬件构建，真实度高，不容易被识别，能够检测未知安全威胁，但是被攻击后，容易被利用去攻击其他的系统，因此风险比较高。低交互式蜜罐基于软件模拟实现，使用资源比较少，不容易被利用，但是容易被识别，而且只能检测已知安全威胁。蜜罐的部署方式主要有蜜罐、蜜网和分布式蜜网三种。蜜罐是将单独的一个蜜罐部署到Internet中，缺点是捕获的安全威胁数据有限，视野受限。蜜网将多个蜜罐组成蜜网网络，蜜网网络通过蜜网网关与Internet相连。蜜网比蜜罐视野开阔些，但是由于其是部署在一个地区，不能对全网的安全威胁态势进行感知。分布式蜜网将多个蜜网网络以分布式的方式部署在不同地区，从而实现对全网的安全威胁数据进行捕获。本文针对蜜罐/蜜网技术，从新的蜜罐类型、数据分析技术、蜜罐配置技术和识别与反识别技术四个方面对蜜罐进行综述。

1 新的蜜罐类型

Adachi提出BitSaucer。它是一个集低交互式和高交互式蜜罐为一体的混合式蜜罐，同时具备低交互式蜜罐对资源要求低和高互式蜜罐响应能力高的特征。机制的关键在于设计运行在主机上的代理。代理是守护进程，负责根据网络流量按需自动生成虚拟主机并构建高交互式蜜罐。由于高交互式蜜罐是按需生成，大大降低了资源消耗。

Alosefer设计了低交互式客户端蜜罐——Honeyware，用于检测恶意的web服务器。Alosefer使用Honeyware对94个网页链接（其中有84个恶意链接，10个正常的链接）进行了检测，并与Capture-HPC客户端蜜罐做了比较。Honeyware能发现83个恶意链接。而Capture-HPC检测到62个恶意链接，23个正常链接以及不确定剩下9个链接的归属。Honeyware是低交互式蜜罐。它接收到的数据会被一个外部处理引擎处理，对每个链接的处理时间大约是1分钟，而Capture-HPC大约只需17秒。Alosefer认为将来在web客户端蜜罐设计方面，必须将高、低交互式蜜罐结合起来使用才能发挥它们各自的优势。低交互式蜜罐容易安装，但是需要外部数据处理，而高交互式蜜罐有数据处理模块，但是不容易安装。

Anagnostakis在高交互式蜜罐的精度和异常检测的广度两个方面进行折中，提出“影子蜜罐”。“影子蜜罐”是真实业务网络中嵌有蜜罐代码的网络应用程序。所有的请求都被异常检测模块做预先处理，被裁定为正常请求的，都会被转发给业务服务器，如果被裁定为恶意的，就会被移交给“影子蜜罐”。“影子蜜罐”像沙箱一样，对请求进行虚拟执行并进行裁定。如果“影子蜜罐”裁定为正常的，则将请求转发给业务服务器，当被“影子蜜罐”裁定为恶意时，攻击者所有操作都会被倒退回去。

Bailey结合使用低、高交互式蜜罐以期实现高覆盖面（低交互式蜜罐的优点）和高保真度（高交互式蜜罐的优点）。高覆盖面是指对不同种类的网络流量类型（不同地址、端口以及应用等）都具备监测能力。高保真度是指蜜罐能够获取详尽的信息，包括攻击行为以及攻击者的响应等。Bailey提出使用多个低交互式蜜罐作为传感器来收集网络流量信息，以提高覆盖面。如果低交互式蜜罐发现与威胁相关的行为或者请求，则将会话移交给高交互式蜜罐。通过这个方式，在实际部署中，对高交互式蜜罐的需求就会大大减少，降低了资源消耗，同时低交互式蜜罐能够涵盖多种类型的安全威胁。

Das提出一种对抗拒绝服务攻击（DoS）的机制。将业务服务器放在访问网关之后。访问网关对客户进行认证，如果认证通过，那么访问网关就为客户和业务服务器开辟一条通信路径。如果认证没有通过，访问网关就像蜜罐一样工作，并且把客户限制在里边。如果客户对多个访问网关都具有访问权，那么只需要其中一个访问网关对他进行认证就可以。由于在对业务服务器访问之前要进行访问网关的认证，有效阻止了对业务服务器的DoS攻击。

路由协议，如RIP、OSPF以及BGP，经常成为被攻击的目标，而针对路由器目前还没有一个高交互式蜜罐来提高其安全性。Ghourabi为路由器提出一个客户端蜜罐，能够检测到针对路由器的未知的攻击。该蜜罐是基于 Quagga路由套件研发的高交互式蜜罐。它能依据协议规范，主动的给远程路由器发送数据，观察路由器的响应数据以此来判定该路由器是否被攻陷。对远程路由器返回的数据使用wireshark进行捕获。作者对RIP和OSPF协议进行了测试，证实该蜜罐能检测到对路由器的攻击。

虚拟机是非常庞大复杂的软件系统，它们必然存在着软件bug和安全漏洞，某些错误配置也会导致问题。这意味着虚拟机本身的以及运行在其之上的蜜罐都存在很高的风险。Jiang提出使用两个传感器来监测高交互式蜜罐。内部传感器在蜜罐内部运行，记录系统调用以及它们的响应，包括哪个进程调用了哪个系统调用等信息。由于运行在蜜罐内部，内部传感器容易被攻击者攻陷。而外部传感器工作在蜜罐外部，不容易被攻击。外部传感器通过拦截出入蜜罐的数据来监视攻击。

Khattab设计了方案来对抗针对业务服务器的DoS攻击。蜜罐和业务进程在网络中能够迁移。当业务进程迁移到其他主机上时该主机自动变成蜜罐。蜜罐的作用是将攻击者困住，因此能防止和延缓DoS攻击。当大部分请求是DoS攻击时，这种方案非常有效。

Kreibichi提出一个蜜罐原型系统。它为入侵检测自动生成识别标志，而不需要预先对任何特征进行硬编码，从而实现对未知0day恶意软件的检测。原型系统的核心包括连接监测组件和恶意软件识别标志生成算法。连接监测组件对连接创建过程和连接建立阶段的连接进行监测。对于大部分连接请求，在连接创建阶段可以看到它们的踪影，但通常并没有完成连接建立就夭折了。提出的蜜罐原型系统通过区分这两个阶段进而大大减少要监测的连接数目。识别标志生成算法模块对每个可疑的连接进行协议层和应用层分析，通过它们的行为和相关性来生成识别标志。

蜜罐的最初设计目的是被防御方用来提高主动防御能力，最近Lauinger发现蜜罐技术已经被攻击者所利用。攻击者针对即时通讯软件开发了一款高交互式蜜罐软件。它通过劫持会话消息实施钓鱼攻击。黑客首先邀请两个用户启动即时通讯会话。然后，建立到这两个用户的连接。蜜罐作为中间人对他们的会话消息进行转发。转发的同时实施会话监听和消息的篡改。

在当前钓鱼站点检测技术中，当垃圾邮件捕获器捕获到垃圾邮件时，要求系统管理员人为对其进行分析，并启动一个客户端蜜罐访问该垃圾邮件包含的站点以此来确定该站点是否是钓鱼站点。这个过程历时较长，因此容易被黑客察觉。为应对该问题，Li为网上银行系统设计了phoneybots分布式蜜罐系统，集成了垃圾邮件捕获功能，将钓鱼站点的处理过程自动化，并对该钓鱼站点进行响应，分析潜在的危险。此外，该系统还能够监视使用虚假账号进行银行交易的过程，捕获黑客的行为。

Nazario提出 PhoneyC蜜罐，在两个方面拓展了已有蜜罐特征。第一是让蜜罐变得主动，即实现客户端蜜罐。第二是增加动态网页内容处理器，能解析二进制动态内容，包括 Javascript，VB以及Active X控件。通过人工方式分析二进制代码异常困难，二进制解析器能辅助网络安全管理员发现恶意的网站服务器。将这两个方面的功能融入到网页应用中，实现主动型客户端蜜罐，自动的从大量的网页服务器检测出恶意的服务器。

Portokalidis设计了Argos蜜罐，将未知恶意软件的监测、检测以及识别标志生成过程自动化，减缓了蠕虫和病毒等未知恶意软件的传播。它还改进了已有机制Minos和Vigilante的一些缺点。Minos不能为入侵检测生成识别标志，而Vigilante不能保护操作系统内核。Argos执行动态污点分析，它记录从网络连接来的数据，如果数据在本地执行，则进行标识。当检测到一个疑似被污染的数据，Argos向进程动态的插入汇编代码，提取关于该进程的相关信息，或者修改该进程的执行路径以减缓该进程执行速率，从而减少它的危害。

Prathapani为无线网状网络设计了一个蜜罐来检测黑洞路由器。黑洞路由器对外宣告虚假的最优路径从而吸引网络流量。接收到流量后对报文进行丢弃处理，形成黑洞。Prathapani的蜜罐包含反馈模块、警告模块以及路由器模块。路由器模块通过查询到的路由或者已有的路由向反馈模块发送一条消息。反馈模块对该消息作出响应。如果路由器模块没有收到响应，则它判断被测试的路由器是黑洞。然后警告模块向网络中其他路由器发送警告消息宣告黑洞，让其他路由器避免使用该黑洞。

一般来说攻击者会远离含有蜜罐的网络。利用这一点，Rowe提出虚假蜜罐技术来保护真实的业务网络。虚假蜜罐是指伪装成蜜罐的蜜罐。虚假蜜罐有意让攻击者检测到，从而让攻击者认为可能业务网络也是蜜罐系统，进而保护了真正的业务系统。

社交网络中的垃圾信息是向社交网络用户发送的包含恶意链接的信息，用户点击该恶意链接后就受到了攻击。针对日趋流行的社交网络中的垃圾信息，Webb设计了一个高交互式蜜罐。该蜜罐通过分析Myspace社交网络的“用户添加请求”信息来进行测试。首先，Webb在Myspace中创建了51个静默账户，等待垃圾信息中的好友请求，然后下载垃圾信息中好友简历，记录源地址，识别它们的地理位置信息。Webb发现大部分恶意信息来自美国中西部，而加利福利亚州是恶意信息最大的来源。57.2%的垃圾信息使用“关于我”的内容。而在垃圾信息中包含了成千上万的恶意链接。

Zhuge提出“HoneyBow”蜜罐，对病毒和蠕虫等恶意软件进行自动检测和捕获，而不需要人工分析蜜罐中的输出数据。HoneyBow主要包括MnFetcher、MmWatcher和MmHunter三大组件。MnFetcher组件让恶意软件对文件进行操作，然后比较文件的MD5哈希值来判定文件是否被修改。如果文件被修改了，那么该软件被认定为恶意软件，同时将被修改文件恢复。MmWatcher组件对创建文件、修改文件等系统调用行为进行监测，这些行为将导致启动入侵检测。最终，MmHunter组件以调试器方式监测代码执行情况来检测恶意软件的可疑行为。

Kwon基于蜜网提出一个DDoS攻击预测系统体系结构。该预测系统体系结构包括四个模块：数据提供模块、数据收集模块、入侵预测模块和预测后处理模块。数据提供模块提供预测攻击所需的原始数据。Kwon部署内部和外部蜜网来收集原始数据，使用Hflow工具对网络流、入侵防御系统日志以及Sebek捕获的入侵行为数据进行融合和存储。数据收集模块从数据提供模块获取数据，将数据量化，并转换为容易分析的格式，提交给入侵预测模块。入侵预测模块使用统计模型、机器学习算法对数据进行分析，并对DDoS攻击进行预测。预测后处理模块对预测结果和实际结果进行比较，并将结果反馈给入侵预测模块，预测模块再根据反馈结果对参数进行调整，提高预测精度。

针对僵尸网络行为分析，Kumar基于第三代蜜网技术构建了一个分布式蜜网系统。该系统由三部分组成：分布式蜜网客户节点、中心数据库以及分析服务器。分布式蜜网客户节点由nepenthes构建的低交互式蜜罐和Linux/window XP构建的高交互式蜜罐混合组成，通过Virtual Box虚拟化技术将这些蜜罐部署到一台主机上，降低硬件成本。中心数据库使用MySql软件存储捕获到的恶意代码二进制文件。分析服务器对存储的二进制文件进行分析，提取僵尸网络的特征。

Pawar创建了一个低交互式蜜罐，对HTTP和Telnet服务进行了模拟。HTTP服务对攻击源地址进行监测，创建黑名单列表，从而保护真正的业务网络。Telnet服务对针对登录的攻击进行追踪和记录。

SSH 是点到点之间保密传输信息的协议，用来取代明文传输协议，如telnet和rsh等。Valli使用Kippo软件构建了一个SSH蜜网。Kippo是中等交互式蜜罐，通过调用基于Python编写的开源软件Twisted库函数来模拟SSH服务。在攻击成功后，Kippo蜜罐还能模拟逻辑上正确的文件系统。Kippo蜜罐使用MySQL数据库来存储攻击者与Kippo蜜罐的交互数据，并将数据传输给一个中央控制的Postgresql SQL服务器。

其他的优秀成果有诸葛建伟提出的Spampot诱捕系统，是一个基于分布式低交互式诱捕系统的垃圾邮件捕获系统。还有汪洁提出的HoneypotIDS系统，在入侵检测系统中引入诱捕系统技术，对未知攻击进行识别。王超杰也提出一种基于双层动态诱捕系统技术的智能交通系统主动防御方案。还有段凯元搭建了基于Kippo诱捕系统的主动防御系统,对SSH服务攻击进行了研究。

2 数据分析技术

自诞生以来，蜜罐就成为了网络安全专家所关注的重点。主要原因是对蜜罐搜集到的原始数据进行理解、分析和利用需要具备全面的分析技能，而且需要具备网络协议、应用、网络硬件设备，操作系统以及用户管理方面的专业技能。除了专业知识背景外，还需要具备相关的网络安全管理经验。尽管蜜罐技术具有很大的潜力，但是这些先决条件却阻碍了其成为提高网络安全能力的流行手段。在过去五年里，科学家开展了相关工作来简化数据处理过程，并提升数据自动处理能力。他们将入侵检测、数据挖掘、专家系统、人工智能、以及博弈论等相关领域的进展也应用到蜜罐数据处理中。在这节中，我们将讨论这些技术。

Chen将入侵容忍技术通过蜜罐融合到网络安全取证中。Chen称之为动态安全取证技术。即使入侵者进行数据修改，该方案也能确保取证分析的数据是可靠的。动态安全取证技术的关键组件是入侵检测，它对威胁进行监测。当检测到高等级的安全威胁，动态取证系统被激活对安全威胁进行验证。如果证实威胁存在，则将网络流量导向至蜜罐中。并允许攻击进行到一定程度，再阻止所有的攻击流量。这样做的目的是防止收集到的数据被攻击者篡改。然后，系统对攻击行为进行分析，提取特征以供检测未知攻击使用。证据收集代理负责对所有警报和防火墙/负载均衡器进行日志和数据记录。当警报级别超过一个门限值时，防火墙/负载均衡器负责将攻击流量重导向到蜜罐中。

Cooke对蜜罐所面对的僵尸网络新威胁进行了研究。虽然蜜罐是用来检测和防御僵尸网络的工具，但是Cooke的论文发现僵尸网络的最新进展严重威胁着蜜罐。通过大量实验Cooke发现蜜罐被僵尸网络反复攻陷，有时候还同时被多个僵尸网络攻击。这表明需要设计新的蜜罐来应对猖獗的僵尸网络。Cooke提出“超蜜罐”技术。“超蜜罐”是蜜罐的蜜罐。该技术先设置蜜罐，让僵尸网络感染和攻陷，然后设置“超蜜罐”监测和学习蜜罐行为，用以防御僵尸网络。

Dantu为蠕虫检测提出一个基础架构，通过监测外连连接速率来检测蠕虫。该架构还基于闭环反馈控制调节创建外连连接的速率，以此来减缓蠕虫。具体做法是设定一个目标值，通过PID算法将外连连接速率调节至设定值，以此来减缓蠕虫的传播。实验显示，该算法能将蠕虫的传播时间延长5倍。通过杀死受感染的进程、主机黑名单技术、多反馈闭环控制和智能连接排队算法，可以大大减少感染蠕虫的主机数量，进而阻止蠕虫的蔓延。

Linux虚拟文件系统的数据收集功能存在一个局限性，即不能从inode节点中获取文件名信息。当inode针对安全异常发出警报时，取证分析不能依托 inode获取文件名信息，因为 Linux操作系统仅仅存在文件名到inode的单向映射。Fairbanks提出了一个方案解决了这个问题。他修改了Linux内核中的虚拟文件系统代码，让内核保存一个dentry的数据结构，维护inode到文件名的反向映射。即使攻击者想修改日志文件来隐藏攻击事件，蜜罐管理者也可以使用串行连接通过将dentry保存到远程文件。这样即使攻击者修改了文件也能被蜜罐管理者检测出来。

为了协调异构蜜罐之间的行为，让异构的蜜罐系统之间交互输出数据，以支持更好更快的发现网络安全威胁，Hoepers设计并实现了一个标准协议，提出了一个可互操作的、开放系统的语法，描述了语义和面向对象的编码，对未来数据扩展也提供了支持。

目前蜜罐的数据分析存在两个问题。一是从捕获的大量数据中检测异常数据是非常费时费力的。二是对数据进行分析需要具备专业技能、专门的经验和培训的人才能胜任。Krasser认为可视化蜜罐收集到的数据能解决这两个问题。他将攻击时间线、报文大小、源 IP地址分布、协议类型、每个连接的持续时间以及访问的本地端口号进行可视化，还提供实时的包捕获展示，重放功能，对指定的设备能进行交互操作，自动的二维、三维图像展示。

对多态蠕虫进行特征提取是一个难题，因为多态蠕虫经常修改自身来防止产生精确的指纹信息。Mohammed提出双蜜网和重要分析组件（Principal Component Analysis）架构来提升多态蠕虫特征提取的精确度。该系统包含两个蜜网。第一个蜜网捕获蠕虫，并且提供机会让它去感染第二个蜜网。给蠕虫充分的自由度，在这两个蜜网中反复感染。而在传播过程中蠕虫所有演化版本都被记录下来，由重要分析组件进行特征提取，并用于入侵检测系统中来检测多态蠕虫。

有个假定认为如果恶意软件能够检测到基于虚拟机实现的蜜罐，那么这些蜜罐就不容易成功的检测出针对浏览器弱点进行偷渡式下载攻击的站点。Narvaez对该假设进行了验证。他设置好一个基于虚拟机的蜜罐系统和一个基于真实主机的蜜罐系统。蜜罐软件使用Capture-HPC实现。两个蜜罐连接到同一组已知是恶意站点的站点，然后研究他们检测恶意站点的能力。实验结果表明基于虚拟机实现的蜜罐的检测能力并没有比真实系统构建的蜜罐弱。

Newsome在有噪音情形下针对多态蠕虫特征提取问题进行了研究，提出一种自动特征提取方法，并且具有低的假阴性和假阳性。因为有噪音，提取出来的特征是分离的几个内容子串，而不是一个独立的子串。为了有效进行特征提取，先将对象内容划分为三个片段，包括不变、通配符和代码字节片段，再对特征进行识别，特征是指以某个特定顺序出现的字串，或者是使用分簇技术实现的正则表达式。作者的结论是基于内容的特征提取方法对多态蠕虫同样有效。

Raynal提出信息取证方法对服务器入侵事件进行研究，主要分析攻击意图、入侵者使用的技术以及工具。提出的取证分析步骤包含网络行为分析、系统和文件分析以及证据收集。Raynal指出使用蜜罐的最大挑战是设计一套系统的方法来分析蜜罐收集到的数据来预防已知和未知的网络攻击，以及如何传播这些技能和经验。

Su将数据挖掘技术应用到蜜罐捕获的数据分析中，实现自动化检测新的攻击。作者引入了片段的概念。片段是指一系列事件。这些事件被划分为串行、并行，以及复杂事件（串行和并行的组合事件）。作者对众多相关的片段进行数据挖掘，发现了Korgo，Shelp以及Sasser蠕虫。

Tang提出“双蜜罐”技术有效提取蠕虫特征，从而实现检测0day多态蠕虫，“双蜜罐”架构包含一个入站蜜罐、一个出站蜜罐和地址解析器。“双蜜罐”技术根据蠕虫从入站蜜罐打开外连连接到出站蜜罐的特性来检测蠕虫。基于“双蜜罐”架构，Tang提出一种的新的数据分析方法，称为“地理感知分布式特征（Position Aware Distribution Signature）”。现行蠕虫检测中，提取的蠕虫特征是固定的，而“地址感知分布式特征”数据分析方法允许特征进行变化，提高了多态蠕虫检测精度。为了控制特征每个位置的变化，“地址感知分布式特征”数据分析方法对字节频率分布进行分析，指定特征字符串中每个位置都具有多大可能性发生变化并且发生什么样的变化。

一般而言，安全管理人员需要投入相当大的精力到原始数据分析中去，但从其中提取到攻击数据的成功率却很低。Thonnard在付出和回报这两个方面做了一个折中。使用基于图论的数据分簇技术以及相似度距离技术进行数据分析。基于图论的方法使用图来描述数据簇之间的拓扑关系。数据簇使用相似度来区分。Thonnard首先对数据进行了特征提取。用数据特征之间的相似程度作为相似度。

Trivedi将蜜罐设置为开放代理，对即时通信软件捕获的恶意信息进行了分析。Trivedi发现大部分恶意信息的目的是引诱用户点击信息中包含的恶意站点。为避免被检测，恶意信息中使用了不同的目的地址URL，而这些URL使用了重定向技术又将用户导向恶意站点。恶意信息还使用了随机标记文本技术，将随机的字符插入到信息的文本行中，从而避免被入侵检测系统检测。

Wagener使用蜜罐捕获的数据重组TCP会话并提出一个模型对该TCP会话进行验证。该模型在进行网络取证分析时能定量分析数据信任度。重组TCP会话的过程是对属于同一个TCP会话的报文进行识别和重组的过程，目的是观察在这个会话中发生了什么。重点是确定TCP会话中发生的错误，包括被忽略的IP分段速率，不完全的报文捕获率，错误识别的TCP会话数。

Yegneswaran对蜜罐捕获的数据进行分析，目的是区分蠕虫、僵尸网络以及网络管理员错误配置引起的异常。他提出使用暂时IP地址源数目、到达窗口调节、到达分布分析，目的网络扫描足迹图谱，源地址扫描、源地址生命周期分析等技术对可疑数据进行分析，并推测出可能的情况。

Zhao设计了一个模型预示蠕虫的传播，进而使用蜜罐阻止蠕虫的传播。将网络划分为子网络，蜜罐被部署到子网络的某些主机上。成为中心节点。将主机的状态划分为易感染、已感染以及免疫，并评估感染速率。基于此，确定每个主机的防御方案，最大化阻止蠕虫传播。

Wang对高级僵尸网络进行了研究。为了预测僵尸网络的演化，Wang设计了混合式对等僵尸网络。这种僵尸网络相对现在的僵尸网络来说，更加难以关停、监测和劫持。混合式对等僵尸网络的核心是拥有两种类型的僵尸，即服务器和客户。服务器在全球因特网范围内都可以公共访问。客户使用私有地址，部署在防火墙之后，在全球范围内不可以访问。通过让一些节点不可全局访问，即使发现了一些僵尸节点并获取他们的对等体列表，也很难将混合式僵尸网络全部关停。为了应对这种混合式僵尸网络，Wang提出部署大量的基于静态IP地址的蜜罐系统对僵尸网络进行投毒，填满对等列表，获取足够多的信息来关闭僵尸网络。

Kansal使用Nepenthes和Virtualbox软件实现了一个包含有低、高交互式蜜罐的蜜网体系架构。该蜜网体系架构没有建立数据集中存储中心，只是将数据存储在各个操作系统之上。在构建蜜网过程中，仅使用了一台物理主机，运行基本操作系统，之上运行多个客户操作系统作为虚拟蜜罐。蜜罐被配置为运行随机的服务，服务器端口上运行服务代理。

3 蜜罐配置

蜜罐没有得到普遍流行的另一个原因是配置难度高。蜜罐是陷阱，在不被察觉的情况下捕捉攻击者并对其行为进行监测。正如陷阱一样，蜜罐必须经过认真的配置才能吸引正确的目标。蜜罐的管理者要思考以下几个问题：对哪些行为进行监测，对谁的行为进行监测，什么时候进行行为监测等。如果配置不好，蜜罐不仅不能吸引到猎物，而且很容易被攻击者劫持。盲目的捕捉大量的网络行为将导致数据处理上的困难。因此，需要针对某个特定的目标，对蜜罐进行配置。这节中讨论蜜罐研究中关于如何减少配置难度、或者自动化蜜罐配置的方法来提高蜜罐的有效性。

Briffaut设计了分布式的高交互蜜罐架构。通过使用入侵检测等其他工具定期检测高交互式蜜罐的状态，当检测到蜜罐的异常行为或者攻击者对蜜罐进行修改和劫持后，能自动对蜜罐进行重装，提高了高交互式蜜罐管理自动化程度。缺点是频繁的重装增大了关机时间，因此容易成为DoS攻击的目标。

Carroll使用博弈论的方法研究如何将蜜罐有策略的部署到网络中，实现攻防双方博弈的平等性。Carroll将系统划分为四类：业务系统、假的业务系统（即伪装成业务系统的蜜罐）、蜜罐（即没有伪装成业务系统的蜜罐）以及假的蜜罐（伪装成蜜罐的业务系统），并设计了一个模型将这四类系统部署到网络中。

Chen设置蜜罐捕获SQL注入攻击并对此进行了研究。Chen认为应该设置高交互式蜜罐对数据操作行为实施监测，而且为了使蜜罐看起来尽可能真实，需要配置其他非业务系统来使用该蜜罐的数据库系统。该蜜罐至少能允许攻击者对数据进行操作，但是对攻击者试图改变系统的行为进行监测和限制。在网络架构中，使用一个蜜罐模拟一个真实的网络，该网络将所有的 SQL注入攻击导向到一个高交互式蜜罐，而高交互式蜜罐与数据库相连。数据库中存放着看起来像是真实的数据。在web前端和数据服务器之间设置一个代理，阻止某些SQL命令对数据库的操作。作者还建议使用蜜罐标记。蜜罐标记不是真实数据而是在使用时能够被追踪的数据。

Hecker设计了一个叫做Honeyd配置管理器的系统，来动态的部署低交互式蜜罐。首先该管理器使用nmap软件对网络进行扫描，收集该网络的主机系统信息，包括操作系统类型和开放端口等。扫描的过程是建立配置文件的过程。配置文件包含将要模拟的网络主机信息，可以由管理员进行修改，对开放端口和 IP地址进行配置等。配置管理器根据此配置文件生成低交互式蜜罐模拟整个网络。

Kohlrausch使用蜜罐对W32.Conficker蠕虫进行了分析。该蜜罐使用了动态污点分析技术。具体而言，该技术是通过Argos蜜罐，snort入侵检测系统和调试器组合实现的。Argos是数据捕获工具，能对未知威胁进行检测，snort能检测已知安全威胁，Argos和 snort对网络中获取的数据的每一个字节都进行标记，在调试器中对其行为进行跟踪。作者认为工作的难点是如何在如此多数据中确定每个行为的影响和后果。

Spitzner使用蜜罐和蜜令牌检测来自内部网络的安全威胁。来自内部网络的安全威胁不同于来自外部网络的威胁，因为内部攻击已经获得系统的访问权，而且对系统非常熟悉。为了捕获内部攻击者，需要将蜜罐从外部网络移到内部网络，而且占用所有未使用的 IP地址。因为他们对系统很熟悉，所有的蜜罐必须为高交互式的。内部攻击者的目的是尽可能多的获取信息，因此，蜜罐需要提供一些攻击者想知道的信息，包括假的商业计划、设计规范等。这些虚假文档以及那些用来登录蜜罐系统的密码称为密令牌。

Wang提出蜜罐动态部署方案，在网络中将不同蜜罐部署到不同区域。提出的方案自动调整高、中和低交互式蜜罐的分布。低交互式蜜罐主要用于应对已知的攻击类型，而中、高交互式蜜罐主要应对未知安全威胁。方案将网络划分为四种区域：防火墙之外、内部网络、非军事区以及子网络内。针对每次检测到的攻击，系统确定在哪个区域、哪个级别以及使用哪些蜜罐进行分布式部署。实验表明，这种方案设计的系统比静态部署的蜜罐来说，能够更有效的减缓和阻止攻击。

蜜网技术的一个难点问题在于仿真一个真实的网络。Hecker提出基于被动扫描和主动扫描的架构来获取被模拟网络的信息，包括操作系统版本、开放端口和服务等，被动扫描通过tcpdump和p0f软件实现，主动扫描通过nmap和Xprobe2实现。通过扫描生成Honeyd和XML配置文件，分别利用Honeyd和XML配置文件生成低、高交互式蜜罐。

4 蜜罐识别与反识别技术

蜜罐对攻击者的行为和操作进行监控，目的是为了防止受保护的业务网络遭受此类攻击以及为将来起诉攻击者进行取证。因此，蜜罐的真正价值在于在不被识别的情况下监控攻击者的行为。因此，从攻击者角度来说，对蜜罐进行检测是非常重要的一环。他们设计了很多系统的方法来识别蜜罐。大部分的手段是针对某些特定高、低交互式类型的蜜罐。而对于蜜罐管理者，他们也是想方设法的避免蜜罐被攻击者识破。因此，识别与反识别一直以来是蜜罐研究的热点问题。

Dornseif展示了在没有任何日志记录情况下，蜜罐是如何被攻陷和被黑客控制的。Sebek模块是用在高交互式蜜罐中进行日志记录的模块。Dornseif讲述了四种方式来检测、关闭和逃避Sebek。Sebek使用自定义的read（）函数，替代了系统的read（）函数，实现击键记录的监听。由于新read（）函数开销大，Dornseif提出通过发送大量ping报文查看响应报文的时延来识别sebek模块。由于新的read（）函数在内存的位置与其他系统调用相距较远，基于此也可以检测 sebek模块。Dornseif还提出通过查看内核中运行的模块是否包含sebek来进行检测。这些手段说明了检测Sebek是一件比较容易的事情。Dornseif建议将Sebek作为一个内核补丁，而不是加载的模块，以此来防止攻击者识别。

Holz讨论了针对高交互式蜜罐的检测技术。高交互式蜜罐一般运行在虚拟机上，如VMWare。虚拟机在管理模式下运行用户进程。基于时间线的检测能发现运行在虚拟机上的进程。主要对服务器的响应时间进行测量，依据是来自蜜罐的响应要比真实业务主机的慢。因此，基于此原理设计自动化的提取蜜罐指纹特征的软件并不是一件难事，严重影响到蜜罐的安全。

McCarty研究出一个叫做“蜜罐猎捕者”的反蜜罐工具，用来帮助垃圾邮件制造者检测邮件蜜罐。邮件蜜罐作为开放代理进行邮件中继。为了检测邮件蜜罐，“蜜罐猎捕者”创建一个本地邮件服务器，连接到目标邮件代理。然后它尝试从代理回连到自己。如果目标邮件代理宣称连接已经成功，但是邮件服务器并没有收到回连请求，那么就检测到了蜜罐。“蜜罐猎捕者”也可以给目标系统发送一些测试邮件，观察它们是否被投递。如果没有，则判定是蜜罐。

Mukkamala通过时间线分析、服务器服务以及TCP/IP指纹特征来检测低交互式蜜罐和运行在虚拟机上的高交互式蜜罐。时间线分析测量服务器的响应时间，依据是来自蜜罐的响应要比真实业务主机的慢。Mukkamala建议使用门限值4.4*10-4秒来区别真实业务系统和基于虚拟机的蜜罐系统。另外，蜜罐没有实现其模拟的主机系统上运行的所有服务和特征，因此可以对网络服务进行特征识别，从而检测出蜜罐系统。蜜罐系统和真实业务系统的TCP/IP指纹特征是不同的，通过对TCP和IP报文头部进行指纹特征识别也能发现蜜罐。

Perdisci提出使用噪音注入的方式来对抗蜜罐自动提取蠕虫特征的技术，如Newsome。噪音注入是通过向蜜罐注入与多态蠕虫相似的数据但是该数据不包含多态蠕虫中不变的部分，以达到迷惑特征提取软件的目的，阻止从蠕虫中识别出多态蠕虫不变部分。Perdisci通过实验展示经过精心构造噪音，例如在噪音为50%（噪音与不变字节的比例）时，Newsome不能从多态蠕虫中提取出特征（即不变字节）。

Zou提出了一种使用僵尸网络来检测和避开蜜罐的技术。一般来说，蜜罐管理员不允许蜜罐去攻击其他网络。利用这点启示，Zou设计了蜜罐检测系统。僵尸网络管理节点首先向僵尸节点发送攻击信息，攻击信息控制僵尸节点对某个目标发起攻击行为。僵尸节点中可能有一些是蜜罐。僵尸节点完全受僵尸网络管理节点控制，不听指挥的便是蜜罐，僵尸网络管理节点以此为依据将蜜罐从僵尸网络中移除。

5 发展趋势

近年来，蜜罐技术受到安全界的持续关注并获得长足发展，但是蜜罐技术的应用还受着不少问题的困扰，主要表现在以下几个方面。

（1）对高交互式蜜罐需要细粒度的数据控制来控制风险。采用真实的硬件和操作系统构建的高交互式蜜罐，虽然比较真实，不容易被识别，但是被攻陷后容易被利用去攻击其他的系统，带来责任和法律问题。目前的数据控制机制采取限制对外连接数目和连接速率的方式。这种方法没有完全阻止攻击流量的外流，只能在一定程度上限制攻击者利用蜜罐作为跳板攻击其他主机和系统，因此责任和法律问题依然存在。而完全阻止流量的外流也不是一种好的方法。这是因为僵尸网络在传播过程中，需要从攻击源那里获取指控信息，阻止全部流量就不能很好的学习僵尸网络的行为。此外，阻止所有流量外流会成为一个蜜罐的识别特征，让攻击者快速的识别蜜罐。因此，急需一种更加细粒度的数据控制机制对外流的报文进行内容检查，仅限制攻击流量外流。

（2）对低交互式蜜罐，需要提高仿真度，防止被识别。基于模拟实现的低交互式蜜罐虽然利用资源少，但是真实度差，交互能力有限，因此被识别的风险比较高。如何自动感知和学习被模拟的操作系统和服务特征，动态适应网络变化，实现系统自动配置，增强蜜罐系统的仿真度，是有待研究的问题。

（3）蜜场架构中需要解决好蜜场网关设计问题。在蜜罐的部署方式研究上，国内外提出了蜜罐、蜜网、分布式蜜网和蜜场的体系架构。由于蜜罐和蜜网体系架构是集中式架构，不能对全网的安全威胁态势进行感知，而分布式的蜜网虽然能够分布式的监测网络威胁，但是维护开销大，管理比较困难。而蜜场以分布式的方式部署监测节点，以集中式的方式管理伪装系统，但是它还仅仅是一个概念模型，还没有具体实现。其中蜜场网关的设计是蜜场架构问题的关键，重点需要解决数据控制、数据捕获和数据分析功能，目前还没有一个很好的方案。

（4）统一数据格式，融合多源信息。在大规模网络环境中，对来自不同地区多个数据源的数据进行融合，是生成安全威胁态势和进行趋势预测的关键问题。一方面，需要根据局部信息分析攻击行为，另一方面，需要汇集和融合局部的数据，对整体的安全状况进行分析预测，以形成更准确的威胁态势信息。因此需要建立统一的数据格式，方便从各个监测点获取、融合与分析数据，提高快速性和准确性。

（5）数据自动分析与特征自动提取。对蜜罐数据的分析往往需要专家投入较多精力和时间，特别的，某些数据的分析需要专家直接参与分析过程才能得到有用的信息。因此，需要借鉴其他领域中处理数据的成熟方式方法，对蜜罐采集数据使用可视化、统计分析、机器学习和数据挖掘等方法来研究自动特征提取技术，自动识别攻击工具、手段、目的，并分析攻击趋势。

（6）与其他安全技术结合使用，构建优势互补的安全体系。对待安全威胁，以防御为主，在防御失效的情况下才要求具备攻击检测能力。蜜罐只能检测对它实施攻击的行为，不能防护有漏洞的系统。而且将其部署到业务网络中会带来一定的风险。因此，蜜罐需要与防火墙、反病毒、入侵检测等其他防护系统配合使用，如何与传统的安全防护设备进行交互，实现协作和联动，提高阻止、检测和响应攻击的能力，是网络安全纵深防御需要研究的问题。

6 总结

蜜罐是主动型的防御技术，能够捕获新型安全威胁，在网络纵深防御体系中扮演着非常重要的角色。本文从新的蜜罐类型、数据分析技术、蜜罐配置技术和识别与反识别技术四个方面对蜜罐技术的研究进展进行综述。最后对蜜罐的发展趋势和新的研究问题做了展望。

[1]Y. Adachi, and o. Oyama, “Malware Analysis System using Process-Level Virtualization,” Proceedings of IEEE Symposium on Computers and Communications，2009.

[2]Y. Alosefer, and O. Rana, “Honeyware-Web based low interaction client honeypot,” Proceedings of the International conference on Software Testing, verification and validation Workshops，2010.

[3]K. G. Anagnostakis, S. Sidiroglou, P. Akritidis, K. Xinidis,E. Markatos, and A. D. Keromytis, “Detecting Targeted Attacks using shadow honeypots,” Proceedings of the Conference on USENIX security symposium，2005.

[4]M. D. Bailey, E. Cooke, F. Jahanian, N. Provos, K.Rosaen, and D. Watson, “Data Reduction for the scalable automated analysis of distributed for the scalable automated analysis of distributed darknet traffic,” Proceedings of the ACM SIGCOMM Conference on Internet Measurement， 2005.

[5]V. V. Das, “Honeypot Scheme for distributed denial-of-service,” Proceedings of the 2009 International Conference on Advanced computer control，2009.

[6]A. Ghourabi, T. Abbes, and A. Bouhoula, “Honeypot Router for routing protocols protection,” Proceedings of the International Conference on Risks and Security of Internet and System， 2009.

[7]X. Jiang, and X. Wang, “Out-of-the-box Monitoring of VM-Based High-interaction Honeypots,” Proceedings of the International Conference on Recent Advances in Intrusion Detection，2007.

[8]S. M. Khattab, C. Sangpachatanaruk, D. Moss, R. Melhem,and T. Znati, “Roaming Honeypots for Mitigating service-level denial-of-service attacks,” Proceedings of the International Conference on Distributed Computing System，2004.

[9]C. Kreibichi, and J. Crowcroft, “Honeycomb- creating Intrusion detection signatures using honeypots,” ACM SIGCOMM Computer Communcation Review， 2004.

[10]T. Lauinger, V. Pankakoski, D. Balzarotti, and E. Kirda,“Honeybot, Your man in the middle for automated social engineering,” Proceedings of USENIX symposium on Networked systems design and implementation，2010.

[11]S. Li, and R. Schmitz, “a novel anti-phishing framework based on honeypots,” Proceedings of eCrime Researchers Summit，2009.

[12]J. Nazario, “PhoneyC: a virtual client honeypot,”Proceedings of USENIX Workshop on Large-Scale and Emergent Threats，2009.

[13]G. Portokalidis, A. Slowinska, and H. Bos, “Argos: an Emulator for Fingerprinting zero-day attacks,” ACM SIGOPS Operating systems review， 2006.

[14]A. Prathapani, L. Santhanam, and D. P. Agrawal,“Intelligent honeypot agent for blackhole attack detection in wireless mesh networks,” Proceedings of IEEE International Conference on Mobile adhoc and sensor systems, pp. 753-758,Oct. 2009.

[15]N. C. Rowe, E. J. Custy, and B. T. Duong, “Defending cyberspace with fake honeypots,” Journal of Computers，2007.

[16]S. Webb, J. Caverlee, and C. Pu, “Social honeypots:making friends with a spammer near you,” Proceedings of the Conference on Email and Anti-spam，2008.

[17]j. Zhuge, T. Holz, X. Han, and W. Zou, “Collecting autonomous Spreading malware using high-interaction honeypots,” Proceedings of the International Conference on information and communication security，2007.

[18]D. Kwon, J. W.-K. Hong, and H. Ju, Proceedings of 14th Asia-Pacific Network Operations and Management Symposium (APNOMS)，2012.

[19]S. Kumar, P. Singh, R. Sehgal, and J. S. Bhatia,“Distributed Honeynet System Using Gen III Virtual Honeynet,” International Journal of Computer Theory and Engineering (IJCTE)，2012.

[20]A. Pawar, K. Siddhabhati, S. Bhise, and S. Tamhane,“Web Application Honeypot,” International Journal of Advance Research in Computer Science and Management Studies，2014.

[21]C. Valli, P. Rabadia, and A. Woodard, “A Profile of Prolonged, Persistent SSH Attack on a Kippo Based Honeynet,”Proceedings of the Conference on Digital Forensics, Security and Law，2015.

[22]郭军权, 诸葛建伟, 孙东红, 段海新.Spampot：基于分布式蜜罐的垃圾邮件捕获系统.计算机研究与发展， 2014.

[23]汪洁，杨柳.基于蜜罐的入侵检测系统的设计与实现.计算机应用研究，2012.

[24]王超杰，黄宇达，赵红专，王迤冉.基于双层动态蜜罐技术的智能交通主动防御方案.计算机应用研究，2015.

[25]段凯元，何申，程叶霞.基于Kippo蜜罐的SSH暴力破解行为分析.信息安全与通信保密，2014.

[26]L. Chen, Z. Li, C. Gao, and L. Liu, “Dynamic Forensics based on Intrusion Tolerance,” Proceedings of IEEE International Symposium on Parallel and Distributed Processing with Applications，2009.

[27]E. Cooke, F. Jahanian, and D. McPherson, “The Zombie Roundu: understanding, detecting, and disrupting botnets,” Proceedings of the USENIX steps to reducing unwanted traffic on the Internet on steps to reducing unwanted traffic on the internet workshop，2005.

[28]R. Dantu, J. W. Cangussu, and S. Patwardhan, “Fast Worm Containment using feedback control,” IEEE transactions on dependable and secure computing，2007.

[29]K. D. Fairbanks, Y. H. Xia, and H. L. Owen, “A method for historical Ext3 Inode to Filename Translation on Honeypots,” Proceedings of the IEEE International Computer Software and Applications conference， 2009.

[30]C. Hoepers, N. L. Vijaykumar, and A. Montes, “HIDEF:a data exchange format for information collected in honeypots and honeynets,” INFOCOMP journal of computer science， 2008.

[31]S. Krasser, G. Conti, J. Grizzard, J. Gribschaw, and H.Owen, “Real-time and forensics network data analysis using animated and coordinated visualization,” Proceedings of IEEE International Conference on System, Man and Cybernetics information assurance workshop， 2005.

[32]M. M. Z. E. Mohammed, H. A. Chan, N. Ventura, M.Hashim, I. Amin, and E. Bashier, “Detection of Zero-Day Polymorphic worms using principal component analysis,”Proceedings of International Conference on Networking and Services，2007.

[33]J. Narvaez, C. Aval, B. Endicott-Popovsky, C. Seifert, A.Malviya, and D. Nordwall, “Assessment of virtualization as a sensor technique,” Proceedings of the IEEE International Workshop on Systematic Approaches to Digital Forensic Engineering，2010.

[34]J. Newsome, B. Karp, and D. Song, “Polygraph:Automatically generating signatures for polymorphic worms,”Proceedings of IEEE Symposium on security and Privacy，2005.

[35]F. Raynal, Y. Berthier, P. Biondi, and D. Kaminsky,“Honeypot Forensics Part 1: Analyzing the Network,” IEEE Security and Privacy， 2004.

[36]M.-Y. Su, “Internet Worms Identification through serial Episodes mining,” Proceedings of the International conference on Electrical Engineering/Electronics Computer Telecommnications and Information， 2010.

[37]Y. Tang, and S. Chen, “Defending against Internet Worms: A signature-based approach,” Proceedings of IEEE INFOCOM，2005.

[38]O. Thonnard, and M. Dadier, “A Framework for Attack Pattern's Discovery in Honeynet Data,” Digital Investigation，2008.

[39]A. J. Trivedi, P. Q. Judge, and S. Krasser, “Analyzing network and content characteristics of Spm using honeypots,”Proceedings of the USENIX Workshop on steps to reducing unwanted traffic on the Internet，2007.

[40]G. Wagener, A. Dulaunoy, and T. Engel, “Towards an estimation of the in network forensics of TCP reassembly accuracy,” Proceedings of the International Conference on Future Generation Communication and Networking，2008.

[41]V. Yegneswaran, P. Barford, and V. Paxon, “Using Honeynets for Internet Situatonal awareness,” Proceedings of the ACM/USENIX workshop on Hot Topic in Networks，2005.

[42]N. Zhao, and X. Zhang, “The Worm Propagation Model and Control Strategy based on Distributed honeynet,”Proceedings of the International Conference on Computer Science and Software Engineering，2008.

[43]P. Wang, S. Sparks, and C. C. Zou, “an advanced hybrid peer-to-peer botnet,” IEEE transaction on dependable and secure computing，2010.

[44]D. Kansal, and N. S. Sethi, “Network Forensic Based on Honeynet,” IOSR Journal of Engineering， 2015.

[45]J. Briffaut, J. F. Lalande, and C. Toinard, “Security and Results of a Large-Scale High-Interaction Honeypot,” Journal of Computers Special Issue on Security and high performance computer system，2009.

[46]T. E. Carroll, and D. Grosu, “A game theoretic investigation of deception in network security,” Proceedings of the International conference on computer communications and networks，2009.

[47]T. M. Chen, and J. Buford, “Design considerations for a honeypot for SQL injection attacks,” Proceedings of IEEE local computer networks，2009.

[48]C. Hecker, K. L. Nance, and B. Hay, “Dynamic Honeypot construction,” Proceedings of the Colloquium for information systems security education， 2006.

[49]J. Kohlrausch, “experiences with the NoAH honeynet Testbed to detect new Internet worms,” Proceedings of the International Conference on IT security Incident management and IT forensics，2009.

[50]L. Spitzner, “Honeypots: Catching the Insider Threat,”Proceedings of the Computer Security Applications Conference，2003.

[51]H. Wang, and Q. Chen, “Design of cooperative deployment in distributed honeynet system,” Proceedings of the International conference on computer communications and networks， 2010.

[52]C. Hecker, and B. Hay, “Automated Honeynet Deployment for Dynamic Network Environment,” Proceedings of 2013 46th Hawaii International Conference on System Sciences (HICSS)，2013.

[53]M. Dornseif, T. Holz, and C. N. Klein,“NoSEBrEaK-Attacking Honeynets,” Proceedings of International Conference on System, Man and Cybernetics Information Assurance Workshop，2004.

[54]T. Holz, and F. Raynal, “Detecting Honeypots and other suspicious environments,” Proceedings of IEEE International Conference on System, Man and Cybernetics Information Assurance Workshop，2005.

[55]B. McCarty, “Anti-honeypot Technology,” IEEE Security and Privacy， 2004.

[56]S. Mukkamala, K. Yendrapalli, R. Basnet, M. K.Shankarapani, and A. H. Sung, “Detection of Virtual environments and low interaction honeypots,” Proceedings of IEEE International Conference on System, Man and Cybernetics Information Assurance Workshop，2007.

[57]R. Perdisci, D. Dagon, W. Lee, P. Fogla, and M. Sharif,“Misleading Worm Signature Generators using deliberate noise injection,” Proceedings of IEEE symposium on Security and Privacy， 2006.

[58]C. C. Zou, and R. Cunningham, “ Honeypot-aware advanced botnet construction and maintenance,” Proceedings of the international conference on dependable systems and networks，2006.