宋 进（湄洲湾职业技术学院，福建莆田，351254）



网络安全之蜜罐系统

宋 进
（湄洲湾职业技术学院，福建莆田，351254）

摘要：网络时代，信息的安全尤为重要。可能在不经意间的一个小小的上网行为，就将个人的资料、隐私，甚至是敏感的密码等信息泄露出去。为了保护用户的数据、信息安全，人们开发了各种防御工具，而蜜罐系统，是其中比较成熟的诱捕式防御措施之一。

关键词：攻击；网络安全；蜜罐

蜜罐（Honeypot），是一种信息收集系统。狭义上的蜜罐指网络防御措施的一种，可以是刻意设置的目标，其存在的价值就在于被攻击甚至攻陷，同时，它必须能记录下被攻击的方式、手段，和入侵者寻找到的系统漏洞等，以方便网络维护人员提前找到相应的对策，防范于未然。而广义上的蜜罐也可以是一种攻击手段，用来替代正常的服务提供者，诱捕普通网络用户前来使用，从而获取敏感信息或者不正当利益的方式。

本文主要讲述狭义上的蜜罐系统。

1 蜜罐的功能

蜜罐作为一种软件应用系统，用来称当入侵诱饵，它通常伪装成看似有利用价值的网络、数据、电脑系统，用来吸引黑客攻击。由于蜜罐事实上并不需要对网络提供任何有价值的服务，所以任何对蜜罐的尝试都是可疑的。这些尝试会被记录、监测与分析，从而可能了解攻击方的入侵方式和入侵手段等，也可以因此随时了解针对组织服务器发动的最新的攻击和漏洞。甚至可以通过窃听数据包之间的联系，收集入侵者所用的种种工具，并且进而侵彻对方的社交网络。

另外，蜜罐在拖延入侵者对真正目标的攻击上也有一定作用，可以作为第一道防线，承担迷惑和误导入侵者的功能。

2 蜜罐的分类

有两种基本类型的蜜罐技术：低交互蜜罐和高交互蜜罐。交互度直接体现着入侵者可以在蜜罐上进行攻击活动的自由度。

2.1 低交互蜜罐（下称低蜜罐）。

又称伪系统蜜罐，该系统依然以真实系统为基础，切割出部分功能和区域，用于模拟出实系统的部分功能和弱点，引诱入侵者对其发动试探或者攻击。但是整个区域对于真实的入侵者之间的交互及其有限，因为它提供的所有的服务都是模拟的行为，只能对攻击行为做出进行简单的应答，并对攻击行为做记录和分析。

多数低蜜罐一般都作为端口预警使用，承担监控一个或者多个端口的监测工作。如果这些特性的端口被触发，则发出警告并记录其行为。但是蜜罐本身不会构造完整的合法服务，所以它引入系统的风险最小，不会被入侵者入侵并作为其下一步攻击的跳板。

但是通过低蜜罐能够收集的信息也相对有限，同时由于低蜜罐通常是切割出的虚拟功能或系统，在这些虚拟的功能上通常都会遗留一些独有的指纹（Fingerprinting）信息，入侵者可以通过这些信息来判断和绕过蜜罐系统。

2.2 高交互蜜罐（下称高蜜罐）。

又称实系统蜜罐，它是完全真实的蜜罐：运行着真实的系统，有真实的服务响应，带着真实的漏洞。它甚至模拟每个模拟操作系统的网络堆栈，从而实现对Nmap和Xprobe之类指纹扫描程序的欺骗。

高蜜罐的优点体现在对入侵者提供真实的系统，当入侵者获得ROOT权限后，受系统，数据真实性的迷惑，他的更多活动和行为将被记录下来。缺点是被入侵的可能性很高，并且被成功攻破后的危害性也很大。入侵者每一个动作都会引起系统真实的反应，例如被溢出、渗透、成功高扩甚至夺取ROOT等。如果整个高蜜罐被入侵，那么它就会成为入侵者下一步攻击的跳板。

通常应另有一套系统用于检测高蜜罐的异常情况，如果出现高蜜罐被侵彻的情况，那么后备系统会立即对蜜罐予以脱机。

高蜜罐在提升入侵者、入侵者的活动自由度，获取更加真实和可靠的第一手材料的同时，也相应地加大了部署和维护的复杂度，扩大了入侵风险。

2.3 其它类型蜜罐

2.3.1 中交互蜜罐。

中交互蜜罐可以提供一些相对活跃，但是不完整或者不常用的服务类型，模拟出更多系统的真实响应，能提供更多的交互信息，因而也可以从入侵者的行为中获得更多的信息。

2.3.2 研究型蜜罐。

研究型蜜罐通常以研究和获取攻击信息为目的而设计，这种蜜罐大多不会对系统的漏洞做出修订，以此来直面各类威胁，并记录并寻找能够对付这些威胁更好的方式。

2.3.3 病毒式蜜罐。

多用于捕获一些利用网络漏洞传播的蠕虫式病毒，以提取样本和特征做研究，从而定制补丁和对应查杀工具的系统。

多个蜜罐系统互相交互和嵌套的结构，称之为蜜网系统，是一种比单纯的蜜罐更为完善，功能更为强大的诱捕手段。

3 蜜罐的应用

3.1 服务设置（Service config）

可以指定特定的服务端口，用于对各种网络请求做出应答。在这个过程中，蜜罐对所有的行为进行记录，同时提供符合逻辑的应答，给入侵者带来系统并不安全的错觉。之后可根据需要，将蜜罐调整为为弱系统（weakened system）模式或者强系统（hardened system）模式。

例如可以提供一些有限的服务，比如FTP及对应的21端口。或者是HTTP及对应的80端口。甚至有必要的话，可以启用用户模式服务器，将其作为是一个独立的用户进程驻在主机上，并模拟成一个功能健全的操作系统，嵌套在主机操作系统的应用程序环境中，从而带来更大的迷惑性和信息收集能力。

3.2 信息的收集

蜜罐系统必须设置警报并开启日志功能，蜜罐本身储存的日志文件也是优秀的数据来源。警报应该允许为每个传感器，源IP地址，端口和入侵签名设置临界级别，以便对每个入侵做出不同的威胁性预判。

但日志文件很容易被入侵者删除，所以一般需要让蜜罐向在并行网络上的远程系统或者日志服务器定时发送数据备份。

3.3 一些常见的蜜罐系统

3.3.1 Honeyd

Honeyd是由Google公司Niels开发的蜜罐系统。Honeyd能让单主机在一个模拟的局域网环境中配有多至65536个地址，响应外界对蜜罐主机的ping等操作。

3.3.2 Dionaea

Dionaea属于低交互式蜜罐，是Honeynet Project的开源项目，是比较早期的国际性非盈利研究组织，在蜜罐技术与互联网安全威胁研究领域具有较大的影响力。

4 总结

网络的发展带来了各种入侵和反入侵手段的发展，蜜罐技术就是在这样的情况下应运而生，承担起主动诱捕和发现未知漏洞、检测已知漏洞危害的重任。也可以使得入侵者误入歧途，消耗其精力，为网络管理加强防范赢得时间。但是蜜罐本身被设计为一个可入侵的系统，它并非绝对安全，在使用过程中应特别注意其存在的风险。

参考文献

［1］黑客：入侵检测蜜罐技术简化网络安全.2010.

［2］张德祥.网络入侵诱控中虚拟路由技术的研究与实现.青岛大学硕士论文.2006-09-15.

［3］朱颖靓.网络入侵诱控技术的研究与实现.青岛大学硕士论文.2005-05-01.

［4］伍伟.分布式Honeypot系统可视化配置的研究与实现.国防科学技术大学硕士论文.2006-04-01.

［5］汪洋.入侵检测系统中蜜罐的设计与应用.福建电脑.2005-05-25.

［6］汪洋.Honeypot技术在网络入侵检测系统中的应用.现代电子技术.2008-10-01.

［7］胡文龙.蜜网的数据融合与关联分析的研究与实现.北京邮电大学硕士论文.2009-02-15.

Network security honeypot system

Song Jin
（Meizhouwan Vocational Technology College，Putian Fujian，351254）

Abstract：In the Internet age， information security is particularly important.May inadvertently a small Internet behavior，personal information，privacy， and even sensitive passwords and other information leaked out. In order to protect the user's data and information security，people have developed a variety of defensive tools，and honeypot system is one of the more mature trapping defense measures.

Keywords：network security；attack； honeypot