付强　刘青华

摘要：蜜罐是一种新型的主动防御的网络安全技术，该技术目前已经成为诱骗攻击者非常有效实用的方法。文章阐述了蜜罐技术的定义、分类、发展情况以及主要技术，介绍了蜜罐技术在网络信息安全领域的应用。

关键词：蜜罐技术；主动防御；网络安全技术；信息安全；互联网技术 文献标识码：A

中图分类号：TP309 文章编号：1009-2374（2016）30-0060-03 DOI：10.13535/j.cnki.11-4406/n.2016.30.029

社会经济的快速发展下，使得互联网技术得到较大的进步，而网络信息的安全问题也逐渐成为了人们共同关注的内容。人们多通过防御网络，对以往的传统技术实行攻击，具体包括防火墙和入侵检测技术、加密及数据恢复技术等。上述的技术均为被动式的防护模式，而蜜罐（Honeypot）技术属于新型主动网络信息中的安全防御技术，这项技术可有效地改善以往防护技术的纰漏。实际运行蜜罐时，通常使其伪装成一个看似有利用价值的网络、数据、电脑系统等，并且故意设置了可被利用的Bug或者系统漏洞，来吸引目标的攻击。因为我们的蜜罐实质并没有提供有价值的服务，所以任何对蜜罐的访问尝试操作都是可疑的，通过蜜罐中的监控软件，我们可以监控到入侵者的行为，收集其入侵信息，并快速做出反制操作。蜜罐还可以拖延入侵者攻击行为，让他在蜜罐上消耗大量的时间等，所以蜜罐作为主动防御技术，对于日后网络信息安全，可发挥不可或缺的作用。

1 蜜罐技术的基本含义

1.1 蜜罐技术概述

蜜罐即为情报收集的系统，属于诱骗系统的范围，同时亦为安全资源类的系统。蜜罐的监控较为严格，它可以引诱入侵者前来攻击，当蜜罐被入侵者攻击后，通过监控我们就能知道他是如何发起攻击的，我们就可以掌握其攻击手法，掌握入侵者所使用的攻击手段，分析其攻击手段后对其他重要设备进行布防，以达到安全防护的目的。我们还可以窃听入侵者之间的联系，收集入侵者所使用的工具，逐渐掌握他们的沟通流程等。

1.2 蜜罐分类的统计

1.2.1 实系统蜜罐类型。实系统蜜罐，主要使用的真实存在的设备，其所利用的系统均为真实的，通常该系统具有真实的高危可以利用的漏洞，系统完成基本的安装后，不需实行其他SP补丁的安装，仅将值得研究的漏洞保留即可。然后把该蜜罐接入到互联网上，根据当前的互联网形势实行分析，蜜罐能够在较短的时间将目标吸引并攻击。经实系统蜜罐上的运行监控程序，我们可以记录下最真实的入侵信息，入侵者的一举一动都可以被记录在案。但同时它也是最危险的，因为入侵者的所有入侵操作都是真实的，蜜罐设备都会做出相应的响应，如被溢出攻击、渗透提权等。

1.2.2 伪系统蜜罐。伪系统蜜罐即在一个真实的系统环境下，所运行的搭建模拟漏洞环境，从而能构建出不属于自身系统平台的漏洞。但是若入侵人员入侵上述的漏洞，需在相同的程序下加以合理的操作，并不会对真实的系统产生影响，即使是入侵成功了，也没有可以让漏洞成立的条件。

如何搭建一个伪系统蜜罐呢，在Windows系统下，我们可以通过虚拟机软件轻松搭建一套伪蜜罐系统。这个蜜罐的优势：能够最大限度地避免被入侵、被破坏，也可以模拟不存在的漏洞。当然也有坏处，因为一个聪明的入侵者只需要简单的判断就可以识破伪装。

1.3 蜜罐的优势、劣势

1.3.1 蜜罐系统优势。蜜罐系统最主要的优势为，能够有效地减少分析数据的总量，通常对于网站服务器或者是邮件服务器，攻击流量占总流量的比例非常小，在分析数据的时候往往需要在巨量的数据里面分析出异常流量，这必然就增加了数据分析的难度。而蜜罐进出的流量大部分是攻击流量，目的性强，中间截获的数据价值高，这样浏览数据，查明攻击者的实际行动也就容易多了。通过分析总结，可以得到入侵者的行为特征，建立安全行为特征库。

1.3.2 蜜罐系统的缺点。蜜罐技术也有自己的局限性，蜜罐只能监视入侵者对蜜罐本身的行为。不能监控到其所在网络入侵行为，蜜罐不会像防火墙直接对漏洞实行防护。部署蜜罐也有安全风险，如果入侵者掌控了蜜罐服务器，那么下一步动作就可能是以蜜罐作为跳板对其他系统进行入侵。

1.4 蜜罐技术的发展现状分析

20世纪90年代初，蜜罐技术就经历了欺骗系统、蜜罐和密网、虚拟蜜网等，不同阶段的发展。其中欺骗系统，即为经欺骗目标入侵的动作，实现追踪入侵人员行为的目的，并可对系统实行全面的保护。蜜罐阶段，即为从DTK欺骗工具包——Honeypot起步，并发展起来的，其中不乏有一些商业的蜜罐产品。蜜网阶段是在蜜罐技术之上逐渐发展起来的，它本身就是一个网络体系架构，在网络体系内运用多种工具收集入侵者信息，同时也提高了网络的可控性。虚拟蜜网是利用虚拟计算机技术组建而成的一套网络系统。这样可有效实现降低蜜网设计成本的目的，并可实行维护、管理。

2 蜜罐主要的操作方法

常见的蜜罐，主要是对网络欺骗、数据捕获和数据控制、数据分析以及端口重定向等实行操作。

2.1 网络欺骗的方式

欺骗，为蜜罐实现的根本手段，利用蜜罐系统的安全弱点和漏洞，通过各式各样的欺骗手段，引诱入侵者进行攻击。从一个蜜罐的欺骗手段高低可以判断这个蜜罐系统是否具有价值，设置一个网络欺骗手段非常强的蜜罐系统，就可以充分的发挥其价值，同时也很难被入侵这感知。目前常用的欺骗手段包括服务端口模拟、网络动态配置、服务器信息隐藏和系统漏洞模拟、IP流量模拟以及系统应用模拟等。

2.2 数据捕获的方式

捕获数据信息，属于蜜罐设计中的核心功能。其基本的作用机制为：在入侵者进行非法操作的时候记录其行为轨迹，在捕捉信息的过程中不会被入侵者发觉。最基础的就是对系统日志获取情况，实行全面、深入的分析。这种方式获取信息，信息的数量会受到一定限制。同时还可以采取利用防火墙/入侵检测设备，获取相关的数据信息。经防火墙的方式，获取入侵人员进到蜜罐系统的日志，利用入侵检测设备获取入侵者对蜜罐系统的所有行为数据包，通过入侵者在蜜罐系统所执行的命令，所查看过的文件，屏幕显示过的信息等。最后将获取到的信息通过网络连接发送到远程服务器上保存，避免被入侵者发现。

2.3 数据控制

入侵者在成功入侵设备后，有可能以设备为跳板进行其他操作，为了其他设备以及蜜罐系统本身的安全，防止入侵者将蜜罐作为跳板。我们必须对蜜罐系统的数据流量进行限制，在同时也不能让入侵者产生怀疑。在防火墙上我们可以配置网络进出的连接，通过屏蔽不需要的连接进行控制。通过路由器我们可以控制进出的流量，保证数据包的可控。

2.4 数据分析

在成功获取到入侵者在蜜罐系统中的非法行为以及操作之后，需对研究人捕获的相关数据加以严格的分析，进而获得有利的信息。数据的分析属于蜜罐技术中当前需要突破的难题，将手机获取的相关讯息，实行关联分析。利用数据，了解入侵人员于蜜罐系统中的所有活动以及键盘命令和使用工具、攻击目的等，进而构建入侵人员行为数据的统计模型。

3 蜜罐在网络信息安全领域中的应用

3.1 蜜罐的网络部署

对于蜜罐系统的网络部署相对来说比较简单，安装一台操作系统机器，不安装系统补丁程序，将设备连接于互联网，完成蜜罐系统部署操作。还可以利用虚拟机技术来实现一台虚拟机连接到互联网上。一般的网络拓扑中都会有防火墙，蜜罐系统可以放置在防火墙之前也可以放置在防火墙之后，放在不相同的位置也会得到不一样的结果。如果把蜜罐系统设置于防火墙前，蜜罐会吸引较多的扫描攻击。利用蜜罐自身，将攻击信息实行准确的记录，防火墙内部的其他设备不会产生任何影响，也不用在防火墙上配置关于蜜罐系统的任何策略，不会给内部其他设备增加新的风险。但是如果入侵者来自内部，则无法获取对应的入侵行为。如果将蜜罐系统部署在防火墙内部，则可以收集到内部入侵信息，还可以收集到透过防火墙的入侵行为，但是需要对防火墙实行有效的调整。若蜜罐系统被外部入侵，这对于整个内网的信息安全无疑会构成严重的危害。

3.2 蜜罐系统、入侵检测系统

在过去入侵检测系统使用过程中，在系统受到攻击后，需结合攻击行为实行严格的特征分析。和特征库比对后，若入侵行为能够满足特征库的条件，系统会做出相关的回应。因此入侵的检测系统特征库，应不断更新以确保当下最新入侵活动能够被记录下来。

蜜罐技术能从根本上规避上述的现象，经蜜罐系统获得入侵人员的行为信息，将信息传递于入侵检测系统。经入侵检测系统，结合行为信息提取攻击特征，最后将新的特征信息插入到特征库，实现对入侵信息，检测系统最新入侵方式、入侵目的检测的效果。进而使得蜜罐系统与入侵检测系统的配合能够增加网络防御

能力。

3.3 蜜罐、僵尸网络系统

蜜罐系统，可对僵尸网络加以合理的检测，僵尸网络具有分布式特点，一般多可发出攻击性指令，蜜罐系统可以根据这个特点进行反向跟踪与分析。我们搭建一个蜜罐系统，获取僵尸网络程序样本，通过监控流量与系统状态等进行分析控制者的攻击行为，可以知道黑客所攻击的目标，黑客经常发动攻击的时间以及他所使用的攻击方式，通过逆向分析改程序样本，从而得到僵尸程序控制端所在服务器的信息，通过这些信息可以快速地追踪僵尸网络，并获取攻击者信息。

3.4 蜜罐与邮件

目前邮件已经成为企业工作交流以及日常信息传递的一种非常流行的沟通方式，但是黑客往往也通过邮件进行传播木马与病毒，这也是入侵者发起攻击的一种手段。利用蜜罐技术还可以有效控制并防止垃圾邮件传播。

3.5 蜜罐与蠕虫病毒

蠕虫病毒一般具有扫描、感染、复制的特性，根据这一特性我们可以利用蜜罐技术进行管理，主要目的为控制蠕虫病毒的大量传播。蜜罐能够在较短的时间内将蠕虫病毒感染情况显示出来。已知蠕虫病毒可通过防火墙与IDS的策略规则进行重定向，把已知的蠕虫病毒都重定向于蜜罐中。若检测的病毒为新型的蠕虫病毒，网络层可通过特定伪造数据包延退应答，以控制病毒扫描的速度。此外，需采取软件工具、算法等方式，对系统日志实行严格的分析，以便实现阻断、连接的目的。

3.6 蜜罐、安全事件行为作为特征库

和以往被动防御设备、软件比较，传统安全技术可将已知入侵活动显示出来。而蜜罐技术作为新型主动的防御技术，能够有效地避免传统技术的纰漏。经不同的方式，获取有利的信息，并在较短的时间发现新的攻击行为和模式。结合入侵人员活动、入侵的目的，制定针对性的防御措施，以为日后处理不同类型的网络信息安全问题，提供有利的参照。

4 结语

互联网快速发展，各种技术革新早已颠覆了传统常用的手段，日新月异，但是大部分的重大的安全事件都是在事情发展到最糟糕的时候才被发现，被动的防御已经不能有效地防止人们受到网络攻击、受到经济损失。当前，网络攻防技术在不断完善，蜜罐技术属于新型且主动型的防御技术，能够有效规避传统被动防御的问题。经分析未知的攻击活动，构建完善的安全行为特征库，以便为处理各种网络安全问题提供强有力的支持。作为一新型的网络安全技术，蜜罐能够收集较多的有利讯息。而如何获取信息、对入侵人员入侵的目的、方式等，均为接下来研究人员需要攻破的问题。因此，在蜜罐技术理论的完善下，充分发挥蜜罐在网络信息安全领域中的应用价值。

参考文献

[1] 何祥锋.浅谈蜜罐技术在网络安全中的应用[J].网络安全技术与应用，2014，（1）.

[2] 孙中廷.蜜罐技术在网络安全系统中的应用与研究

[J].计算机与网络，2014，（17）.

[3] 姚东铌.分布式蜜罐技术在网络安全中的应用[J].电子测试，2014，（8）.

[4] 唐旭，陈蓓.蜜罐技术在校园网络安全中的作用分析[J].电脑与电信，2015，（12）.

[5] 张珏.网络安全新技术——蜜罐系统浅析[J].技术与市场，2014，（8）.

[6] 赵宏，王灵霞.基于蜜罐技术的校园网络安全防御系统设计与实现[J].自动化与仪器仪表，2015，（3）.

[7] 罗江洲，王朝辉.基于蜜罐技术的网络安全防御方案研究[J].电脑知识与技术，2014，（8）.

[8] 王宏群，张宇国.基于蜜罐技术的企业网络安全模型研究[J].湖南理工学院学报（自然科学版），2014，（1）.

[9] 畅君元，刘畅.网络证据收集中蜜罐技术的运用及其法律评价[J].法制与经济旬刊，2014，（7）.

[10] 陈阳.基于蜜罐的网站安全防御系统的设计[J].价值工程，2016，（1）.