蜜罐技術的研究與分析

　　摘 要： 蜜罐是基于主動防御理論提出來的，在監測入侵、保護客體、信息反饋、提高反擊入侵能力的網絡安全系統中，日益受到重視。本文展示了虛擬蜜罐的一些基本概念、主要的關鍵技術，以及蜜罐技術的優缺點。
　　關鍵詞： 蜜罐技術 虛擬蜜罐 定義和分類 關鍵技術 優缺點
　　
　　1.引言
　　伴隨著網絡普及與發展，網絡安全問題日益嚴峻。面對不斷出現的新的攻擊方法和攻擊工具，傳統的、被動防御的網絡防護技術越來越無法適應網絡安全的需要，網絡安全防護體系由被動防御轉向主動防御是大勢所趨。作為一種新興的主動防御技術，蜜罐日益受到網絡安全工作者的重視。研究蜜罐及其關鍵技術對未來的網絡安全防護具有深遠的意義。
　　2.蜜罐的定義和分類
　　2.1蜜罐的定義
　　蜜罐（又稱為黑客誘騙技術）是一種受到嚴密監控的網絡誘騙系統，通過真實或模擬的網絡和服務，來吸引攻擊，從而在黑客攻擊蜜罐期間，對其行為和過程記錄分析，以搜集信息，對新攻擊發出預警，同時蜜罐可以延緩攻擊時間和轉移攻擊目標。蜜罐本身并不直接增強網絡的安全性，相反，它通過吸引入侵，來搜集信息。將蜜罐和現有的安全防衛手段，如入侵檢測系統（IDS）、防火墻（Firewall）、殺毒軟件等結合使用，可以有效提高系統安全性。
　　2.2蜜罐的分類
　　蜜罐有三種分類方法。
　　2.2.1從應用層面，可分為產品型和研究型。
　　2.2.1.1產品型蜜罐。指由網絡安全廠商開發的商用蜜罐，一般用來作為誘餌，把黑客的攻擊盡可能長時間地捆綁在蜜罐上，贏得時間，保護實際網絡環境，也用來搜集證據作為起訴黑客的依據，但這種應用在法律方面仍然具有爭議。
　　2.2.1.2研究型的蜜罐。主要應用于研究，吸引攻擊，搜集信息，探測新型攻擊和新型黑客工具，了解黑客和黑客團體的背景、目的、活動規律，等等。在編寫新的IDS特征庫，發現系統漏洞，分析分布式拒絕服務攻擊等方面是很有價值的［１］。
　　2.2.2從技術層面，根據交互程度，可分為以下三種。
　　2.2.2.1低交互蜜罐。只是運行于現有系統上的一個仿真服務，在特定的端口監聽記錄所有進入的數據包，提供少量的交互功能，黑客只能在仿真服務預設的范圍內動作。低交互蜜罐上沒有真正的操作系統和服務，結構簡單，部署容易，風險很低，所能收集的信息也是有限的。
　　2.2.2.2中交互蜜罐：不提供真實的操作系統，而是應用腳本或小程序來模擬服務行為，提供的功能主要取決于腳本。在不同的端口進行監聽，通過更多和更復雜的互動，讓攻擊者產生是一個真正操作系統的錯覺，能夠收集更多數據。
　　2.2.2.3高交互蜜罐。由真實的操作系統來構建，提供給黑客的是真實的系統和服務，可以學習黑客運行的全部動作，獲得大量的有用信息，包括完全不了解的新的網絡攻擊方式。正因為高交互蜜罐提供了完全開放的系統給黑客，帶來了更高的風險，即黑客可能通過這個開放的系統去攻擊其他系統。
　　2.2.3從具體實現的角度，分為物理蜜罐和虛擬蜜罐。
　　2.2.3.1物理蜜罐：通常是一臺或多臺真實的在網絡上存在的主機操作，主機上運行著真實的操作系統，擁有自己的IP地址，提供真實的網絡服務來吸引攻擊。
　　2.2.3.2虛擬蜜罐：通常用的是虛擬的機器、虛擬的操作系統，它會響應發送到虛擬蜜罐的網絡數據流，提供模擬的網絡服務等。
　　3.蜜罐的關鍵技術
　　蜜罐的關鍵技術主要包括欺騙技術、數據捕獲技術、數據控制技術、數據分析技術，等等。其中，數據捕獲技術與數據控制技術是蜜罐技術的核心。
　　3.1欺騙技術
　　蜜罐的價值是在其被探測、攻擊或者攻陷的時候才得到體現的。將攻擊者的注意力吸引到蜜罐上，是蜜罐進行工作的前提。欺騙的成功與否取決于欺騙質量的高低。常用的欺騙技術有以下五種。
　　3.1.1IP空間欺騙。
　　IP空間欺騙利用計算機的多宿主能力，在一塊網卡上分配多個IP地址，來增加入侵者的搜索空間，從而顯著增加他們的工作量，間接實現了安全防護的目的。這項技術和虛擬機技術結合可建立一個大的虛擬網段，且花費極低。
　　3.1.2 漏洞模擬。
　　即通過模擬操作系統和各種應用軟件存在的漏洞，吸引入侵者進入設置好的蜜罐。入侵者在發起攻擊前，一般要對系統進行掃描，而具有漏洞的系統，最容易引起攻擊者攻擊的欲望。漏洞模擬的關鍵是要恰到好處，沒有漏洞會使入侵者望而生畏，漏洞百出又會使入侵者心生疑慮。
　　3.1.3 流量仿真。
　　蜜罐只有以真實網絡流量為背景，才能真正吸引入侵者長期停駐。流量仿真技術是利用各種技術使蜜罐產生欺騙的網絡流量，這樣即使使用流量分析技術，也無法檢測到蜜罐的存在。目前的方法:一是采用重現方式復制真正的網絡流量到誘騙環境;二是從遠程產生偽造流量，使入侵者可以發現和利用［２］。
　　3.1.4 服務偽裝。
　　進入蜜罐的攻擊者如發現該蜜罐不提供任何服務，就會意識到危險而迅速離開蜜罐，使蜜罐失效。服務偽裝可以在蜜罐中模擬Http、FTP、Telent等網絡基本服務并偽造應答，使入侵者確信這是一個正常的系統。
　　3.1.5 重定向技術［３］。
　　即在攻擊者不知情的情況下，將其引到蜜罐中，可以在重要服務器的附近部署蜜罐，當服務器發現可疑行為后，將其重定向到蜜罐。還可以使用代理蜜罐，以及多個蜜罐模擬真正的服務器，當對服務器的請求到來時，利用事先定義好的規則，將請求隨機發送到蜜罐和服務器中的一個，用以迷惑攻擊者，增大攻擊者陷入蜜罐的概率。
　　3.2數據捕獲技術
　　如果無法捕獲攻擊者的活動，蜜罐就失去了存在的意義。數據捕獲的目標是捕捉攻擊者從掃描、探測、發起攻擊，直到離開蜜罐的每一步動作。捕獲的數據來自三個層次:防火墻日志、網絡數據流和主機系統內核級的數據提取。第一層數據捕獲由防火墻日志根據設定的過濾規則，記錄入侵者出入蜜罐的行為信息，數據直接放在本地;第二層數據捕獲由入侵檢測系統捕獲網絡原始報文，并放在IDS本地，IDS報警信息可以讓系統管理員了解系統中正發生的狀況;第三層數據捕獲由蜜罐主機完成。主要是主機日志，用戶擊鍵序列和屏幕顯示，這些數據應異地存儲，以防攻擊者發現。隨著加密技術的發展，越來越多的攻擊者開始使用加密工具，保護和隱藏他們的通信。系統內核級的數據提取必須應對入侵者數據加密的情況，目前最先進的技術是開發特殊的內核數據處理模塊來替代系統內核函數，從而記錄下入侵者的行為。
　　3.3數據控制技術。
　　數據控制技術既控制數據流，又不引起攻擊者的懷疑。如攻擊者進入蜜罐，但不能向外發起連接，他們就會對系統產生懷疑，而完全開放的蜜罐資源在攻擊者手中會成為向第三方發起攻擊的攻擊跳板。目前數據控制技術主要從以下兩方面對攻擊者進行限制。［３］
　　3.3.1限制攻擊者從蜜罐向外的連接數量。
　　傳統的限制方法是通過配置防火墻，設置從蜜罐向外的連接數目，超過數量即中斷連接。這種方法較安全，但易被攻擊者識破。改進方法是將防火墻技術與入侵檢測技術結合，形成入侵檢測控制。即在系統上安裝一個包含已知攻擊模式的簽名數據庫，以檢測捕獲的攻擊是否與數據庫匹配。如果匹配，就切斷連接;如果不匹配，則根據需要設定連接次數。這樣既可以學習更多的未知攻擊，又可以迷惑攻擊者。
　　3.3.2限制攻擊者在蜜罐中的活動能力。
　　這包括連接限制、帶寬限制、沙箱技術等較新的技術。連接限制就是修改外出連接的網絡包，使其不能到達目的地，同時給入侵者造成網絡包已正常發出的假象，麻痹攻擊者。帶寬限制即通過控制帶寬利用率和網絡延時，限制入侵者由蜜罐向外發包的能力。這種方法往往使攻擊者認為網絡本身出現了問題，意識不到自己已身陷蜜罐。沙箱技術可對應用進程進行定量限制和定性限制，比如限制CPU的使用率和只允許訪問特定的資源等，這無疑降低了應用程序的訪問能力［５］。實踐證明，若要真正實現既控制數據流，又不引起攻擊者的懷疑的目的，單靠某一種技術是不行的，必須綜合而靈活地使用上述數據控制技術。
　　
　　3.4數據分析技術。
　　數據分析包括網絡協議分析、網絡行為分析和攻擊特征分析等。要從大量的網絡數據中，提取攻擊行為的特征和模型是很難的。現有的蜜罐系統都沒有很好地解決使用數學模型自動分析和挖掘出網絡攻擊行為這一難題［４］。
　　4.蜜罐技術的優缺點
　　4.1蜜罐的優點。
　　4.1.1數據價值高。
　　當今，安全組織所面臨的一個問題就是怎樣從收集到的海量數據中獲取有價值的信息，從防火墻日志、系統日志和入侵檢測系統發出的警告信息中收集到的數據的量非常大，從中提取有價值的信息很困難。蜜罐不同于其他安全工具，每天收集到若干GB的數據，大多數Honeypot每天收集到的數據只有幾兆，并且這些數據的價值非常高，因為蜜罐沒有任何產品型的功能，所有對它的訪問都是非法的、可疑的。
　　4.1.2資源消耗少。
　　當前大多數安全組織所面臨的另一個難題就是有時會由于網絡資源耗盡，因而導致安全措施失去了作用。例如，當防火墻的狀態檢測表滿的時候，它就不能接受新的連接了，它會強迫防火墻阻斷所有的連接。同樣入侵檢測系統會因為網絡流量太大，使其緩沖區承受不起，所以導致IDS丟失數據包。因為Honeypot只需要監視對它自己的連接，需要捕獲和監視的網絡行為很少，很少會存在網絡流量大的壓力，所以一般不會出現資源耗盡的情況。我們不需要在充當蜜罐的主機的硬件配置上投入大量的資金，只需要一些相對便宜的計算機，就可以完成蜜罐的部署工作。
　　4.1.3實現簡單。
　　部署一個蜜罐，不需要開發復雜和新奇的算法，不需要維護特征數據庫，不需要配置規則庫。只要配置好蜜罐，把它放在網絡中，就可以靜觀其變。
　　4.2蜜罐的缺點。
　　4.2.1數據收集面狹窄。
　　如果沒有人攻擊蜜罐，它們就變得毫無用處。在某些情況下，攻擊者可能識別出蜜罐，就會避開蜜罐，直接進入網絡中的其他主機，這樣蜜罐就不會發現入侵者已經進入了你的網絡。
　　4.2.2有一定風險。
　　蜜罐可能會把風險帶入它所在的網絡環境。蜜罐一旦被攻陷，就有可能成為攻擊、潛入或危害其他的系統或組織的跳板。
　　5.結語
　　蜜罐技術的出現為整個安全界注入了新鮮的血液。它不僅可以作為獨立的信息安全工具，而且可以與其他安全工具協作使用，從而取長補短，對入侵者進行檢測。蜜罐可以查找并發現新型攻擊和新型攻擊工具，從而解決了入侵檢測系統和防火墻中無法對新型攻擊迅速做出反應的問題。蜜罐系統是一個有相當價值的資源，特別是對潛在的攻擊者和他們所使用工具相關信息的收集，沒有其他的機制比蜜罐系統更有效。
　　
　　參考文獻：
　　［1］翟繼強，葉飛.蜜罐技術的研究與分析.網絡安全技術與應用，2006，（4）：15-17.
　　［2］胡文廣，張穎江，蘭義華.蜜罐研究與應用.網絡安全技術與應用，2006，（5）：48-49.
　　［3］潘軍，劉建峰，李祥和.基于閉環控制的入侵誘騙系統的探討與實現.計算機應用與軟件，2005，（11）：122-124.
　　［4］崔志磊，房嵐，陶文琳.一種全新的網絡安全策略——蜜罐及其技術［J］.計算機應用與軟件，2004，（1）：99-101.