蜜罐技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究

摘 要：傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)由于其被動(dòng)防御的缺陷，使得網(wǎng)絡(luò)安全面臨嚴(yán)重威脅，而蜜罐技術(shù)以主動(dòng)防御的特點(diǎn)而備受關(guān)注。介紹了蜜罐技術(shù)，分析了蜜罐技術(shù)的優(yōu)缺點(diǎn)，并對(duì)蜜罐技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用進(jìn)行了研究。

關(guān)鍵詞：網(wǎng)絡(luò)安全；蜜罐技術(shù)；入侵檢測(cè)

1 蜜罐技術(shù)及其原理

目前對(duì)于蜜罐（Honeypots）還沒(méi)用統(tǒng)一的定義，其中一種得到廣泛認(rèn)可的定義是指嚴(yán)密監(jiān)控的網(wǎng)絡(luò)誘騙系統(tǒng)，通過(guò)真實(shí)或虛擬的網(wǎng)絡(luò)服務(wù)來(lái)吸引攻擊，從而在黑客攻擊蜜罐期間對(duì)其行為和過(guò)程進(jìn)行分析，以便搜集信息，對(duì)新攻擊發(fā)出預(yù)警，同時(shí)延緩攻擊并轉(zhuǎn)移攻擊目標(biāo)。

蜜罐本身并不直接增強(qiáng)網(wǎng)絡(luò)安全性，它的價(jià)值主要體現(xiàn)在被攻擊甚至攻陷時(shí)，通過(guò)收集黑客的信息并對(duì)網(wǎng)絡(luò)的缺陷及時(shí)修改，變被動(dòng)為主動(dòng)，對(duì)網(wǎng)絡(luò)采取更加嚴(yán)密的防護(hù)措施。

蜜罐通過(guò)帶有漏洞的真實(shí)或虛擬的系統(tǒng)，引誘攻擊者的非法訪問(wèn)，蜜罐上的監(jiān)視器和事件日志器檢測(cè)這些未授權(quán)的訪問(wèn)并收集攻擊活動(dòng)的相關(guān)信息，從而將攻擊者從關(guān)鍵系統(tǒng)引開(kāi)，拖延攻擊者在蜜罐系統(tǒng)上停留以供管理員作出響應(yīng)。蜜罐主要是迷惑攻擊者在其上耗費(fèi)時(shí)間和資源，使安全隱患有了良好的偽裝。

蜜罐技術(shù)既具有研究?jī)r(jià)值，也具有產(chǎn)品價(jià)值。應(yīng)用于研究時(shí)，蜜罐可以用來(lái)收集信息；應(yīng)用于產(chǎn)品時(shí)，蜜罐主要保護(hù)網(wǎng)絡(luò)，包括防護(hù)、探測(cè)和對(duì)攻擊的響應(yīng)。此外，如果入侵者在攻擊網(wǎng)絡(luò)前發(fā)現(xiàn)網(wǎng)絡(luò)中設(shè)置有蜜罐，不會(huì)輕易對(duì)網(wǎng)絡(luò)發(fā)起攻擊，還具有一定的震懾作用。

蜜罐技術(shù)作為一種主動(dòng)防御技術(shù)，具有以下優(yōu)點(diǎn)：⑴檢測(cè)黑客入侵，發(fā)現(xiàn)未知的攻擊方法；⑵延緩黑客攻擊，保護(hù)系統(tǒng)安全；⑶檢測(cè)系統(tǒng)的完整性，增加反應(yīng)能力。

但是蜜罐技術(shù)也有不足之處，主要體現(xiàn)在：⑴見(jiàn)識(shí)視野較窄；⑵欺騙能力較低；⑶蜜罐有可能被黑客作為攻擊、滲透其他系統(tǒng)的跳板。

2 蜜罐技術(shù)的應(yīng)用

作為一種網(wǎng)絡(luò)安全技術(shù)，蜜罐以多種形式應(yīng)用到網(wǎng)絡(luò)安全的研究和實(shí)踐中。

2.1 對(duì)抗蠕蟲(chóng)病毒

可以利用蜜罐技術(shù)在以下方面來(lái)對(duì)抗蠕蟲(chóng)病毒：

⑴在未分配的網(wǎng)絡(luò)地址上布置一定數(shù)量的虛擬蜜罐來(lái)攔截和延緩蠕蟲(chóng)病毒的掃描，從而達(dá)到保護(hù)實(shí)際網(wǎng)絡(luò)的目的。蜜罐布置的越廣，就能夠越早收到病毒的刺探，這樣對(duì)網(wǎng)絡(luò)中的實(shí)際主機(jī)的保護(hù)就越好。

⑵將蜜罐模擬系統(tǒng)和服務(wù)漏洞暴露給蠕蟲(chóng)病毒，通過(guò)捕獲蠕蟲(chóng)副本，分析它們的特征，可以修補(bǔ)已感染主機(jī)的漏洞、轉(zhuǎn)移攻擊流量，達(dá)到限制蠕蟲(chóng)傳播的目的。

2.2 網(wǎng)絡(luò)欺騙

通常會(huì)采用各種欺騙手段使蜜罐更有吸引力，例如在欺騙主機(jī)上模擬操作系統(tǒng)的漏洞、在一臺(tái)計(jì)算機(jī)上模擬整個(gè)網(wǎng)絡(luò)、在系統(tǒng)中制造仿真網(wǎng)絡(luò)流量等。通過(guò)這些欺騙手段，使蜜罐主機(jī)更像一個(gè)真實(shí)的網(wǎng)絡(luò)系統(tǒng)，誘使攻擊者上當(dāng)。具體的欺騙手段有：

⑴IP空間欺騙。該技術(shù)在一塊網(wǎng)卡上分配多個(gè)IP地址，增加入侵者的搜索時(shí)間，并增大入侵者掉入蜜罐的幾率，達(dá)到誘騙效果。

⑵網(wǎng)絡(luò)流量仿真。產(chǎn)生仿真流量的方法有兩種，一是采用實(shí)時(shí)方式或重現(xiàn)方式復(fù)制真正的流量，二是從遠(yuǎn)程產(chǎn)生偽造流量。

⑶網(wǎng)絡(luò)動(dòng)態(tài)配置。該技術(shù)可以蒙蔽黑客，使蜜罐系統(tǒng)動(dòng)態(tài)配置來(lái)模擬正常的系統(tǒng)行為，反映出真實(shí)系統(tǒng)的特性。

⑷模擬系統(tǒng)漏洞。在蜜罐中留下各種安全漏洞是對(duì)黑客最好的誘餌，是一種最有效、最直接、最簡(jiǎn)單的誘騙手段。

⑸組織信息欺騙。若某個(gè)機(jī)構(gòu)提供有關(guān)個(gè)人和系統(tǒng)信息的訪問(wèn)，則誘騙系統(tǒng)也必須以某種方式反映出這些信息，從而提高誘騙系統(tǒng)的迷惑性。

2.3 構(gòu)建虛擬網(wǎng)絡(luò)

通過(guò)蜜罐技術(shù)來(lái)構(gòu)建虛擬網(wǎng)絡(luò)，擴(kuò)大地址空間，可以擾亂攻擊者，讓其無(wú)法分辨真假目標(biāo)和網(wǎng)絡(luò)，將黑客盡可能長(zhǎng)時(shí)間拖延在虛擬網(wǎng)絡(luò)和機(jī)器上，贏得保護(hù)實(shí)際網(wǎng)絡(luò)的時(shí)間，并可以利用虛擬網(wǎng)絡(luò)對(duì)黑客的行為進(jìn)行深入分析，從而查找和發(fā)現(xiàn)新型攻擊。另外，虛擬網(wǎng)絡(luò)在檢測(cè)和防御DDOS攻擊時(shí)也發(fā)揮巨大作用。

將虛擬網(wǎng)絡(luò)技術(shù)和虛擬機(jī)相結(jié)合可以用極低的代價(jià)建立一個(gè)大的虛擬網(wǎng)段。有些蜜罐系統(tǒng)通常采用ARP地址欺騙技術(shù)，探測(cè)網(wǎng)絡(luò)環(huán)境中不存在的IP地址，并發(fā)送ARP數(shù)據(jù)包假冒不存在的主機(jī)，從而達(dá)到IP欺騙的效果，如使用這種技術(shù)的典型蜜罐Honeyd。

2.4 過(guò)濾垃圾郵件

可以利用Honeyd自動(dòng)對(duì)垃圾郵件作出判斷，然后提交給垃圾郵件過(guò)濾器。Neils Provos利用Honeyd設(shè)計(jì)了可以過(guò)濾垃圾郵件的框架，在這個(gè)框架中使用一臺(tái)主機(jī)虛擬一個(gè)C類網(wǎng)絡(luò)，并在網(wǎng)絡(luò)中隨機(jī)配置運(yùn)行開(kāi)放代理服務(wù)器和郵件轉(zhuǎn)發(fā)代理的蜜罐系統(tǒng)。當(dāng)垃圾郵件發(fā)送者企圖通過(guò)開(kāi)放代理服務(wù)器和郵件轉(zhuǎn)發(fā)代理發(fā)送郵件時(shí)，這些郵件會(huì)自動(dòng)被轉(zhuǎn)發(fā)到垃圾郵件陷阱。垃圾陷阱再將垃圾郵件轉(zhuǎn)發(fā)給郵件過(guò)濾器，同時(shí)將垃圾郵件的發(fā)送者加入垃圾陷阱日志文件中。

[參考文獻(xiàn)]

[1]楊冬，高為民.基于虛擬蜜罐的網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008（5）.

[2]LANCE Spitzner.Definitions and Value of Honeypots[EB/OL].（2002-09-21）[2007-11-23].

[3]喬佩利，岳洋.蜜罐技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究[J].哈爾濱理工大學(xué)學(xué)報(bào)，2009（6）.