網絡安全中的蜜網技術研究及應用

◆朱建忠

(福建廣播電視大學電子信息與計算機系 福建 350013)

網絡安全中的蜜網技術研究及應用

◆朱建忠

(福建廣播電視大學電子信息與計算機系 福建 350013)

蜜網技術作為網絡安全領域新的研究熱點,近年來得到了廣泛的關注和快速的發展。蜜罐與蜜網技術通過精心布置的誘騙環境來吸引網絡攻擊者的入侵，進而了解攻擊思路、攻擊工具和攻擊目的等行為信息。本文比較系統地闡述了蜜罐與蜜網的概念，研究密網所涉及的關鍵技術，探討了密網技術在網絡安全中的應用，最后對密網技術的發展趨勢進行了展望。

網絡安全；蜜罐；密網

0 引言

當前通過互聯網對信息資源所進行的攻擊日益嚴重，現有以防火墻(firewall)和入侵檢測系統(IDS)為核心的防御技術采用被動的安全策略，通常滯后于各種各樣的攻擊，難以針對未知的網絡安全問題做出有效響應。為此，基于主動防御理念的蜜罐(Honeypot)和密網（Honeynet）技術受到了廣泛的關注，近年來更是得到快速發展[1-2]。

本文闡述了蜜罐和密網的概念，重點探討了蜜網所涉及的關鍵技術及在網絡安全中的應用，并對密網技術的未來發展趨勢進行了展望。

1 蜜罐與密網概念

1.1 密罐概念

蜜罐是一種在互聯網上專門為吸引并誘騙那些試圖非法闖入計算機系統的人(如電腦黑客)而設計的包含漏洞的誘騙系統，它通過模擬一個或多個易受攻擊的主機，給攻擊者提供一個容易攻擊的目標。由于蜜罐并沒有向外界提供真正有價值的服務，因此所有對蜜罐嘗試都被視為可疑的。“蜜網項目組”（The Honeynet Project）的創始人Lance Spitzner給出了對蜜罐的權威定義：蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷[2]。這就意味著所有流入/流出蜜罐的網絡流量都可能預示了掃描、攻擊和攻陷，這樣攻擊者入侵后，你就可以知道他是如何得逞的，隨時了解針對網絡發動的最新攻擊，進而了解入侵者的攻擊目的、攻擊方法和攻擊工具，特別是對各種未知攻擊行為的學習。雖然蜜罐不會直接提高網絡安全，但可以延緩攻擊和轉移攻擊目標。因此蜜罐就是誘捕攻擊者的一個陷阱。

1.2 密網概念

蜜網是在蜜罐技術上逐漸發展起來的一種高交互性的蜜罐，在一臺或多臺蜜罐主機基礎上，結合防火墻、路由器、入侵檢測等組成的網絡系統。這一網絡系統是隱藏在防火墻后面的，所有進出的資料都會受到監控、捕獲及控制。與傳統蜜罐技術的差異在于，蜜網構成了一個黑客誘捕網絡體系架構，在這個架構中，可以包含一個或多個蜜罐，同時保證網絡的高度可控性，以及提供多種工具以方便對攻擊信息的采集和分析。另外，蜜網架構注重整合資源，將真實的系統、蜜罐系統、各種服務、防火墻及入侵檢測等資源有機結合在一起，具有多層次的數據控制機制，全面的數據捕獲機制，并能夠輔助研究人員對捕獲的數據進行深入分析。因此，蜜網也可理解為一個集防火墻、入侵檢測、數據分析軟件、各類蜜罐等于一體的綜合體。

2 密網核心技術

整個蜜網體系主要由蜜網網關、虛擬蜜罐、物理蜜罐和監控機等組成。蜜網體系結構解決了三大核心功能：數據控制、數據捕獲和數據分析[3]。蜜罐與蜜網的研究主要涉及的關鍵技術有：網絡欺騙、數據捕獲、數據控制、數據分析等[4-5]。

2.1 網絡欺騙

由于蜜罐與密網的價值是在其被探測、攻擊或者攻陷的時候才得到體現。網絡欺騙技術是使蜜網系統在網絡上與真實的主機系統難以區分。所以沒有網絡欺騙功能的蜜罐是沒有價值的, 網絡欺騙技術因此也是密網技術體系中最為關鍵的核心技術和難題。網絡欺騙技術的強與弱從一個側面也反映了蜜罐本身的價值。目前蜜罐主要的網絡欺騙技術有如下幾種: 模擬服務端口、模擬系統漏洞和應用服務、IP 空間欺騙、流量仿真、網絡動態配置、組織信息欺騙、網絡服務等。

2.2 數據捕獲

數據捕獲就是在網絡入侵者無察覺的情況下，完整地記錄所有進入蜜網系統的連接行為及其活動。蜜網系統通常采用三種層次捕獲數據，分別是防火墻、IDS 和蜜罐主機。防火墻位于蜜網系統的前面，數據捕獲是蜜網的重要功能，只有捕獲了攻擊者的入侵數據，才能對其進行分析整理，才能對防火墻和入侵檢測等系統進行規則調整。蜜網的主動防御功能能否得以充分的體現關鍵在于捕獲的數據是否真實、是否詳實、是否豐富，所以要從不同方面、不同角度去進行數據的搜集，同時還要考慮數據的真實性。

2.3 數據控制

數據控制就是通過設置策略限制攻擊者的活動進行網絡防護。如果攻擊者進入蜜網，既要給攻擊者一定的活動自由，也要對攻擊者的活動進行限制，不能讓攻擊者危害蜜網之外的系統，更不能讓攻擊者發現數據控制的活動。限制攻擊者的方法可以采取限制其從蜜罐向外的連接數量和在蜜網中的活動能力。為了防止因單個機制被攻破而導致系統淪陷，通常采用多層次的數據控制機制。

2.4 數據分析

數據分析就是把蜜網系統所捕獲到的數據記錄進行分析處理，提取入侵規則，從中分析是否有新的入侵特征。數據分析包括網絡協議分析、網絡行為分析和攻擊特征分析等。分析的主要目的有兩個：一個是分析攻擊者在蜜網系統中的活動、掃描擊鍵行為、非法訪問系統所使用工具、攻擊目的何在以及提取攻擊特征；另一個是對攻擊者的行為建立數據統計模型，看其是否具有攻擊特征，若有則發出預警，保護其它正常網絡，避免受到相同攻擊。

3 蜜網技術在網絡安全中的應用

隨著互聯網的飛速發展和經濟利益的誘惑，越來越多的網絡攻擊將給網絡帶來嚴重的危險。因此如何保證網絡安全是重中之重的事情，本文針對目前危及網絡安全較為嚴重的幾種威脅，利用蜜網技術進行防御的可行性進行了探討[6]。

3.1 抗蠕蟲病毒

蠕蟲的一般傳播過程為掃描、感染、復制三個步驟。經過大量掃描，當探測到存在漏洞的主機時，蠕蟲主體就會遷移到目標主機。然后在被感染的主機上生成多個副本，實現對計算機監控和破壞。利用蜜網技術，可以在蠕蟲感染的階段檢測非法入侵行為，對于已知的蠕蟲病毒，可以通過設置防火墻和IDS規則，直接重定向到蜜網的蜜罐中，拖延蠕蟲的攻擊時間；對于全新的蠕蟲病毒，可以采取辦法延緩其掃描速度，在網絡層用特定的、偽造數據包來延遲應答，同時利用軟件工具對日志進行分析，以便確定相應的對抗措施。

3.2 捕獲網絡釣魚

網絡釣魚是通過大量發送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息的一種攻擊方式。最典型的網絡釣魚攻擊將收信人引誘到一個通過精心設計與目標組織的網站非常相似的釣魚網站上，并獲取收信人在此網站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。目前的反網絡釣魚工作組等機構寄希望于發覺網絡釣魚攻擊的用戶向他們報告，通過報告再進行分析。這種途徑只能在網絡釣魚攻擊發生后從受害者的角度去觀察，并不能清晰地了解網絡釣魚攻擊的全過程。而蜜網技術則提供了捕獲整個過程中攻擊者發起攻擊行為的能力，在蜜網中的蜜罐都是初始安裝的沒有打漏洞補丁的系統，一旦部署的蜜網被網絡釣魚者以進行網絡釣魚攻擊，安全分析人員就能及時在蜜網捕獲的豐富日志數據的基礎上，對網絡釣魚攻擊的整個生命周期建立起一個完整的理解，并深入剖析各個步驟釣魚者所使用的技術手段和工具。

3.3 捕獲僵尸網絡

僵尸網絡是近年來興起得危害互聯網的重大威脅之一，它的危害體現在發動分布式拒絕服務攻擊、發送垃圾郵件以及竊取僵尸主機內的敏感信息等。因此，我們可以考慮利用在網絡中部署惡意軟件收集器，對收集到的惡意軟件樣本采用蜜網技術對其進行分析，確認是否僵尸程序，并對僵尸程序所要連接的僵尸網絡控制信道的信息進行提取，最后通過客戶端蜜罐技術，偽裝成被控制的僵尸工具，進入僵尸網絡進行觀察和跟蹤。

4 蜜網的發展趨勢

面對越來越多的網絡攻擊，密網技術也需要不斷更新與發展。

4.1 提高蜜網的可移植性

目前的操作系統種類繁多，大部分蜜網只能在特定的操作系統下工作。因此，能夠跨平臺工作的蜜網成為關注的焦點。如果蜜網可以在任何操作系統下生效，蜜網的適用范圍就會變得更廣。

4.2 提高蜜網的交互性

在降低風險的情況下，盡可能提高蜜網與入侵者之間的交互程度。蜜網如果僅僅支持簡單的交互行為，就可能被入侵者很快發現并迅速全身而退。所以蜜網要盡量提高與入侵者之間的交互程度，以便更好地了解入侵者的行為。

4.3 提高蜜網的信息控制和記錄功能

當前的蜜網技術在記錄攻擊者攻陷一臺機器之后的情況方面還做得很不夠。由于出現了越來越多大規模分布式的攻擊，了解攻擊者在攻陷一臺機器之后的所作所為，成為蜜網的重要工作。

4.4 降低蜜網的風險

引入密網后，想要獲得更多有價值的信息和數據，又要系統保持足夠的安全，這的確很難。交互的程度越高，模擬得越像，自己陷入危險的可能性也就越大。

5 結論

本文介紹了蜜罐及蜜網的概念，重點探究了網絡欺騙、數據捕獲、數據控制、數據分析等密網所涉及的關鍵技術，探討了密網技術在網絡安全中的應用，并展望了未來的發展趨勢。蜜網技術作為一種應用欺騙思想的主動防御技術，是現有安全機制的有力補充。隨著技術的進一步發展，蜜網技術定能在網絡安全領域發揮更大的作用。

[1]ROBERT MCGREW.Experiences With Honeypot Systems：Development，Deployment and Analysis[J].IEEE Transactions on Software Engineering，2006.

[2]The Honeynet Project. http: www.honeynet.org, 2007

[3]程杰仁,殷建平,劉運,鐘經偉.蜜罐及密網技術研究進展[J].計算機研究與發展，2008.

[4]羅來俊.基于蜜網技術的主動式網絡安全系統研究 [J].電腦知識與技術，2011.

[5]諸葛建偉等.蜜罐技術研究與應用進展[J].軟件學報2013.

[6]賀文娟,賈丙靜.蜜網技術在網絡安全中的應用[J].東莞理工學院學報，2013.