（系统分析与集成专业论文）蜜罐技术在网络安全中应用研究.pdf

目录 j i 萄要i a b s t r a c t 。i i 第1 章绪论1 1 1 选题的背景l 1 2 网络安全现状1 1 2 1 网络安全的概念l 1 2 2 传统的网络安全技术2 1 2 3 一种新的网络安全技术蜜罐4 1 3 论文的研究内容。5 1 3 1 论文的主要工作5 1 3 2 论文的内容安排5 1 4 本章小结6 第2 章蜜罐技术研究7 2 1 蜜罐概述7 2 1 1 蜜罐的定义7 2 1 2 蜜罐的安全价值7 2 1 3 蜜罐的分类8 2 1 4 蜜罐在网络的位置。l l 2 2 蜜罐的发展l3 2 2 1 蜜罐的发展历程1 3 2 2 2 国内外研究现状。l3 2 3 蜜罐关键技术1 4 2 3 1 网络欺骗技术14 2 3 2 数据捕获技术。16 2 3 3 数据控制技术17 2 3 4 数据分析技术17 2 4 蜜网17 ：! ：! ：! ：i ：! ：i ，。2 4 ：! ! i ：! ! ； ：t ； ：1 8 ：1 9 。：i ( 3 4 ：1 4 ：；! ； ：；7 4 l 4 4 4 7 4 8 4 8 4 8 4 8 4 8 4 8 4 9 ! ；( ) ! i ( ) 5 ：! ! ；! ； 5 7 5 8 4 3 1 外出链接数限制功能测试5 8 4 3 2 攻击包抑制功能测试6 0 4 3 3 数据捕获测试。6 0 4 3 4 日志记录测试6 1 4 3 5 对比测试。6 1 4 4 本章小结6 4 第5 章总结6 5 5 1 总结6 5 5 2 下一步工作6 5 参考文献6 7 个人简历6 9 致谢7 0 摘要 随着计算机与网络应用的普及，网络安全问题日益凸显，而面对日益严重的网络安全威 胁，传统网络安全技术多是被动的防御技术，对攻击者了解不足，更无法应对层出不穷的 未知攻击。因此，如何使网络安全防御化被动为主动，捕获未知攻击以及更好地研究入侵 者的行为和动机，已成为当前网络安全技术研究的一个热点。 蜜罐技术是一种主动防御技术，部署蜜罐的目的就是吸引攻击者来攻击，捕获攻击者 在蜜罐系统上的活动数据，从而更好地研究攻击者的行为和动机。本文紧密围绕蜜罐实现 的关键技术开展研究工作，并设计实现了一个高交互度的蜜罐系统。应用此蜜罐系统能够 捕获未知攻击，发现系统未知的安全漏洞，更好地了解攻击者所使用的攻击工具和攻击方 法，推测攻击者的意图和动机，进而通过技术和管理手段来增强对实际系统的安全防护能 力。 论文所做的工作主要有： 分析当前网络面临的安全形势，对比传统网络安全技术，论述蜜罐技术在网络安全 防御中的作用与当前研究状态，并对蜜罐技术的相关原理进行研究和概述。 从网络欺骗、数据捕获、数据分析和数据控制四个方面对蜜罐实现的关键技术进行 研究，在此基础上设计了一个改进的高交互度的蜜罐系统。 在实现多层数据控制和数据捕获的基础上，重点研究了日志分析、端口重定向和特 征提取，重定向技术是基于n e t f i l t e r 原理的，通过比较w u - m a n b e r 算法和酬算法，得出 w u - m a n b e r 算法的特征提取性能优于删算法。 结合防火墙、入侵检测等技术，在现有条件下搭建了蜜罐系统，通过模拟实验显示 系统达到了蜜罐设计的预期要求，成功地实现一个高效的网络安全防御系统。 关键字：网络安全；蜜罐；数据控制；数据捕获 a b s t r a c t w i t ht h ew i d eu s eo fc o m p u t e ra n dn e t w o r k , t h es e c u r i t yp r o b l e mi ni n f o r m a t i o nn e t w o r ki s b e c o m i n gi n c r e a s i n g l ys e r i o u s a l t h o u g hf a c i n gt h e v e r en e t w o r ks e c u r i t yt h r e a t e n , m o s to f t r a d i t i o n a ln e t w o r ks e c u r i t yt e c h n o l o g i e s 伽o n l yd e f e n dt h ea t t a c kw i t hp a s s i v ew a y , w h i c h m o a n s 廿l e yc a l ln o tg e te n o u g hk n o w l e d g ea b o u tt h ea t t a c k e r sa n dd e a lw i t he n d l e s su n k n o w n a t t a c k s s o ，h o wt ot u r nn e t w o r ks e c u r i t yf r o mp a s s i v e & f e n c ei n t oa c t i v ed e f e n c ，c a t c h u n k n o w na t t a c k sa n dg e tt h ek n o w l e d g ea b o u tt h ea c t i o na n dm o t i v a t i o no fa t t a c k e r sm o r e e f f i c i e n t l yh a sb e o r m eah o t s p o to fc u r r e n tr e s e a r c ho nn e t w o r ks e c u r i t yt e c h n o l o g y h o n e y p o ti sak i n do fa c t i v ed e f e n c et e c h n o l o g i e s t h ei n t e n t i o no fd e p l o y i n gh o n e y p o ti st o a t w a e tt h ea t t a c k e r st oa t t a c ki t , t h e nt h ea c t i o nd a t at h a tt h ea t t a c k e r sl e f ti nh o n e y p o ts y s t e mc a n b ec a p t u r e d t h ek e yt e c h n o l o g yo fh o n e y p o ti ss t u d i e da n dah i i g hi n t e r a c t i v eh o n e y p o ts y s t e mi s d e s i g n e da n di m p l e m e n t e di nt h i sd i s s e r t a t i o n b yu s i n gt h i sh o n e y p o ts y s t e m , t h eu n k n o w n a t t a c k s 锄b ec a p t u r e d , t h es e c u r i t yb u go fs y s t e mc a nb ef o u n d , t h ea t t a c km e t h o d sa n dt o o l st h a t t h ea t t a c k e r su s e dc a nb ek n o w nb e t t e r , a n dt h ei n t e n t i o na n dm o t i v a t i o no fa t t a c k e r sc a nb e g u e s s e d , t h e nt h es e c u r i t yd e f e n c eo f r e a ls y s t e mc a nb ee n h a n c e db yt e c h n o l o g ya n dm a n a g e m e n t m e a s u r e t h ew o r km a i n l yi n c l u d e s ： ( i ) c o n w a s t i n gt ot r a d i t i o n a ln e t w o r ks e c u r i t yt e c h n o l o g i e s ，t h es i t u a t i o na n dc u r r e n t l ys t u d y s t a t u so fh o n e y p o tt e c h n o l o g yi sd i s c u s s e d , a n dt h er e l a t e dp r i n c i p l eo fh o n e y p o tt e c h n o l o g yi s a n a l y z e da n ds u m m a r i z e d ) k e yt e c h n o l o g yo fh o n e y p o ti sr e s e a r c h e df r o mf o l l o w i n ga s p e c t s ：n e t w o r kd e c e p t i v e ，d a t a c a p t u r e ，d a t aa n a l y z a t i o na n dd a t ac o n t r 0 1 a ni m p r o v e dh i 曲i n t e r a c t i v eh o n e y p o ts y s t e mi s d e s i g n e d o nt h eb a s i so fi m p l e m e n t i n gd a t ac a p t u r i n ga n dc o n t r o l l i n gf u n c t i o n s ，f o c u so nt h el o g a n a l y s i s ，p o r tr e d i r e c t i o n , a n df e a t u r ee x t r a c t i o n , p r o p o s e dr e d i r e c t i o nt e c h n i q u e sb a s e do n n e t f i l t e r ，b yc o m p a r i s o n , t h ew u - m a n b e ra l g o r i t h mf o rf e a t u r ee x t r a c t i o na l g o r i t h mi sb e t t e rt h a n b m c o m b i n a t i o no ff i r e w a l l sa n di d s ，b u i l d i n gt h eh o n e y p o ts y s t e mu n d e rc u n n t c o n d i t i o n s ，t h r o u g hs i m u l a t i o ne x p e r i m e n t ss h o wt h a tt h es y s t e mh a sr e a c h e dt h ee x p e c t e d n r e q u i r e m e n t so fh o n e y p o td e s i g n e da n di m p l e m e n ts u c c e s s f u l l yah i g hp e r f o r m a n c en e t w o r k s e c u r i t yd e f e n s es y s t e m k e yw o r d s ：n e t w o r ks e c u r i t y ；h o n e y p o t ；d a t ac o n t r o l ；d a t ac a p t u r e m 第l 章绪论 1 1 选题的背景 第1 章绪论 随着计算机与网络的广泛普及，计算机网络技术的迅速发展，开放式的网络体系的安 全隐患日益明显地暴露出来，各种网络安全事件不断发生，已经严重威胁到网络与信息的 安全。由于因特网网络协议的开放性，系统的通用性，无政府的管理状态，使得因特网在 极大地传播信息的同时，也面临着不可预测的威胁和攻击。 网络技术越发展，对网络进攻的手段就越巧妙，越多样性。一方面由于计算机网络的 开放性和信息共享促进了网络的飞速发展，另一方面也正是这种开放性以及计算机本身安 全的脆弱性，导致了网络安全方面的诸多漏洞。可以说，网络安全问题将始终伴随着因特 网的发展而存在。所以，网络的安全性同网络的性能、可靠性和可用性一起，成为组建、 运行网络不可忽视的问题。 据美国c e r t ( 计算机应急响应组) 统计的安全事件数量表明网络攻击以每年翻番的惊人 指数级增长。导致互联网目前如此糟糕的安全状况的原因有很多，一方面是由于互联网的 开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷，同时，大部分的 网络使用者还未真正拥有安全意识，也很少进行网络安全加强工作，如及时打补丁、安装 防火墙和其他安全工具等，从而导致了目前的互联网具有巨大的安全隐患。另一方面，随 着网络攻击技术的发展，特别是分布式拒绝服务攻击( d d o s ) 、跳板( s t e p - s t o n e ) 攻击及互 联网蠕虫的盛行，互联网上的每一台主机都已经成为攻击的目标。 随着攻击手段和手法的日趋复杂多样，仅仅依靠传统的安全防范措施已经无法满足对 安全高度敏感的部门的需要。目前网络安全防护采用的技术主要有防火墙、入侵检测、身 份认证、访问控制、密码技术等。它们在网络安全应用中都发挥着各自的作用，然而传统 的这些网络安全技术大多是被动的，各自有着致命的弱点，例如防火墙，它无法防御通过 防火墙以外的其他途径进入的攻击，不能抵抗未知的漏洞攻击，无法防御内部攻击等心1 。 入侵检测系统则可能产生大量的错误报警信息，忽视真正的恶意行为，而且高速的网络数 据包处理对硬件要求相当高。 1 2 网络安全现状 1 2 1 网络安全的概念 南京信息工程人学硕上论文 网络安全的定义有很多种，国际标准化组织( i s o ) 的定义是：“为数据处理系统建立 和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭 到破坏、更改和泄漏”。根据国际标准化组织( i s o ) 的定义和美国政府有关国家信息基础结 构( n l i ) 安全问题文件的定义，网络安全的含义主要指：网络信息的完整性、可用性、保密 性、可靠性、不可抵赖性和可控性b 1 。 1 ) 保密性：指信息不泄露给非授权的用户、实体或进程，只能由授权者获取和访问， 这是信息安全最重要的要求。 2 ) 完整性：指信息在存储或传输过程中保持不被修改、不被破坏和不丢失的特性。保 证信息的完整性是信息安全的基本要求，而破坏信息的完整性则是对信息安全发动攻击的 目的之一。 3 ) 可靠性：指保证信息系统能以被人们所接受的质量水准持续地运行。 4 ) 可用性：指授权实体对信息资源的正常请求能够及时、准确、安全地得到服务和响 应。对可用性的攻击则是阻断信息的可用性，例如在网络环境下破坏网络上有关系统的正 常运行就属于这种类型的攻击。 5 ) 不可抵赖性：也称作不可否认性。在信息系统的信息交互过程中，确信参与者的真 实同一性，即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可 以防止发信方不真实地否认己发送信息，利用递交接收证据可以防止收信方事后否认已经 接收的信息。 6 ) 可控性：是对信息及信息系统实施安全监控。 1 2 2 传统的网络安全技术 网络安全的对策包括管理对策和技术对策。管理对策需要形成一套完整的、适应于网 环境的安全管理制度，并且要求管理员认真实施，这些制度包括人员管理制度、保密制 、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。技术对策则包 基于密码体制的安全措施和非密码体制的安全措施1 ，前者包括：身份鉴别技术、数据 密技术等，后者则主要有访问控制技术、防火墙技术和入侵检测技术等。 1 ) 防火墙 防火墙是最成熟和基本的一种网络安全防范技术，其在受保护网与外部网之间构造一 保护层，强制所有出入内外网的数据流必须通过并受其控制，常被形容为网络安全的第 堵墙。防火墙是一种用来加强网络之间访问控制、防止外部网络用户以非法手段通过外 网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。 2 第l 章绪论 它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略进行检查，来决定 网络之间的通信是否被允许，并监视网络运行状态。防火墙大致可以分为两类：一类是基 于包过滤型( p a c k e tf i l t e r ) ，另一类是基于代理服务( p r o x ys e r v i c e ) 。虽然防火墙可以 提高来自外部网络非法用户对内部网络攻击的安全性，但随着网络攻击技术及工具的发展， 防火墙在网络安全防护中的弱点逐渐暴露出来，最明显的防火墙无法防护来自内部网络用 户的攻击，无法防备病毒攻击，无法保护那些绕过防火墙的攻击哺1 。 2 ) 入侵检测( i d s ) 入侵检测技术是通过从计算机网络或系统中的若干关键点收集信息并对其进行分析， 以从中发现网络或系统中是否有违反安全策略行为的一种安全技术。入侵检测系统与防火 墙安全策略相比，是一种不同的安全策略，主要通过监控网络、系统的状态、行为以及系 统的使用情况，来检测系统用户的越权使用及系统外部的入侵者利用系统的安全缺陷对系 统进行入侵的企图。常见的入侵检测系统可分为主机型和网络型。主机型入侵检测系统往 往以系统日志、应用程序日志等作为数据源，保护的一般是所在的系统。网络型入侵检测 系统的数据源则是网络上的数据包，担负着保护整个网段的任务，但是入侵检测会出现错 报和漏报。 3 ) 身份认证技术 身份认证是证实一个声称的身份或角色( 如用户机器、节点等) 是否真实的过程，它是 实现授权、审计等访问控制过程的必要条件，是计算机网络安全系统不可缺少的组成部分。 为了证明自己的身份，用户一般是出示只有自己知道的机密信息，例如口令、个人身份号 码( 少创) 、密钥等，其弱点是用户的认证信息在传输和存储过程中可能被破解、窃取和盗 用。 4 ) 数据加密技术 数据加密技术是一种最基本的安全技术。目的是保护数据、文件、口令以及其它信息 在网上安全传输。按照收发双方密钥是否相同。可把常用的加密算法分为对称加密和非对 称加密两种。对称加密算法中，收发双方使用相同的密钥，例如美国的d e s 、欧洲的i d e a 等。对称加密算法有保密强度高、加密速度快等优点，但其密钥必须通过安全的途径传送， 因此密钥的分发是一个比较复杂的问题。在非对称加密算法中，收发双方使用的密钥互不 相同，而且几乎不可能由加密密钥推导出解密密钥。比较著名的公开密钥算法有：r s a 、e c c 、 背包密码等，其中以r s a 算法应用最为广泛。加密技术最终将被集成到系统和网络中，如 在下一代i p v 6 协议中就内置了加密支持。 5 ) 访问控制技术 访问控制防止非授权用户进入网络，同时防止任何对计算机资源和通信资源的非授权 3 南京信息工程大学硕士论文 访问。它根据用户的身份赋予其相应的权限，也就是说按事先确定的规则决定何种主体对 何种客体具有何种操作能力。适当的访问控制能够阻止未经允许的用户有意或无意地获取 数据。访问控制的手段包括用户识别代码、口令、登录控制、资源授权( 例如用户配置文件、 资源配置文件和控制列表) 、授权核查、日志和审计。安全控制包括六种类型的控制手段如 防御型、探测型和矫正型以及管理型、技术型和操作型控制。 防火墙、入侵检测技术所采取的安全策略是先考虑系统可能出现哪些问题，然后对问 题一一分析解决。采取这样的安全策略的主要原因又在于它们所遵循的理论系统：主体对 客体的访问符合预定的控制规则，便允许其进入或认为它合法。而从控制论角度来看，这 是一个开环控制系统，没有反馈，是一种静态的，被动的防御策略，不能对远程出现的攻 击和威胁做出必要的快速反映。就防火墙、入侵检测目前的技术水平而言，上面这些问题 大多很难在现有的理论体系框架下解决。 防火墙的缺陷哺1 1 ) 防火墙不能防止不经防火墙的攻击，例如一个企业内联网设置了防火墙，但是该网 络的一个用户基于某种理由另外直接与i n t e r n e t 的服务提供商连接，这种绕过了企业内联 网的保护，为该网留下了一个供人攻击的后门，是一个潜在的安全隐患。 2 ) 防火墙经不起人为因素的攻击，由于防火墙对网络安全进行单点控制，所以可能受 到攻击者的攻击，像企业内联网由于管理原因造成的人为破坏，防火墙是无能为力的。 3 ) 防火墙不能保证数据的秘密性，不能对数据进行鉴别，也不能保证网络不受病毒的 攻击，任何防火墙不可能对通过的数据流中每一个文件进行扫描检查病毒。 入侵检测系统也存在很多的问题 1 ) 如果产生大量警报，而这些报警中大部分都是误警，在真正的警报中，又有很多是 试探行为，并没有实现真实的攻击，这使得发现问题的真正所在非常困难。 2 ) 缺乏足够的与其他安全工具和网管系统的集成能力。 3 ) 不能协调、适应多样性的网络环境中的不用的安全策略。 4 ) 不断增大的网络流量对入侵检测技术的数据提取能力和实时分析能力提出了重大 挑战。 1 2 3 一种新的网络安全技术蜜罐 随着攻击者知识的日趋成熟，攻击工具和方法的日趋复杂多样，单纯的防火墙、入侵 检测等策略已经无法满足对安全高度敏感的部门需求。网络的防卫必须采用一种纵深的多 样的手段，当今的网络环境也变得越来越复杂，各式各样的复杂设备，需要不断升级补漏， 4 第l 章绪论 使得网络管理员的工作不断加重，在这种条件下，蜜罐技术成了一种新的网络安全解决方 案，不仅受到愈来愈多的人的关注，而且已经开始在不同的环境中发挥其关键作用。 蜜罐的思想是一个故意设计为有缺陷的系统，专门用于引诱攻击者进入受控环境中， 然后使用各种监控技术来捕获攻击者的行为。同时产生关于当前攻击行为、工具、技术的 记录，甚至可以通过对应用程序中存在漏洞的数据分析，通过学习攻击者的工具和思路， 对系统和网络中存在的漏洞进行修补，进一步提高系统和网络的安全性能，从而降低攻击 者取得成功的可能性，有效地减少攻击对重要系统和网络信息的威胁。蜜罐提供了高效收 集数据能力和极低的误报漏报率，虽然收集的资料少，但收集的资料有较高价值。 1 3 论文的研究内容 1 3 1 论文的主要工作 本文对当前网络安全领域的研究热点蜜罐进行了深入研究，主要研究内容如下： 论述了当前网络现状和主要的网络安全技术，分析了传统的网络安全技术特点，阐 述了蜜罐技术作为网络安全防御中的新技术的重要研究意义。 对蜜罐技术的原理、思想等多个方面进行概述，并从网络欺骗、数据捕获、数据分 析和数据控制四个方面对蜜罐实现的关键技术进行了深入研究和论述。 结合现有的工具和技术设计实现了一个改进的高交互度级别的蜜罐系统，有效实现 了蜜罐多层次的数据捕获和数据控制功能。对该蜜罐系统中使用到的工具和相关技术进行 了详细研究和深入的阐述。 对设计实现的蜜罐系统进行了模拟实验，并对实验结果进行分析。 1 3 2 论文的内容安排 本论文共分五章，具体章节安排如下： 第1 章：主要介绍论文选题的背景，并对网络安概念和技术做了阐述，在分析传统网 络安全技术缺点的技术上提出蜜罐技术，最后介绍论文的主要工作和内容安排； 第2 章：介绍了蜜罐的概念、安全价值、分类以及蜜罐的部署，对发展历程和国内外 现状作了介绍，重点对蜜罐的关键技术进行了深入的研究和分析： 第3 章：设计了防火墙、入侵检测等技术与蜜罐技术联动的高互交研究型蜜罐系统， 提出系统的总体设计，对关键技术方案进行了深入研究，对相关技术进行了研究分析； 5 南京信息工程人学硕士论文 第4 章：对系统的各个功能模块进行具体实现，并对系统进行模拟测试； 第5 章：对论文工作进行了总结，并对后续工作进行了展望。 1 4 本章小结 随着计算机与网络应用的普及，网络安全问题日益凸显，而面对日益严重的网络安全问 题，传统网络安全技术多是被动的防御技术，对攻击者了解不足，更无法应对层出不穷的 未知攻击。蜜罐技术是一种主动防御技术，部署蜜罐的目的就是吸引攻击者来攻击，捕获 攻击者在蜜罐系统上的活动数据，从而更好地研究攻击者的行为和动机。本章在对主要的 网络安全技术进行论述的基础上提出蜜罐技术，最后总体上对本文的研究内容和章节安排 进行介绍。 6 第2 章蜜罐技术研究 2 1 蜜罐概述 2 1 1 蜜罐的定义 第2 章蜜罐技术研究 蜜网项目组( t l l eh o n e y n e tp r o j e c t ) 的创始人l a n c es p i t z n e r 对蜜罐的定义旧1 是：“蜜 罐是一个资源，它的价值在于它会受到攻击或威胁。这意味着一个蜜罐希望受到探测、攻 击和潜在地被利用。蜜罐并不修正任何问题，它们仅为我们提供额外的、有价值的信息。” 蜜罐系统所收集的信息可以作为跟踪、研究黑客现有技术的重要资料；可以用来查找并确 定黑客的来源，作为起诉入侵者的证据；可以用来分析黑客攻击的目标，对可能被攻击的 系统提前做好防护工作。在攻击者看来是一个很有吸引力的蜜罐系统，由于它一般不含真 实而有价值的数据，因而不会对重要数据和系统构成威胁。 2 1 2 蜜罐的安全价值 蜜罐本身并没有代替其他安全防护工具， 以了解黑客常用工具和攻击策略的有效手段， 价值体现在以下几个方面。 1 ) 防护 如防火墙、入侵检测等，而是提供了一种可 是增强现有安全性的强大工具。蜜罐的安全 蜜罐在防护中所体现的防护能力很弱，并不会将那些试图攻击的入侵者拒之门外。事 实上蜜罐设计的初衷就是妥协，希望有人闯入系统，从而进行各项记录和分析工作。当然， 诱骗也是一种对攻击者进行防护的方法，因为诱骗使攻击者花费大量的时间和资源对蜜罐 进行攻击，这就防止或减缓了对真正的系统和资源进行攻击。 2 ) 检测 蜜罐本身没有任何生产行为，所有与蜜罐相关的连接都认为是可疑的行为而被纪录， 因此蜜罐具有很强的检测能力，这样大大降低误报率和漏报率，也简化了检测的过程。 3 ) 响应 蜜罐检测到入侵后也可以进行一定的响应，包括模拟响应来引诱黑客进一步的攻击， 发出报警通知系统管理员，让管理员适时的调整入侵检测系统和防火墙配置，来加强真实 系统的保护等等。 7 南京信息工程人学硕上论文 2 1 3 蜜罐的分类 经过多年的研究和发展，蜜罐适用的范围越来越广，形式也越来越灵活。根据不同的 标准可以对蜜罐技术进行不同的分类，这里主要讨论三种分类方式：分别是按部署目的、 交换程度和具体实现分类。 根据蜜罐部署目的不同将蜜罐分为产品型蜜罐和研究型蜜罐两种旧1 。 1 ) 产品型蜜罐 产品型蜜罐具有事件检测和欺骗功能，产品型蜜罐系统所要做的工作就是检测并对付 恶意攻击者，用来提高商业组织的安全性能，在网络安全响应环节也发挥着积极的作用。 产品型蜜罐大多部署在受保护系统的周围，当攻击来临时，可以通过迷惑攻击者达到延缓 攻击的目的。从某种意义上来说产品型蜜罐减轻了实际工作网络的安全风险。一般情况下， 商业组织利用产品型蜜罐对自己的网络系统进行保护。典型的产品型蜜罐有d t k 、h o n e y d 等开源工具以及k f s e n s o r 、m a n t r a p 等商业产品。 2 ) 研究型蜜罐 研究型蜜罐被设计的主要目的是用于获取黑客的信息，它的主要价值是提供一个学习 攻击信息的平台，它并没有为特定组织带来直接性的安全价值。目前安全专家们面临缺乏 对敌人详细了解的难题，研究型蜜罐系统是观察、记录、学习攻击者及其攻击行为的最好 工具，而且它还能学习到攻击者在攻陷一个系统后如何与其它黑客通信或者上载新的工具 包等更高价值的信息。同时，研究型蜜罐优于产品型蜜罐，是捕捉蠕虫等自动攻击病毒的 优秀工具，虽然不能直接保护系统，但是它能间接的保护系统安全。 根据交互程度将蜜罐分为低交互蜜罐、中交互蜜罐和高交互蜜罐n 们。 1 ) 低交互蜜罐 低交互型的蜜罐主要是用于协助保护特定组织的产品型蜜罐。它所允许的交互是有限 的，它的主要价值在于检测，具体说来就是对未授权扫描或者未授权连接尝试的检测。它 一般通过虚拟某种服务或操作系统来工作，这样使得攻击行为不会超出蜜罐虚拟的范围。 因为提供的功能有限，大部分服务可以用一个程序来模拟。典型的低交互度蜜罐有b o f 、 s p e c t e r 、h o n e y d 等。 在低交互蜜罐中，不存在攻击者可直接操作的真实操作系统。这样由操作系统带来的 复杂性就被消除了，当然也就最大限度地减少了系统可能带来的风险。然而从另外个角 度来看，这种实现方式也具有一个很明显的缺点：它不能够观察到入侵者和操作系统之间 的进一步交互操作，而得到这些交互信息正是设计蜜罐的初衷，在某种意义上，这种低交 互的蜜罐和单向连接非常相似，只是简单的对特定端口进行监听，而不对相应的请求作出 8 第2 章蜜罐技术研究 进一步的应答。因此，这种蜜罐的实现方式是非常被动的。低交互型蜜罐的逻辑结构图如 图2 - 1 所示。 图2 - 1 低交互型蜜罐逻辑结构图 2 ) 中交互型蜜罐 中交互蜜罐是在受限的安全环境中提供真实服务。攻击者可以与蜜罐提供的真实的服 务进行交互。但是由于在一个受限的环境中，所以即使攻击者攻陷了该蜜罐也不可能得到 系统的控制权。与低交互型蜜罐相比，它能提供更多的交互服务，但是仍然不提供一个真 实的底层操作系统。它通过伪造复杂的守护进程，并且提供含有这些守护进程所提供的特 定服务等来吸引入侵者。在这种蜜罐中，用户可以随心所欲的进行配置，可以实现一个低 交互型蜜罐无法给予的响应。该等级的蜜罐会使攻击者误以为它们在与一个真实的操作系 统进行交互，诱使它们进行更多的交互和探测。典型的中交互型蜜罐如牢笼( j a i l ) 环境、 m a n t r a p 等。中交互型蜜罐的逻辑结构图如图2 - 2 所示。 9 南京信息工程大学硕士论文 图2 2 中交互型蜜罐逻辑结构图 3 ) 高交互型的蜜罐 高交互蜜罐系统与前两种蜜罐的最大不同在于它给入侵者提供了一个真实的操作系 统，在这种环境下一切都不是模拟的或者受限的。这样所带来的好处是这种蜜罐可以收集 到更加丰富的入侵者的信息。然而与此同时，操作系统的介入将会使系统的复杂度大大增 加，相应地系统所面临的威胁也就更大。黑客入侵的目的之一是要得到系统的r o o t 权限， 如果这种蜜罐被成功入侵，那么攻击者可能利用它进行进一步的攻击，所以在部署这种蜜 罐时，必须采取各种各样的策略和措施来防止它成为攻击者进一步攻击的跳板，如使用监 控软件对其进行监视、限制其外出连接的数量等。高交互型蜜罐的逻辑结构图如图2 - 3 所 示。 图2 - 3 高交互型蜜罐逻辑结构图 1 0 第2 章蜜罐技术研究 三种交互型蜜罐各有所长，现将它们做如表2 1 的比较。 表2 - 1 低、中、高交互型蜜罐比较 性能低交互型蜜罐中交互型蜜罐高交互型蜜罐 复杂程度 低中高 提供真实的0 s无无有 风险性低中高 信息收集程度链接请求 全部 系统被攻破的可能无无有 应用所需知识低低高 开发所需知识低高中 维护所花费时问 低低 非常高 根据具体实现蜜罐可以分为物理蜜罐和虚拟蜜罐两种。 1 ) 物理蜜罐 物理蜜罐通常是由一台或多台拥有独立i p 和真实操作系统的物理主机组合而成，这种 蜜罐提供提供部分或者完全真实的服务，一般是由高交互蜜罐组合而成。 2 ) 虚拟蜜罐 虚拟蜜罐多是一些中低交互的蜜罐，它可以是虚拟的机器、虚拟的操作系统、虚拟的 服务，与物理蜜罐相比，虚拟蜜罐耗费的资源较少，维护成本低。 2 1 - 4 蜜罐在网络的位置 一个蜜罐并不需要一个特定的支撑环境，因为它是一个没有特殊要求的标准服务器。 蜜罐可以放在网络中的任何位置，根据不同的需求，可放在防火墙之前，d m z 区及防火墙 之后，如图2 - 4 所示。 南京信息工程人学硕一l ：论文 蜜罐蜜罐 图2 4 蜜罐在网络中的部署位置 1 ) 蜜罐部署在防火墙之前，不会增加内部网络的任何安全风险，但同时会吸引和产生 许多不被期望的通信流量，如：端口扫描或攻击模式。将一个蜜罐放置在防火墙外面，防火 墙就不会记录这些事件，内部的i d s 系统也不会产生警报。最大的优点就是防火墙、i d s 或任何其它资源都不需要调整，因为蜜罐是在防火墙的外面，被看成是外部网络上的任何 其它的机器。因此，运行一个蜜罐不会为内部网络增加风险和引入新的风险。在防火墙外 面放置一个蜜罐的缺点是不容易定位或捕获到内部攻击者，特别是如果防火墙限制了外出 流量因而也就限制了到达蜜罐的流量。 2 ) 蜜罐部署在d m z 区，如果可以保证蜜罐对d m z 中的其它提供公共服务的网络设备来 说是安全的，那么在一个d m z 内部放置一个蜜罐应该说是一个好的解决方案。大多数d m z 并不是完全可访问的，只有被需要的服务才允许通过防火墙。如此来看，放置蜜罐在防火 墙前面应该是有利的，因为开放防火墙所有相关端口非常费时并且危险。 3 ) 蜜罐部署在防火墙之后，会给内部网引入新的安全问题，特别是在蜜罐没有同内部 网安全隔离开的情况下，蜜罐的引入就很可能影响到内部其它网络设备的安全。蜜罐中经 常提供一些虚拟的服务以吸引入侵者对其进行攻击，为了使入侵者能够访问到这些服务， 就不可避免的要对防火墙中的相应规则进行调褴。同时，入侵检测系统的特征库也需要进 行调整，否则可能会因为入侵蜜罐的事件太多，而产生大量的报警信号。一旦蜜罐被侵入， 那么随之而来就会产生一个新的问题：入侵者可能会通过把蜜罐作为一个跳板来对其它非 蜜罐主机进行攻击。而在防火墙看来，这些通信都是从内部网中的合法成员蜜罐中发出的， 自然也不会对其进行阻止。因此将蜜罐放置在防火墙之后，则蜜罐自身的安全性问题就是 首要考虑的，在高交互性的蜜罐中更是如此。虽然将蜜罐放置在防火墙之后会带来如此多 1 2 第2 章蜜罐技术研究 的麻烦，但这样的部署也有它特有的优势。在这种部署情况下，可以通过蜜罐来检测到源 于内部的攻击者，同时，还可以通过蜜罐来检测防火墙规则配置的正确性。 2 2 蜜罐的发展 2 2 1 蜜罐的发展历程 蜜罐技术的发展历程可以分为以下三个阶段。 从九十年代初蜜罐概念的提出到1 9 9 8 年左右，“蜜罐”还仅仅限于一种构想，通常由 网络管理人员应用，通过欺骗黑客达到追踪目的，这一阶段的蜜罐实质上是一些真正被黑 客所攻击的主机和系统。 从1 9 9 8 年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出一些专门用 于欺骗黑客的开源工具，如f r d ec o h e n 所开发的d t k ( 欺骗工具包) 、n i e l sp r o v o s 开发的 h o n e y d 等，同时也出现了像k f s e n s o r 、s p e c t e r 等一些商业蜜罐产品。这一阶段的蜜罐可 以称为虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑 客的攻击行为做出回应，从而欺骗黑客。虚拟蜜罐工具的出现和使得部署蜜罐变得比较方 便。 但是由于虚拟蜜罐工具存在交互低，容易被黑客识别等问题。从2 0 0 0 年之后，安全研 究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐，但与之前不同的是，融 入了更强大的数据捕获、数据分析和数据控制的工具，并且将蜜罐纳入到一个完整的蜜网 体系中，使得研究人员能够更方便地追踪入侵到蜜网中的黑客并对他们的攻击行为进行分 析。 2 2 2 国内外研究现状 蜜罐技术作为一种新兴的网络安全技术，已经得到国内外众多安全研究人员的关注和 研究。近年来，国际上对蜜罐的研究十分热门，已经开发出不同用途的蜜罐。 国外研究蜜罐技术的组织机构主要有：蜜网项目组( h o n e y n e tp r o j e c t ) ，该组织是一 个由众多志愿者组成的致力于提高网络安全的非盈利性组织，这个组织成立的目的是：提 高人们的网络安全意识、提供必要的网络安全知识、共享该组织开发的开源工具软件。蜜 网研究联盟( t t o n e y n e tr e s e a r c ha l l l a n c e ) ，该组织是由各个研究蜜罐的组织组成的，它 独立于蜜网项目组，拥有自己的组织结构，它的主要目的是：共享各个成员组织的研究、 1 3 南京信息t 程大学硕士论文 开发、部署蜜罐的相关技术及研究成果，并且免费向外界公布这些成果。分部式蜜罐项目 ( d i s t r i b u t e dh o n e y p o tp r o j e c t ) ，该组织将蜜罐散布在网络的正常系统和资源中，利用 闲置的服务端口进行欺骗，将欺骗分布到更广范围的i p 地址和端口空间中，增大了欺骗在 整个网络中的百分比。s a n s 、s e c u r i t y f o c u s ，这些组织主要利用部署模拟某些w i n d o w s 系 统漏洞的蜜罐，来捕获和深入分析蠕虫病毒。 我国对蜜罐的研究起步比较晚，目前还没有形成自己的理论体系，也没有成熟的产品。 目前主要的研究机构是狩猎女神项目组，这是中国第一支参与蜜网研究联盟的团队，来自 北京大学计算机研究所信息安全工程研究中心，该组织实际部署和维护蜜网，并对蜜网捕 获的黑客攻击及恶意软件进行深入分析，增进对蜜罐与蜜网技术的理解，了解互联网最新 的安全威胁。通过真实蜜罐和恶意代码自动捕获器h o n e y b o w 对互联网上传播的恶意软件进 行捕获，并对其进行深入分析，尤其针对僵尸网络的发现、追踪及反制进行研究。 2 3 蜜罐关键技术 2 3 i 网络欺骗技术 由于蜜罐的价值是在其被探测、攻击或者攻陷的时候才得到体现，没有网络欺骗功能 的蜜罐是没有价值的，网络欺骗技术因此也是蜜罐技术体系中最为关键的核心技术和难题。 为了使蜜罐更具有吸引力，通常会采用各种诱骗手段，在诱骗主机上模拟一些操作系统或 者各种漏洞、在一台计算机上模拟楚个网络、在系统中产生仿真网络流量、装上虚假的文 件路径及看起来像真正有价值的相关信息等等。通过这些办法，使蜜罐主机更像一个真实 的工作环境，诱骗入侵者上当。网络诱骗主要有以下几个作用：影响入侵者让他按照蜜罐 部署者的意愿进行选择；检测到入侵者的进攻并获知其入侵手段和