蜜罐技术在网络安全领域中的应用.docVIP

蜜罐技术在网络安全领域中的应用 　　摘要：蜜罐是一种新型的主动防御的网络安全技术，该技术目前已经成为诱骗攻击者非常有效实用的方法。文章阐述了蜜罐技术的定义、分类、发展情况以及主要技术，介绍了蜜罐技术在网络信息安全领域的应用。 　　关键词：蜜罐技术；主动防御；网络安全技术；信息安全；互联网技术 文献标识码：A 　　中图分类号：TP309 文章编号：1009-2374（2016）30-0060-03 DOI：10.13535/j.cnki.11-4406/n.2016.30.029 　　社会经济的快速发展下，使得互联网技术得到较大的进步，而网络信息的安全问题也逐渐成为了人们共同关注的内容。人们多通过防御网络，对以往的传统技术实行攻击，具体包括防火墙和入侵检测技术、加密及数据恢复技术等。上述的技术均为被动式的防护模式，而蜜罐（Honeypot）技术属于新型主动网络信息中的安全防御技术，这项技术可有效地改善以往防护技术的纰漏。实际运行蜜罐时，通常使其伪装成一个看似有利用价值的网络、数据、电脑系统等，并且故意设置了可被利用的Bug或者系统漏洞，来吸引目标的攻击。因为我们的蜜罐实质并没有提供有价值的服务，所以任何对蜜罐的访问尝试操作都是可疑的，通过蜜罐中的监控软件，我们可以监控到入侵者的行为，收集其入侵信息，并快速做出反制操作。蜜罐还可以拖延入侵者攻击行为，让他在蜜罐上消耗大量的时间等，所以蜜罐作为主动防御技术，对于日后网络信息安全，可发挥不可或缺的作用。 　　1 蜜罐技术的基本含义 　　1.1 蜜罐技术概述 　　蜜罐即为情报收集的系统，属于诱骗系统的范围，同时亦为安全资源类的系统。蜜罐的监控较为严格，它可以引诱入侵者前来攻击，当蜜罐被入侵者攻击后，通过监控我们就能知道他是如何发起攻击的，我们就可以掌握其攻击手法，掌握入侵者所使用的攻击手段，分析其攻击手段后对其他重要设备进行布防，以达到安全防护的目的。我们还可以窃听入侵者之间的联系，收集入侵者所使用的工具，逐渐掌握他们的沟通流程等。 　　1.2 蜜罐分类的统计 　　1.2.1 实系统蜜罐类型。实系统蜜罐，主要使用的真实存在的设备，其所利用的系统均为真实的，通常该系统具有真实的高危可以利用的漏洞，系统完成基本的安装后，不需实行其他SP补丁的安装，仅将值得研究的漏洞保留即可。然后把该蜜罐接入到互联网上，根据当前的互联网形势实行分析，蜜罐能够在较短的时间将目标吸引并攻击。经实系统蜜罐上的运行监控程序，我们可以记录下最真实的入侵信息，入侵者的一举一动都可以被记录在案。但同时它也是最危险的，因为入侵者的所有入侵操作都是真实的，蜜罐设备都会做出相应的响应，如被溢出攻击、渗透提权等。 　　1.2.2 伪系统蜜罐。伪系统蜜罐即在一个真实的系统环境下，所运行的搭建模拟漏洞环境，从而能构建出不属于自身系统平台的漏洞。但是若入侵人员入侵上述的漏洞，需在相同的程序下加以合理的操作，并不会对真实的系统产生影响，即使是入侵成功了，也没有可以让漏洞成立的条件。 　　如何搭建一个伪系统蜜罐呢，在Windows系统下，我们可以通过虚拟机软件轻松搭建一套伪蜜罐系统。这个蜜罐的优势：能够最大限度地避免被入侵、被破坏，也可以模拟不存在的漏洞。当然也有坏处，因为一个聪明的入侵者只需要简单的判断就可以识破伪装。 　　1.3 蜜罐的优势、劣势 　　1.3.1 蜜罐系统优势。蜜罐系统最主要的优势为，能够有效地减少分析数据的总量，通常对于网站服务器或者是邮件服务器，攻击流量占总流量的比例非常小，在分析数据的时候往往需要在巨量的数据里面分析出异常流量，这必然就增加了数据分析的难度。而蜜罐进出的流量大部分是攻击流量，目的性强，中间截获的数据价值高，这样浏览数据，查明攻击者的实际行动也就容易多了。通过分析总结，可以得到入侵者的行为特征，建立安全行为特征库。 　　1.3.2 蜜罐系统的缺点。蜜罐技术也有自己的局限性，蜜罐只能监视入侵者对蜜罐本身的行为。不能监控到其所在网络入侵行为，蜜罐不会像防火墙直接对漏洞实行防护。部署蜜罐也有安全风险，如果入侵者掌控了蜜罐服务器，那么下一步动作就可能是以蜜罐作为跳板对其他系统进行入侵。 　　1.4 蜜罐技术的发展现状分析 　　20世纪90年代初，蜜罐技术就经历了欺骗系统、蜜罐和密网、虚拟蜜网等，不同阶段的发展。其中欺骗系统，即为经欺骗目标入侵的动作，实现追踪入侵人员行为的目的，并可对系统实行全面的保护。蜜罐阶段，即为从DTK欺骗工具包――Honeypot起步，并发展起来的，其中不乏有一些商业的蜜罐产品。蜜网阶段是在蜜罐技术之上逐渐发展起来的，它本身就是一个网络体系架构，在网络体系内运用多种工具收集入侵者信息，同时也提高了网络的可控性。虚拟蜜网是利用虚拟计算机技术组建而成