蜜罐技术及其应用研究.docVIP

蜜罐技术及其应用研究 　　摘 要：文章首先介绍了蜜罐技术的定义、发展及分类，分析了蜜罐系统的关键技术，阐述了蜜罐技术的具体应用。最后总结了蜜罐技术的优缺点和发展。 　　关键词：蜜罐；Honeyd；蜜网 　　1 蜜罐技术概述 　　1.1 蜜罐技术的定义 　　The Honeynet Project（蜜网项目组）创始人Lance Spitzner给蜜罐的定义是：蜜罐是一种安全资源，它的价值就在于被探测、被攻击或被攻陷。其主要功能：一是通过构建蜜罐环境诱骗攻击者入侵，从而保护业务系统安全；二是诱骗成功之后捕获攻击数据进行分析，了解并掌握入侵者使用的技术手段和工具，调整安全策略以增强业务系统的安全防护。 　　1.2 蜜罐技术发展历程 　　蜜罐技术的发展经历了三个阶段： 　　1.2.1 蜜罐（Honeypot）。从1990年蜜罐概念提出到1999年，研究人员相继开发了欺骗工具包DTK、虚拟蜜罐Honeyd等工具，广泛应用于商业领域。 　　1.2.2 蜜网（Honeynet）。1999年蜜网项目组提出并实现，目前已发展到第三代蜜网技术，已有项目应用。 　　1.2.3 蜜场（Honeyfarm）。2003年由Lance Spitzner首次提出蜜场思想，处于研究阶段。 　　1.3 蜜罐技术分类 　　蜜罐技术可以从不同的角度进行分类： 　　根据系统应用目标不同，将蜜罐分为产品型和研究型蜜罐。产品型蜜罐可以为系统及网络安全提供保障，主要包括攻击检测、防范攻击造成破坏等功能，且较容易部署，不需要管理人员投入太多精力。研究型蜜罐主要用于研究活动，如吸引攻击、搜集信息、探测新型攻击及黑客工具等功能。 　　根据系统交互级别不同，将蜜罐分为低交互和高交互蜜罐。低交互蜜罐通过模拟操作系统和服务来实现，攻击者只被允许少量的交互行为。高交互蜜罐通常由真实的操作系统构建，提供给攻击者真实的系统和服务，可以获得大量有用信息。 　　另外，蜜罐还可以根据具体实现角度或实现方式的不同可以分为物理蜜罐和虚拟蜜罐，根据系统配置规模大小又可分为单机蜜罐、蜜罐网络和蜜场。 　　2 蜜罐关键技术 　　2.1 网络欺骗技术 　　由于蜜罐的价值是在其被探测、攻击或者攻陷的时候才能得到体现，因此没有欺骗功能的蜜罐是没有价值的，欺骗技术也成为蜜罐技术体系中最为关键的技术和难题。欺骗信息设计技术是网络欺骗技术的关键，且种类繁多，主要有模拟服务端口、模拟系统漏洞和应用服务、网络流量仿真、网络动态配置、组织信息欺骗、IP地址空间欺骗等技术手段。 　　2.2 数据捕获技术 　　数据捕获是为了捕获攻击者的行为，其使用的技术和工具按照获取数据信息位置的不同可以分为基于主机和基于网络的数据获取两类。 　　2.2.1 基于主机的数据获取 　　蜜罐所在的主机上几乎可以捕获攻击者所有攻击数据信息，如连接情况、远程命令、系统日志和系统调用序列等信息，但存在风险大、容易被攻击者发现等诸多缺点。典型应用工具如Sebek3.0。 　　2.2.2 基于网络的数据获取 　　网络上捕获蜜罐的数据信息，风险小且难以被发现。目前基于网络的数据获取主要包括三个方面：防火墙记录所有出入蜜罐主机的连接；入侵检测系统对蜜罐中的网络流量进行监控、分析和抓取；蜜罐主机除了使用操作系统自身提供的日志功能以外，还可以采用内核级捕获工具，隐蔽地将收集到的数据信息传输到指定的主机进行处理。 　　2.3 数据控制技术 　　蜜罐系统作为网络攻击者的目标系统，其自身的安全尤为重要。如果蜜罐系统被攻破，不仅得不到任何有价值的信息，同时还有可能被入侵者作为跳板攻击其他目标系统。数据控制技术就是用于控制攻击者进入蜜罐系统后的攻击行为，保障蜜罐系统自身的安全性。蜜罐通常有两层数据控制，分别是连接控制和路由控制。连接控制由防火墙系统来完成，限制蜜罐系统发出的外出连接请求，以防止蜜罐系统被攻击者作为攻击源向其他友邻系统发起攻击。路由控制由路由器来完成，利用其访问控制功能对从蜜罐系统发送的外出数据包进行控制，以防止蜜罐系统被攻击者作为攻击源向其他系统发起攻击。 　　2.4 数据分析技术 　　蜜罐的价值只有在充分分析捕获的数据信息之后才能得到充分体现，数据分析技术就是将蜜罐捕获的各种数据信息分析处理后，转换成有意义的、易于理解的数据信息。蜜罐作为一种主动安全防御技术，其最主要的特征就是能够通过分析捕获到的数据信息来了解和学习攻击者所使用的新的攻击手段和攻击工具。 　　目前出现了一些数据分析工具，典型的如Swatch工具，它提供了自动报警功能，能够监视IPTables模块及Snort系统日志，在攻击者入侵主机并向外发起连接请求时，匹配到配置文件中指定的相关特征之后会自动向安全管理人员发出报警信息。此外，