蜜罐技术研究与分析.docVIP

蜜罐技术的研究与分析 　　摘 要： 蜜罐是基于主动防御理论提出来的，在监测入侵、保护客体、信息反馈、提高反击入侵能力的网络安全系统中，日益受到重视。本文展示了虚拟蜜罐的一些基本概念、主要的关键技术，以及蜜罐技术的优缺点。 　　关键词： 蜜罐技术 虚拟蜜罐 定义和分类 关键技术 优缺点 　　 　　1.引言 　　伴随着网络普及与发展，网络安全问题日益严峻。面对不断出现的新的攻击方法和攻击工具，传统的、被动防御的网络防护技术越来越无法适应网络安全的需要，网络安全防护体系由被动防御转向主动防御是大势所趋。作为一种新兴的主动防御技术，蜜罐日益受到网络安全工作者的重视。研究蜜罐及其关键技术对未来的网络安全防护具有深远的意义。 　　2.蜜罐的定义和分类 　　2.1蜜罐的定义 　　蜜罐（又称为黑客诱骗技术）是一种受到严密监控的网络诱骗系统，通过真实或模拟的网络和服务，来吸引攻击，从而在黑客攻击蜜罐期间，对其行为和过程记录分析，以搜集信息，对新攻击发出预警，同时蜜罐可以延缓攻击时间和转移攻击目标。蜜罐本身并不直接增强网络的安全性，相反，它通过吸引入侵，来搜集信息。将蜜罐和现有的安全防卫手段，如入侵检测系统（IDS）、防火墙（Firewall）、杀毒软件等结合使用，可以有效提高系统安全性。 　　2.2蜜罐的分类 　　蜜罐有三种分类方法。 　　2.2.1从应用层面，可分为产品型和研究型。 　　产品型蜜罐。指由网络安全厂商开发的商用蜜罐，一般用来作为诱饵，把黑客的攻击尽可能长时间地捆绑在蜜罐上，赢得时间，保护实际网络环境，也用来搜集证据作为起诉黑客的依据，但这种应用在法律方面仍然具有争议。 　　研究型的蜜罐。主要应用于研究，吸引攻击，搜集信息，探测新型攻击和新型黑客工具，了解黑客和黑客团体的背景、目的、活动规律，等等。在编写新的IDS特征库，发现系统漏洞，分析分布式拒绝服务攻击等方面是很有价值的［１］。 　　2.2.2从技术层面，根据交互程度，可分为以下三种。 　　低交互蜜罐。只是运行于现有系统上的一个仿真服务，在特定的端口监听记录所有进???的数据包，提供少量的交互功能，黑客只能在仿真服务预设的范围内动作。低交互蜜罐上没有真正的操作系统和服务，结构简单，部署容易，风险很低，所能收集的信息也是有限的。 　　中交互蜜罐：不提供真实的操作系统，而是应用脚本或小程序来模拟服务行为，提供的功能主要取决于脚本。在不同的端口进行监听，通过更多和更复杂的互动，让攻击者产生是一个真正操作系统的错觉，能够收集更多数据。 　　高交互蜜罐。由真实的操作系统来构建，提供给黑客的是真实的系统和服务，可以学习黑客运行的全部动作，获得大量的有用信息，包括完全不了解的新的网络攻击方式。正因为高交互蜜罐提供了完全开放的系统给黑客，带来了更高的风险，即黑客可能通过这个开放的系统去攻击其他系统。 　　2.2.3从具体实现的角度，分为物理蜜罐和虚拟蜜罐。 　　物理蜜罐：通常是一台或多台真实的在网络上存在的主机操作，主机上运行着真实的操作系统，拥有自己的IP地址，提供真实的网络服务来吸引攻击。 　　虚拟蜜罐：通常用的是虚拟的机器、虚拟的操作系统，它会响应发送到虚拟蜜罐的网络数据流，提供模拟的网络服务等。 　　3.蜜罐的关键技术 　　蜜罐的关键技术主要包括欺骗技术、数据捕获技术、数据控制技术、数据分析技术，等等。其中，数据捕获技术与数据控制技术是蜜罐技术的核心。 　　3.1欺骗技术 　　蜜罐的价值是在其被探测、攻击或者攻陷的时候才得到体现的。将攻击者的注意力吸引到蜜罐上，是蜜罐进行工作的前提。欺骗的成功与否取决于欺骗质量的高低。常用的欺骗技术有以下五种。 　　3.1.1IP空间欺骗。 　　IP空间欺骗利用计算机的多宿主能力，在一块网卡上分配多个IP地址，来增加入侵者的搜索空间，从而显著增加他们的工作量，间接实现了安全防护的目的。这项技术和虚拟机技术结合可建立一个大的虚拟网段，且花费极低。 　　3.1.2 漏洞模拟。 　　即通过模拟操作系统和各种应用软件存在的漏洞，吸引入侵者进入设置好的蜜罐。入侵者在发起攻击前，一般要对系统进行扫描，而具有漏洞的系统，最容易引起攻击者攻击的欲望。漏洞模拟的关键是要恰到好处，没有漏洞会使入侵者望而生畏，漏洞百出又会使入侵者心生疑虑。 　　3.1.3 流量仿真。 　　蜜罐只有以真实网络流量为背景，才能真正吸引入侵者长期停驻。流量仿真技术是利用各种技术使蜜罐产生欺骗的网络流量，这样即使使用流量分析技术，也无法检测到蜜罐的存在。目前的方法:一是采用重现方式复制真正的网络流量到诱骗环境;二是从远程产生伪造流量，使入侵者可以发现和利用［２］。 　　3.1.4 服务伪装。 　　进入蜜罐的攻击者如发现该蜜罐不提供