一种主动网络安全防御策略――蜜罐及其技术.docVIP

一种主动的网络安全防御策略――蜜罐及其技术 　　摘要：随着信息技术的不断发展,网络安全日益受到人们的重视。蜜罐作为一种主动的安全防御技术被引入到网络安全领域，它的价值在于希望被攻击和侵入，以便获得黑客更多的信息和攻击技术。本文研究了蜜罐实现的主要技术，分析了蜜罐系统的安全价值和存在风险，提出了蜜罐技术在部队信息系统安全防护中的应用前景。 　　关键词：蜜罐；蜜网；主动防御；攻击；网络安全 　　中图分类号：TP393文献标识码：A 文章编号：1009-3044(2007)06-11547-01 　　 　　1 引言 　　随着网络技术的广泛应用，网络攻击事件层出不穷，网络安全成为当今研究热点和社会关注的焦点。传统的网络安全技术如防火墙、入侵检测、漏洞扫描、病毒防护、数据加密和认证技术等，大多都是在攻击者对网络进行攻击时对系统进行被动的防护，蜜罐技术作为一种新的网络安全技术，逐渐受到人们的关注。它采取主动的方式，用其特有的特征吸引攻击者，同时对攻击者的各种攻击行为进行分析并找到有效的对付方法。在网络防火墙、入侵检测系统等安全措施的配合下，能弥补原有被动安全防御的不足，同时抵御外部和内部的攻击，大大地提升网络安全性能。 　　 　　2 蜜罐的定义及分类 　　2.1 蜜罐的定义 　　蜜罐（HoneyPot），指受到严密监控的网络诱骗系统，它通过真实或模拟的网络和服务来吸引攻击，从而在黑客攻击蜜罐期间对其攻击行为及过程进行记录分析，以搜集信息，同时对新攻击发出预警。蜜罐本身并不直接增强网络的安全性，但可以延缓攻击和转移攻击目标，是一种独特的安全资源。简单地说：蜜罐就是诱捕攻击者的一个陷阱。 　　蜜网(Honeynet) 是蜜罐技术的延伸和发展, 是一种高交互性的蜜罐，在一台或多台蜜罐主机基础上，结合防火墙、路由器、入侵检测系统组成的网络系统。蜜网可以合理记录下攻击者的行动，同时尽量减小或排除对因特网上其它系统造成的风险。 　　2.2 蜜罐的分类 　　从应用上可以分为产品型和研究型两类：产品型的蜜罐主要是指由网络安全厂商开发的商用蜜罐，以此诱骗黑客攻击从而增强原有系统的安全性；研究型的蜜罐主要是一些研究组织用来收集攻击者的相关信息来加以研究的。 　　从技术上根据交互程度（指攻击者与蜜罐相互作用的程度）可分三种： 　　低交互蜜罐：主要针对一些特定类型的攻击，提供模拟操作系统或某些伪造的服务，攻击者只能在仿真服务预设的范围内动作。结构简单，风险很低，所能收集的信息有限。 　　中交互蜜罐：也不提供真实的操作系统，而是应用脚本或小程序来模拟服务行为，使攻击者误认为是一个真正的操作系统，能够收集更多数据。但要确保在模拟服务和漏洞时不产生新的真实漏洞，而给黑客渗透和攻击真实系统的机会。 　　高交互蜜罐：提供真实的操作系统和服务，可以了解黑客运行的全部动作，获得更多有用信息，但遭受攻击的可能性大，引入了更高风险，结构较复杂。 　　此外，从具体实现的角度，蜜罐还可以分为物理蜜罐和虚拟蜜罐。 　　 　　3 蜜罐的主要实现技术 　　蜜罐中的主要实现技术有网络欺骗、端口重定向、报警、数据控制和数据捕获等。 　　3.1 网络欺骗技术：蜜罐是一个专门为了被攻击或入侵而设置的欺骗系统。它表面上被做成一个真实存在的对攻击者很有吸引力的主机, 在欺骗主机上模拟一些操作系统或各种漏洞、在系统中产生仿真网络流量等，以引诱入侵者进行攻击。 　　3.2 端口重定向技术：利用端口重定向技术，在工作系统中模拟一个非工作服务。例如，工作系统运行Web服务（端口80），可以将 telnet（端口23）和FTP（端口21）重定向到一个蜜罐，由于这两个服务在工作系统中并没有开启，所有对这两个端口的访问（可认为是入侵行为）实际上都在蜜罐系统中，对服务器不会产生任何危害性。 　　3.3 报警技术：蜜罐必须具备报警功能，当系统被攻击时能够通知管理员，以便进行实时监视和跟踪。 　　3.4 数据控制技术：对从蜜罐外出的所有网络活动进行控制，防止入侵者将诱骗系统作为跳板去攻击其他系统，要控制系统的数据流量而不被入侵者怀疑。入侵者攻占一个系统后，可能会进行网络连接，下载工具包和向Internet发包等活动，因此必须给入侵者以“合法”的权利。 　　3.5 数据捕获技术：在攻击者入侵的同时，要在不被发现的情况下，对出入蜜罐的所有活动进行监视和记录，尽可能捕获多的信息，以便从中分析攻击者的策略和动机。捕获的数据不能放在蜜罐的主机上，否则容易被入侵者发现。 　　 　　4 蜜罐的安全价值及风险 　　蜜罐的出现，使得我们在网络安全领域之中不再只限于被动的防守，它是一种供攻击者攻击从而产生价值的安全设施。 　　4.1 防护：蜜罐用定制好的特征吸引和诱骗攻击者，诱骗