蜜罐技术详解与案例分析.doc

1.引言

伴随人类社会生活对Internet需求的日益增长，网络安全逐渐成为Internet及各项网络服务和应用深入发展的关键问题，尤其是1993年后来Internet开始商用化，通过Internet进行的多种电子商务业务日益增多，加之Internet/Intranet技术日趋成熟，诸多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为袭击者的目的。据美国商业杂志《信息周刊》公布的一项调查汇报称，黑客袭击和病毒等安全问题在导致了上万亿美元的经济损失，在全球范围内每数秒钟就发生一起网络袭击事件。夏天，对于运行着MicrosoftWindows的成千上万台主机来说简直就是场恶梦！也给广大网民留下了悲伤的回忆，这某些都归结于冲击波蠕虫的全世界范围的传播。

2.蜜罐技术的发展背景

网络与信息安全技术的关键问题是对计算机系统和网络进行有效的防护。网络安全防护波及面很广，从技术层面上讲重要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。在这些安全技术中，大多数技术都是在袭击者对网络进行袭击时对系统进行被动的防护。而蜜罐技术可以采用积极的方式。顾名思义，就是用特有的特性吸引袭击者，同步对袭击者的多种袭击行为进行分析并找到有效的对付措施。（在这里，也许要申明一下，刚刚也说了，“用特有的特性去吸引袭击者”，也许有人会认为你去吸引袭击者，这是不是一种自找麻烦呢，不过，我想，假如袭击者不对你进行袭击的话，你又怎么能吸引他呢？换一种说话，也许就叫诱敌深入了）。

3.蜜罐的概念

在这里，我们首先就提出蜜罐的概念。美国L．Spizner是一种著名的蜜罐技术专家。他曾对蜜罐做了这样的一种定义：蜜罐是一种资源，它的价值是被袭击或攻陷。这就意味着蜜罐是用来被探测、被袭击甚至最终被攻陷的，蜜罐不会修补任何东西，这样就为使用者提供了额外的、有价值的信息。蜜罐不会直接提高计算机网络安全，不过它却是其他安全方略所不可替代的一种积极防御技术。

详细的来讲，蜜罐系统最为重要的功能是对系统中所有操作和行为进行监视和记录，可以网络安全专家通过精心的伪装，使得袭击者在进入到目的系统后仍不懂得自己所有的行为已经处在系统的监视下。为了吸引袭击者，一般在蜜罐系统上留下某些安全后门以吸引袭击者上钩，或者放置某些网络袭击者但愿得到的敏感信息，当然这些信息都是虚假的信息。此外某些蜜罐系统对袭击者的聊天内容进行记录，管理员通过研究和分析这些记录，可以得到袭击者采用的袭击工具、袭击手段、袭击目的和袭击水平等信息，还能对袭击者的活动范围以及下一种袭击目的进行理解。同步在某种程度上，这些信息将会成为对袭击者进行起诉的证据。不过，它仅仅是一种对其他系统和应用的仿真，可以创立一种监禁环境将袭击者困在其中，还可以是一种原则的产品系统。无论使用者怎样建立和使用蜜罐，只有它受到袭击,它的作用才能发挥出来。

4.蜜罐的详细分类和体现的安全价值

自从计算机初次互连以来，研究人员和安全专家就一直使用着多种各样的蜜罐工具，根据不一样的原则可以对蜜罐技术进行不一样的分类，前面已经提到，使用蜜罐技术是基于安全价值上的考虑。不过，可以肯定的就是，蜜罐技术并不会替代其他安全工具，例如防火墙、系统侦听等。这里我也就安全面的价值来对蜜罐技术进行探讨。

★根据设计的最终目的不一样我们可以将蜜罐分为产品型蜜罐和研究型蜜罐两类。

①产品型蜜罐一般运用于商业组织的网络中。它的目的是减轻组织将受到的袭击的威胁，蜜罐加强了受保护组织的安全措施。他们所做的工作就是检测并且对付恶意的袭击者。

⑴此类蜜罐在防护中所做的奉献很少，蜜罐不会将那些试图袭击的入侵者拒之门外，由于蜜罐设计的初衷就是妥协，因此它不会将入侵者拒绝在系统之外，实际上，蜜罐是但愿有人闯入系统，从而进行各项记录和分析工作。

⑵虽然蜜罐的防护功能很弱，不过它却具有很强的检测功能，对于许多组织而言，想要从大量的系统日志中检测出可疑的行为是非常困难的。虽然，有入侵检测系统（IDS）的存在，不过，IDS发生的误报和漏报，让系统管理员疲于处理多种警告和误报。而蜜罐的作用体目前误报率远远低于大部分IDS工具，也务须当心特性数据库的更新和检测引擎的修改。由于蜜罐没有任何有效行为，从原理上来讲，任何连接到蜜罐的连接都应当是侦听、扫描或者袭击的一种，这样就可以极大的减低误报率和漏报率，从而简化检测的过程。从某种意义上来讲，蜜罐已经成为一种越来越复杂的安全检测工具了。

⑶假如组织内的系统已经被入侵的话，那些发生事故的系统不能进行脱机工作，这