2026《国内外蜜罐技术研究现状文献综述》2100字.docVIP

PAGE

PAGEXXXV

国内外蜜罐技术研究现状文献综述

1.1?国外蜜罐技术研究现状

“蜜罐”这一概念首次出现在来自美国的天文学家CliffordStoll所发表的名为《TheCuckoosEgg》的小说中，但是在当时没有受到安全人员的关注。直到20世纪90年代，安全人员才将这一理念应用到安全防护中去。自蜜罐技术诞生以来，这一技术便获得了研究人员的持续关注，

蜜罐技术的发展主要可划分为以下三个阶段：

蜜罐技术形成阶段（1986～1998）：

在这一时期，蜜罐技术仅仅只是被当成一种主动防御思想被提出，并没用引起研究人员太多的关注。首先，Stoll在整理查询日志文件和网络活动记录时，发现一份可疑的计算时间记录单，由此确定有黑客正在访问计算机系统并收集敏感信息。之后为了吸引黑客的注意力，争取时间访问他的行为，Stoll制作了一份看起来像是真实的军事文件。经过几个月的调查，Stoll配合联邦调查局确定了这名黑客是一个贩卖敏感军事材料的德国公民[8]。在几年之后，BillCheswick在论文中整理出他追踪黑客的经验。在他的经验中，除了被动的记录攻击者的信息，他还会主动吸引攻击者，模拟出操作系统和多种服务，这也成为了第一个使用蜜罐技术的案例[9]。

虚拟蜜罐技术阶段（1998年～2000年）：

自1998年开始，众多安全行业工作人员开始对于蜜罐技术进行研究，之后出现了许多用于诱骗攻击者的开源蜜罐工具，例如Nepenthes、LaBrea和CowrieSensor等开源的蜜罐工具等。在1999年，出现了名为HoneynetProject的组织，这使得蜜罐技术受到安全社区的持续关注，并逐渐成为一种网络安全防御的新型手段。HoneynetProject组织希望通过增加使用者对网络威胁和漏洞的防范意识、为公众提供安全和防御的知识和提供可以深入研究安全的工具和技术这三种方法来改善网络安全[10]。自此，来自全世界的HoneyProject组织成员开始共同开发和部署蜜罐，并通过将用蜜罐捕获的数据共享的方式，近一步研究多样化的网络威胁。

蜜罐技术的发展阶段（2000年以后）：

随着安全人员对蜜罐技术的深入研究，发现其有数据捕获能力较低、交互程度不高等缺点。并逐步开始使用以传统安全手段结合真实主机与虚拟蜜罐共同构成一个完整的网络体系，以便更好的欺骗入侵者、分析攻击信息。在同一时期也出现了结合大数据、云计算等新技术来适应更大范围的安全威胁的蜜场和蜜云。

同时在这一阶段，蜜罐技术开始应用于工业控制领域，Cisco公司和DigitalBond公司制作的PLCHoneynetProject和SCADAHoneynetProject将蜜罐技术应用于系统的安全防护。自此，真正意义上把工业控制系统和蜜罐技术相结合。

第一个PLC蜜罐由来自Cisco公司的MatthewFranz和VenkatPothamsetty共同开发，并在2004年部署实验环境[11]。该蜜罐使用Honeyd来模拟PLC中的TCP/IP协议栈、Modbus/TCP服务器实现、FTP服务器实现、远程登录服务、HTTP服务。PLC蜜罐可以用于收集源自一般的攻击模式和可以改写入侵防护检测系统签名的特定漏洞信息，但由于其缺少SCADA漏洞和攻击的可用信息，导致未能开发出可供厂商咨询的工业漏洞的公开平台。

在2006年，DigitalBond公司研发出SCADA蜜罐，其中包含两个虚拟机器，第一个虚拟机器通过第三代的蜜墙来收集网络活动和数据；第二个虚拟机器通过模拟PLC中暴露的服务[12]，来吸引攻击。此外，在蜜墙虚拟机中包含该公司的QuickdrawIDS签名，可以用于探测对于第二个虚拟机的攻击。在DigitalBond公司的测试中，涵盖了可以会被攻击者攻击的服务，如Telnet、ModbusTCP、FTP、SNMP和HTTP服务。同时通过将设计的SCADA蜜罐放置在真实PLC以及其他控制设备通信的出口前方，蜜墙技术可以提前对遭受攻击的系统发出预警，并把攻击所产生的数据储存到数据库之中。

1.2?国内蜜罐技术研究现状

从公开的资料与科研文章来看，国内在蜜罐技术的研究上起步较晚，仍处于相对初级的阶段。在2002年到2004年间，来自安全焦点团队、电子科技大学和中科院高能物理研究所的网络安全实验室便开始了对蜜罐技术的研究与实践。在2004年，来自北京大学的诸葛建伟研究团队便成立了关于蜜罐网络项目的专项研究组，他们通过部署第二代的蜜网，在蠕虫病毒的传播、僵尸网络的追踪和针对恶意代码的样本捕获上取得了理想的研究成果，并接连承担了多个国家级的科研项目[13]。国内的科研学者和科研院所，虽然对蜜