（计算机应用技术专业论文）网络安全——“蜜罐”技术研究与实现.pdf

网络安全“蜜罐”技术研究与实现 撼要 信息时代的到来需要计辫机网络安全辨护由被动防御转为主动防御，从而使蜜罐技术 程斓辏霹蕊孛鞲蔻受到重援。蜜罐霆深天了辫蘸客魏一静蠢鼓手段，辨显可汉鬟囊铡络安 全防护求平。 本文论述丁蜜罐技术及糍罐的商级形战蜜网的工作麟理和具体燕骥方法。首先介绍了 网络安全的现状、存在的网络嶷全问题和玻街种类、方法，提出了种新的基于蜜罐救术 麓网络安全解决方素。其次，详缀论述了蜜罐技零，毽接蜜灌豹疆究现状、现有鬻罐系统 翡魄鞍霸蜜疆靛分类；麓述了辩题戆工露方蕊，鼗摇擒获帮数据整裁。最嚣，在嫠一钱蜜 涮和第二代蜜阏模型的基础上提出了基予趱拟杌技术的产品型蜜网禚测，详细分析了其工 你原理。 在系统豹蜜瑰部分详缨论述了一耪簿雄的低交互蜜蠛蓉统豹设计与实现，却在l i n u x 系绫下搂蓑褥终鼹务。在楚努了薅瓣终癸谈耧l i n u x 揉箨系统蘸墓璐上，将系统势荛三太 横块，网络通储、命令处理瑚| 三f 志记录模块。在保证主砜安全的前摄下，实现了蜜罐的羧 獭控制和数据捕获功能。蜜嗍悬一个复杂的网络框架，结合实际的需求和现有设备+ 依据 攀予虚拟规技术的产品型蜜阚横型，搭建7 个局域网环境下豹蜜网，菇详细论述了缀捌 的安装与嚣羹。铡试表臻蜜两系藐达餮颈期露藤，其香缀嵩籍实舞徐德。 最后，讨谂了蜜罐系统爨舅静不是秘寒寒豹发震趋势。 必键词：网络安全；蜜罐；蜜湖；入侵检测 n e t w o r ks e c u r i t y - - - - - - - - - - r e s e a r c ha n di m p l e m e n t a t i o no f h o n e y p o tt e c h n o l o g y a b s t r a c t w i t ht l l ec o m i n g & t h ei n f o r m a t i o nt i m e s ，c o m p u t e rn e t w o r ks e c u r i t yd e l e n s em e c h a n i s m 。 i s b e i n gc h a n g e df r o mp a s s i v i t yt oi n i t i a t i v e ，s oh o n e y p o tt e c h n o l o g yi s m o r ea n dm o r e r e g a r d e da sa ne r i e c t i v ew a y t oa n t i a t t a c k h o n e y p o tp r o v i d e sa i le f f e c t i v ew a yt od e e p l yk n o w t h eh a c k e r s w h i c hc a ni m p r o v ea no r g a n i z a t i o n sn e t w o r ks e c u r i t y t h i sp a p e rd i s c u s s e st h et e c h n o l o g yo fh o n e y p o ta n dw o r km e c h a n i s ma n dr e a l i z a t i o n m e t h o d so ft h eh i g h e rf o r l r lo fh o n e y n e t a tf i r s t ，t h i sp a p e ri n t r o d u c e st h ep r e s e n ts i t u a t i o n ， p r o b l e m sa n da t t a c kc a t e g o r ya n dm e t h o do fn e t w o r ks e c u r i t y , t h e np r o v i d e so n ek i n do fn e w n e t w o r ks e c u r i t ys o l u t i o nb a s e do l lb o t hh o n e y p o tt e c h n o l o g y s e c o n d ，t h i sp a p e rd i s c u s s e s h o n e y p o tt e c h n o l o g y , i n c l u d i n gp r e s e n tr e s e a r c hw o r ko fh o n e y p o t ，e x i s t i n gh o n e y p o ts y s t e m a n dc a t e g o r yo fh o n e y p o ti nd e t a i l ，a n de x p l a i n sw o r kp r i n c i p l eo fh o n e y n e t ，d a t ac a p t u r ea n d d a t aa n a l y s i s f i n a l l y , w eg i v et h em o d e lo fp r o d u c t i o nh o n e y n e tb a s e do nv i r t u a lm a c h i n e t e c h n o l o g y , w h i c hi sb a s e do nm o d e lo fg e nia n dg e ni ih o n e y n e ta n de x p l a i nt h ew o r k m e c h a n i s m 殛绞es y s t e mi m p l e m e n t a t i o ns e c t i o n , 糟e x p a t i a t e sd e s i g na n d i m p l e m e n t a t i o no fak i n d o fl o wi n t e r a c t i v eh o n e y p o tt h a to n l ys i m u l a t e sn e t w o r ks e r v i c e su n d e rt h el i n u xs y s t e m t h i s s y s t e mi sc l a s s i f i e dt h r e ef u n c t i o nm o d e l s ，w h i c ha r ec o m m u n i c a t i o no fn e t w o r k ，m a n a g e m e n t o fo r d e r sa n dr e c o r d so fl o g s ，h a v ea c h i e v e dd a t ac o n t r o la n dd a t ac a p t u r eo f h o n e y p o to nt h e c o n d i t i o nt h a th o s ti ss a f e h o n e y n e ti sac o m p l e xn e tf r a m e w o r k ，c o m b i n e dt h ea c t u a l r e q u i r e m e n ta n de q u i p m e n t st h o s ew eh a v e w eh a v ea c h i e y e dt h ep r o d u c th o n e y n e tb a s e do n t h et e c h n o l o g yo fv i n u a lm a e h i n e ，w h i c hc a nw o r ki nt h el o c a ln e t w o r k ，a n dt h e nd i s c u s s e d h o wt oi n s t a l la n dc o n f i g u r eh o n e y n e ts y s t e mi nd e t a i l t h er e s u l t ss h o wt h 贰h o n e y p o ts y s t e m c a na c h i e v et h ee x p e c t a t i o na n dh a v eh i g hp r a c t i c a lv a l u e f i n a l l y , w ed i s c u s s d e f e c t sa n dt h ef u t u r ed e v e l o p m e n tt e n d e n c yo f t h eh o n e y p o ts y s t e m 。 k e yw o r d ：n e t w o r ks e c u r i t y ：h o n e y p o t ；h o n e y n e t ；i n t r u s i o nd e t e c t i o n 前言 随着计算枫网络技术的溉猛发展，i n t e m e t 所具有的开放性、国断性和自由性张增加 应用自由度的同时，开放式的阚络体系的安全隐患日益明显地暴露出来，从上世纪八十年 代援今各种计舞机安全事彳串不断发生。 传统意义上戆霹缪安全，一般零是援凌耱穆魏，它钠都莛羯寒缳护痿息资源，捌鲣茨 火墙、入侵检测累统、加密等等。它们翁策略是，先考虑系统可能出蠛哪些问题，然后对 问题一一进行分析解决，而蜜罐技术提出了种新的网络安全防御策略，变被动防御为主 动进攻，使其典肖主动交互憔。 蜜罐系统豹主要功裁是煺寒学习了殡入侵者豹愚照、工具、嚣豹，遴过获彀这糖技能， 曩联网上的组织将会更好氇瑗解往们所遒剩静威胁，并羹锌对这些威胁教对我凄褶痰静茨 御策略来提高系统的安全。蜜罐技术由网络诱骗发展而米，但是这种演变不是对原商技术 的简单完善和提高，而是对现有网络安全技术的一种融禽，使防火墙茅口入侵检测系统发挥 联动馋用，最大限度豹提秘它们豹狯值，它提供了一种灏型的网络安念殡决方案。 霹蜜罐静磷究有一定豹瑗突意义，骞劲予增趣黠赣匏羧壹方法豹了簿，透露黧强各大 门户网站、企北网站和政府网站的安全性，促进电子商势和电子政务的安全和稳定发展， 增强网络整体的安全性。 本文在研究蜜罐技术的蒸础上，设计实现了一个简肇蜜罐，搭建了个基于虚拟机的 蜜瓣瓣终，备謦麓煞主要蠹签包据： 第一章、概述了网络安念现存问题及塞罐技术的箍磁； 第二章、详毒田阐述了蜜德与蜜网技术的概念、原理和价值等； 篇三章、按照蜜罐的功能骚求，设计与实现了一个摘单的低交互蜜罐； 燕霾章、缝会实嚣窝提爨鹣基子虚羧枫豹产晶型蜜潮模型，搭建了个基于寝拟橇技 术的蜜网： 第五章、论述了蜜罐系统的不足和其发展的三大趋姆； 最后，对本文进行了总结。 夫庆石漓学院嫒士研究生学位论文 1 1 网络安垒的现状 。 霹终磐惠安全存在的润趱 第一耄绪论 i n t e m e t 的发展使网络傣患安全的概念发生了根本髓的变化，人们不荐把信患安全局 限于单机范围，而扩展到出计算机网络连接的整个世界范围内。目前的网络安全则烘以成 本朔访问速度的降低为代价的，随着网络技术的不断发展，网络信息安全也不断发展和完 拶l l ，毽至今宅铸然存在藿谗多豹弱题。款整体土看，i n t e m e t 土豹掰终安全翊磁霹爨矧 分为以下几个屡次j ： l 、操作系统层的安全 当前的操作系统主要是u n i x 、l i n u x 、w i n d o w s 系列。因为用户的应用程序全在操作 系统土运幸亍，嚣怒大罄努豹安全王翼和软释巍邦在擐作系统瑟上运蟹，薮戴操终系绕层豹 安全与否矗接影响网络的安全。操作系统屡的安全闻题烹黉集中在震户口令酶设鹫秘傈护 上，同一局域网或虚拟局域网内的共享文件和数据库的访问控制权限的设置等方面。 2 、用户层的安全 翅户层豹安全主要指他入謦名硬磐避褥 # 法活动或髑户抵赖鸯已傲过的孳亍为。 3 、应焉菇瓣安全 应用层的安垒与应用系统直接相关，宦既包括不同用户的访问权限的设置和用户认 诞，数据的加密和完整性的确认，也包括对色情、暴力以及政治上的反动信息的捕获和防 止代理服务器驰信息转让等方瓣。 4 、阏络震瓣安全 阿络层的安全是i n t e r a c t 嘲络安全中撩鬟妥的部分。它涉及到三个方筒，第一，t c w i p 协议本身的安全性，i p 协议零身未加密使得人们非法诲窃信息和口令成为可能。第二是 网管协议的安食性，它使用米加密的明码佟输信息，这就存在着人们通过非法途径获得 s n m p 臻汉分缀势分辑酸簿豢荚鄹络譬疆臻怠豹可整蛙。繁三令方嚣，毽是最重要懿一个 方瑟，就是网络交换设备静蜜金性。网络交抉设备包括踌癌器和a t m ，出于i n t e m e t 酱遮 聚用路由器方式的普遍转发技术，从而一凰菜一个路由器发生故障或问题，将迅速波及到 路出器相关的羧个t n t e m e t 自治域。 5 、鼗攥撼鼹层熬安全 数据链路屡的安全主要涉放劐传输遗稷串的数据翔露疆及数搭蠹奄修浚，也就是数撵的 完憋性的问题。数据链路层涉殿到的另一个问题足物理地址盗用的问蹶。由于局域网的物 理地址是可以动态分派的，因此，人们可咀您用他人的物理地址发送娥接收分组信息。这 对燃络诗费苏及用户身蹬确认等带采鞍多黝趣题。 1 1 。2 网络安会现存的攻击种类 通常，对数据通信系统的威胁主要包括：信息或其他嵌源的破坏、信息的误用或攥改、 缕惑或其毪资源麴被窦、裂滁菠丢失、售惑豹渣潺窝驻务躲中断t 安全是握对的，我们只 能遵过一些技术擦麓来提商系统的安全牲。 威胁分为主动威胁和被动威胁，主动威胁是指对系统中所含信息的篡改或对系统的状 第一章绪论 态及操作的改变，因此主动攻击主要威胁信息的完整性、可用性和真实性。而被动攻击是 指攻击者只是观察和窃取数据而不干涉信息流，它的实现不会导致系统中所含信息的任何 改动，而且系统的操作与状态也不会被改变，因此被动攻击主要威胁信息的保密性。几种 典型的攻击方法如下i j “j ： l 、欺骗：一种发起主动攻击的手段，主要目的是掩盖攻击者的真实身份，使攻击者 看起来像正常用户或者嫁祸于其他用户。在没有安全机制的t c p i p 网络中，自下而上的 地址标识即m a c 地址、i p 地址、t c p 端口号都是通过明文传输，而且，对于这些地址标 识的修改又出人意外的简单。因此在同一网段上任何用户所采用的监听和仿冒都是隐藏的 危险。 2 、嗅探：一种被动的攻击方式。通过对计算机的网络接口截取网上传输的数据报文， 从中获得有价值的信息。在嗅探过程中，将网卡设置成混杂模式就可以接收信道中所有的 广播信息、用户口令、信用卡号、电子邮件等机密信息。攻击者只需要接入以太网上的任 一节点进行监听，就可以捕获这个以太网上的所有数据包，通过对这些数据包进行解码、 重组分析，就能窃取关键信息，从而会给用户和系统带来极大的损失。 3 、缓冲区溢出：最为常见的一种安全漏洞形式针对此漏洞的攻击占了远程网络攻 击的绝大多数。通过向程序的缓冲区写超出其长度的内容，造成缓冲区溢出，从而破坏程 序的堆栈，使程序转而执行其它的指令。如果这些指令被放在系统权限的内存中，那么一 旦这些指令得到了运行，攻击者就以系统权限控制了系统，达到了入侵的目的。 4 、流量分析：网络信息系统的所有节点都能访问整个网络，所以通过对网上信息流 的观察和分析来推断网络上数据的属性，如有无传输、传输方向、频率等等。 5 、拒绝服务：利用合理的服务请求来占用过多的服务资源。只要服务超载，服务资 源就无法响应其他的请求，这些服务资源包括网络带宽，文件系统空间容量，开放的进程 数等。这种攻击会导致资源的匮乏，无论计算机的处理速度多么快，内存容量多么大，互 联网的速度多么快都无法避免这种攻击带来的后果。最为流行的以分布式拒绝服务攻击为 主。 6 、特洛伊木马：木马的实质就是一个网络客户机朋务器程序，被控制端成为一台服 务器，控制端就是客户机。当目标计算机启动时，木马程序随着启动，然后在某一特定的 端口监听。透过监听端口收到命令后，木马程序就根据命令在目标计算机上执行些操作。 如传送或删除文件、窃取口令、重新启动计算机等。 7 、蠕虫：在近些年流行的病毒中蠕虫病毒占据了很大一部分。通过e m a i l 或者网页， 甚至在局域网内通过共享文件夹等方式进行传播的蠕虫，感染速度非常快，借助于互联网 可以在短短几天传播到世界各地。 1 1 3 网络安全的对策和相关技术 网终安垒敷对簸包掺管理对襞鄹鼓本对策。管理对策嚣疆形成一套完熬的、适应予网 络环境的安全管理制度，并且要求管理掼认真实旆。这些制度包括入员管理制度、保密制 度、鼹踪窜计藩l 度、系统维护带l 瘦、数据备份制度、瘸戆定嬲溥璎剩凌等。技术对策粼毽 括基于密码体制的安全攒施和a # 密码体制的安全措施【5 】，前者包括：身份鉴别技术、数据 加密技术等，后者则主要有访问控制技术、防火墒技术和入侵检测技术等。 l 、鸯份认证授术：身癸谈诬燕任糖一个安全黪诗算规艨必鬟熬缀戏郝分，宅是摆用 户内系统出示自己身份证明的过程。身份认证必须做到准确咒误地将对方辨认出来，同时 还应提供双向认证，即互相证明自已的身份。用户认证桃稍主要霄传统日令梳涮，s h a d o w 口令橇铡，采蠲势& 竣、癍答椒铡的强用户鼓诞枫豢襄数字签名等。 大庆石油学院硕士研究生学位论文 2 、访问控制技术：访问控制防止非授权用户进入网络，同时防止任何对计算机资源 和通信资源的非授权访问。它根据用户的身份赋予其相应的权限，也就是说按事先确定的 规则决定何种主体对何种客体具有何种操作能力。访问控制主要通过注册口令，用户分组 控制，文件权限控制三个层次来实现。它一般与身份认证一起使用，以实现不同安全级别 的信息分级管理。 3 、数据加密技术：数据加密技术是一种最基本的安全技术。目的是保护数据、文件、 口令以及其它信息在网上安全传输。按照收发双方密钥是否相同。可把常用的加密算法分 为对称加密和非对称加密两种。对称加密算法中，收发双方使用相同的密钥例如美国的 d e s 、欧洲的i d e a 等。对称加密算法有保密强度高、加密速度快等优点，但其密钥必须 通过安全的途径传送，因此密钥的分发是一个比较复杂的问题。在非对称加密算法中，收 发双方使用的密钥互不相同，而且几乎不可能由加密密钥推导出解密密钥。比较著名的公 开密钥算法有：r s a 、e c c 、背包密码等，其中以r s a 算法应用最为广泛。加密技术最 终将被集成到系统和网络中，如在下一代i p v 6 协议中就内置了加密支持。 4 、防火墙技术：防火墙是最成熟和基本的一种网络安全防范技术，是一种计算机硬 件和软件相结合的技术，是一个或一组网络设备。它在受保护网络与外部网络之间构造一 个保护层，强制所有出入内外网络的数据流必须通过。通过监测、限制或更改跨越防火墙 的数据流，尽可能地对外部网络屏蔽有关受保护网络的信息和结构，从而实现对网络的安 全保护。防火墙大致可以分为两类：一类是基于包过滤型( p a c k e tf i l t e r ) ，另一类是基于 代理服务( p r o x ys e r v i c e ) 现在防火墙技术领域广泛采用应用层的代理技术为主、网络层 包过滤技术为辅的方式构建防火墙系统。 5 、入侵检测：对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析， 发现网络或系统中是否有违反安全策略的行为或被攻击的迹象。常见的入侵检测系统可分 为主机型和网络型。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源， 保护的一般是所在的系统。网络型入侵检测系统的数据源则是网络上的数据包，担负着保 护整个网段的任务。 1 2 一种新的网络安全解决方案 1 2 1 传统网络安全技术缺陷 防火墙、入侵检测技术所采取的安全策略是先考虑系统可能出现哪骛问题，然后对闯 戆一一分辑解决。采取这撵豹安全燕蟋熬圭要承透又在于它嚣】濒遵循豹理论系统：主体对 客体的访问符合预定的控制规则，便允许其进入或认为它合法。而从控制论角度来看，这 燕一个歼环控制系统，没有反馈，蔗一种静态韵，被动豹防橱策珞，不能对远程出琨的玫 鑫翔威胁微避必要的快速反映。就防火墙、入侵捡测嗣翦的技术水平嚣吉，上灏这些阅题 大多很难在糯有的理论体系框架下解决。 l 、黪火墙翁缺熬潮 ( 1 ) 防火墙不能防止不经防火墙的攻击，例如一个企业内联网设麓了防火墙，但是该 网络的一个用户基于某种理由另外直接与i n t e r n e t 的服务褥供商连接，这种绕过 了众蛙内联网鹃爨护，热该爨罂下了一个珙入玫凑数震门，是一个潜在豹安全鼹 患。 ( 2 1 防火墙经不怒人为因素的攻击，由于防火墙对网绦安全迸行摹森控制，所班可黪 受篓l 攻毒毒熬攻击，像金业内联嬲自予管理缀医逸戚豹人为破坏，防火墙烂无能 繁一霉缝谚 为力的。 圆防炎墙不髓保证数撂的秘密姓，不熬黯数据避萼亍攫删，也不勰保证鄹络不受麟毒 静攻击，任德醣火壤不哥鸵砖通过的数撂羹中餐一个变 孛进舒据捶糗查瘸毒。 2 、入侵检测系缝也存在报弗的阕题i 7 j ( i ) 如果产生犬孱警报，弼这些报警中丈部分都是误 瞥，在囊正的鬻报卡，又有褴多 是试探杼为，并没寄实现宾塞构攻裔，遗傻褥发城闫题韵真援所在 # 常耀赡。 ( 2 ) 靛乏足够拍与其毽安垒工具和弼管蓉统豹集娥能力。 ( 3 ) 不黢漭调、逶应多样拣的网络环境串的不用静安全攘略。 “) 不断增大的网络流量对入侵检测技术的歙据提取能力和实时势拼能力提出重 大撬战。 ，2 2 蜜罐技术的提出 睫羞攻击者知识鲢日趋成熟，袭击工具和方法的璺趋复杂多栉。单纯的防火墙、入侵 捡测等策路已经笼法满足对安套高度敏感的部门嚣求。网络的舫卫必妻凝旅用一种纵深的、 多样鲢手段。当今辩秘络环境也变得越来越笈杂，各式各撵的复杂设备。需要不断弹毅、 瀵使褥网络管理员的工伶不断加重。 在这种条件下，蜜罐( h o n z y p o t ) 技术成了释新静阚终安垒解决方案，不仅受到愈 来愈多的大弱关注胁”。嚣且已经开始在不同的环境串发撵熬关键作用。蜜罐的思想邂一 个数爨设计咒有缺骆钧熏统，专门用于g l 诱攻击者进入受控强境中，然艨使用各种监控技 拳寒捕获袭舞者的行为。簿孵产苎l 三关于刍蓠玫诲筇为、工燕、技术的记黎，甚至可以疆避 对盥用程序中存在漏洞的数赫分析，通过举器坡击者的工最鞘思路，对系统和鼹络中存在 的鼎嗣迸行髂扑，避步提离累统秘掰络的安垒性能，从藕降低攻毒者取褥成功的可能性。 毒效避敞少攻壹对震要系统瑚网络信息的威胁。蜜罐提供了离散收集数撼能力和搬低的误 壤满壤窜，篓然收集的赘辩少，援牧集豹舞料有较高价毽。 从蜜罐技术技展历史上着，密罐备出现以来，主簧经历了欺骗系统、蜜罐和蜜阏凡个 发展阶段。欺骗系统侧重利幕蜜罐直接保护王作系统；蜜罐、蜜弼都是辨了辫黑褰为主要 蠢静，蜜罐把注意力集中在7 解黑客豹结果，褥蜜捌则研兜了所使用的工具的各个方西， 最鸯力缝推动了整罐豹发展。 大庆石油学院硕士研究生学位论文 2 1 蜜罐概述 2 1 ，1 蜜罐的起源 第二章蜜罐与蜜网技术 蜜罐的思想最早可追溯到1 9 8 8 年5 月加州大学伯克利分校的c l i f f o r ds t o l l 博士在 c o m m u n i c a t i o n so f t h ea c m 杂志上发表的一篇题为“s t a l k i n gt h ew i l yh a c k e r ”的论文【j 0 】。 在跟踪黑客的过程中，利用了一些包含虚假信息的文件作为黑客“诱饵”来检测入侵，这就 是蜜罐的最初基本构想。其后s t o l l 博士所写的n l ec u c k o o se g g 1 l 和计算机安全界的泰 斗b i l lc h e s w i c k 的一篇论文为蜜罐的刨立奠定了基础。 2 ，1 2 蜜罐的定义 l a n c es p i t z n e r 给出的定义：蜜罐是一种安全资源，其价值在于被探测、攻击或者摧 毁的时候。蜜罐是一种预先配置好的系统，系统内含有各种伪造而且有价值的文件和信息， 用于引诱黑客对系统进行攻击和入侵。蜜罐系统可以记录黑客进入系统的一切信息；同时 还具有混淆黑客攻击目标的功能，可以用来保护服务主机的正常运行【l ”。 蜜罐系统所收集的信息可以作为跟踪、研究黑客现有技术的重要资料：可以用来查找 并确定黑客的来源，作为起诉入侵者的证据；可以作为攻防技术培训的实战教材，提高安 全人员处理黑客攻击的技能；还可以用来分析黑客攻击的目标，对可能被攻击的系统提前 做好防护工作。在攻击者看来是一个很有吸引力的蜜罐系统，由于它一般不含真实而有价 值的数据，因而不会对重要数据和系统构成威胁。 蜜罐系统的构造思想是基于网络的开放性和资源的可监视性。一个处于正常工作状态 的系统在网络上都有可能被黑客攻击，而且越是带有某种特定资源的系统越容易遭到攻 击。对系统或网络进行特殊设计和一定的布置，就可能将入侵者成功地引入受控环境中， 降低正常系统被攻击的危险，同时获得研究黑客相关技术的重要资料。资源的可监视性是 指包括网络和主机系统在内的各种资源都处于控制之下，从而可以监视和控制所有对这些 资源的访问。 。 蜜罐系统的核心是对网络和系统活动的监视能力，以及监视机制的隐藏性。只有强大 的监视能力，才能使黑客的攻击行为无所遁形；而监视机制的隐藏性则保证了黑客在攻击 的实旌过程中不会发觉自己的行为己被跟踪监视，从而能够获得攻击过程的真实记录同时 还能保证系统的安全。 2 1 3 蜜罐的价值 一般意义上来讲，蜜罐的价值可以分为两个方面，产品目的和研究目的。当应用于产 品目的时，蜜罐主要是为了保护组织网络，这些主要包括防护、探测和对攻击的响应。当 应用于研究目的时，蜜罐主要是用来收集信息，这些信息对于不同的组织有不同的价值。 对于防护来讲，蜜罐可以抵御自动的攻击，比如说蠕虫攻击和自动工具包的攻击，而且通 过迷惑攻击者，使攻击者在蜜罐上浪费资源和时间。因为所有的活动均在网络管理者的监 控之下，所以有足够的时间来响应和阻止攻击者。而且如果入侵者在攻击锁定网络之前 如果知道网络中设置着蜜罐，此时以防被抓住，不会轻易的攻击网络，具有一定的震慑作 撼二掌窒壤与窒瓣技术 崩。 从健绞意义上涎，信息安全壹郄是被动茨鬻翡，藏火墙、入侵检测系绞、趣密等等， 所有这些机制都是用来对自己的资源进行防御性保护| ! f 勺。这疆的策略就悬尽w 能好的傈护 自己韵网络，在防御中检测出失误，然后对吱警进行到击。这种方法的问题在于，这纯属 糖磐，焉敬方处予进攻缝毽【l “。瑷今基：经确成熬静蜜罐应鞠案掰，在菸锦蠕斑病毒 1 5 - 1 7 l 、 防御分布式攻击1 1 8 , 1 9 | 、防御垃圾电子邮件方西( 2 0 l 、电力信息网络安会中( 2 l 】和大型企业网 络耻习都有了很好的应用。 2 1 4 蜜瓣的阔内外研究现状 鼹翦在垦终的学术赛，对蜜罐技术磺究最多黪是蜜鼹壤墨( h o n e y n e te r o j e c t ) 缪织， 它是个非官方，非营剿的由3 0 多位安全专家组成的组织，专门致力于了解黑客团体使 用的工其、策略和动机。形成了一系列的理论基础。并提出了蜜网的一代、二代模型。 在国内，塞罐、蜜照的研究还处予发袋除毁，只有中国奄子辩授大学，j 京大学，西 安电子科技大学，中科院高能所和网络安全焦点( x f o c u s 。n e t ) 等少数几个大学和科研机 构在傲些研究，己缀出现了少量的文献和一些舆体的蜜罐系统，但系统论述蜜罐的文章还 没有，还没有形成爨己鼢理论体系和流派，更没有成熟的产品，和国外韵差距还箍大。 i e 塞大学2 0 0 4 年9 月狩骥女享枣磺尽热动( t h ea r t e m i sp r o j e c t ) ，睫压期入蜜网磺兖 联盟，也是国内唯一的蜜网研究联盟成员；中国电予科技大学承掇的图家计算机网络与信 惑安全管璎中心关予国家信意攻防与嘲络安全保障持续发展计划谋艇中的一部分， 主要硪究内容懿捶：鼹予提囊蜜罐震鬟鳇瓣络凌壹诱骗技零( i p 空澜欺骧、瓣终流量镑 真、网络动奎配震、组织信息欺骗) 和蜜罐自身的安全技术( 连接控制、路由控制、数握 捕获、远稔r 志) ：西安电子科技大学研制了x i d i a n t e c hh o n e y n e t 。 2 1 5 现有的蜜罐系统比较 蜜罐从应用上霹分为囊业应耀系缝襄獗究应鼹系绞，几个较好静蜜簇系统1 2 研窍默下 几种，其差别如表2 1 所示。 1 、b o f ( b a c ko f f i c e rf r i e n d l y ) ：一种低交互的蜜罐，由n e t w o r kf l i g h tr e c o r d e r 公 司发蠢始一个黑柬鼗接b a c ko f f i c e r 熬工暴。胃鞋运行奁w i n d o w s 系捌戳及u n i x 等操作 系统上。可以设定的监听服务育：f t p 、t e l n e t 、s m t p 、h t t p 、p o p 3 、i m a p 2 等。 2 、h o n e y d ：由密西根大学的n i e l sp r o v o s 为u n i x 平台设计的开放源代码的预包装的 低交互蜜罐。胃潋对其避行离度定制，设计毒茜的旗耘服务。不梭溺酃些钎对自己i p 的 攻击，始够同时模拟不凰的撵馋系统。 3 、d n c ( d e c e p t i o nt o o l k i t ) ；由f r e dc o h e n 设计的一组免费工具，大部分由p e r l 写 成。主要原理是使操作系统看上去有很多漏洞，它的诱骗性是可编程的，嗣户可方便地配 墨嚣 孛特牲，可以进幸亍鲻霹欺骗。 4 、m a n t r a p ：出r e c o u r s et e c h n o l o g i e s 公司开发的商业蜜罐软件，可运行在s o l a r i s 上，支持i n t e l x 8 6 架构和s u n s p a r e 架构。它的设计主要针对内部网络安全，并撮出了 牢笼主梳( 一个萋本靛宿主操俸系统懿拷贝 的概念，一台辊嚣上莓戬最多支挎4 个这祥 的操作系统。 5 、s p e c t e r ：n e o w o r x 公司开发的可以模拟一个完全的计算机的蜜罐系统- 提供对 s m t p ，f t p 等激务徽好的模拟，它由诱骗；| 擎和控稍系统两部分组成，撬供对九种操作 系绞夔模拟。 垂 大庆石油学院疆士研究生学位论文 表2 - 1 几种蜜罐系统比较 t a b 2 - 1c o , p a r eo fs e v e r a lh o n e y p o t ss y s t e m 8 0 f h o n e y d d 零k m a n t r a ps p e c t e r 交互度 低 中 低 高低 扩展性一般好好一般一般 渊码开放不开放开放开放不开放不开放 剿翊蛰蓬低孛 出 毫羝 支持服务 7不限不限不限i 3 辩己簧复杂性低 由 中 高低 2 。2 蜜罐薛分类方式 2 2 1 基于配置的方式 l 、诱璃骚努( d e c e p t i o ns e r v i c e ) 诱骗服务怒糖在特定豹i p 服务端口赖瞬，并对各种网络请求迸褥威答的应用裰序， d t k 就是这样的个服务性产品。它与攻辩者进行交曩的方式是模仿那些具有可攻击弱 点的系统进行的，所以可以产生的应答非常有限。在这个过程中对所商的行为进行记录， 嗣瓣提供较为会遴麴应答，势鲶闯入系统懿攻击毒带来系统劳不安全的错觉。铡盎珏，巍我 们将诱骗蘼务配鬻为f t p 舔务静模式。当攻击者连接鞠t c p2 1 臻叠静辩候，藏会收翔一 个幽蜜罐发出的f t p 的标识。如果攻击者认为诱骗服务就是他要攻击的f t p ，他就会采 用攻击f t p 服务的方式进入系统。这样，系统管理员便可以记录攻击的细节。 蜜罐的诱骟服务需要耩心酝鬟秘设计，这里存在着两个阔题。第一个阉题是要将服务 摸熬豹程度达蓟渡竣击者鞠蕊这是一个委鬻鼢系统。蘩二令秘蘧是诱骗羧务哭蘸 | 芟寨餐隈 的信息，因为诱骗服务不允许玻击者访问蜜罐机器本身，所以它不能收祭到更多的有用信 息。 2 、弱化系统( w e a k e n e ds y s t e m ) 只要在癸帮溺特弼土有一镪嚣雾橇运 予没骞封上蛰丁熬w i n d o w s 系翔或者l i n u x 系 列即行。这样的特点是攻击者瑟加容易进入系统，系统可以收集有效的攻击数擐。因为黑 客w 能会设陷阱，以获取计算机的目志和审潦功能，需要遨行其他额外记录系统，蜜现对 只虑记录的异地存储和备份。它的缺点是“离维护低收益”，因为，获取鼠知的攻击行为的 意义不是缀重要。 弱亿系统的优点是它可黻掇供给攻击者入侵惩要豹各稀实际鼹务，这种配置方式解决 了诱骗服务需要精心配置的问题，系统可以获得更多的芙予攻击者本身、攻击方法和攻击 工舆方面的信息。弱化系统的缺点是维护费用高但收益很少。如果攻击畿对蜜罐在采用已 妇蠡奄玻圭方法，弱纯系统裁交褥鹰无意义，因为系统警理爨已经有了虢护这秘入侵方巍静 经骏，并且已经谨实际的系统中锌对该竣壹徽了相应的修章 。 3 、强化系统( h a r d e n e ds y s t e m ) 强化系统同弱化系统一样，提供一个真实的环境，不道此时的系统融经修补成看似足 移安全豹。当玫毒卷闯入时，蜜疆裁开始收集信息，它能蒎最短豹时间内收集最多有效数 撬。将强讫系统俸麓蜜灌使臻懿缺赢是，震遮静蜜罐爨要系缝管理鬓其露较毫麴网终嶷寄 技能。如果攻击错具有更高的攻击技术，那么，他很可能取代管理员对系统的控制，成功 最潦系统，并掩饰自已的攻击行为，而且有可能利用蜜罐进行对其它系统的攻击。所以必 第二二章蜜皤与蜜网技术 须采融其它的播施来谦证管理爱始终辩系统豹羧翻较。 4 、用户模式服务器( u s e l m o d es e r v e r ) 麓户模式激务器安骣上是个用户避翟，窀运行在主规上，势且模拟成一个真实的照 务器。在真实主机中，每个应厢程序都当作一个具有独立i p 地址的操作系统和服务的特 定实例。丽用户模式服务器这样一个邀程就嵌套在主机操作系统的应用程序空间中，当 i n t e m e t 薅户岛角户模式镕嚣务器豹l p 羹蠡缓发送请求，主筏将接受溃求势瞧转发翻瑗户棱式 服务嚣上。 这耪模式熟成功与否取决予攻击密的避入程度和受骟程度。它的优点体现谯系统管理 员对用户主枫脊绝对的控制衩。即使蜜罐被攻陷，由予用户模式服务器是一个糟户逶稔， 那么镎理员只要关闭该进程就可以了。另外就是可以将f i r e w a l ，i d s 集中于网台服务 器上。当然，英局羧鼓是苓逶躅予瑟露麴攥终系统。 2 2 2 基于产器的设计目的 s n o r t 的创始人m a r t yr o e s c h 按照产品设计目的将蜜罐分为产品型蜜罐和研究型蜜罐。 l 、产晶型蜜罐 产品型蜜罐静磊的楚减轻受保护缀织所受掰的袭赢藏脐，蔽凳蜜疆霹瑷通避裣灏并瓣 付恶意攻击者来加强受保护组织的安垒措施。般情况下，商业组织运用产品型蜜罐对自 己豹阏络避器绦护。产瑟鍪蜜罐一般遐瘸予亵渡缀缓豹隧终孛。宅冀曩豹是减轻缓织受到 的攻击的威胁，蜜罐加强了受保护组织的安全措旆。它们所做的工作就蔗检测并且对付恶 意的攻击者。 2 、研究甏蜜罐 i ；l f 究型蜜罐专门以研究和获取攻击信息为圈的而设计。这类蜜罐并没有增强特定组织 瓣安全整，稔捻耪爱，裳罐要徽的是让磅究组织嚣怼各类网终威胁，势寻找能蟛对纣这些 威胁更好的方式，它们所要进行的工作就是收集恶意攻击者的信息。露般运用予军敬， 安全磷究组织。 223 基于交匿方式的程度 l 、低交曩型蜜罐 这类蜜罐只提供了一些特殊的虚假的服务，这些服务通过在特殊的端口监听来实现， 箕终秘冤窝2 + l 。在这霉枣方式下，| 舞奏遴入熬数摆流缀褰易被识别和存德，但这军孛简单的 解决方案不可能获取复杂协议传输的数据。如个初始的s m t p 握手虢不会产生有用静 信息，因为没肖回应的消息可以记录。谯低级别包禽的蜜罐中政击者没有真正的操作系统 可鞋用，这样赣丈大减少7 霆浚，因为源俸系绫的菱杂经簿簸了。这秘方式豹缺点是不霹 能观浆攻击者和操作系统之间的交互信息。 低交互蜜蝶最大的特点是模拟。蜜罐为攻赘訾展示的赝有攻齿弱点翻攻击对象都不是 真j 下的产品系统，而怒辩各种系统及其提供的服务的穰掇。由于窕的罪务都蹩模缀静行为， 所以蜜罐可以获得的信息非常有限，只能对攻街者进行简单的成答，但它是最安全的蜜罐 类鍪。 大庚石油学院碳：l 研究生学位论文 图2 - 1 低交显型蜜罐系统 2 、中交互型蜜罐 中交曩型蜜罐是对真豫的操作系统的各种行为的模拟，窀提供了更多的交互信息，同 辩键霹懿献羧毒者豹行为串获褥雯多憨穰纛。在这个续援嚣必秘系绞中，蜜罐毒缓豢起来 和一个真正的操作系统没有区别。它们是比真正系统还要诱人的攻击目标。 个巾交互型蜜罐提供了更多黝信息，组还是没有提供个真实的操作系统，其结构 觅黼2 2 。国于蜜罐的复杂程度的撬离，攻诲者发现安全灞满和弱煮的可麓靛也就大大提 高了。中交互型蜜罐是对真难的操作系统的备种行为的模拟在这个模拟行为的操作系统 中，蠲户霹淤逶行糖心繇被恁配量，谴蜜罐器莛寒鄂一令冀夔麴操穆系缓没鸯 壬楚逸剩。 穗2 - 2 中交互型蜜罐系统 3 、高交互型蜜网 建交互寰罐其裔一个真实的操臻系统，它趣倪点体现在对攻击者提供真实的系统，当 攻街者获 蒜r o o t 权限后，受系统，数据冀实性的迷惑，它的更多活动和行为将被淀录 下来。缺点是被入侵的可能性很高，如果整个蜜罐被入侵，那么它就会成为攻击者对其它 主橇稻缍绥进行下一次玫毒豹最努静工其。联毅登绥袋驭务秘各襻鹣燕蝰秘礅骑接撼绣立 高交互的蜜罐成为攻击者进行攻击的跳板。 表2 2 魄较了不同交互程度的蜜罐的优缺点 9 第二章耋城与窭甥技术 鲤2 - 3 高交互型蜜罐系统 表2 - 2 不同交互级别蜜罐比较 t a b 。2 - 2c o m p a r eo fd i f f e r e n ti n t e r a c t i v eh o n e y p o t 低交譬癸蜜罐中交互型蜜罐裹交互型蜜罐 包含级荆低中 赢 真实操作系统 否否 楚 危险性 低中等离 信息收集连接请求所有 运行所掰知识 低低高 建立所鬻知识低 高 中等 维护的时阚 低 低很高 2 2 ，4 基于蜜罐的位置 三萋乏至毒藁毫：!二季蚤年火墙，路由器 隋鳓剖 旧劂融剑| | ；蠢0 冈j 瓢同ji 辫2 - 4d m z 型蜜罐 f i g 2 - 4d m zh o n e y p o t 太庆石油学院硕士研究生学位论文 在大部分情况下，如果网络受到攻击性的试探，搬个网络都会被扫描，以找出潜在的 嚣标。网络内的任秘繁点一整被玻陷，d m z 区蠹豹诱攮系统倭会农短慰趣内检溅到被入 侵。设计精良的蜜罐能够撼供有关受到攻击的服务、这些服务如何照到攻击、攻诺者使用 了舞些攻击王具及竣老瓣瓣豹等数搀。 2 、重定向型( r e d i r e c t i o n ) 密罐 森部署冀定期型对，每个蜜罐势会秘邦受它傈护的服务器配对。另辨，亦公设置艨 火墙、龉由器，根据茸的地的连撩编号过滤网络通信然后髯根据蘸定向政策来避行通讯 转向。任何以服务器为舄的地的可疑通信由蜜罐重定向器处理，转入蜜罐，而进出服务器 的下常通信耍口不受影晌，菇结祷藏2 5 。 举例来说，防火墙后放景了网络服务器，而隔离酝内则部署了蜜罐。这个蜜罐会充当 陷隘，并复翻藏映照受它僳护酶服务器静豁分竣全部傣患资黼。正鬻懿网络服务撩逶僖会 转往网络服务器的f p 地址，而任何其他进入网络服务器的通信则被视为w 疑的通信，会 被转入蜜罐。 根据上述策略部署的蜜罐能够检测到潜在攻击，此外由予蜜罐代替受攻击的真实目标 废变，鬻蘑透鼯够爨监a 爱粪实器稼。然嚣，羹定逡型蜜罐黪潘劳不驻镙妒鼯终缀务器不 受简单邮件传输协议( s m t p ) 刺探，也无法保护网络服务器不受超文本传输协议( h 1 v r p ) 裁探。因袭这些瑟谗“歪豢”粒遴售必然戆够抵达嚣豹地。 图2 - 5 重定向型蜜罐 f i g 2 - 5r e d i l e c t i o nh o n e y p o t 2 3 蜜网及工作方式 映 _ 蠹垂 资 料 簿零地说，蜜网 b r i d g e d ：t l o n e y 辫ti pa d d r e s s = 1 9 2 。1 6 8 。7 4 91 9 2 ，1 6 87 4 ，1 0 , l a n c i d r p r e f i x = 1 9 2 ，1 6 8 7 4 。0 2 4 ：l a nb r o a d c a s i a d d r e s s ； 1 9 2 1 6 8 。7 4 2 5 5 ；e x t e r n a l b r i d g ei n t e r f a c e 一= e t h 0 ：l r f l e r n a lb r i d g c i r l t e r 翩c e = e t h l 。 玲r e m o t em a n a g e m 毹l t ：m a n a g e m c n i t = ) 9 2 。1 6 8 + l ，| ；m a n a g e m e nn e f m a s k = 2 5 5 。2 5 5 2 5 5 ，0 ； m a n a g e m e n tg a t e w a y = 1 9 2 。1 6 8 。 2 5 4 。 ( 3 ) c o n n e c t i o nl i m i t i n g ：s c a l e h o u r ；t c pl i m i t = 2 0 ；u d pl i m i t = 2 0 ：i c m p l i m i t = 5 0 ：o t h e rl i m i t = 1 0 。 d n sh a n d l i n g ：h o n