蜜罐技术范文

蜜罐技术范文（精选12篇）

蜜罐技术 第1篇

关键词：蜜罐,网络安全

1 蜜罐概述

1.1 蜜罐的起源

蜜罐的思想最早可追溯到1988年5月, 加州大学伯克利分校的Clifford Stoll博士在Communications of the ACM杂志上发表的一篇题为“Stalking the Wily Hacker”的论文。在跟踪黑客的过程中, 利用了一些包含虚假信息的文件作为黑客“诱饵”来检测入侵, 这就是蜜罐的最初基本构想。其后Stop博士所写的The Cuckoo's Egg和计算机安全界的泰斗Bill Cheswick的一篇论文为蜜罐的创立奠定了基础。

1.2 蜜罐的定义

Lance Spitzner给出的定义:蜜罐是一种安全资源, 其价值在于被探测、攻击或者摧毁的时候。蜜罐是一种预先配置好的系统, 系统内含有各种伪造而且有价值的文件和信息, 用十引诱黑客对系统进行攻击和入侵。蜜罐系统可以记录黑客进入系统的一切信息;同时还具有混淆黑客攻击目标的功能, 可以用来保护服务主机的正常运行。

蜜罐系统所收集的信息可以作为跟踪、研究黑客现有技术的重要资料;可以用来查找并确定黑客的来源, 作为起诉入侵者的证据;可以作为攻防技术培训的实战教材, 提高安全人员处理黑客攻击的技能;还可以用来分析黑客攻击的目标, 对可能被攻击的系统提前做好防护工作。在攻击者看来是一个很有吸引力的蜜罐系统, 由于它一般不含真实有价值的数据, 因而不会对重要数据和系统构成威胁。

1.3 蜜罐的价值

一般意义上来讲, 蜜罐的价值可以分为两个方面, 产品目的和研究目的。当应用于产品目的时, 蜜罐主要是为了保护组织网络, 这些主要包括防护、探测和对攻击的响应。当应用于研究目的时, 蜜罐主要是用来收集信息, 这些信息对于不同的组织有不同的价值。对于防护来讲, 蜜罐可以抵御自动的攻击, 比如说蠕虫攻击和自动工具包的攻击, 而且通过迷惑攻击者, 使攻击者在蜜罐上浪费资源和时间。因为所有的活动均在网络管理者的监控之下, 所以有足够的时间来响应和阻止攻击者。而且如果入侵者在攻击锁定网络之前, 如果知道网络中设置着蜜罐, 此时以防被抓住, 不会轻易的攻击网络, 具有一定的震慑作用。

2 蜜罐的分类方式

2.1 基于配置的方式

2.1.1 诱骗服务 (deception service)

诱骗服务是指在特定的IP服务端口帧听并对各种网络请求进行应答的应用程序, DTK就是这样的一个服务性产品。它与攻击者进行交互的方式是模仿那些具有可攻击弱点的系统进行的, 所以可以产生的应答非常有限。

2.1.2 弱化系统 (weakened system)

只要在外部因特网上有一台计算机运行没有打上补丁的Windows系列或者Linux系列即行。这样的特点是攻击者更加容易进入系统, 系统可以收集有效的攻击数据。因为黑客可能会设陷阱, 以获取计算机的日志和审查功能, 需要运行其他额外记录系统, 实现对日志记录的异地存储和备份。它的缺点是“高维护低收益”, 因为, 获取已知的攻击行为的意义不是很重要。

2.1.3 强化系统 (hardened system)

强化系统同弱化系统一样, 提供一个真实的环境, 不过此时的系统已经修补成看似足够安全的。当攻击者闯入时, 蜜罐就开始收集信息, 它能在最短的时间内收集最多有效数据。将强化系统作为蜜罐使用的缺点是, 用这种蜜罐需要系统管理员具有较高的网络安全技能。如果攻击者具有更高的攻击技术, 那么, 他很可能取代管理员对系统的控制, 成功攻击系统, 并掩饰自己的攻击行为, 而且有可能利用蜜罐进行对其它系统的攻击。所以必须采取其它的措施来保证管理员始终对系统的控制权。

2.1.4 用户模式服务器 (user mode server)

用户模式服务器实际上是一个用户进程, 它运行在主机上, 并且模拟成一个真实的服务器。在真实主机中, 每个应用程序都当作一个具有独立IP地址的操作系统和服务的特定实例。而用户模式服务器这样一个进程就嵌套在主机操作系统的应用程序空间中, 当Internet用户向用户模式服务器的IP地址发送请求, 主机将接受请求并且转发到用户模式服务器上。

2.2 基于产品的设计目的

Snort的创始人Marty Roesch按照产品设计目的将蜜罐分为产品型蜜罐和研究型蜜罐。

2.2.1 产品型蜜罐

产品型蜜罐的目的是减轻受保护组织所受到的攻击威胁, 因为蜜罐可以通过检测并对付恶意攻击者来加强受保护组织的安全措施。一般情况下, 商业组织运用产品型蜜罐对自己的网络进行保护。产品型蜜罐一般运用于商业组织的网络中。它的目的是减轻组织受到的攻击的威胁, 蜜罐加强了受保护组织的安全措施。它们所做的工作就是检测并且对付恶意的攻击者。

2.2.2 研究型蜜罐

研究型蜜罐专门以研究和获取攻击信息为目的而设计。这类蜜罐并没有增强特定组织的安全性, 恰恰相反, 蜜罐要做的是让研究组织面对各类网络威胁, 并寻找能够对付这些威胁更好的方式, 它们所要进行的工作就是收集恶意攻击者的信息。它一般运用于军队, 安全研究组织。

2.3 基于交互方式的程度

2.3.1 低交互型蜜罐

这类蜜罐只提供了一些特殊的虚假的服务, 这些服务通过在特殊的端口监听来实现。在这种方式下, 所有进入的数据流很容易被识别和存储, 但这种简单的解决方案不可能获取复杂协议传输的数据。

2.3.2 中交互型蜜罐

中交互型蜜罐是对真正的操作系统的各种行为的模拟, 它提供了更多的交互信息, 同时也可以从攻击者的行为中获得更多的信息。在这个模拟行为的系统中, 蜜罐可以看起来和一个真正的操作系统没有区别。它们是比真正系统还要诱人的攻击目标。

2.3.3 高交互型蜜网

高交互蜜罐具有一个真实的操作系统, 它的优点体现在对攻击者提供真实的系统, 当攻击者获得ROOT权限后, 受系统, 数据真实性的迷惑, 它的更多活动和行为将被记录下来。缺点是被入侵的可能性很高, 如果整个蜜罐被入侵, 那么它就会成为攻击者对其它主机和组织进行下一次攻击的最好的工具。所以必须采取各种各样的策略和预防措施防止高交互的蜜罐成为攻击者进行攻击的跳板。

2.4 基于蜜罐的位置

2.4.1 DMZ (Demilitarized Zone) 型蜜罐

在部署DMZ区时, 蜜罐会安插在真实的服务器之间, 以映照真实服务器内的资料。以收集服务器和内部网路所受攻击的资料, 或收集从内部或外部发起的内部攻击的资料。

2.4.2 重定向型 (Redirection) 蜜罐

在部署重定向型时, 每个蜜罐都会和一部受它保护的服务器配对。另外, 亦会设置防火墙、路由器, 根据目的地的连接编号过滤网络通信, 然后再根据重定向政策来进行通讯转向。任何以服务器为目的地的可疑通信由蜜罐重定向器处理, 转入蜜罐, 而进出服务器的正常通信则不受影响。

3 结语

蜜罐系统实际上是一个范围很广的信息安全策略的概念, 涉及到信息安全诸多技术的灵活应用。而安全界一直对蜜罐持谨慎态度的一个重要原因是对蜜罐价值的认识不够。随着蜜罐技术的不断发展, 越来越多的研究人员开始注意到蜜罐技术的发展潜力。在将来蜜罐将会对网络安全保障发挥越来越大的作用。

参考文献

[1]杨守君.黑客技术与网络安全[M].北京:中国对外翻译出版社, 2000.

勤劳的蜜罐四年级作文 第2篇

广袤的田野上，传来了阵阵的花香，沁人心脾。闻到这花香，就不难想到那些被浓浓的香气吸引来的蜜蜂了。看，树下的那个忽起忽落的黄色小点，正是那所说的“小蜜罐”。

这只小蜜蜂孤身一人，在四周转来转去，想必是蜂群派来的花蜜侦察兵吧。阳光下，它银色的半透明翅膀不停地振动着，脑袋一会儿向左转，一会儿向右转，似乎在分辨空气中的花粉味儿。突然，“侦察兵”停止了搜索，它的脸上仿佛闪过了喜悦的光芒，立马动身往前飞去，一定是它找到目标了!“侦察兵”飞得低低的，是不是想减少阻力呢?我一路小跑地跟随着它，远远地就望见了一丛野杜鹃花。还没等我想对小蜜蜂的识别花粉能力表示赞叹时，它已经飞得无影无踪了。

小蜜蜂一定是向蜂王禀报信息去了。可是它还能区分回家的路吗?正当我还在为蜜蜂侦探兵担心时，一种声音在我的`耳畔回响。听，越来越近了。看，一群蜜蜂村民们排着队迫不及待地来到了杜鹃花丛边，一场热闹的丰收大会拉开了帷幕。

在蜂王的指挥下，第一批“采蜜工”一头扎进了花蕊里。只见它们摆动着暗黄色的身体，三对手脚一边扒拉着花粉，一对翅膀上下振动。过了几秒钟，几只蜜蜂探出了头。呵!你瞧，它们满身都沾满了花粉，连绒毛也都被花粉覆盖，就像刚享受完一场花粉浴。工作继续进行着，“采蜜工”对身后的一排蜜蜂触了触角，讲了几句悄悄话，然后将花粉抖落在对方身上，对方一下子就转身飞了回去，原来这是“搬运工”。一切都井然有序地进行着，丝毫没有怠慢之处。

蜜罐技术 第3篇

关键词:蜜罐;功能;蜜网;发展

中图分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 09-0000-02

The "honey pot" Technology in the Network Security

Yu Xiaodong

(Chaozhou Power Supply Bureau of Guangdong Power Grid Company,Chaozhou521000,China)

Abstract:With the increasingly rapid development of computer networks,network security was declining,in the protection of network security,the traditional method is to use firewall.More common firewall,antivirus software and its operating mechanism,monitoring intrusions,and content filtering for network security can not played a significant role,and this article on the "honey pot" technique and its application in network security and make the corresponding discussion,for all to reference and learn together.

Keywords:Honey pot;Function;Honeynet;Development

一、防火墙技术的局限性和脆弱性

防火墙是网络上使用最多的安全设备,是网络安全的重要基石。但防火墙不是万能的。据不完全统计,防火墙的攻破率已经超过47%。传统防火墙技术有一定的局限性和脆弱性。一是防火墙不能解决来自内部网络的攻击和安全问题。二是防火墙不能防止策略配置不当或错误配置引起的安全威胁。三是防火墙不能防止利用标准网络协议中的缺陷进行的攻击。四是防火墙不能防止利用服务器系统漏洞所进行的攻击。五是防火墙不能防止数据驱动式的攻击。六是防火墙的操作系统、防火墙软件不能保证没有漏洞。七是防火墙无法解决TCP/IP等协议的漏洞。八是防火墙无法区分恶意命令还是善意命令,恶意流量还是善意流量。有很多命令对管理员而言,是一项合法命令,而在黑客手里就可能是一个危险的命令。

二、“蜜罐”技术概述

(一)“蜜罐”的定义

一个“honeypnt”就是一个设计用来观测黑客如何探测并最终入侵系统的系统。它意味着包含一些并不威胁本部门机密的数据或应用程序而同时对于黑客来说又共有很大诱惑力的这样的一个系统,也就是放置在你网络上的一台计算机,表面看来像一台普通的机器,但同时通过一些特殊配置来引诱潜在的黑客并捕获它们的踪迹。我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一定查得到痕迹。因此,蜜网项目组(TheHoneynet Project)的创始人LanceSpitzner给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。

(二)“蜜罐”的系统结构

“蜜罐”是某一运行环境下的特殊软件,它主要由入侵检测、入侵重定向、模拟脆弱性、行为记录、数据融合、行为分析、行为控制等7个模块构成。其中入侵重定向、模拟脆弱性是“蜜罐”系统与普通防火墙的最大区别。入侵重定向模块把入侵行为引向经脆弱性模拟的“蜜罐”系统,由行为记录模块对入侵行为进行详细记录,并经数据融合后,给行为分析模块提供一个高效、简洁的数据源供其分析。在整个过程中行为控制模块对入侵行为进行控制,防止入侵者在系统内进行破坏,同时也防止入侵者利用该系统作为跳板对其他网络系统进行攻击,造成所谓的下游责任(downstrea mliability)。

(三)“蜜罐”的功能

设计良好的“蜜罐”共有以下几种主要功能:一是阻止功能,它把一个网络设计成可以监视和捕获他人入侵的智能化网络;二是通过提供给攻击者基于伪造数据的“蜜罐”,可以转移攻击者的视线,使攻击者对真正系统的危害性降到最低;三是不仅可以发现外部的攻击者,也可以提供内部攻击者攻击方式的特征值;四是可以通过“蜜罐”提供的数据了解攻击者的技术、手段,以更好地保护系统安全。设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。

(四)“蜜罐”系统的实现

实际应用的“蜜罐’系统是多样的。最简单的“蜜罐”就是在外网上(与Internet相连)有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux。然后在计算机和Internet连接之间安置一套网絡监控系统,以便悄悄记录下进出计算机的所有流量,监视各种攻击行为。

同时,一些安全扫描、安全分析工具和一些黑客软件也共有“蜜罐”的功能。如TigerSuite和NetCat。其中,NetCat被誉为网络安全界的“瑞士军刀”,是一个简单而有用的工具,透过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具,能够直接由其他程序和脚本轻松驱动,因而被黑客广泛使用。但同时,它也可以作为“蜜罐”使用。其原理是NetCat可以帮助我们在一些端门上绑定服务,这样就允许我们在Linux,NT,FreeBSD上建立一些如Sendmail,DNS,Telnet,FTP甚至是WebServer等的虚假服务。

简单地使用以下语句,就可以不停地监听某一个端门,直到ctrl+c为止,同时把结果输出到日志文件中(c:log.txt)nc-L—p80>c:log.txt

(五)专业“蜜罐”软件

专业“蜜罐”软件有很多种,典型的有CyberCop Sting和DTK(DeceptionTool Kit),其特点是运行在某一平台上,但可以模拟多个系统、多种服务,并能提供一些典型的漏洞,也就是说这些软件可以进行各种脆弱性模拟,给攻击者一个充满陷阱的“蜜罐”。

CyberCop Sting是由网络联盟技术有限公司(Network Associates)推出的。该软件运行在NT系统下,可以模拟Linux,Solaris,Cisco,IOS,NT等多种操作系统,并提供了一些典型的漏洞来研究攻击者的行为。

DTK(Deception Tool Kit)可在多种Linux系统上运行,DTK目前可以真正模拟的系统有10种左右,而且它可模拟很多服务。更确切地说,我们可以称它为一个状态机,功能非常强大,需要C和Perl编译器去编译运行,缺点是在构建时非常麻烦,比如说在编译时会让你选择自己的操作系统,选择你所要模仿的操作系统。

三、“蜜罐”技术在网络上的发展

“蜜罐”技术虽然诞生时间不長,但发展极快,已经由“蜜罐”发展到蜜网(honeynet)。honeynet是honeypot技术的延伸和发展,也可以认为是“蜜罐”的一种形式。

“蜜网”是指采用了另外的技术的“蜜罐”,能以合理方式记录下黑客的行动,同时尽量减小或排除对internet上其他系统造成的风险。“蜜网”的系统结构一般是在其前端放置一个防火墙,所有的信息包将通过防火墙进来,防火墙能够对所有从我们的honeypot机器往外的每一个连接进行追踪,当该honeypot外发的数量达到我们顶先设定的上限时,防火墙便会阻塞那些信息包。这样可以在最大程度保证我们的机器不被滥用的前提下,允许入侵者做尽可能多的他们想做的事。这样做,就避免了我们的honeypot成为入侵者扫描、探测及攻击的系统。

防火墙与honeynet之间还放置了一个路由器。之所以放置它,有下面两个原因:首先,路由器的存在,使防火墙变得“不可见”了,当我们的honeypot被攻击后,入侵者可能会察看从这里往外的路由,这么放置更像一个真实的网络环境,没人会注意到在路由器的外面还有一台防火墙。其次,路由器也可以对访问控制进行一些限制,它可以作为对防火墙的一个很好的补充,以确保honeypot不会被用来攻击陷阱网络之外的机器。

“蜜罐”领域最让人兴奋的发展成果之一就是出现了虚拟“蜜网”。虚拟计算机网络运行在使用Virtual pc,VMware或User-Mode Linux等虚拟计算机系统的单一机器之上。虚拟系统可以在单一主机系统上运行几台虚拟计算机(通常是4-10台),并在此网络上实现“蜜罐”,构建“蜜网”。虚拟“蜜网”大大降低了成本、机器占用空间以及管理“蜜罐”的难度。此外,虚拟系统通常支持“悬挂”和“恢复”功能,这样就可以冻结安全受到威胁的计算机,分析攻击方法,然后打开TCP/IP连接及系统上面的其他服务。

四、“蜜罐”涉及的法律问题

“蜜罐”技术发展到今天,主要涉及到了以下几个法律问题:一是“蜜罐”设备属于记录设备,因此它所记录的信息涉及隐私权的问题,如果管理员恶意记录公司外部客户或内部员工的个人信息,那么“蜜罐”技术就触犯了法律。二是使用“蜜罐”技术进行诱捕活动是否违法的问题。因为“蜜罐”技术只是用来防御攻击而不是主动攻击,因此只要不是故意宣传“蜜罐”计算机而诱使黑客攻击就不属于违法行为。

五、结语

蜜罐信息采集技术研究 第4篇

关键词：蜜罐,交互性,入侵检测系统,防火墙

0 引言

现在网络安全面临的一个大问题是缺乏对入侵者的了解, 即谁正在攻击、攻击的目的是什么、如何攻击以及何时进行攻击等, 而蜜罐为安全专家们提供一个研究各种攻击的平台, 它是采取主动的方式, 用定制好的特征吸引和诱骗攻击者, 将攻击从网络中比较重要的机器上转移开, 同时在黑客攻击蜜罐期间对其行为和过程进行深入的分析和研究, 从而发现新型攻击, 检索新型黑客工具, 了解黑客和黑客团体的背景、目的、活动规律等。

1 蜜罐技术基础

蜜罐是指受到严密监控的网络诱骗系统, 通过真实或模拟的网络和服务来吸引攻击, 从而在黑客攻击蜜罐期间对其行为和过程进行分析, 以搜集信息, 对新攻击发出预警, 同时蜜罐也可以延缓攻击和转移攻击目标。蜜罐在编写新的IDS特征库、发现系统漏洞、分析分布式拒绝服务 (DDoS) 攻击等方面是很有价值的。蜜罐本身并不直接增强网络的安全性, 将蜜罐和现有的安全防卫手段如入侵检测系统 (IDS) 、防火墙 (Firewall) 、杀毒软件等结合使用, 可以有效提高系统安全性。

1.1 蜜罐的分类

根据蜜罐的交互程度, 可以将蜜罐分为3类:

(1) 低交互蜜罐

只是运行于现有系统上的一个仿真服务, 在特定的端口监听记录所有进入的数据包, 提供少量的交互功能, 黑客只能在仿真服务预设的范围内动作。低交互蜜罐上没有真正的操作系统和服务, 结构简单, 部署容易, 风险很低, 所能收集的信息也是有限的。

(2) 中交互蜜罐

也不提供真实的操作系统, 而是应用脚本或小程序来模拟服务行为, 提供的功能主要取决于脚本。在不同的端口进行监听, 通过更多和更复杂的互动, 让攻击者会产生是一个真正操作系统的错觉, 能够收集更多数据。开发中交互蜜罐, 要确保在模拟服务和漏洞时并不产生新的真实漏洞, 而给黑客渗透和攻击真实系统的机会。

(3) 高交互蜜罐

由真实的操作系统来构建, 提供给黑客的是真实的系统和服务。给黑客提供一个真实的操作系统, 可以学习黑客运行的全部动作, 获得大量的有用信息, 包括完全不了解的新的网络攻击方式。正因为高交互蜜罐提供了完全开放的系统给黑客, 也就带来了更高的风险, 即黑客可能通过这个开放的系统去攻击其他的系统。

1.2 蜜罐的拓扑位置

蜜罐本身作为一个标准服务器对周围网络环境并没有什么特别需要。理论上可以布置在网络的任何位置。但是不同的位置其作用和功能也是不尽相同。如果用于内部或私有网络, 可以放置在任何一个公共数据流经的节点。如用于互联网的连接, 蜜罐可以位于防火墙前面, 也可以是后面。

蜜罐在防火墙之前, 蜜罐会吸引像端口扫描等大量的攻击, 而这些攻击不会被防火墙记录也不让内部IDS系统产生警告, 只会由蜜罐本身来记录。因为位于防火墙之外, 可被视为外部网络中的任何一台普通的机器, 不用调整防火墙及其它资源的配置, 不会给内部网增加新的风险, 缺点是无法定位或捕捉到内部攻击者, 防火墙限制外向交通, 也限制了蜜罐的对内网信息收集。

蜜罐在防火墙之后, 会给内部网带来安全威胁, 尤其是内部网没有附加的防火墙来与蜜罐相隔离。优点是既可以收集到已经通过防火墙的有害数据, 还可以探查内部攻击者。缺点是一旦蜜罐被外部攻击者攻陷就会危害整个内网。

2 蜜罐的安全价值

蜜罐是增强现有安全性的强大工具, 是一种了解黑客常用工具和攻击策略的有效手段, 根据P2DR动态安全模型, 从防护、检测和响应三方面分析蜜罐的安全价值。

(1) 防护

蜜罐在防护中所做的贡献很少, 并不会将那些试图攻击的入侵者拒之门外, 事实上蜜罐设计的初衷就是妥协, 希望有人闯入系统, 从而进行记录和分析, 因为诱骗使攻击者花费大量的时间和资源对蜜罐进行攻击, 从而防止或减缓了对真正系统的攻击。

(2) 检测

蜜罐的防护功能很弱, 却有很强的检测功能, 因为蜜罐本身没有任何生产行为, 所有与蜜罐的连接都可认为是可疑行为而被记录, 这就大大降低误报率和漏报率, 也简化了检测的过程。现在的网络主要是使用入侵检测系统IDS来检测攻击, 面对大量正常通信与可疑攻击行为相混杂的网络, 要从海量的网络行为中检测出攻击是很困难的, 有时并不能及时发现和处理真正的攻击。高误报率使IDS失去有效的报警作用, 蜜罐的误报率远远低于大部分IDS工具。

另外目前的IDS还不能够有效地对新型攻击方法进行检测, 无论是基于异常的还是基于误用的, 都有可能遗漏新型或未知的攻击, 蜜罐可以有效解决漏报问题, 使用蜜罐的主要目的就是检测新的攻击。

(3) 响应

蜜罐检测到入侵后可以进行响应, 包括模拟回应来引诱黑客进一步攻击, 发出报警通知系统管理员, 让管理员适时的调整入侵检测系统和防火墙配置, 来加强真实系统的保护等。

3 密罐的信息收集

要进行信息分析, 首先要进行信息收集, 下面分析蜜罐的数据捕获和记录机制, 根据信息捕获部件的位置, 可分为基于主机的信息收集和基于网络的信息收集。

3.1 基于主机的信息收集

基于主机的信息收集有两种方式, 一是直接记录进出主机的数据流;二是以系统管理员身份嵌入操作系统内部来监视蜜罐的状态信息, 即所谓“Peeking”机制。

(1) 记录数据流

直接记录数据流实现一般比较简单, 主要问题是在哪里存储这些数据。

收集到的数据可以本地存放在密罐主机中, 例如把日志文件用加密技术放在一个隐藏的分区中。本地存储的缺点是系统管理员不能及时研究这些数据, 同时保留的日志空间可能用尽, 系统就会降低交互程度甚至变为不受监控。攻击者也会了解日志区域并且试图控制它, 而使日志文件中的数据不再是可信数据。

因此, 将攻击者的信息存放在一个安全的、远程的地方相对更合理。以通过串行设备、并行设备、USB或Firewire技术和网络接口将连续数据存储到远程日志服务器, 也可以使用专门的日志记录硬件设备。数据传输时采用加密措施。

(2) 采用“Peeking”机制

对于微软系列操作系统来说, 系统的源代码是很难得到, 对操作系统的更改很困难, 无法以透明的方式将数据收集结构与系统内核相结合, 记录功能必须与攻击者可见的用户空间代码相结合。蜜罐管理员一般只能察看运行的进程, 检查日志和应用MD-5检查系统文件的一致性。

对于UNIX系列操作系统, 几乎所有的组件都可以源代码形式得到, 则为数据收集提供更多的机会, 可以在源代码级上改写记录机制, 再重新编译加入蜜罐系统中。需要说明, 尽管对于攻击者来说二进制文件的改变是很难察觉, 一个高级黑客还是可能通过如下的方法探测到:

(1) MD-5检验和检查:如果攻击者有一个和蜜罐对比的参照系统, 就会计算所有标准的系统二进制文件的MD-5校验和来测试蜜罐。

(2) 库的依赖性和进程相关性检查:即使攻击者不知道原始的二进制系统的确切结构, 仍然能应用特定程序观察共享库的依赖性和进程的相关性。例如, 在UNIX操作系统中, 超级用户能应用truss或strace命令来监督任何进程, 当一个像grep (用来文本搜索) 的命令突然开始与系统日志记录进程通信, 攻击者就会警觉。库的依赖性问题可以通过使用静态联接库来解决。

另外如果黑客攻陷一台机器, 一般会安装所谓的后门工具包, 这些文件会代替机器上原有的文件, 可能会使蜜罐收集数据能力降低或干脆失去。因此应直接把数据收集直接融入UNIX内核, 这样攻击者很难探测到。修改UNIX内核不像修改UNIX系统文件那么容易, 而且不是所有的UNIX版本都有源代码形式的内核。不过一旦源代码可用, 这是布置和隐藏数据收集机制有效的方法。

3.2 基于网络的信息收集

基于主机的信息收集定位于主机本身, 这就很容易被探测并终止。基于网络的信息收集将收集机制设置在蜜罐之外, 以一种不可见的方式运行, 很难被探测到, 即使探测到也难被终止, 比基于主机的信息收集更为安全。可以利用防火墙和入侵检测系统从网络上来收集进出蜜罐的信息。

(1) 防火墙

可以配置防火墙记录所有的出入数据, 供以后仔细地检查。用标准文件格式来记录, 如Linux系统的tcpdump兼容格式, 可以有很多工具软件来分析和解码录制的数据包。也可以配置防火墙针对进出蜜罐数据包触发报警, 这些警告可以被进一步提炼而提交给更复杂的报警系统, 来分析哪些服务己被攻击。例如, 大部分利用漏洞的程序都会建立一个shell或打开某端口等待外来连接, 防火墙可以记录那些试图与后门和非常规端口建立连接的企图并且对发起源的IP告警。防火墙也是数据统计的好地方, 进出数据包可被计数, 研究黑客攻击时的网络流量是很有意义的。

(2) 入侵检测系统

网络入侵检测系统NIDS在网络中的放置方式使得它能够对网络中所有机器进行监控, 可以用HIDS记录进出蜜罐的所有数据包, 也可以配置NIDS只去捕获我们感兴趣的数据流。

在基于主机的信息收集中, 高明的入侵者会尝试闯入远程的日志服务器试图删除他们的入侵记录, 而这些尝试也正是蜜罐想要了解和捕获的信息。即使他们成功删除了主机内的日志, NIDS还是在网内静静地被动捕获着进出蜜罐的所有数据包和入侵者的所有活动, 此时NIDS充当了第二重的远程日志系统, 进一步确保了网络日志记录的完整性。

当然, 不论是基于误用还是基于异常的NIDS都不会探测到所有攻击, 对于新的攻击方式, 特征库里将不会有任何的特征, 而只要攻击没有反常情况, 基于异常的NIDS就不会触发任何警告, 例如慢速扫描, 因此要根据蜜罐的实际需要来调整IDS配置。始终实时观察蜜罐费用很高, 因此将优秀的网络入侵检测系统和蜜罐结合使用是很有用的。

3.3 主动的信息收集

信息也是可以主动获得, 使用第三方的机器或服务甚至直接针对攻击者反探测, 如Whois, Portscan等。这种方式很危险, 容易被攻击者察觉并离开蜜罐, 而且不是蜜罐所研究的主要范畴。

4 蜜罐的安全性分析

4.1 蜜罐的安全威胁

在运行蜜罐时, 也能存在的一定的风险, 主要有以下三个方面:

(1) 未发现黑客对蜜罐的接管

蜜罐被黑客控制并接管是非常严重的, 这样的蜜罐已毫无意义且充满危险, 一个蜜罐被攻陷却没有被蜜罐管理员发现, 则蜜罐的监测设计存在着缺陷。

(2) 对蜜罐失去控制

对蜜罐失去控制也是一个严重的问题, 一个优秀的蜜罐应该可以随时安全地终止进出蜜罐的任何通讯, 随时备份系统状态以备以后分析。要做到即使蜜罐被完全攻陷, 也仍在控制之中, 操作者不应该依靠与蜜罐本身相关的任何机器。虚拟机同样存在危险, 黑客可能突破虚拟机而进入主机操作系统, 因此虚拟蜜罐系统的主机同样是不可信的。

失去控制的另一方面是指操作者被黑客迷惑, 如黑客故意制造大量的攻击数据和未过滤的日志事件以致管理员不能实时跟踪所有的活动, 黑客就有机会攻击真正目标。

(3) 对第三方的损害

指攻击者可能利用蜜罐去攻击第三方, 如把蜜罐作为跳板和中继发起端口扫描、DDoS攻击等。

4.2 降低蜜罐的风险

首先, 要根据实际需要选择最低安全风险的蜜罐。事实上并不总是需要高交互蜜罐, 如只想发现公司内部的攻击者及谁探查了内部网, 中低交互的蜜罐就足够了。如确实需要高交互蜜罐可尝试利用带防火墙的蜜网而不是单一的蜜罐。

其次, 要保证攻击蜜罐所触发的警告应当能够立即发送给蜜罐管理员。如探测到对root权限的尝试攻击就应当在记录的同时告知管理员, 以便采取行动。要保证能随时关闭蜜罐, 作为最后的手段, 关闭掉失去控制的蜜罐, 阻止了各种攻击, 也停止了信息收集。相对而言保护第三方比较困难, 蜜罐要与全球的网络交互作用才具有吸引力而返回一些有用的信息, 拒绝向外的网络交互就不会引起攻击者太大的兴趣, 而一个开放的蜜罐资源在黑客手里会成为有力的攻击跳板, 要在二者之间找到平衡, 可以设置防火墙对外向连接做必要的限定:

(1) 在给定时间间隔只允许定量的IP数据包通过。

(2) 在给定时间间隔只允许定量的TCP SYN数据包。

(3) 限定同时的TCP连接数量。

(4) 随机地丢掉外向IP包。

这样既允许外向交通, 又避免了蜜罐系统成为入侵者攻击他人的跳板, 如需要完全拒绝到某个端口的外向交互也是可以的。另一个限制方法是布置基于包过滤器的IDS, 丢弃与指定特征相符的包, 如使用Hogwash包过滤器。

5 结语

蜜罐系统是一个比较新的安全研究方向, 相对于其它安全机制, 蜜罐使用简单, 配置灵活, 占用的资源少, 可以在复杂的环境下有效地工作, 而且收集的数据和信息有很好的针对性和研究价值。既能作为独立的安全信息工具, 还可以与其他的安全机制协作使用, 取长补短地对入侵进行检测, 查找并发现新型攻击和新型攻击工具。

蜜罐也有缺点和不足, 主要是收集数据面比较狭窄和给使用环境引入了新的风险。面对不断改进的黑客技术, 蜜罐技术也要不断地完善和更新。

参考文献

[1]熊华, 郭世泽等.网络安全—取证与蜜罐[M].北京人民邮电出版社.2003.

[2]赵伟峰, 曾启铭.一种了解黑客的有效手段—蜜罐 (Honeypot) [J].计算机应用.2003.

[3]马晓丽, 赵站生, 黄轩.Honeypot—网络陷阱[J].计算机工程与应用.2003.

[4]王璐, 秦志光, 张文科.业务蜜网技术与应用[J].计算机应用.2004.

蜜罐技术 第5篇

杀毒软件厂商如何获得最新病毒

也许你时常听到这样的消息，××蠕虫攻击网络，该蠕虫样本被××公司首先截获，××病毒爆发，该病毒在国内首次为××组织所发现……凡此种种，好学的读者一定时常会发出疑问，这些杀毒厂商，安全组织和安全公司是如何截获到病毒或蠕虫的呢？为什么他们总是要先于一般用户察觉到呢？于是大家在困惑中不自觉加入了无限幻想，时常将安全组织，杀毒公司的技术人员看成神通广大的网络侠客。

其实，这些东西往往是因为我们的臆想而变得神秘离奇。安全公司或杀毒公司获取信息的手段无外乎如下几种：

第一，通过和国外同行交流信息，获得发生在国外“险情”的第一手资料；

其二，派出人员在一些 或病毒组织的论坛、聊天室“潜伏”；

其三，也就是本文要介绍的，采取搭建蜜罐（honeypot）获取信息。

也许你很快发现，前两个手段似乎并不十分有效，毕竟它们接受信息的方式是被动的，那么重任似乎只有落到蜜罐这个东东身上了。不过究竟什么是蜜罐呢？它又是如何工作？如何帮助安全人员获取 和毒客的信息的呢？

什么是蜜罐？

这恐怕要从蜜罐的起源讲起。很早以前，安全界人士为研究 行为，发现一些没有公开的攻击手段，就想出了蜜罐这种方法。所谓蜜罐往往是一个故意设计的有缺陷的系统，通常用来对入侵者的行为进行警报、诱骗以及记录。传统的蜜罐一般情况下往往通过软件架设一些虚拟的操作系统，同时故意保留一些常见漏洞。

这样，无论是 还是毒客，只要它们将自己的病毒或有害程序通过互联网扩散，都会很快被这些蜜罐接收到。而这些蜜罐架设者（往往是杀毒公司，安全公司或安全组织）则会马上组织技术人员对这些程序或攻击行为进行分析，并及时作出安全响应，提出解决办法。

也许你可能产生疑问了，这样“撞大运”的方法能有多大效用呢？笔者从一份国外的资料中发现了这样一个有趣的数据，一个默认安装，没有做过安全设置的Red Hat 6.2服务器的平均寿命是72小时，有时网络上的蜜罐机器会在架设好后的8小时之内就遭到攻击，

你要知道无论病毒蠕虫还是“hacker”往往都是具有较强攻击性的。他们经常持续地扫描并且攻击各种各样的系统，一旦发现可乘之机，就会趁虚而入。

当然正所谓道高一尺，魔高一丈，一些水平较高的hacker往往会通过一些方法发现蜜罐的存在，那么恼羞成怒后的结果往往会使虚拟系统陷于瘫痪，甚至所在主机遭受攻击。

因而，时之今日，现在的蜜罐系统大多都是标准的机器，上面运行的也大多是真实完整的操作系统及应用程序。不再刻意地模拟某种系统漏洞。这样蜜罐仅仅是将系统放置于互联网上，并且等待外部攻击。可以说蜜罐已经向着Honeynet①的方向发展。它已经演变为一个学习工具，蜜罐往往会被架设成一个网络系统，而并非某台单一的主机，所有外来数据都受到捕获及控制分析。这些被捕获的数据可以帮助我们研究分析入侵者使用的工具、方法及动机。

不过也许你不会想到，建立蜜罐最主要目的是了解、学习并且分享一些安全的经验。一般这些蜜罐架设者会把获取的一些信息发送给权威机构如CERT以及SANS等，他们的口号是――研究就是研究（蜜罐架设往往不愿意为了法律事物而影响太多精力。而那些蠕虫病毒或入侵者也在蜜罐过得逍遥，这一切似乎达到了和自然界相同的和谐统一）。

也许有人会怀疑蜜罐的效果，不过事实说明了一切，现今对蠕虫和病毒的响应往往就是通过蜜罐首先捕捉到样本后才完成的。同时对入侵者团体使用的工具、策略和动机以及这些组织信息资源的收集，最主要的方法就是通过使用蜜罐来收集。比如最近发现的samba服务（一个linux下的共享磁盘和打印机的服务）的漏洞，就是从蜜罐中的一个hacker入侵记录中发现的（要知道这个漏洞已经存在了十年了，如果没有蜜罐也许这个漏洞还要被那个hacker利用下去……）。

同时，网上还有一些公开的蜜罐项目，他们会提供蜜罐收集的数据。这些数据的公开无疑提高了公众对Internet上存在威胁和漏洞的认识程度，这些项目通过对入侵者怎样控制实际系统的演示来提高人们的安全意识。（有许多人不相信入侵的事情会发生在他们身上，但这些演示会改变他们的想法。）

其实关于蜜罐这东东小特也询问过国内的几个杀毒软件厂商，结果告诉小特的全是手工收集病毒、木马。主要方法就是有专人去论坛、网站进行收集，与国外大厂商合作，用户上报等，但没有一个厂商提出是采用蜜罐方式进行自动收集的。是什么原因？技术？水平？不想做？就当是商业机密吧。

名词解释

Honeynet：

陈媛媛:围城,也是蜜罐 第6篇

关键词：乐天派、感性、简单

幸福度：95%

幸福感来源：家庭

曾经，她是一个有无限发展空间的模特专业优秀学生；现在，她是一个幸福的妻子，一个漂亮的妈妈。爽快的语气、明亮的笑容、极具感染力的平和气质，让我们的交谈轻松、自如。

快乐比忧愁多很多

她是一个简单的乐天派，快乐比忧愁多很多。比如，“我吃苹果，肯定选一筐子里面最漂亮、最好的一个吃，因为我吃的每一个都会是里面最好的。”她自称天秤座的特征在他身上很明显，喜欢追求美好的事物。也正因为如此，投入地干一件小事情、获得一点小成就感都会让她很开心。

决定一件比较重大的事情，别人都会仔细斟酌、权衡利弊，而到了她这里，会全凭直觉判断。当年大学毕业的时候，学校新开化妆专业需要老师，成绩优秀的她本来有机会留校任教，前提是去韩国学习两年。但因为当时与老公已分离半年多，她想也没想就放弃了这次机会，奔赴南方与老公团聚。在她看来，与老公在一起就是世界上最幸福的事情。

她是一个简单的人，不会掩饰自己的情绪，也不喜欢复杂的人。“我不喜欢写博客，我觉得自己的感受只有自己最清楚，你写出来是想让别人去看，好与坏，幸福与不幸福，和别人又有多大关系呢？别人的羡慕嫉妒都没有任何意义，神马都是浮云。”

因为简单，所以快乐。一切随心而定。

关于幸福

从南方归来，和老公结婚，并有了一个可爱的女儿，家庭成为陈媛媛幸福的最大来源。“我应该属于特别幸福的那一类人，有爱我的爸爸妈妈、公公婆婆，互敬互爱的老公，可爱的宝贝女儿。”“我们从学生时代一路走来的感情很单纯，不掺杂别的利害，我们都很珍惜。老公是事业型的男人，一般家里的事都是我来决定，他也很赞同。” 以前，最喜欢跟老公在一起，现在“有了孩子，他就‘退居二线’了。和孩子在一起特别开心，最好玩的事情就是给孩子洗澡，滑滑的，抓不住，像个小泥鳅”。谈话间，她的甜蜜像是从蜜罐里一点点流淌出来。对于之前工作的选择，她说：“虽说有些后悔，可是用现在的任何一样去交换我都不会。可能那个机会本来就不是我的吧。”

被人视为围城的婚姻、家庭，于这个幸福乐天的小女人而言，无异于蜜罐。

老公如是说一个可爱的小新

张浩：园林设计、雕塑设计

蜜罐技术 第7篇

随着计算机网络的日益普及, 网络已成为人们生活和工作中不可缺少的一部分, 随之而来的网络攻击事件层出不穷。保障网络的安全, 构筑安全防线成为网络安全专家的主要任务。常规入侵检测技术越来越难以应付。一种称为蜜罐的新兴信息安全技术随之出现, 成为入侵检测技术的一个重要发展方向。

1 蜜罐技术及其价值

目前对蜜罐还没有一个比较完整的定义, 其中有一种将蜜罐定义为“一个包含漏洞的诱骗系统, 它是专门为吸引、‘诱骗’那些试图非法闯入他人计算机系统的人设计的, 它通过模拟一个或多个易受攻击的主机, 给入侵者提供一个容易受攻击的目标”。

蜜罐作为一种新的安全工具, 在攻击的检测、分析、研究, 尤其是对未知攻击的捕捉方面有着优越的性能。蜜罐技术与防火墙技术、入侵检测技术、病毒防护技术、数据加密和认证技术有很大不同, 后者是在入侵者对网络进行攻击时对系统进行被动的防护, 而蜜罐技术可以采取主动的方式, 用特有的特征吸引入侵者, 因此蜜罐是一种主动防御系统。

蜜罐是一种被侦听、被攻击或已经被入侵的资源, 是故意让人攻击的目标, 是网络专家经过精心伪装的诱骗系统, 也就是说, 无论如何对蜜罐进行配置, 所要做的就是使得整个系统处于被侦听、被攻击状态。但实际上这些都是诱饵, 目的是引诱入侵者前来攻击。所以当入侵者入侵系统后, 所有的操作和行为都会被记录和监视, 蜜罐管理人员就可以通过分析蜜罐记录的数据对入侵者的各种攻击行为进行分析并找到有效的对付方法。变以往的被动防护为如今的主动防护, 对网络的缺陷及时修改, 对黑客的攻击对象采取更加严密的防护措施。

有两种用语检测和捕捉内部威胁的蜜罐技术:蜂蜜信标和蜜网。

1.1蜂蜜信标

蜂蜜信标是一种全新的蜜罐技术, 特别是对内部威胁的检测。蜂蜜信标不是计算机, 而是某种形式的数字实体。蜂蜜信标可以是信用卡号码, 电子表格文件, 幻灯片文件, 数据库记录, 或者一个假造的用户名和口令。蜂蜜信标可以是任何形式, 但是它与蜜罐的概念是一样的:一种用于捕捉非授权访问数字或信息系统资源。蜜罐计算机没有授权访问价值, 蜂蜜信标也没有授权访问。在创建一个蜜蜂信标后, 任何使用和访问都是非法的。蜂蜜信标具有极大的灵活性, 它可以被部署到任何你能想象到的计算机环境中, 而且蜂蜜信标更加容易部署。

1.2蜜网

蜜网是一种高交互型的蜜罐, 是在一台或多台蜜罐主机组成基础上, 结合防火墙、路由器、入侵检测系统组成的网络系统。从概念上讲, 蜜网就是一个简单的机构。建立蜜网的目的是使我们有效的监视黑客的行动, 从而能采取有效的防范措施保护网络, 一个成功的蜜网要从阻止、发现和反应等方面入手。

由于蜜网是一个网络系统, 不是单一主机, 因此和单机蜜罐相比, 蜜网的实现和管理就更加复杂, 但这种多样化的系统却可以更多的揭示出入侵者的攻击特性, 很大程度上提高了蜜罐系统的检测、分析、响应和恢复能力。蜜网系统隐藏在防火墙的后面, 所有进出的数据都能受到关注, 并对有用的数据进行捕获和控制。

2 蜜罐的安全性及实现方法

蜜罐安全性控制是有效利用蜜罐系统为网络安全服务的基础。蜜罐安全性控制是一个包含链路层、网络层、应用控制层的多级综合安全机制, 实现对进入和流出蜜罐系统信息的安全控制和保护。

2.1数据连接控制

连接控制是对外出数据连接加以控制, 以防入侵者利用蜜罐系统作跳板攻击其他主机。与入侵者交互总会存在危险, 必须尽量降低这种危险。要确保一旦蜜网中的一个蜜罐被侵入, 该蜜罐不能被用来攻击任何非蜜网的系统。数据控制的关键是必须在入侵者毫无察觉的情况下监视并控制所有进出蜜网的数据流量。

一般的来说, 允许入侵者向外的连接越多, 所能捕获的关于入侵者的信息越多, 而相应的危险就越大。如果想捕获是自动化攻击, 如蠕虫, 那么就不需要允许任何向外的连接。当自动化的攻击侵入蜜网中的一个蜜罐后, 防火墙只需要简单地阻塞所有向外的连接, 阻止自动攻击的进一步复制。但是, 如果想捕获非自动化的攻击, 或者想要知道系统被入侵后会发生什么, 那么就可能需要允许一些向外的连接行为。

为确保蜜罐系统的安全使用, 数据连接控制方面应当做到以下几点:

(1) 必须有自动化数据控制和手工数据中指两方面的措施。换句话说, 数据控制可以通过自动响应和手工干预实现;

(2) 至少有两层的数据控制, 以确保系统的可靠性;

(3) 在所有数据控制层都出现问题的情况下系统应当自动阻止蜜罐与外界的一切联系;

(4) 可以维护任何方向上的连接状态;

(5) 管理员可以在任何时间对蜜网进行配置来加强数据控制, 包括远程管理员在内;

(6) 对连接的控制应当在最大限度上避免被入侵者所察觉;

(7) 在蜜罐被入侵的时候能够自动报警;

(8) 在数据控制失败的情况下也不会让系统处于完全不设防的情况下。

2.2路由控制

路由控制对来自蜜罐系统的网络包进行处理, 以防入侵者利用蜜罐系统对外进行地址欺骗。路由控制位于诱骗网络和连接控制之间。这样配置的目的主要是使路由控制隐藏连接控制, 入侵者入侵蜜罐系统后, 将会发现蜜罐系统的外出路由器连接着外网, 这种布局更符合真实的网络。

连接控制和路由控制相结合的方法, 给予了入侵者和大的灵活性操作的同时, 又巧妙地控制了入侵者对蜜罐其他系统发起攻击。

2.3远程日志控制

远程日志中记录了入侵者在蜜罐系统中的操作过程, 远程日志系统是一个较高安全配置的系统, 即使入侵者发现并破坏了远程日志系统, 数据捕获模块还留有出入蜜罐系统数据包的详细记录, 从连接控制和数据捕获所得的记录仍能对攻击所采用的工具、过程有一个全面的了解。

3 蜜罐技术的价值及优缺点

蜜罐和蜜网技术是基于主动防御理论提出的, 在实际应用和研究领域都有较高的价值。蜜罐的价值在于:首先他简化了检测过程, 因为蜜罐没有任何有效行为, 所以所有与蜜罐相关的连接都认为是可疑的行为, 这样就可以极大地降低漏报率和误报率, 极大地提高了检测非法入侵行为的成功率, 而漏报率和误报率这两个问题正是入侵检测系统中最令人头痛的问题;其次, 蜜罐可以一步一步地记录入侵者的攻击行为, 这些记录可以帮助使用者获得更多有关入侵者的信息, 而这些信息可以使安全专家更好地理解各种攻击, 为安全专家提供一个学习各种攻击的平台, 更好的保护应该受到保护的相关系统。

3.1蜜罐技术的优点

(1) 数据量小, 价值高:

蜜罐收集的数据通常都带有非常有价值的信息。运用蜜罐, 用户可以快速轻松地找到自己所需要的确切信息, 从而了解到进入系统的入侵者究竟做了那些动作。

(2) 资源占用少:

蜜罐需要做的仅仅是捕获进入系统的所有数据, 所以它并不像其他安全设备 (防火墙和入侵检测系统) 那样需要昂贵的设备。

(3) 取证容易:

蜜罐是网络安全专家精心设计的陷阱, 诱骗入侵者, 其最重要的一个功能就是对系统中所有的操作和行为进行记录和监视, 这些被记录的信息可以作为对入侵者进行起诉和拘捕的证据。

(4) 能检测到未知的攻击:

传统的安全技术不能检测未知的攻击, 而蜜罐技术能很容易地检测并捕捉到新的攻击技术。这是因为任何与蜜罐的交互行为都被定义为是非法的, 对于那些新型的未曾见过的攻击在蜜罐中就一目了然。

3.2蜜罐技术的缺点

(1) 数据收集面狭窄:

所有的蜜罐都有一个共同的缺点:如果没有人攻击蜜罐, 它就变得毫无用处。如果入侵者辨别出用户的系统为蜜罐, 它就会避免与该系统进行交互并在蜜罐没有发现的情况下入侵组织中的非蜜罐系统。

(2) 给使用者带来风险:

蜜罐一旦被攻陷可能为用户的网络环境带来风险, 不同的蜜罐带来的风险不同, 蜜罐越简单, 所带来的风险越小。针对具体形式来说, 仅仅进行服务模拟的蜜罐就很难被入侵, 而那些具有真实操作系统的蜜罐由于具有很多真实系统的特性, 就很容易被入侵并成为入侵者攻击其他主机的工具。

4 结论

蜜罐本身并不是一种网络安全装置, 对网络并不起到直接的安全保护作用, 蜜罐只是一种用来收集入侵者信息的资源。蜜罐技术是一种新兴的且有着广阔发展前景的安全技术, 他可应用于各种不同的环境中, 并且能显著地克服入侵检测系统的误报、漏报的缺点。蜜罐技术将主动防御引入网络安全中, 正越来越受到安全专家的重视。蜜罐不仅可以捕获入侵者, 了解分析其动机、手段, 而且可以根据分析结果发现新型攻击工具、系统漏洞, 及时采取相应措施弥补系统漏洞。但蜜罐和蜜网不能代替网络防护体系, 它们只是一种增强网络现有安全性的先进技术, 蜜罐和蜜网通过与防火墙等技术相结合, 从而构成一个更安全的网络防御体系。

参考文献

[1]李辉, 张斌, 崔炜.蜜罐技术及其应用[J].网络安全技术与应用, 2004, (8) .

[2]冯雨, 李占良, 陈景宇.蜜罐系统安全性研究[J].网络安全技术与应用, 2004, (8) .

[3]应锦鑫, 曹大元.利用蜜罐技术捕捉来自内部的威胁[J].网络安全技术与应用, 2005, (1) .

[4]刘飞, 史晓敏.蜜罐安全技术研究[J].高性能计算技术, 2004.

基于蜜罐技术的网络取证研究 第8篇

随着时代的不断发展, 全球信息化已成为人类发展的大趋势, 而网络环境变得越来越复杂。网络管理工作日益严峻。随着经济活动的展开, 安全问题越来越不可忽视。目前, 普遍用于保护局域网安全的是防火墙技术。但仅仅靠被动的保护是不够, 必须要主动出击, 拿起法律的武器, 才能对犯罪分子起震慑作用。这里最重要的就是证据问题。

1 概述

网络取证从主动防御的角度保护着网络安全, 可以提供法庭需要的证据。网络取证 (network forensic) 是使用科学的证明方法来收集、融合、发现、检查、关联、分析以及存档数字证据, 这些证据涉及多层次的主动处理过程以及数据源的传递过程, 其目的是发现有预谋的破坏行为或已经成功的非授权的攻击行为, 并为应急事件的响应和系统恢复提供有用的信息。网络取证包含计算机取证, 是广义的计算机取证, 是网络环境中的计算机取证。网络取证系统对网络入侵事件、网络犯罪活动进行证据获取、保存、分析和还原, 它能够真实、连续的获取网络上发生的各种行为。能够完整地保存获取得出取证分析的相关结论, 并以证据的形式提到的数据, 并且防篡改;对保存的原始证据进行网络行为还原, 重视入侵现场。

尽管网络取证系统与NIDS有许多相似之初, 都是在监听模式下, 使用协议解析技术和入侵分析技术对网络进行监控, 但在设计重点上, 两者存在着较大的差异。NIDS的设计重点是准确有效地发现受监控网络的攻击行为, 从而进行响应, 而网络取证系统旨在获取黑客入侵的法律证据, 其涉及的重点在于有效证据的获取。

本文将讨论基于蜜罐技术的网络取证机制 (如图1) , 它与通常的取证技术的不同之处是设计一个诱骗网络, 该网络较容易被攻击, 入侵者将被引导到诱骗网络, 同时并没有感到已被攻击者发现, 这样可以使被攻击者能够有足够的时间捕捉入侵者信息, 且入侵者也不会经常改变入侵手段, 从而达到保护网络安全的目的。

2 网络取证预警系统

取证预警系统是一个能够对网络或计算机系统的活动进行实时取证的系统, 它能够发现并报告网络或系统中存在的可疑迹象, 为网络安全管理人员及时采取对策提供有价值的信息, 是近来较热门的新型网络安全技术。它能够对付来自内部网络的攻击, 能阻止黑客的入侵并防止病毒的蔓延。弥补了防火墙技术在这方面的不足, 是防火墙的安全后盾。利用审计记录, 取证系统能够识别出任何不希望有的活动, 从而达到限制这些活动, 以保护系统的安全。取证系统的应用, 能在入侵攻击对系统发生危害前, 取证到入侵攻击。在入侵攻击过程中, 能减少入侵攻击所造成的损失。在被入侵攻击后, 收集入侵攻击的相关信息, 作为防范系统的知识, 添加入知识库, 以增强系统的防范能力。取证系统可分为两类:基于主机的取证系统和基于网络的取证系统。

(1) 基于主机的取证系统。它用于保护关键应用的服务器, 安装在需要重点取证的主机之上, 实时监视可疑的连接、系统日志检查、非法访问的闯入等。如果其中主体活动十分可疑 (或特征违反统计规律) , 取证系统就会采取相应的措施报警或拒绝服务。基于主机的方法优点是性能价格比高, 适用于主机数量较少的情况下。对网络流量不敏感, 不会因为网络流量的增加而丢掉对主机网络行为的监视。这种方法可以很容易地取证一些活动, 如对敏感文件、目录、程序或端口的存取, 而这些活动很难在基于协议的线索中被发现。但基于主机的取证系统也有明显的不足, 该系统安装在我们需要保护的设备上, 也会降低系统的效率, 带来额外的安全问题。另外, 全面部署主机监测系统代价较大, 局域网中很难将所有主机用主机取证系统保护, 只能选择部分主机保护, 那么未安装主机取证系统的机器就成为保护的盲点, 入侵者可利用这些机器达到攻击的目标。

(2) 基于网络的取证系统。它用于实时监控网络关键路径的信息, 放置在比较重要的网段内, 不停地监视网段的各种数据包。如果数据包与已知的攻击模式匹配。取证系统就会发出警报。取证系统不需要改变服务器等主机的配置, 不会在业务系统的主机中安装额外的软件, 从而不会影响这些机器的CPU、I/O与磁盘等资源的使用。该方法不像路由器、防火墙等关键设备方式工作, 它不会成为系统中的关键路径。它发生故障不会影响到正常的业务运行。而且部署一个取证系统的风险比主机取证系统的风险少得多。但是网络取证系统可能会将大量的数据传回分析系统中, 一些系统在实现时采用一定方法来减少回传的数据量, 对入侵判断的决策由传感器实现, 而中央控制台称为状态显示与通信的中心, 不再作为入侵行为分析器这样的系统中传感器协同工作能力较弱。

3 蜜罐系统

蜜罐技术是网络安全理论中一个新的研究领域, 是对现有安全体系的一个扩充, 具有较广阔的应用前景。取证系统能够实时地取证网络的信息, 防止入侵者的恶意攻击。但这始终是种被动的局面:如果网络处于安全状态下 (即无入侵者) , 取证系统仍将收集大量与系统正常业务无关的数据, 并对此数据进行分析, 占用了系统资源, 对系统安全帮助不大:如果网络遭受到入侵者的攻击, 系统也会像上述情况那样工作, 没有适时加大监控的程度, 即对网络所遭受的安全威胁程度不敏感, 为了节省不必要的系统资源浪费, 在遭受攻击时又能强化取证系统的功能, 必须引入一种可根据网络安全状态, 动态调整实时监控程度的技术。入侵诱骗技术就是这样一种技术, 它位于内部网内。模拟内部网的日常活动, 进行常规工作, 把入侵者的火力吸引到自己身上, 从而达到保护内部网其它主机的作用, 是入侵取证技术的延伸。

蜜罐 (HoneyPot) 理论研究如何设计、建立一个跟实际系统类似的“欺骗网络”。该系统对外呈现出许多脆弱性。并很容易被访问, 从而吸引入侵者对其进行攻击。其重点是诱骗、吸引、继而监视入侵者, 并在实际运行的系统中防止这样的攻击。

入侵行为重定向型诱骗网络, 它建构于网络取证系统之上。其重点不在捕获入侵者, 而是欺骗、吸引, 进而监视入侵者, 以便在实际运行的系统中避免这样的攻击。它的基本思想是在要保护的网络内部建立一个模拟网络——诱骗网络, 可以用单个主机模拟服务器的工作, 也可以用几台主机模拟网络的正常工作。在没有入侵行为时, 诱骗网络对内部网和外部网上的用户都是不可见的。当取证系统监测到入侵行为, 就把入侵者的数据流重定向到诱骗网络, 并切断入侵者与实际网络的联系。此过程对入侵者是不可见的, 因此入侵者仍与一个行为特征类似于实际网络的诱骗网络保持联系, 并不能察觉至少不能立刻察觉所入侵的网络的异样性。这样, 取证系统就可以没有安全顾虑地监视入侵者, 观察他们怎样攻击这个网络, 研究怎样在实际运行的系统中防止这样的攻击。要实现该系统, 必须使入侵者被完全地重定向到诱骗环境中, 同时为避免被入侵者所觉察, 维持逼真效果, 入侵行为的取证和重定向必须很短, 而入侵者对诱骗系统的攻击则应该越长越好, 以便收集更多信息来完善系统, 减少类似入侵的可能。

4 系统实现技术

基于入侵行为重定向型诱骗网络技术的思想, 可以建立一个局域网的安全体系模型, 该系统的具体运行过程如下:

(1) 取证的取证模块检查跟踪网络上的资源使用情况, 当发现可疑行为或入侵行为时, 就把取证结果送给入侵行为重定向模块。

(2) 入侵行为重定向模块分析数据, 若是可疑行为, 则复制可疑数据导入诱骗网络, 系统仍然对该可疑行为提供服务。若是入侵活动, 则将入侵者的数据流全部重定向到诱骗网络, 断绝它与实际网络的联系。

(3) 诱骗网络在取证系统控制下根据实际网络工作特征, 产生正常工作的假象, 诱骗入侵者进行进一步的攻击, 使分析模块及时抽象出入侵行为的特征及其变种, 从而更新取证的知识库。在入侵者还没有接触到内部网时, 就已经找到了抵御的方法。这种理论模型的最大优点是安全性高, 主动性强, 可对付未知的入侵模式和各种病毒, 这正是目前各种安全策略希望解决的问题之一。

对数据的分析技术是系统的核心模块, 分析的性能直接决定了整个取证系统的可靠性和整体效能。可以采取协议分析方法同模式匹配结合的方法。协议分析有效利用了网络协议的层次性和相关协议的知识快速地判断攻击特征是否存在, 可以大大减小模式匹配的计算量, 提高匹配的精确度。

4.1 模式匹配

模式匹配是基于攻击特征的网络数据包分析技术。它的分析速度快、误报率小等优点是其它分析方法不可比拟的。单纯使用模式匹配的方法有很大的弊端, 我们使用协议分析和模式匹配结合的方法来分析网络数据包。单纯的模式匹配方法的工作过程如下:

分析网络上的每一个数据包是否具有某种攻击特征。可以从网络数据包的包头开始和攻击特征比较。如果比较结果相同, 则检测到一个可能的攻击, 如果比较结果不同, 从网络数据包中下一个位置重新开始比较;直到检测到攻击或网络数据包中的所有字节匹配完毕, 一个攻击特征匹配结束。对于每一个攻击特征, 重复以上过程。直到每一个攻击特征匹配完毕, 对给数据包的匹配完毕。

4.2 协议分析

协议分析的功能是辨别数据包的协议类型, 以便使用相应的数据分析程序来检测数据包。可以把所有的协议构成一棵协议树, 一个特定的协议是该树结构中的一个节点, 可以用一棵二叉树来表示。一个网络数据包的分析就是一条从根到某个叶子的路径。在程序中动态地维护和配置此树结构即可实现非常灵活的协议分析功能。协议分析有效利用了网络协议的层次性和相关协议的知识, 快速地判断攻击特征是否存在。它的高效使得匹配的计算量大幅度减小。

5 结论

本文讨论了基于蜜罐理论的网络取证设计与实现技术。随着网络安全重要性的提高, 要解决安全问题不仅仅从防御的角度来处理, 还应该从法律的角度来考虑。而取证问题是网络诉讼的核心。网络取证系统从技术的角度来解决取证问题, 为网络法律的执行提供有力的保障。网络取证及其相关技术在国内发展的时间并不长, 技术和性能方面还存在很多问题;网络取证还没有形成一个成熟的、系统的、规范的体系, 很多新技术在不断的发展中。但是可以看到, 取证技术已成为打击网络犯罪的有效手段, 在网络安全领域有很重要的意义。

摘要：网络取证技术是一种动态安全技术, 它采用主动出击的方法, 搜集犯罪证据, 查出入侵的来源, 有效地防范网络入侵。本文分析网络取证的基本原理和蜜罐技术特点, 提出网络取证预警系统和蜜罐系统, 并讨论了实现技术。

关键词：网络取证,蜜罐,取证预警

参考文献

[1]林果园.入侵检测动态取证模型.计算机工程与应用.2006.

[2]尹春梅.Honeypot扫描检测系统的设计与实现.计算机工程.2006.

[3]李辉, 张斌, 崔炜.蜜罐技术及其应用.网络安全技术与应用.2004.

[4]张有东.网络取证及其应用技术研究.小型微型计算机系统.2006.

[5]Dorothy A Lunn.Computer Forensics:an Overview.http://www.sans.org/inforsecFAQ/i ncident/forensics.Htm.2005.

蜜罐技术 第9篇

众所周知,随着互联网技术的快速发展,垃圾邮件日益泛滥,这不仅增加互联网的负担,浪费了带宽资源,而且严重影响社会稳定和个人信息安全。在我国电子邮箱用户平均每周收到的垃圾邮件数目为16.7封,其中垃圾邮件所占比例为35.6%。如何有效的抑制垃圾邮件的传播,成为当前研究的重点。当前电子邮件过滤技术采用基于规则和基于统计的过滤方法,这两种技术在执行时需要对大规模的样本知识库进行学习。然而,现有邮件样本库内容单一、更新速度慢、实时更新性差、覆盖范围局限,这直接制约着对垃圾邮件过滤准确性和效率,因此,增强邮件采集库数据量与更新速率,成为打击垃圾邮件的前提条件。为了解决上述问题,本文对垃圾邮件样本采集方法做了深入研究,提出了基于蜜罐系统的垃圾邮件采集技术。

1 蜜罐技术

蜜罐技术是指在计算机系统中,利用虚拟网络服务或者自身存在漏洞的操作系统引诱攻击者对系统进行攻击和入侵,从而获得系统攻击者攻击目的以及攻击手段的技术。同时,蜜罐技术还具有混淆攻击者攻击目标的能力,保证真实服务主机的正常运行。根据蜜罐部署方式不同,蜜罐系统分为高交互蜜罐和低交互蜜罐两种。

1.1 高交互蜜罐

高交互蜜罐是部署在真实主机上提供真实操作系统及网络服务,为黑客提供了一个开放的攻击平台。对于高交互蜜罐主机来说,它除了运行系统上的正常守护进程或服务外,不运行任何操作也不产生任何网络流量。这样任何与高交互蜜罐进行的交互活动都是可疑的,安全管理员更具这些信息掌握黑客攻击方式、攻击工具以及发现系统漏洞。高交互蜜罐缺点主要是成本高、信息维护量大、风险高。

1.2 低交互蜜罐

低交互蜜罐通常安装在一台主机中,通过模拟操作系统、网络服务、系统漏洞等,使得攻击者能够探测到虚拟蜜罐主机并与其进行有效的系统交互。对于低交互蜜罐来说,由于它是通过模拟网络协议栈实现服务模拟,因此其具有更小的机会被攻陷,同时可以模拟虚拟网络拓扑结构,使蜜罐系统更加真实可信。

2 邮件采集原理

2.1 邮件开放转发

简单邮件传输协议(SMTP)是提供可靠且高效的电子邮件传输的应用层协议。在邮件通信的过程中,SMTP客户端向SMTP服务器端发送邮件传送请求,当邮件服务器允许接收邮件,邮件就会成功发送。对于接收邮件的服务器来说,它可能是最终邮件服务器、也可能是中转邮件服务器。

中转邮件服务器按照邮件转发过程中是否需要认证分为Open Relay和选择转发两种。开放转发邮件服务器可以将所有收集到的电子邮件转达到邮件的目的地之中;选择转发邮件服务器只对通过认证的邮件进行转发,认证方式分为基于IP地址和基于密钥两种。

垃圾邮件传播通常借助Open Relay技术,垃圾邮件发送方通过对配置成Open Relay邮件服务器进行主动探测。一旦发现具有开放转发服务器,就会借助该服务器向其目标邮件地址发送大量垃圾邮件。

2.2 开放代理

代理技术主要是解决IP地质资源不足、网络无法直接访问等问题。当客户端通过代理服务器访问网络时,客户端和代理服务器首先建立连接,客户端向代理服务器发送数据请求,然后,服务器端将收到请求转发到目的网站中。当客户端收到请求后,就将响应内容通过代理服务器转发给客户端。通常在客户端与代理服务器通信时需要用户认证,只有通过认证的用户才有权通过代理服务器访问其他站点。但是有些不需要经过验证的代理服务器,通常称为开放代理服务器。由于开放代理服务器具有隐藏自身真实地址信息特征,它常常垃圾邮件发送者探测的重要目标,通过探测到的开放代理服务器转发电子邮件。

3 基于蜜罐系统的邮件采集模型

邮件采集模型的基本思想是通过Honeyd蜜罐配置生成器构建虚拟网络拓扑结构,并将虚拟邮件和虚拟代理服务部署在蜜罐环境中,同时对Honeyd日志记录存储到系统中。当访问者对蜜罐系统探测时,虚拟邮件和代理服务器会主动对请求进行响应,使访问者能够发现蜜罐主机所开放的网络服务,吸引访问者与蜜罐进行通信。当访问者利用虚拟邮件系统或代理服务器发送邮件时,虚拟蜜罐服务器会将收到的邮件发送转发到邮件采集库中。最后,管理员通过控制中心对采集到的邮件进行邮件分类及邮件特征提取(如图1)。

系统实现基本原理:

(1)Honeyd蜜罐技术,Honeyd支持IP协议簇,根据在蜜罐上配置的网络服务,响应网络请求。当网络服务器发送响应数据包时,Honeyd的个性化引擎会产生与所配置操作系统相匹配的网络行为,这样使得请求发送者认为在同真实服务器通信。对于Honeyd蜜罐系统来说,它只通过模拟网络堆栈并不提供真实服务,所以系统安全性较高,即使模拟的网络服务被攻陷,也无法占用系统资源对主机的完全控制。同时,Honeyd日志模块可以记录所有网络活动,包括报告所有请求尝试、完成连接数、请求源地址、目的地址、协议端口号等,为分析电子邮件发送方提供必要信息。

(2)虚拟邮件服务器通过不断监听邮件服务器开放端口,主动对邮件发送请求进行响应。通常对于垃圾邮件发送方在发送垃圾邮件之前,都会检测该邮件服务器是否满足邮件转发功能,通过发送一份给自己的邮件来探测邮件服务器。因此,该虚拟邮件服务器在转发邮件时,对于同一IP地址发送的邮件只允许第一份电子邮件转发到真实邮件服务器之中,其他邮件都重定向到邮件采集库中。

(3)虚拟代理服务部署在蜜罐系统中,允许客户端不经过认证就能登录到代理服务器。当客户端向代理发送协商请求信息时,代理服务器对请求进行响应,诱导客户端通过代理服务器进行通信。该代理服务器只对邮件请求信息进行代理,同时将客户端发送的邮件通过虚拟邮件服务器转发到邮件采集库中。

(4)邮件采集控制中心主要完成电子邮件解码及邮件特征提取,附件管理等。电子邮件采用MIME规范,由邮件头和邮件体两部分组成。邮件头部包括发件人、收件人、主题、日期等重要内容。邮件体是用户发送邮件主要内容,由文本内容和附件组成。常见的简单类型有Text/Plain(纯文本)和Text/Html(超文本)。对于Multipart类型,它用于表达MIME组合消息,是MIME协议的重要类型。它分为三种类型:Multipart/Mixed、Multipart/Related和Multipart/Alternative。Multipart子类型之间定义各自的Boundary属性,用于分段标记。因此,在邮件解析过程中,通过对邮件内容各部分解析实现对邮件分类管理、特征提取。

4 系统部署

在实验室中部署蜜罐环境,并搭建邮件采集系统作为试验平台。蜜罐环境包括虚拟邮件服务器、虚拟代理服务器。同时将蜜罐部署主机中部署邮件采集库,用于对邮件内容的采集。具体过程:(1)将虚拟邮件服务器部署在模拟操作系统环境为Windows2003Server主机中,监听TCP/25端口,并将该邮件服务器收到的邮件重定向到邮件采集库中。(2)将虚拟代理服务器部署在模拟操作系统环境为Linux的主机中,服务器监听TCP/80端口,代理服务器将收到的对于邮件发送请求转发到所部署的虚拟邮件服务器中。(3)启动Honeyd日志记录,将互联网中所有同蜜罐系统进行交互的数据流量的源地址、目的地址、正在使用协议和端口信息记录到邮件采集信息库中(如图2)。

5 实验及分析

在系统部署蜜罐环境后,用户可以通过telnet方式登录虚拟邮件系统,并完成发送邮件所要完成命令,如HELO、MAIL、DATA等命令,实现用户对开放转发邮件服务器的测试。当用户使用telnet方式登录虚拟代理服务器发送垃圾邮件时,可以实现转发电子邮件到邮件采集库中。对于通过这两种方式采集到的电子邮件,邮件控制中心可以对邮件进行综合分析,实现邮件特征提取及附件管理。

6 结束语

本文在现有蜜罐技术基础上提出了垃圾邮件采集新方法,一方面,该采集方法不仅便于虚拟服务器广泛部署,而且可以节省部署真实邮件服务器带来的高成本。另一方面,这种邮件采集方式比传统通过捕获数据包方式收集电子邮件的方法,更具有覆盖面广、收集方式多样、邮件完整性好的特点。总之,这种邮件采集方式有效的解决了现有邮件样本库内容单一、更新速度慢、实时更新性差、覆盖范围局限,为提高邮件过滤的准确性和效率提供了必要的数据支持。

今后该系统需要进一步完善的工作是:提高蜜罐系统隐藏性和仿真性,防止攻击者发现正在通信的服务器为虚拟服务器。

参考文献

[1]李建,刘克胜,揭摄.一种获取电子邮件的“蜜罐”系统研究[J].安徽电子信息职业技术学院学报.2004.

[2]肖道举,李宁,陈晓苏,熊兵.基于网络数据包的邮件信息获取技术研究[J].微计算机信息.2007.

[3]张浩军,李景峰等.虚拟蜜罐:从僵尸网络追踪入侵检测[M].北京:中国水利水电出版社.2011.

入侵检测系统结合蜜罐技术的设计 第10篇

入侵检测系统是一种检测安全工具, 在网络安全体系中还存在着各种各样的安全部件, 例如漏洞扫描系统、蜜罐系统等。这些安全部件产生的告警和送出的数据对于入侵检测系统的分析具有很高的指导价值。

2. 蜜罐系统分析

蜜罐系统 (Honeynet) 是由数个蜜罐所组成, 它是一个用来搜集黑客相关资料的网路陷阱, 搜集诸如:他们是谁?使用什么软件?利用什么样的弱点?蜜罐系统使用常见的作业系统如Windows XP或Linux的预设安装, 根据The Honeynet Project的研究:一个使用预设安装的Red Hat 6.2服务器在连上网际网路不到72小时内就会被攻破, 此外蜜罐系统也可以说是一种架构, 它就好像是一个鱼缸, 你可以先在鱼缸中摆放任何你喜欢的东西如礁石, 枯木, 水草, 然后再从透明的玻璃鱼缸外观察其中鱼和水, 草的互动, 而在蜜罐系统中除了蜜罐之外, 你还需要一些跟网路软硬体相关的装置如防火墙, , 路由器, 交换器以及日志记录工具与封包分析器等。

在蜜罐系统中最重要的元件就是数据控制 (Data Control) 和数据捕捉 (Data Capture) , 数据控制定义了怎样将攻击者的活动限制在蜜网中而不被攻击者察觉, , 数据捕捉则是指在攻击者不知情的情况下, 如何掌握其所有的攻击活动, 而两者之中又以数据控制最为重要。

蜜罐系统送出的告警可能是一种新型的攻击类型, 入侵检测系统可以根据此类告警自动更新规则库或者改变分析中使用的策略。

3. 蜜罐系统设计

利用蜜罐系统的这种能力, 一方面可以为IDS提供附加数据, 另一方面, 当IDS发现有攻击者时, 可以把攻击者引入蜜罐系统, 防止攻击者造成危害, 并收集攻击者的信息。蜜罐系统和入侵检测系统的响应模块相连接。

构建蜜罐系统时, 可以利用闲置的服务端口来充当欺骗;也可以利用计算机系统的多宿主能力 (multi-homed capability) , 在只有一块以太网卡的计算机上就能实现具有众多IP地址的主机, 而且每个IP地址还具有它们自己的MAC地址, 这项技术可用于建立填充一大段地址空间的欺骗, 使入侵者很难区分哪些服务是真, 哪些服务是假, 增加入侵者的入侵时间、消耗入侵者的资源, 从而可以更好的观察入侵的行为和方式。并且, 当入侵者进入HoneyPots, 可通过网络流量仿真、网络动态配置、多重地址转换和组织信息欺骗等来增强网络欺骗, 这些技术的应用和研究是HoneyPots技术不断发展的主要方向。当入侵者占领一个HoneyPots系统时, 他的目的无非是获得系统信息或利用系统资源入侵别的系统, 这时一方面可通过模仿网络流量 (如采用实时方式或重现方式复制真正的网络流量并限制外发的数据包) 来限制入侵者利用系统资源入侵别的系统;另一方面, 可通过网络动态配置 (如模仿实际网络工作时间, 人员的登陆状况等) 、多重地址转换 (如动态设定IP地址或将欺骗服务绑定在与提供真实服务主机相同类型和配置的主机上) 和组织信息欺骗 (如构建DNS的虚拟管理系统) 等, 使入侵者获得的系统信息是设计者提供的, 从而获得更多的入侵信息。

信息获得以后, 由控制管理端根据这些信息再决定下一步要采取的措施, 如更新规则库或者改变分析中使用的策略, 切断发起攻击的用户或系统的连接、进行反击等, 将后续的来自该用户或系统的连接请求过滤掉, 除非管理员再主动开放该地址, 该地址将被隔离在受保护网络之外。

蜜罐系统的设计图见图1:

网络数据的接收:

要使Honeyd可以对目的IP地址属于虚拟蜜罐之一的网络数据包正常的接受和回应, 有如下方法:对指向Honeyd主机的虚拟IP地址创建特定路由、使用ARP代理及使用网络通道。

如图1所示, 假设10.0.0.1为我们路由器的IP地址, 10.0.02为Honeyd主机的IP地址。10.0.0.11-14是Honeyd虚拟的蜜罐的IP地址。最简单的情况是虚拟蜜罐的IP位于我们局域网内。当从互联网向蜜罐Windows NT 4.0发送一个包时, 路由器首先查询它的路由表由找到10.0.0.13的转送地址, 如果没有配置专用的路由, 路由器通过ARP请求确定虚拟蜜罐的MAC地址, 因为没有相应的物理机器ARP请求会不被响应, 因此我们配置Honeyd主机用自己的MAC地址的对10.0.0.13的ARP请求做出反应, 这样通过ARP代理路由器就把发送蜜罐Windows NT 4.0的包转到Honeyd主机的MAC地址。

在复杂的情况下, 我们也可以应用通用路由封装 (GRE) 通道协议在网络地址空间和hondyd主机间建立通道。

Honeyd结构:

Honeyd结构由几部分构成:一个配置数据库, 一个中央包分配器, 协议处理器, 个性化引擎和随机的路由组件。

Honeyd支持三种主要的互联网协议:ICMP, TCP和UDP。输入的包由中央包分配器处理, 它首先检测IP包的长度并验证校验, 然后查询配置数据库找到与目的IP地址相对应的蜜罐配置, 如果不存在专用的配置, 则应用缺省模板。确定了配置后, 数据包被传送给相应的协议处理器。

ICMP协议处理器支持大多数ICMP请求, 包含一个简化的TCP状态机, 完全支持三次握手 (Three-wayHandshake) 的建立连接和通过FIN或RST撤消连接, 但是接受器和拥塞窗口管理没有完全实现。UDP数据报直接传到应用, 当收到一个发往封闭端口的UDP包的时候, 默认发出一个ICMP端口不可达的信息。

Honeyd结构也支持连接的重定向, 重定向可以是静态的或依赖于连接四元组 (源地址, 源端口, 目的地址, 目的端口) 。重定向允许我们把虚拟蜜罐上的一个服务连接请求转递给一个在真正的服务器上运行的服务, 例如, 我们可以把DNS请求重指向一个域名服务器甚至可以把连接反传给敌人。

4. 总结

蜜罐系统是应用于计算机网络安全领域的信息系统资源它的价值体现在被扫描、攻击和攻陷, 通过蜜罐可以获取攻击者和攻击技术的相关信息, 也可以用来吸引和分散攻击者的注意力, 以保护真实的网络系统。目前蜜罐以及蜜罐延伸技术已被广泛关注, 它已不仅仅是一种新的技术, 可以说是网络安全体系的重要补充和完善, 它增强了动态防御体系的检测和响应能力。蜜罐技术用于构建一个严格控制的网络诱骗环境, 这个诱骗环境可以是真实的网络, 主机或者使用虚拟软件模拟的网络或主机。蜜罐系统技术的发展前景将主要集中在构建蜜罐系统的完善性和扩展性上, 单一的蜜罐系统将逐渐与真实系统完全一致, 分布式蜜罐系统将广泛应用, Honeynets技术成为另一种发展模式, 蜜罐技术的研究和学习将会更有力的推动网络入侵检测技术的发展。

参考文献

[1].赵战生, 杜虹, 吕述望.信息安全保密教程.中国科学技术大学出版, 2006

[2].蜜罐技术的实现及其优势http://www.enet.com.cn/article/2004/0812/A20040812333290.shtml

早熟鲜食枣新品种——蜜罐新1号 第11篇

特征特性

在陕西省大荔县地区,蜜罐新1号4月上旬萌芽,5月中旬始花,5月底至6月上旬盛花,8月上旬果实开始着色成熟,8月中旬至9月初为采收期,果实生长期85~90天,落叶期11月上旬,全年生育期210天。

该品种树势中庸,干性较强,树姿半开张,树冠自然圆头形。针刺不发达,逐渐脱落。叶片中等偏小、卵状披针形、较厚、深绿色、有光泽。花量中等,花蕾扁圆形,白天开裂。果实中大、长圆形,纵径2.83厘米、横径2.52厘米。平均单果重8.4克,最大单果重25克,大小较整齐。果面不平整,有隆起。果皮薄、鲜红色、有光泽。果点小、圆形、密布。果肉绿白色,质地细脆,较致密,汁液较多,可溶性固形物含量26%~32%,可食率96.5%,味浓甜,品质极上,鲜食品质可与“冬枣”相媲美。果核中大、短倒卵形,平均单核重0.294克。

该品种适应性极强,耐瘠薄,对土质要求不严,当年生枝条坐果能力强,花期不用环割或环剥,通过适当摘心和拉枝即可丰产。极抗缩果病和炭疽病,较抗裂果,遇雨裂果程度轻于“沾化冬枣”和“梨枣”,而且在一般年份因成熟早可避过雨季上市。早果性强,丰产、稳产,易管理,可在我国南方和北方鲜枣产区作为不同熟期配套品种进行规模栽培。

栽培技术要点

蜜罐技术在网络安全中的应用 第12篇

1 蜜罐技术

1.1 蜜罐的定义

Lance Spitzner给出的定义：蜜罐是一种安全资源，其价值在于被探测、攻击或者摧毁的时候。蜜罐是一种预先配置好的系统，系统内含有各种伪造而且有价值的文件和信息，用来引诱黑客对系统进行攻击和入侵。蜜罐系统可以记录黑客进入系统的一切信息;同时还具有混淆黑客攻击目标的功能，可以用来保护服务主机的正常运行。

1.2 蜜罐的价值

一般意义上来讲，蜜罐的价值可以分为两个方面，产品目的和研究目的。当应用于产品目的时，蜜罐主要是为了保护组织网络，这些主要包括防护、探测和对攻击的响应。当应用于研究目的时，蜜罐主要是用来收集信息，这些信息对于不同的组织有不同的价值。对于防护来讲，蜜罐可以抵御自动的攻击，比如说蠕虫攻击和自动工具包的攻击，而且通过迷惑攻击者，使攻击者在蜜罐上浪费资源和时间。因为所有的活动均在网络管理者的监控之下，所以有足够的时间来响应和阻止攻击者。而且如果入侵者在攻击锁定网络之前，如果知道网络中设置着蜜罐，此时以防被抓住，不会轻易的攻击网络，具有一定的震慑作用。

1.3 蜜罐技术现状

虽然蜜罐技术诞生时间不长，但发展非常快，已经由蜜罐发展到蜜网，蜜网是蜜罐技术的延伸和发展，也可以认为是蜜罐的一种形式。蜜网是指采用了另外的技术的蜜罐，能以合理方式记录下黑客的行动，同时尽量减小或排除对网络上其他系统造成的风险。蜜网的系统结构一般是在其前端放置一个防火墙，所有的信息包将通过防火墙进来，防火墙能够对所有从我们的蜜罐机器往外的每一个连接进行追踪，当该蜜罐外发的数量达到我们预先设定的上限时。防火墙便会阻塞那些信息包。这样可以在最大程度保证我们的机器不被滥用的前提下，允许入侵者做尽可能多的他们想做的事。这样做就避免了我们的蜜罐成为入侵者扫描、探测及攻击的系统。

2 蜜罐技术的优势与缺陷

2.1 蜜罐技术的优势

对于提高网络的安全防护水平，蜜罐有着很大的价值，主要有以下方面：

1)检测黑客入侵，发现未知的攻击方法。入侵检测系统在使用中存在漏报和误报的问题，蜜罐可以起到一定的补充作用。因为蜜罐上的所有活动都是可疑的。因此对蜜罐采用的任何形式的探测、攻击都将会暴露出来，而入侵检测系统往往很难检测新的黑客攻击方法。与入侵检测相比，蜜罐并没有真正的生产价值，因此，它获得的信息虽少，但很少有漏报和误报。

2)延缓黑客攻击，保护系统安全。在网络安全防护中，时间是个需要强调的因素。即使黑客能够攻破防护，只要能够及时检测和反应，就能够避免或减少损失。而蜜罐则占用他们的资源，拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间，起到保护工作系统的作用。

3)检测系统的完整性，增加反应能力。网络安全自身漏洞层出不穷，人们无法知道黑客何时将攻破系统，一旦系统被黑客攻破，必然需要了解黑客的攻击方法，对系统进行修补，防止黑客再次利用相同的方法侵入。对于一个工作系统来说，黑客活动与正常的生产活动混杂在一起，要了解黑客的攻击方法，非常困难。而对于蜜罐，基本上都是黑客的活动，记录的数据很纯净，可以让我们更容易了解黑客攻击。此外，蜜罐采集到的黑客活动信息还可以完善搜集到的入侵证据或用于追踪黑客。

2.2 蜜罐技术的缺陷

虽然蜜罐有很多的优势，但也有不足之处，主要体现在以下：

1)监控视野较为狭窄。蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析，其视野较为有限，不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。

2)欺骗能力较低。蜜罐运行时容易留下指纹，指纹的存在使得黑客能鉴别出蜜罐的存在，因为蜜罐会有一些专业特征和行为。如果黑客发现了某个组织在他的内网中使用了蜜罐，他就有可能对蜜罐发动攻击，蜜罐检测到这种攻击之后，不断地向管理员发送错误的报警信息，这样黑客就扰乱了视听，它的目标很有可能是一个真实的攻击。

3)蜜罐运行时的风险。蜜罐将风险带入了网络环境中，是指一旦蜜罐被攻击了，它有可能就被黑客利用作为攻击、渗透其他系统或组织的跳板。

3 蜜罐技术的应用

作为一种网络安全技术，蜜罐已经以多种不同的形式获得了实际应用，这里介绍针对目前危机网络安全较为严重的几种威胁。

3.1 对抗垃圾邮件

通常每个Internet用户都收到过垃圾电子邮件。垃圾邮件是未被请求的商业电子邮件的通用术语。垃圾邮件的传播蔓延，严重侵害了电子邮件用户利益，影响了电子邮件服务正常运营秩序，危害了互联网安全和社会稳定。垃圾邮件、黑客攻击和病毒等结合有越来越密切的趋势，它也成为病毒的一种载体，威胁到网络的安全。反垃圾邮件的蜜罐能够欺骗垃圾邮件制造者收集电子邮件地址，能用来创建虚假的、模拟转发垃圾邮件的邮件服务器，从而捕获垃圾邮件。

3.2 对抗蠕虫病毒

蠕虫是一种通过网络传播的恶性病毒，它的一般传播过程为扫描、感染、复制三个步骤。经过大量扫描，当探测到存在漏洞的主机时，蠕虫主体就会迁移到目标主机。然后再被感染的主机上进行一系列处理，实现对计算机监视，控制和破坏。通过原主机和新主机的交互，复制到新主机，然后不断重复这个过程。在蠕虫感染的阶段，蜜罐能检测非法入侵者的行为，对于已知的蠕虫，可通过模拟某些安全缺陷来分析蠕虫病毒的感染行为，收集黑客所使用的工具，了解攻击手法等。蜜罐技术已成为对抗蠕虫的有效措施。它们把蠕虫的流量重定向到伪造的主机上，以至于捕获到蠕虫并分析它们的特征。来限制蠕虫在网络上的传播。

3.3 捕获“网络钓鱼”

“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令等内容。诈骗者通常会将自己伪装成知名银行和信用卡公司等可信的品牌，意图引诱收信人给出敏感信息的一种攻击方式。蜜罐技术则提供了捕获整个过程中攻击者发起攻击行为的能力，在蜜网中的蜜罐都是初始安装的没有打漏洞补丁的系统，一旦部署的蜜网被网络钓鱼者以进行网络钓鱼攻击，安全人员就能及时在蜜网捕获的日志数据的基础上，对网络钓鱼攻击的整个生命周期建立起一个完整的理解，并深入剖析各个步骤钓鱼者所使用的技术手段和工具，同时提供潜在的漏洞威胁预警。

4 结束语

随着网络规模的不断扩大，网络上的攻击行为变得越来越多，攻击的手段也日新月异，已经严重威胁到网络的安全。作为目前网络安全主动防御领域的一个主要技术，蜜罐技术也正在进一步完善和发展，一定会在网络安全维护中发挥极其重要的作用。

参考文献

[1]殷联甫.主动防护网络入侵的蜜罐(Honeypot)技术[J].计算机应用,2004(7):29-31.

[2]叶飞.蜜罐技术浅析[J].网络安全技术与应用.2007(5):36-37.