基于蜜罐技术的网络安全防御方案研究

罗江洲 王朝辉

摘要：蜜罐技术是一种主动防御网络攻击的技术，通过真实的网络系统或模拟真实网络环境的方式为攻击者提供一个网络陷阱，收集和分析流入该系统中数据，从而发现攻击，并保护网络或计算机。但由于蜜罐系统更为显著的作用是检测功能，并不能实现完全防御。该文在简要介绍蜜罐技术的定义、分类和关键技术之后，设计了一种将蜜罐系统与防火墙、入侵检测系统相结合的联动模型。

关键词：蜜罐；防火墙；入侵检测；网络安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）22-5206-03

随着网络的普及与发展，已经而且正在改变着人们的工作和生活方式，网络带给人们方便的同时，网络安全问题也越来越引起了人们的关注。传统的防御技术大多为被动防御，如入侵检测、防火墙等，这些防御手段只能根据现有的攻击方式被动进行防御，存在着很大的局限性和脆弱性，往往对新的攻击方式根本起不到防御的目的。蜜罐（Honeypot）是基于主动防御理论提出的一种网络诱捕技术，其主要功能是对攻击活动进行监视、检测和分析，但其通常只是作为一种检测方法来检测攻击。结合两种策略的优缺点，将当前最为常用的防火墙、入侵检测系统与蜜罐技术相结合，设计了一种防火墙、入侵检测系统和蜜罐系统联动协作的防御模型。通过联动控制系统，将防火墙、入侵检测系统与蜜罐系统的检测与响应互动，从而最大程度地保护网络或计算机的安全。

1 蜜罐的定义

蜜网项目组的创始人Lance Spitzner对蜜罐的定义[1]是：“蜜罐是一个资源，它的价值在于它会受到攻击或威胁。这意味着一个蜜罐希望受到探测、攻击和潜在地被利用。蜜罐并不修正任何问题，它们仅为我们提供额外的、有价值的信息。”蜜罐是一种计算机和网络安全资源，可以是真实的网络系统或是真实网络环境的模拟，作为蜜网技术的低级形式，物理上通常是一台运行单个操作系统或者借助于虚拟化软件运行多个虚拟操作系统的“牢笼”主机。蜜罐系统所收集的信息可以作为跟踪、研究黑客现有技术的重要资料。

2 蜜罐的分类

随着多年的研究，蜜罐技术已经越来越成熟，按照部署目的主要分为产品型蜜罐和研究型蜜罐[2]，按照交互性等级蜜罐可以分为低交互型蜜罐、中交互型蜜罐和高交互型蜜罐[3]。

1） 产品型蜜罐具有事件检测和欺骗功能，主要目的是减轻部署组织受到的攻击威胁，检测并对付攻击者，一般用在商业组织中，用来提高商业组织的安全性能，增强受保护组织的安全性。研究型蜜网的主要目的是用于获取黑客的信息，研究型蜜罐也是观察、记录、学习攻击者及其攻击行为的最好工具，而且还能学习到攻击者在攻陷一个系统后如何与其它黑客通信或者上载新的工具包等更高价值的信息。

2） 低交互型蜜罐主要是用于协助保护特定组织的产品型蜜罐。它的主要目的在于检测，具体说来就是对未授权扫描或者未授权连接尝试的检测，没有提供真实的操作系统和网络服务，所允许的交互是有限的，通常只对某些网络服务或操作系统进行简单的模拟，风险小的同时收集的信息也少，并且存在着易被黑客识别的指纹信息。典型的低交互型蜜罐有BOF、Speeter、Honeyd等。中交互型蜜罐仍然没有提供真实的操作系统与攻击者交互，但为攻击者提供了更多复杂的诱捕进程，模拟了更多更复杂的特定服务。高交互型蜜罐给入侵者提供了一个真实的操作系统和网络服务，在这种环境下一切都不是模拟的或者受限的，可以收集到更加丰富有用的信息，包括完全不了解的网络攻击方式。然而与此同时，操作系统的介入将会大大增加系统的复杂度，相应地系统所面临的威胁也就更大，部署和维护更加复杂。

3 蜜罐的关键技术

1） 网络欺骗技术。没有网络欺骗功能的蜜罐是没有价值的，因为蜜罐的价值体现是在其被探测、攻击或者攻陷的时候。网络欺骗技术因此也认为是蜜罐技术体系中最关键和最核心的技术和难题。

2） 数据捕获技术。蜜罐必须有强大的信息捕获功能，在不被入侵者发现的情况下，捕获尽可能多的信息。蜜罐的主要目的之一就是获取有关攻击和攻击者的所有信息，捕捉入侵者从扫描、探测、攻击、攻陷蜜罐主机到最后离开蜜罐的每一步动作。

3） 数据控制技术。数据控制用于保障蜜罐系统自身的安全。为了使其更像一个真实的网络或系统，通常数据控制必须在不被入侵者察觉的情形下对流入、流出的通信进行监听和控制。

4） 数据分析技术。数据分析是包括网络协议分析、网络行为分析和攻击特征分析等。蜜罐系统收集信息格式也不相同，应该有一个统一的数据分析模块，在同一控制台对收集的所有信息进行分析、综合和关联，这样有助于更好地分析攻击者的入侵过程及其在系统中的活动。

4 蜜罐系统与防火墙、入侵检测系统联动模型

入侵检测系统和防火墙采用的是被动的网络检测和防御技术，它们一般对网络入侵行为发生时和发生后入侵检测才能起到作用。而蜜罐技术是基于主动防御理论提出的，在某些情况下，蜜罐收集用于跟踪攻击者的有用信息。由于通向蜜罐的流量都是高度可疑的，同时系统也可以把可疑流量导入蜜罐，把蜜罐作为暂时的访问替身，但由于其主要是发现攻击，防御方面有所欠缺。因此，将蜜罐技术与入侵检测系统、防火墙这三个当前最常用的防御方法相结合，实现联动防御，可以最大程度实现网络攻击的防御目的。其设计思想为在入侵检测系统和防火墙的功能基础上增加了蜜罐系统主动防御功能和联动功能。蜜罐系统与防火墙、入侵检测系统联动模型如图1。

4.1 工作方式

通过开放接口实现互动。即防火墙、入侵检测系统或者蜜罐系统开放一个接口供彼此调用。按照一定的协议进行通信、传输警报。这种方式比较灵活，系统启动后伪装成有漏洞的蜜罐系统。防火墙可以行使访问控制的防御功能，入侵检测系统可以实现数据采集和检测入侵的功能，丢弃恶意通信，确保这个通信不能到达目的地，并通知防火墙进行阻断，将可疑的网络流引入到蜜罐系统中，蜜罐系统主动诱捕通信信息，对通信信息进行分析，发现攻击，将攻击信息存放在日志服务器中。通过开放接口实现互动不影响防火墙、IDS产品和蜜罐系统的性能，但由于是三个系统的配合，所以要重点考虑到三者联动时的开销问题。

4.2 模型功能系统划分

该模型中分为四个部分：防火墙、入侵检测系统、蜜罐系统、联动控制系统。其各部分的主要作用为：

1） 防火墙。防火墙作为安全的第一道防线，可以配置在主机外或内部网络外，根据其机制从各种端口中辨别判断从外部不安全网络发送到内部安全网络中具体的计算机的数据是否有害，尽可能地将有害数据丢弃，达到初步的网络系统安全保障。同时，根据入侵检测系统和蜜罐系统所提供的攻击信息进行相应防御。

2） 入侵检测系统。该模块主要实现数据采集、数据分析和响应三个功能。该系统首先要对所有经防火墙过滤后流入内部网络的数据和事件进行数据采集，对数据和各事件进行分析，根据数据流特征信息从中发现违反安全策略的行为。当确定发生了入侵行为，将确定的入侵行为特征上传到联动控制系统并报警，由联动控制系统来控制防火墙和入侵检测系统本身的防御响应机制进行防御；当发现网络出现异常行为，但确定不了是否真的为入侵行为，则上传到联动控制系统并报警，由联动控制系统发出控制指令，采用地址或端口重定向机制将网络流导入到已设置好的蜜罐作进一步的研究，避免像单一的入侵检测系统那样出现误报或漏报的情况，直接攻击到了主机。

3） 蜜罐系统。该模块主要在受保护的主机或系统上配置蜜罐系统，该系统实际上是一个网络陷阱，网络中的异常行为经过联动控制系统重定向到该模块后，一方面可以通过精心设置蜜罐系统，使其尽可能的像一个真实的系统，从而吸引并迷惑入侵者，掩盖蜜罐的欺骗性，使入侵者相信其入侵的是一个真实的系统，起到欺骗入侵者的作用；另一方面进行数据捕获及日志记录，将捕获的内容进行分析，如果发现了入侵检测系统漏报的和新出现的攻击方式，则上传至联动控制系统发出报警，由防火墙和入侵检测系统的响应机制进行防御，并进行反跟踪信息采集和分析，在保护主机的同时进行反攻击。

4） 联动控制系统。该模块主要负责协调各部分之间工作，及时上报各种信息，根据入侵检测系统和蜜罐系统发现的攻击进行报警响应，而且可以各种情况协同控制，给系统的各个部分下达相应的响应指令。

5 总结

蜜罐技术作为一种主动防御网络安全的方法，已经成为安全专家所青睐的对付黑客的有效工具之一，它既可作为独立的安全工具，还可以与其他的安全机制联合使用。蜜罐技术本身并不能完全解决安全问题，但在与防火墙和入侵检测系统的配合下，能够弥补原有网络安全防御系统的不足，构成更加安全的网络防御体系。

参考文献：

[1] （美）Lance Spitzner著. honeypot： 追踪黑客[M].邓云佳，译.北京：清华大学出版社， 2004：9-10.

[2] 熊华， 郭世泽， 慧勤. 网络安全——取证与蜜罐[M].北京：人民邮电出版社， 2003：97-13.

[3] Baumann， Reto， Plattner， Christian.蜜罐S[C]. March 14 2003. Pages 3-40.

[4] 连红， 胡谷雨. 网络防御中的蜜罐技术研究[J]. 军事通信技术， 2005（2）： 57-61.

[5] Lance Spitzner. Honeypots： Definitions and Value of Honeypots[EB/OL]. http：//www.tracking- hackers.com， 2003，5.29.

[6] 裴建. 防火墙的局限性和脆弱性及蜜罐技术的研究[J]. 科技情报开发与经济.2005（5）：251-252.

[7] 冯嵩， 张洁等. 构建基于蜜罐技术的入侵检测系统[J]. 计算机系统应用， 2006（7）：31-34.

[8] 张兴东， 胡华平， 况晓辉， 陈辉忠. 防火墙与入侵检测系统联动的研究与实现[J]. 计算机工程与科学， 2004，26（4）：22-26.