网络安全中的蜜网技术研究及应用

◆朱建忠

(福建广播电视大学电子信息与计算机系 福建 350013)

网络安全中的蜜网技术研究及应用

◆朱建忠

(福建广播电视大学电子信息与计算机系 福建 350013)

蜜网技术作为网络安全领域新的研究热点,近年来得到了广泛的关注和快速的发展。蜜罐与蜜网技术通过精心布置的诱骗环境来吸引网络攻击者的入侵，进而了解攻击思路、攻击工具和攻击目的等行为信息。本文比较系统地阐述了蜜罐与蜜网的概念，研究密网所涉及的关键技术，探讨了密网技术在网络安全中的应用，最后对密网技术的发展趋势进行了展望。

网络安全；蜜罐；密网

0 引言

当前通过互联网对信息资源所进行的攻击日益严重，现有以防火墙(firewall)和入侵检测系统(IDS)为核心的防御技术采用被动的安全策略，通常滞后于各种各样的攻击，难以针对未知的网络安全问题做出有效响应。为此，基于主动防御理念的蜜罐(Honeypot)和密网（Honeynet）技术受到了广泛的关注，近年来更是得到快速发展[1-2]。

本文阐述了蜜罐和密网的概念，重点探讨了蜜网所涉及的关键技术及在网络安全中的应用，并对密网技术的未来发展趋势进行了展望。

1 蜜罐与密网概念

1.1 密罐概念

蜜罐是一种在互联网上专门为吸引并诱骗那些试图非法闯入计算机系统的人(如电脑黑客)而设计的包含漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标。由于蜜罐并没有向外界提供真正有价值的服务，因此所有对蜜罐尝试都被视为可疑的。“蜜网项目组”（The Honeynet Project）的创始人Lance Spitzner给出了对蜜罐的权威定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷[2]。这就意味着所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷，这样攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对网络发动的最新攻击，进而了解入侵者的攻击目的、攻击方法和攻击工具，特别是对各种未知攻击行为的学习。虽然蜜罐不会直接提高网络安全，但可以延缓攻击和转移攻击目标。因此蜜罐就是诱捕攻击者的一个陷阱。

1.2 密网概念

蜜网是在蜜罐技术上逐渐发展起来的一种高交互性的蜜罐，在一台或多台蜜罐主机基础上，结合防火墙、路由器、入侵检测等组成的网络系统。这一网络系统是隐藏在防火墙后面的，所有进出的资料都会受到监控、捕获及控制。与传统蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，在这个架构中，可以包含一个或多个蜜罐，同时保证网络的高度可控性，以及提供多种工具以方便对攻击信息的采集和分析。另外，蜜网架构注重整合资源，将真实的系统、蜜罐系统、各种服务、防火墙及入侵检测等资源有机结合在一起，具有多层次的数据控制机制，全面的数据捕获机制，并能够辅助研究人员对捕获的数据进行深入分析。因此，蜜网也可理解为一个集防火墙、入侵检测、数据分析软件、各类蜜罐等于一体的综合体。

2 密网核心技术

整个蜜网体系主要由蜜网网关、虚拟蜜罐、物理蜜罐和监控机等组成。蜜网体系结构解决了三大核心功能：数据控制、数据捕获和数据分析[3]。蜜罐与蜜网的研究主要涉及的关键技术有：网络欺骗、数据捕获、数据控制、数据分析等[4-5]。

2.1 网络欺骗

由于蜜罐与密网的价值是在其被探测、攻击或者攻陷的时候才得到体现。网络欺骗技术是使蜜网系统在网络上与真实的主机系统难以区分。所以没有网络欺骗功能的蜜罐是没有价值的, 网络欺骗技术因此也是密网技术体系中最为关键的核心技术和难题。网络欺骗技术的强与弱从一个侧面也反映了蜜罐本身的价值。目前蜜罐主要的网络欺骗技术有如下几种: 模拟服务端口、模拟系统漏洞和应用服务、IP 空间欺骗、流量仿真、网络动态配置、组织信息欺骗、网络服务等。

2.2 数据捕获

数据捕获就是在网络入侵者无察觉的情况下，完整地记录所有进入蜜网系统的连接行为及其活动。蜜网系统通常采用三种层次捕获数据，分别是防火墙、IDS 和蜜罐主机。防火墙位于蜜网系统的前面，数据捕获是蜜网的重要功能，只有捕获了攻击者的入侵数据，才能对其进行分析整理，才能对防火墙和入侵检测等系统进行规则调整。蜜网的主动防御功能能否得以充分的体现关键在于捕获的数据是否真实、是否详实、是否丰富，所以要从不同方面、不同角度去进行数据的搜集，同时还要考虑数据的真实性。

2.3 数据控制

数据控制就是通过设置策略限制攻击者的活动进行网络防护。如果攻击者进入蜜网，既要给攻击者一定的活动自由，也要对攻击者的活动进行限制，不能让攻击者危害蜜网之外的系统，更不能让攻击者发现数据控制的活动。限制攻击者的方法可以采取限制其从蜜罐向外的连接数量和在蜜网中的活动能力。为了防止因单个机制被攻破而导致系统沦陷，通常采用多层次的数据控制机制。

2.4 数据分析

数据分析就是把蜜网系统所捕获到的数据记录进行分析处理，提取入侵规则，从中分析是否有新的入侵特征。数据分析包括网络协议分析、网络行为分析和攻击特征分析等。分析的主要目的有两个：一个是分析攻击者在蜜网系统中的活动、扫描击键行为、非法访问系统所使用工具、攻击目的何在以及提取攻击特征；另一个是对攻击者的行为建立数据统计模型，看其是否具有攻击特征，若有则发出预警，保护其它正常网络，避免受到相同攻击。

3 蜜网技术在网络安全中的应用

随着互联网的飞速发展和经济利益的诱惑，越来越多的网络攻击将给网络带来严重的危险。因此如何保证网络安全是重中之重的事情，本文针对目前危及网络安全较为严重的几种威胁，利用蜜网技术进行防御的可行性进行了探讨[6]。

3.1 抗蠕虫病毒

蠕虫的一般传播过程为扫描、感染、复制三个步骤。经过大量扫描，当探测到存在漏洞的主机时，蠕虫主体就会迁移到目标主机。然后在被感染的主机上生成多个副本，实现对计算机监控和破坏。利用蜜网技术，可以在蠕虫感染的阶段检测非法入侵行为，对于已知的蠕虫病毒，可以通过设置防火墙和IDS规则，直接重定向到蜜网的蜜罐中，拖延蠕虫的攻击时间；对于全新的蠕虫病毒，可以采取办法延缓其扫描速度，在网络层用特定的、伪造数据包来延迟应答，同时利用软件工具对日志进行分析，以便确定相应的对抗措施。

3.2 捕获网络钓鱼

网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。目前的反网络钓鱼工作组等机构寄希望于发觉网络钓鱼攻击的用户向他们报告，通过报告再进行分析。这种途径只能在网络钓鱼攻击发生后从受害者的角度去观察，并不能清晰地了解网络钓鱼攻击的全过程。而蜜网技术则提供了捕获整个过程中攻击者发起攻击行为的能力，在蜜网中的蜜罐都是初始安装的没有打漏洞补丁的系统，一旦部署的蜜网被网络钓鱼者以进行网络钓鱼攻击，安全分析人员就能及时在蜜网捕获的丰富日志数据的基础上，对网络钓鱼攻击的整个生命周期建立起一个完整的理解，并深入剖析各个步骤钓鱼者所使用的技术手段和工具。

3.3 捕获僵尸网络

僵尸网络是近年来兴起得危害互联网的重大威胁之一，它的危害体现在发动分布式拒绝服务攻击、发送垃圾邮件以及窃取僵尸主机内的敏感信息等。因此，我们可以考虑利用在网络中部署恶意软件收集器，对收集到的恶意软件样本采用蜜网技术对其进行分析，确认是否僵尸程序，并对僵尸程序所要连接的僵尸网络控制信道的信息进行提取，最后通过客户端蜜罐技术，伪装成被控制的僵尸工具，进入僵尸网络进行观察和跟踪。

4 蜜网的发展趋势

面对越来越多的网络攻击，密网技术也需要不断更新与发展。

4.1 提高蜜网的可移植性

目前的操作系统种类繁多，大部分蜜网只能在特定的操作系统下工作。因此，能够跨平台工作的蜜网成为关注的焦点。如果蜜网可以在任何操作系统下生效，蜜网的适用范围就会变得更广。

4.2 提高蜜网的交互性

在降低风险的情况下，尽可能提高蜜网与入侵者之间的交互程度。蜜网如果仅仅支持简单的交互行为，就可能被入侵者很快发现并迅速全身而退。所以蜜网要尽量提高与入侵者之间的交互程度，以便更好地了解入侵者的行为。

4.3 提高蜜网的信息控制和记录功能

当前的蜜网技术在记录攻击者攻陷一台机器之后的情况方面还做得很不够。由于出现了越来越多大规模分布式的攻击，了解攻击者在攻陷一台机器之后的所作所为，成为蜜网的重要工作。

4.4 降低蜜网的风险

引入密网后，想要获得更多有价值的信息和数据，又要系统保持足够的安全，这的确很难。交互的程度越高，模拟得越像，自己陷入危险的可能性也就越大。

5 结论

本文介绍了蜜罐及蜜网的概念，重点探究了网络欺骗、数据捕获、数据控制、数据分析等密网所涉及的关键技术，探讨了密网技术在网络安全中的应用，并展望了未来的发展趋势。蜜网技术作为一种应用欺骗思想的主动防御技术，是现有安全机制的有力补充。随着技术的进一步发展，蜜网技术定能在网络安全领域发挥更大的作用。

[1]ROBERT MCGREW.Experiences With Honeypot Systems：Development，Deployment and Analysis[J].IEEE Transactions on Software Engineering，2006.

[2]The Honeynet Project. http: www.honeynet.org, 2007

[3]程杰仁,殷建平,刘运,钟经伟.蜜罐及密网技术研究进展[J].计算机研究与发展，2008.

[4]罗来俊.基于蜜网技术的主动式网络安全系统研究 [J].电脑知识与技术，2011.

[5]诸葛建伟等.蜜罐技术研究与应用进展[J].软件学报2013.

[6]贺文娟,贾丙静.蜜网技术在网络安全中的应用[J].东莞理工学院学报，2013.