技术与市场 技术研发 2014年第21卷第8期 网络安全新技术 蜜罐系统浅析 张 珏 (陕西省榆林学院,陕西榆林719000) 摘要:蜜罐技术是一个主动防御技术,可以诱骗攻击,记录入侵过程,并以此来分析用户行为。从发展历史、定义、分 类、技术类型等角度对蜜罐系统作了全面分析,并指出了蜜罐技术存在的缺陷及不足,探讨了今后的发展方向。 关键词:蜜罐技术;网络安全;主动防御;欺骗 doi:10.3969/j.issn.1006—8554.2014.08.016 0引言 2蜜罐的分类 蜜罐的思想最早可追溯到1988年5月,Cliford Stoll在题 蜜罐自出现以来,主要经历了欺骗系统、Honeypots,Honey— 为“Stalking the Wily Hacker”的文献中介绍了作者追踪黑客的 nets几个发展阶段。欺骗系统侧重利用蜜罐直接保护工作系 过程。采取的方法是保持系统对黑客开放,对系统进行严密的 统,从Honeypots到Honeynet都是以了解黑客为主要目的。 监视,悄悄记录黑客的活动并进行追踪。还介绍了在追踪黑客 根据设计的最终目的不同可以将蜜罐分为应用型蜜罐(也 的过程中伪造一些包含敏感信息的文件作为诱饵吸引住黑客, 叫产品型蜜罐)和研究型蜜罐两类。 一方面让黑客暂时不去进行其他破坏,另一方面使自己有更充 应用型蜜罐:一般用于特定组织中帮助提高网络的安全 足的时间追踪黑客。当然,如果使伪造的文件包含不同类型的 性,降低危险。它的作用主要表现在以下三个方面:防护(较 信息,如财政、军事等,就可能试探出入侵者的兴趣,记录对这 弱)、检测(较强)、响应。 些文件的访问,自然也起到检测入侵者的效果。这就是蜜罐的 研究型蜜罐:专门以研究和获取攻击信息为目的而设计。 基本思想。蜜罐作为一个独立的系统正式出现于Bill Cheswick 这类蜜罐并没有增强网络的安全性而是让网络面对各类攻击。 在1991年发表的题为“An Evening with Befferd In Which a 利用研究型蜜罐实现对黑客攻击,进行追踪和分析,捕获黑客 Cracker is Lured,Endured,and Studied”的文献。作者提出在 的键击记录,了解到黑客所使用的攻击工具及攻击方法,甚至 系统空闲的端口上,打开一些伪造的服务吸引黑客,进而记录 能够监听到黑客之间的交谈,从而掌握他们的心理状态等信 黑客的活动。作者还把黑客引入一个专门的操作系统环境中, 息,寻找能够对付这些威胁更好的方式 。 使黑客暴露出了更多的信息。 根据蜜罐的工作方式不同可以分为牺牲型蜜罐、外观型蜜 国内对蜜罐的研究始于2001年,主要集中在理论消化和 罐和测量型蜜罐。 实现方面。在蜜罐的研究和知识产权方面仍处于起步阶段,目 牺牲型蜜罐:一台简单的为某种特定攻击设计的计算机, 前的理论和产品都只针对一些特定的情况,没有建立完整的理 放置在易受攻击的地点,提供真实的攻击目标,所以得到的结 论模型和应用技术。 果都是真实系统上会发生的状况。 1蜜罐的概念 外观型蜜罐:一个呈现目标主机的虚假映像系统,仅仅是 蜜罐技术是近几年来提出并受到极大关注的一种网络安 对网络服务进行仿真而不会导致机器真正被攻击,从而蜜罐安 全新技术,是一种采取主动方式的防御技术。顾名思义,就是 全不会受到威胁。它是最简单的蜜罐,通常由某些应用服务的 用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进 仿真程序构成,以欺骗攻击者。它们只能够提供潜在威胁的基 行分析并寻找有效的防护措施。同时也可以搜集“进套”入 本信息。 侵者的攻击目的、攻击思路等信息为研究部门分析入侵者攻 测量型蜜罐:结合对外观型蜜罐的低成本和牺牲型蜜罐的 击行为、攻击思路等提供重要资料。蜜罐技术的具体实现方 细节深度两方面的优点,对现有系统进行了大规模的操作系统 式是多种多样,可以是一个虚拟系统,也可以是一个实际网 层次或内核层次更改以及应用程序开发。 络,但他们都是精心布设的诱骗环境,以诱攻击。一旦入侵者 交互性是蜜罐的一个重要属性,交互性体现了入侵者实现 成功侵入,却又掉入蜜罐之中,则一切尽在控制。也就是说, 这个蜜罐操作系统之间的交互程度。交互级别为我们提供了 蜜罐是建立并设置好的用于引诱非授权或非法访问的一种 一种可以对蜜罐进行测度和比较的标尺。蜜罐所能做的事情 资源。 越多,以及攻击者对蜜罐所能做的事情越多,从蜜罐上所获得 Spitzner认为蜜罐的概念非常简单,就是一个专门让黑客 的信息就会越多,但同时攻击者所能造成的危害就会越大。交 攻击的系统,而作为欺骗系统的蜜罐所发挥的作用是很有限 互性定义了蜜罐允许攻击者的行为水平。按照交互性,把蜜罐 的,蜜罐的主要作用是提供了一条获取黑客信息的途径。 分为低交互度的蜜罐、中交互度的蜜罐和高交互度蜜罐。 29 技术研发 TECHNoL0GY AND MARKET Vo1.21,No.8,2014 低交互蜜罐通常是模拟的虚拟蜜罐,或多或少存在着一些 容易被黑客所识别的指纹信息。产品型蜜罐一般属于低交互 蜜罐。中交互蜜罐是对真正的操作系统的各种行为的模拟,它 提供了更多的交互信息,同时也可以从攻击者的行为中获得更 多的交互信息。在这个模拟行为的系统中,蜜罐看起来和一个 真正的操作系统没有区别,却比真正操作系统有诱人的攻击目 标。高交互蜜罐具有一个真实的操作系统,它的优点体现在对 攻击者提供真实的系统,当攻击者获得ROOT权限后,受系统 和数据真实性的迷惑,他的更多活动和行为将被记录下来。缺 第二代Honeynet:GenII Honeynet的目标是找到一种更容 易配置,更难被黑客检测到的Honeynet方案。它的数据控制可 以使黑客能够更多地与被侵入系统进行交互,即给予其更多地 向外连接的自由,从而获取更多的黑客信息,同时对黑客行为 进行更多地控制,而且使其不易察觉。Gen 11 Honeynet在数据 控制上的一个改进是对非法行为检测能力的提高。第二个改 进表现在对非法行为的回应方式,不同与GenI Honeynet简单 的阻塞连接,Gen 1I Honeynet试图对连接行为进行修改或使其 流产,并不被察觉。 虚拟Honeyne:可分为两种类型:自我包含型(self—Con— 点是被入侵的可能性很高,如果整个高交互蜜罐被入侵,那么 它就会成为攻击者下一步攻击的跳板。研究型蜜罐一般都属 于高交互蜜罐。 3蜜罐的技术类型 模拟服务:模拟服务是指在特定IP服务器端口上侦听并 像其他应用程序那样对各种网络请求进行应答的应用程序。 蜜罐的模拟服务需要精心配置和设计,首先,要将服务模拟得 足以让黑客相信是一件非常困难的事情。此外,模拟服务只能 收集有限的信息。管理员可以发现初始的攻击,比如试图获得 机器的根目录访问权限,但是系统管理员可以获得的信息仅此 而己。 用户模式服务器:简单地说,就是用一个用户进程来虚拟 一个服务器。用户模式服务器是一个功能健全的服务器,嵌套 在主机操作系统的应用程序空间中,因特网用户向用户模式服 务器的IP地址发送请求,主机会接受该请求并将它转发给适 当的虚拟机实例。 Honeynet技术:Honeynet使用包含多个蜜罐机的网络作为 黑客活动环境,Honeynet一般包括三个方面:数据控制和数据 捕获和数据采集。目前主要有以下几种Honeynet方案:第一代 Honeynet、第二代Honeynet和虚拟Honeynet。 数据控制就是对黑客行为的牵制。与黑客打交道总会存 在危险,必须尽量降低这种危险。要确保一旦Honeynet中的一 个蜜罐机被侵入,蜜罐机不能被用来攻击任何非Honeynet的系 统。数据捕获是对黑客所有行为的监控和记录。数据捕获的 关键是层次。我们不能仅仅依靠单独的一层来捕获信息,因为 它随时可能出现错误。捕获数据的层次越多,得到的数据越完 整。对于在分布式环境中使用多个Honeynet的企业或组织, Honeynet还有第三个要素——数据采集。仅仅使用单个Hon— eynet的组织所需要的只是对数据的控制和捕获。然而,对使 用多个在逻辑上或物理上分布在世界各地的Honeynet的组织 则需要收集所有捕获的数据,并将其集中存放在一个中心位 置。 第一代Honeynet:防火墙将Honeynet分为3个不同的子 网,分别是蜜罐网络,internet和生产网络。每个进出蜜罐网络 的数据包都必须经过防火墙和路由器。防火墙是控制向外和 向内连接的主要设备,路由器是对这种控制功能的补充。在 Genl Honeynet中,防火墙配置为允许任何向内的连接,但控制 向外的连接。 30 rained)和混合型(Hybrid)。 自我包含型(self—Contained)首先安装主操作系统,然后 在它之上安装虚拟软件,最后安装由虚拟软件控制的客操作系 统。主操作系统在Honeynet中也起着数据控制和数据捕获的 作用,它是到达各客操作系统的网关。 混合型(Hybrid):混合型虚拟Honeynet是传统Honeynet 与虚拟软件的结合。第一个计算机即Honeynet Gateway起数 据控制和数据捕获的作用。在另一台计算机上安装多个客操 作系统,每个是一个独立的Honetpot。主操作系统未在图中显 示出来,它不是一个Honeypot,而是一个平台,用来安装和管理 虚拟软件中的客操作系统。 4结语 随着攻击事件的增多,保存的数据也会越来越多,未来的 蜜罐系统一定能够提供更完善的数据采集和分析手段。目前 大部分的蜜罐系统只能在特定的操作系统下工作,因此能够跨 平台工作的蜜罐将成为安全工作者关注的焦点。如何降低蜜 罐所引入的风险,一直都是蜜罐使用者和网络安全专家们所关 注的问题之一。交互的程度越高,系统越真实,自己陷入危险 的概率就越大。蜜罐对网络安全的作用主要是间接的,与其他 安全技术的结合将是蜜罐一个重要的发展方向。蜜罐不仅在 有线网络中能发挥作用,随着移动网络的扩大和普及,它在移 动网络中也将大有作为,目前,移动网络的动态蜜罐系统也已 出现。 在网络安全领域,没有一种安全技术能达到“防之四海而 皆准”的效果,每种技术都有其优缺点,因而就仅适用于一定的 领域、一定的范围。各种安全技术扬长避短地紧密结合是应对 不断出现的复杂网络安全问题的解决途径。 参考文献: [1] 陈超,妙全兴.蜜罐技术研究【J].计算机安全,2009(8). [2] 吕波.基于主动防御性的密网系统研究与实现【D].成 都:成都电子科技大学,2010(5). [3] 金大勇,杨帆.网络安全与蜜罐技术分析[J].微处理机, 2008(5). [4] 包丽萍,夏淑华.蜜罐技术的局限性及其发展f J].电脑 知识与技术,2010(4). 基金项目: 榆林学院青年科技基金12YK37。