蜜罐技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域中的應(yīng)用

◆黃 為

蜜罐技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域中的應(yīng)用

◆黃 為

（佛山市華材職業(yè)技術(shù)學(xué)校 廣東 528000）

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，人們?nèi)粘Ｉa(chǎn)生活中各種信息數(shù)據(jù)都處在網(wǎng)絡(luò)之上，如何做好網(wǎng)絡(luò)安全工作不單是相關(guān)工作人員的研究方向，同時(shí)也是網(wǎng)絡(luò)發(fā)展的必然要求。蜜罐系統(tǒng)作為新出現(xiàn)的一項(xiàng)主動(dòng)性的網(wǎng)絡(luò)防御技術(shù),在近年有比較普遍的應(yīng)用，如何將其與傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)結(jié)合也是其后續(xù)發(fā)展的主要方式之一。本文首先論述了蜜罐系統(tǒng)的含義以及實(shí)施過(guò)程中需要考慮的內(nèi)容，然后在此基礎(chǔ)上研究了具體的應(yīng)用方法，供相關(guān)讀者參考。

蜜罐技術(shù)；主動(dòng)防御；網(wǎng)絡(luò)安全技術(shù)

目前在網(wǎng)絡(luò)安全工作中采用的防護(hù)技術(shù)仍然是以防火墻、入侵檢測(cè)等被動(dòng)防御為主。蜜罐是陷阱網(wǎng)絡(luò)的重要組成部分之一，它通過(guò)模擬易受攻擊的系統(tǒng)來(lái)誘使黑客進(jìn)行攻擊，然后將其活動(dòng)記錄，進(jìn)而分析，為往后防御提供指導(dǎo)。

1 蜜罐技術(shù)的基本含義

1.1 蜜罐技術(shù)概述

蜜罐系統(tǒng)，在網(wǎng)絡(luò)技術(shù)使用過(guò)程當(dāng)中屬于誘騙系統(tǒng)的范疇，目前在網(wǎng)絡(luò)安全領(lǐng)域當(dāng)中作為重要的安全資源系統(tǒng)使用。蜜罐系統(tǒng)本身有比較嚴(yán)格的監(jiān)控體系，能夠引誘網(wǎng)站入侵人員主動(dòng)對(duì)該網(wǎng)站發(fā)起進(jìn)攻，從而利用相關(guān)的監(jiān)控設(shè)施分析出入侵者利用何種工具及如何完成攻擊活動(dòng)。這樣在后續(xù)工作開(kāi)展過(guò)程中，能夠有針對(duì)性選擇一些防范辦法，從而有效再次避免入侵者給網(wǎng)絡(luò)系統(tǒng)帶來(lái)的危害。另外相對(duì)于傳統(tǒng)的網(wǎng)絡(luò)安全措施,蜜罐技術(shù)具有更好的針對(duì)性，尤其是對(duì)于竊聽(tīng)入侵方式來(lái)說(shuō)能夠有效收集入侵者使用的設(shè)備工具信息，從而起到更好的防護(hù)作用。

1.2 蜜罐技術(shù)分類(lèi)

（1）實(shí)系統(tǒng)蜜罐

首先是實(shí)系統(tǒng)蜜罐，該種蜜罐技術(shù)主要是依賴(lài)于特定的實(shí)體設(shè)備，不需要專(zhuān)門(mén)安裝一些補(bǔ)丁來(lái)創(chuàng)造出漏洞，也就是說(shuō)該系統(tǒng)本身就有真實(shí)存在的漏洞以供蜜罐技術(shù)使用。在使用實(shí)系統(tǒng)蜜罐時(shí)，可以直接將蜜罐接入到所在環(huán)境的網(wǎng)絡(luò)系統(tǒng)當(dāng)中，這樣相對(duì)于專(zhuān)門(mén)打補(bǔ)丁的方式來(lái)說(shuō)有更好的隱蔽性，也就是說(shuō)入侵人員很難發(fā)現(xiàn)該蜜罐是特殊準(zhǔn)備的蜜罐。另外在真實(shí)度比較高的實(shí)系統(tǒng)蜜罐運(yùn)行的監(jiān)控程序中能夠更加清楚明了地記載入侵信息以及入侵人員的活動(dòng)行為。

（2）偽系統(tǒng)蜜罐

偽系統(tǒng)蜜罐與實(shí)系統(tǒng)蜜罐相比較最大的不同是該系統(tǒng)內(nèi)存在的漏洞是工作人員專(zhuān)門(mén)搭建或設(shè)置的，也就是說(shuō)在一個(gè)良好完善的系統(tǒng)內(nèi)人為的搭建一些漏洞，這種系統(tǒng)最大的優(yōu)勢(shì)是在監(jiān)控入侵人員的行為過(guò)程當(dāng)中并不會(huì)對(duì)本身的系統(tǒng)造成不良的影響。同時(shí)對(duì)于監(jiān)控人員來(lái)說(shuō)，即便是入侵成功也能夠很好的將有用的資料與入侵內(nèi)容隔離開(kāi)來(lái)，避免造成嚴(yán)重的損害。對(duì)于偽系統(tǒng)蜜罐的搭建工作目前所采用最主要的方式是虛擬機(jī)。利用虛擬機(jī)能夠在同一個(gè)硬件平臺(tái)處搭建多個(gè)存在漏洞的系統(tǒng)。通過(guò)虛擬機(jī)的方式，能夠高效的在一個(gè)平臺(tái)之上搭建出多個(gè)蜜罐系統(tǒng)，從而提高工作效率。但是相對(duì)來(lái)說(shuō)偽系統(tǒng)存在著一定的劣勢(shì)，最主要的問(wèn)題仍然是真實(shí)度不夠，也就是說(shuō)部分技術(shù)比較高明的入侵者很容易發(fā)現(xiàn)偽系統(tǒng)蜜罐的存在。

1.3 蜜罐的優(yōu)劣勢(shì)

（1）蜜罐系統(tǒng)的優(yōu)勢(shì)

蜜罐系統(tǒng)最大的優(yōu)勢(shì)表現(xiàn)在工作人員分析數(shù)據(jù)方面，通過(guò)蜜罐系統(tǒng)能夠有效的減少分析入侵者產(chǎn)生的活動(dòng)數(shù)據(jù)，從而快速的找到一些關(guān)鍵信息，這樣對(duì)于采取后續(xù)的控制行為能夠起到很好的指導(dǎo)作用。目前入侵者采用入侵對(duì)象當(dāng)中，網(wǎng)站服務(wù)器以及郵件服務(wù)器占比非常大，但是這二者實(shí)際產(chǎn)生作用的攻擊流量比較小，在尋找攻擊流量的時(shí)候需要通過(guò)分析大量的數(shù)據(jù)才能找出異常流量，這種情況下對(duì)于分析系統(tǒng)設(shè)備的要求比較高，通過(guò)采取蜜罐的方式能夠有效控制進(jìn)出流量，從而提高數(shù)據(jù)分析的目的性，以得到更具有價(jià)值的數(shù)據(jù)。

（2）蜜罐系統(tǒng)的劣勢(shì)

蜜罐系統(tǒng)作用的發(fā)揮是在入侵者進(jìn)入到事先準(zhǔn)備的陷阱當(dāng)中后完成的一系列活動(dòng)，防火墻就不能起到相應(yīng)的作用，只能通過(guò)分析用的數(shù)據(jù)采取一些有針對(duì)性的措施，盡可能減少后續(xù)的破壞。同時(shí)在該特性的影響下，入侵人員往往能夠利用蜜罐系統(tǒng)的安全風(fēng)險(xiǎn)，有可能直接入侵真正的網(wǎng)絡(luò)系統(tǒng)。另外,如果沒(méi)有人攻擊蜜罐系統(tǒng)的話(huà),此系統(tǒng)就會(huì)變得毫無(wú)用處。

2 蜜罐的主要操作方法

目前在蜜罐系統(tǒng)的操作過(guò)程當(dāng)中采用的方法手段主要包括網(wǎng)絡(luò)欺騙、數(shù)據(jù)捕獲以及入侵?jǐn)?shù)據(jù)控制分析等，通過(guò)這些操作的相互結(jié)合作用，可以鑒別出入侵者的行為特征，從而給后續(xù)工作的開(kāi)展提供比較好的借鑒。

2.1 網(wǎng)絡(luò)欺騙的方式

對(duì)于蜜罐系統(tǒng)來(lái)說(shuō)，欺騙是根本性的手段，工作人員在使用蜜罐系統(tǒng)的時(shí)候，有意的設(shè)置一些安全弱點(diǎn)或是技術(shù)漏洞，從而借此引誘入侵者對(duì)蜜罐系統(tǒng)進(jìn)行攻擊。所以說(shuō)，使用的欺騙手段是否高明是決定蜜罐系統(tǒng)價(jià)值的直接因素。在強(qiáng)大的網(wǎng)絡(luò)欺騙方法的保證之下，使得蜜罐系統(tǒng)很好的偽裝成正常工作的系統(tǒng)，這樣能夠使入侵者的戒心進(jìn)一步下降從而充分發(fā)揮出蜜罐系統(tǒng)本身的作用。從具體的欺騙手段來(lái)看，目前主要有流量仿真，模擬系統(tǒng)漏洞以及服務(wù)端口的模擬開(kāi)放等多種內(nèi)容。具體工作開(kāi)展過(guò)程當(dāng)中往往是將這些手段結(jié)合在一起使用從而提高其本身的真實(shí)性。

2.2 數(shù)據(jù)捕獲的方式

在入侵者進(jìn)入到蜜罐系統(tǒng)之后的工作重點(diǎn)則是捕獲數(shù)據(jù)信息，也就是說(shuō)需要準(zhǔn)確完整的找出哪部分?jǐn)?shù)據(jù)是入侵者的行為活動(dòng)所產(chǎn)生的，這也是蜜罐系統(tǒng)設(shè)計(jì)過(guò)程當(dāng)中的核心功能所在。捕獲數(shù)據(jù)過(guò)程當(dāng)中，需要從入侵者進(jìn)入到蜜罐系統(tǒng)時(shí)候開(kāi)始，并保證在捕獲過(guò)程當(dāng)中不被入侵者發(fā)掘。從實(shí)際工作情況來(lái)看，獲取的數(shù)據(jù)信息當(dāng)中最外層的就是進(jìn)出防火墻的日志，其后由IDS抓取網(wǎng)絡(luò)包，最后捕獲蜜罐系統(tǒng)所有系統(tǒng)日志和用戶(hù)鍵盤(pán)序列等。數(shù)據(jù)捕獲之后需要對(duì)此前大量的信息進(jìn)行分析，這是一項(xiàng)非常困難的工作。

2.3 數(shù)據(jù)控制

網(wǎng)絡(luò)的入侵人員在入侵行為過(guò)程當(dāng)中的目標(biāo)往往并不只是某一個(gè)固定的系統(tǒng)，也就是說(shuō)很可能會(huì)以蜜罐系統(tǒng)作為跳板，進(jìn)一步入侵其他系統(tǒng)，這個(gè)時(shí)候?yàn)榱吮ＷC其他設(shè)備系統(tǒng)的安全就必須要做好隔離工作，也就是說(shuō)必須要通過(guò)控制蜜罐系統(tǒng)產(chǎn)生的數(shù)據(jù)方面的手段來(lái)保證該系統(tǒng)工作當(dāng)中產(chǎn)生的流量處在工作人員的可控范圍內(nèi)。目前所采用到的手段主要是屏蔽一些不必要的連接，以及通過(guò)路由器控制網(wǎng)絡(luò)進(jìn)出的流量?jī)?nèi)容，避免數(shù)據(jù)包的傳送出現(xiàn)不可控的因素。

3 蜜罐在網(wǎng)絡(luò)信息安全領(lǐng)域中的應(yīng)用

3.1 蜜罐的網(wǎng)絡(luò)部署

蜜罐系統(tǒng)使用過(guò)程當(dāng)中涉及的網(wǎng)絡(luò)部署工作相對(duì)比較簡(jiǎn)單。將一臺(tái)機(jī)器作為蜜罐系統(tǒng)的服務(wù)器，完成操作系統(tǒng)的安裝之后，裸機(jī)情況下直接制造一些漏洞，與互聯(lián)網(wǎng)連接，這種情況下，入侵者入侵非常容易，但是有不少缺點(diǎn)，包括風(fēng)險(xiǎn)較高，如若機(jī)器被控制，對(duì)網(wǎng)絡(luò)中其他計(jì)算機(jī)系統(tǒng)容易發(fā)生較大安全隱患。另外，有經(jīng)驗(yàn)的入侵者會(huì)較易發(fā)覺(jué)到此為一個(gè)蜜罐系統(tǒng)，可能會(huì)升級(jí)入侵手段。第二種是通過(guò)建立虛擬機(jī)，將計(jì)算機(jī)本身的真實(shí)數(shù)據(jù)相互隔離。在目前網(wǎng)絡(luò)系統(tǒng)發(fā)展中，防火墻技術(shù)已經(jīng)有了非常普遍的使用，大部分網(wǎng)絡(luò)拓?fù)洚?dāng)中都會(huì)有防火墻技術(shù)的存在，在部署蜜罐系統(tǒng)的時(shí)候，工作人員可以考慮其與防火墻之間相互結(jié)合的位置，從而起到不同的作用，充分發(fā)揮出蜜罐系統(tǒng)本身的價(jià)值。比如在設(shè)置蜜罐系統(tǒng)的時(shí)候?qū)⑵浞胖迷诜阑饓Φ那懊婺軌驅(qū)⒋罅康娜肭止粑矫酃尴到y(tǒng)當(dāng)中，避免內(nèi)部系統(tǒng)直接受到攻擊，但是這種部署方式無(wú)法檢測(cè)來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊。如果將域外系統(tǒng)放置在防火墻的內(nèi)部，則需要有針對(duì)性的調(diào)整防火墻的配置，這種情況下防火墻設(shè)備會(huì)產(chǎn)生一定的漏洞，如果入侵者成功進(jìn)入到真正的系統(tǒng)，很可能會(huì)造成比較嚴(yán)重的損害。

3.2 蜜罐與入侵檢測(cè)系統(tǒng)

在傳統(tǒng)的入侵檢測(cè)系統(tǒng)工作過(guò)程當(dāng)中，由于缺乏實(shí)質(zhì)性的手段，大部分情況下工作人員都是將工作過(guò)程當(dāng)中出現(xiàn)的異常數(shù)據(jù)與特征庫(kù)進(jìn)行比對(duì)，從而尋找出具體出現(xiàn)問(wèn)題的內(nèi)容。這種工作方式雖然能夠全面的檢查出哪一部分出數(shù)據(jù)出現(xiàn)了異常，但是在實(shí)際工作開(kāi)展過(guò)程當(dāng)中，需要面對(duì)大量的數(shù)據(jù)，如果將這些數(shù)據(jù)進(jìn)行全面的比對(duì)分析，其面臨的工作量非常巨大，往往會(huì)給系統(tǒng)服務(wù)器帶來(lái)比較大的壓力。相對(duì)來(lái)說(shuō)蜜罐系統(tǒng)能夠很好地與入侵檢測(cè)系統(tǒng)相互結(jié)合，從而盡可能地減少以上問(wèn)題出現(xiàn)的概率，也就是說(shuō)在入侵者攻擊網(wǎng)絡(luò)系統(tǒng)的時(shí)候，蜜罐系統(tǒng)就對(duì)其實(shí)現(xiàn)實(shí)時(shí)的監(jiān)控，從而有效將異常數(shù)據(jù)控制在比較小的范圍內(nèi)縮小比對(duì)的內(nèi)容，從而提高入侵檢測(cè)系統(tǒng)的網(wǎng)絡(luò)防御能力。

3.3 蜜罐與僵尸網(wǎng)絡(luò)系統(tǒng)

僵尸網(wǎng)絡(luò)也是目前入侵的采用比較廣泛的方法之一，相對(duì)于單一的攻擊手機(jī)來(lái)說(shuō)，僵尸網(wǎng)絡(luò)的分布比較廣泛，具有非常明顯的分布式特征，通過(guò)僵尸網(wǎng)絡(luò)能夠?qū)崿F(xiàn)比較全方位的攻擊。在監(jiān)控僵尸網(wǎng)絡(luò)系統(tǒng)的時(shí)候，利用蜜罐系統(tǒng)可以針對(duì)將是網(wǎng)絡(luò)分布性的特征，進(jìn)行反向跟蹤，并發(fā)出有針對(duì)性的攻擊。具體工作開(kāi)展過(guò)程當(dāng)中，工作人員首先需要建立一個(gè)完善的蜜罐系統(tǒng)，然后通過(guò)有針對(duì)性的一些工作，獲取到僵尸網(wǎng)絡(luò)的一些特殊流量信息，從而借此作為標(biāo)簽反向追蹤攻擊者采用的攻擊方式。

4 結(jié)語(yǔ)

總而言之，在互聯(lián)網(wǎng)技術(shù)快速發(fā)展的時(shí)代背景下，各方面的用戶(hù)在使用網(wǎng)絡(luò)系統(tǒng)過(guò)程當(dāng)中，往往會(huì)面臨著各式各樣的風(fēng)險(xiǎn)。但是從目前實(shí)際情況來(lái)看，許多網(wǎng)絡(luò)安全措施都是在信息安全風(fēng)險(xiǎn)出現(xiàn)以后才開(kāi)始的，也就是說(shuō)大部分情況下用戶(hù)使用到的都是被動(dòng)式的防御工作，這種防御方式已經(jīng)很難滿(mǎn)足目前的網(wǎng)絡(luò)安全需求。所以說(shuō)為了保證用戶(hù)的信息安全，必須要將蜜罐技術(shù)與傳統(tǒng)的防御技術(shù)相互結(jié)合，進(jìn)一步提高網(wǎng)絡(luò)系統(tǒng)的安全性。蜜罐系統(tǒng)作為新型的網(wǎng)絡(luò)安全技術(shù)，能夠快速的收集入侵者的相關(guān)信息，從而給出有針對(duì)性的防范措施，對(duì)于后續(xù)防范辦法的優(yōu)化能夠起到很好的作用。

[1]何祥鋒．淺談蜜罐技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（1）.

[2]孫中廷．蜜罐技術(shù)在網(wǎng)絡(luò)安全系統(tǒng)中的應(yīng)用與研究[J]．計(jì)算機(jī)與網(wǎng)絡(luò)，2014（17）.

[3]姚東鈮．分布式蜜罐技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J]．電子測(cè)試，2014（8）.

[4]唐旭，陳蓓．蜜罐技術(shù)在校園網(wǎng)絡(luò)安全中的作用分析[J]．電腦與電信，2015（12）.