蜜罐及蜜网技术简介

蜜罐及蜜网技术简介

Introduction to Honeypot and Honeynet

北大计算机科学技术研究所

信息安全工程研究中心

诸葛建伟，2004-10-15

Abstract

The purpose of this paper is to overview the honeypot and honeynet technologies, including the concept, history, present and future. The most well known and applicable honeynet – Gen2 honeynet framework developed by The Honeynet Project is introduced. Furthermore, the emerging research directions in this area are presented.

摘要

本文给出了对蜜罐及蜜网技术的综述报告，包括蜜罐和蜜网的基本概念、发展历程、核心功能，并介绍了目前最为成熟的“蜜网项目组”推出的第二代蜜网架构。此外本文还给出了蜜罐及蜜网技术的进一步研究方向。

关键字

网络攻击；蜜罐；蜜网；诱捕网络

1问题的提出

众所周知，目前的互联网安全面临着巨大的考验。美国CERT（计算机应急

响应组）统计的安全事件数量以每年翻番的惊人指数级增长，在2003年已经达到了137,529次。

导致互联网目前如此糟糕的安全状况的原因有很多，一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷，同时，大部分的网络使用者还未真正拥有安全意识，也还很少进行安全加强工作，如及时打补丁、安装防火墙和其他安全工具等，从而导致了目前的互联网具有巨大的安全隐患。另一方面，随着网络攻击技术的发展，特别是分布式拒绝服务攻击、跳板（Step-stone）攻击及互联网蠕虫的盛行，互联网上的每一台主机都已经成为攻击的目标。此外，黑客社团也不像互联网早期那么纯洁，不再仅仅为了兴趣和炫耀能力而出动，而更多的由于国家利益、商业利益及黑暗心理等因素促使其对互联网安全构成危害。同时攻击者也不再需要很多的专业技术和技巧，他们可以很方便地从互联网上找到所需的最新攻击脚本和工具（如PacketStorm网站）。而这些由高级黑客们开发的攻击脚本和工具越来越容易使用，功能也越来越强，能够造成的破坏也越来越大。特别值得注意的一个趋势是多种攻击脚本和工具的融合，如大量的内核后门工具包（Rootkit），及能够集成多种攻击脚本并提供易用接口的攻击框架（如在2004年DEFCON黑客大会中引起广泛关注的Metasploit）的出现。

针对如此严重的安全威胁，而我们却仍然对黑客社团所知甚少。当网络被攻陷破坏后，我们甚至还不知道对手是谁（黑客、脚本小子还是蠕虫？），对他们使用了哪些工具、以何种方式达成攻击目标，以及为什么进行攻击更是一无所知。

“知己知彼，百战不殆”，安全防护工作者，无论是安全研究人员、安全产品研发人员、安全管理人员和安全响应服务人员，都需要首先对黑客社团有深入的了解，包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。只有在充分了解对手的前提下，我们才能更有效地维护互联网安全。而蜜罐和蜜网技术为捕获黑客的攻击行为，并深入分析黑客提供了基础。

2蜜罐

2.1 蜜罐的概念和发展历程

“蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo’s Egg》中，在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并发现一起商业间谍案的故事。“蜜网项目组”（The Honeynet Project）的创始人Lance Spitzner 给出了对蜜罐的权威定义[1]：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用，因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。

蜜罐技术的发展历程可以分为以下三个阶段。

从九十年代初蜜罐概念的提出直到1998年左右，“蜜罐”还仅仅限于一种思想，通常由网络管理人员应用，通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。

从1998年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出一些专门用于欺骗黑客的开源工具，如Fred Cohen所开发的DTK（欺骗工具包）、Niels Provos开发的Honeyd等，同时也出现了像KFSensor、Specter等一些商业蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。

但是由于虚拟蜜罐工具存在着交互程度低，较容易被黑客识别等问题，从2000年之后，安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐，但与之前不同的是，融入了更强大的数据捕获、数据分析和数据控制的工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。

2.2 蜜罐的分类

蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类，产品型蜜罐的目的在于为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署，而且不需要管理员投入大量的工作。较具代表性的产品型蜜罐包括DTK、honeyd 等开源工具和KFSensor、ManTraq等一系列的商业产品。研究型蜜罐则是专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐，对黑客攻击进行追踪和分析，能够捕获黑客的键击记录，了解到黑客所使用的攻击工具及攻击方法，甚至能够监听到黑客之间的交谈，从而掌握他们的心理状态等信息。研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作，具有代表性的工具是“蜜网项目组”[2]所推出的第二代蜜网技术[3]。

蜜罐还可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐，交互度反应了黑客在蜜罐上进行攻击活动的自由度。低交互蜜罐一般仅仅模拟操作系统和网络服务，较容易部署且风险较小，但黑客在低交互蜜罐中能够进行的攻击活动较为有限，因此通过低交互蜜罐能够收集的信息也比较有限，同时由于低交互蜜罐通常是模拟的虚拟蜜罐，或多或少存在着一些容易被黑客所识别的指纹（Fingerprinting）信息。产品型蜜罐一般属于低交互蜜罐。高交互蜜罐则完全提供真实的操作系统和网络服务，没有任何的模拟，从黑客角度上看，高交互蜜罐完全是其垂涎已久的“活靶子”，因此在高交互蜜罐中，我们能够获得许多黑客攻击的信息。高交互蜜罐在提升黑客活动自由度的同时，自然地加大了部署和维护的复杂度及风险的扩大。研究型蜜罐一般都属于高交互蜜罐，也有部分蜜罐产品，如ManTrap，属于高交互蜜罐。

2.3 蜜罐的优缺点

蜜罐技术的优点包括：

z收集数据的保真度，由于蜜罐不提供任何实际的作用，因此其收集到的数据很少，同时收集到的数据很大可能就是由于黑客攻击造成的，蜜罐

不依赖于任何复杂的检测技术等，因此减少了漏报率和误报率。

z使用蜜罐技术能够收集到新的攻击工具和攻击方法，而不像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。

z蜜罐技术不需要强大的资源支持，可以使用一些低成本的设备构建蜜罐，不需要大量的资金投入。

z相对入侵检测等其他技术，蜜罐技术比较简单，使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。

蜜罐技术也存在着一些缺陷，主要有

z需要较多的时间和精力投入。

z蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析，其视图较为有限，不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。

z蜜罐技术不能直接防护有漏洞的信息系统。

z部署蜜罐会带来一定的安全风险。

部署蜜罐所带来的安全风险主要有蜜罐可能被黑客识别和黑客把蜜罐作为跳板从而对第三方发起攻击。一旦黑客识别出蜜罐后，他将可能通知黑客社团，从而避开蜜罐，甚至他会向蜜罐提供错误和虚假的数据，从而误导安全防护和研究人员。防止蜜罐被识别的解决方法是尽量消除蜜罐的指纹，并使得蜜罐与真实的漏洞主机毫无差异。蜜罐隐藏技术和黑客对蜜罐的识别技术（Anti-Honeypot）之间相当于一个博弈问题，总是在相互竞争中共同发展。另外，蜜罐技术的初衷即是让黑客攻破蜜罐并获得蜜罐的控制权限，并跟踪其攻破蜜罐、在蜜罐潜伏等攻击行为，但我们必须防止黑客利用蜜罐作为跳板对第三方网络发起攻击。为了确保黑客活动不对外构成威胁，必须引入多个层次的数据控制措施，必要的时候需要研究人员的人工干预。

3蜜网

3.1 蜜网的基本概念

蜜网是在蜜罐技术上逐步发展起来的一个新的概念，又可成为诱捕网络。蜜网技术实质上还是一类研究型的高交互蜜罐技术，其主要目的是收集黑客的攻击

信息。但与传统蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，在这个架构中，我们可以包含一个或多个蜜罐，同时保证了网络的高度可控性，以及提供多种工具以方便对攻击信息的采集和分析。

此外，虚拟蜜网通过应用虚拟操作系统软件（如VMWare和User Mode Linux 等）使得我们可以在单一的主机上实现整个蜜网的体系架构。虚拟蜜网的引入使得架设蜜网的代价大幅降低，也较容易部署和管理，但同时也带来了更大的风险，黑客有可能识别出虚拟操作系统软件的指纹，也可能攻破虚拟操作系统软件从而获得对整个虚拟蜜网的控制权。

3.2 蜜网的核心需求

蜜网有着三大核心需求：即数据控制、数据捕获和数据分析。通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全，以减轻蜜网架设的风险；数据捕获技术能够检测并审计黑客攻击的所有行为数据；而数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动、使用工具及其意图。以下结合“蜜网项目组”[2]及其推出的第二代蜜网技术方案[3]对蜜网的核心需求进行分析。

3.3 “蜜网项目组”及第二代蜜网技术

“蜜网项目组”[2]是一个非赢利性的研究组织，其目标为学习黑客社团所使用的工具、战术和动机，并将这些学习到的信息共享给安全防护人员。“蜜网项目组”前身为1999年由Lance Spitzner等人发起的一个非正式的蜜网技术邮件组，到2000年6月，此邮件组演化成“蜜网项目组”，开展对蜜网技术的研究。为了联合和协调各国的蜜网研究组织共同对黑客社团的攻击进行追踪和学习，2002年1月成立了“蜜网研究联盟”（Honeynet Research Alliance），到2002年12月为止，该联盟已经拥有了10个来自不同国家的研究组织。联盟目前的执行委员会主席为来自Sun公司的Lance Spitzner。

“蜜网项目组”目前的规划分为四个阶段，第一个阶段即1999年－2001年，主要针对蜜网技术进行一些原理证明性（Proof of Concept）的实验，提出了第一代蜜网架构；第二阶段从2001年到2003年，对蜜网技术进行发展，并提出了第

二代蜜网架构[3]，开发了其中的关键工具－HoneyWall和Sebek。第三阶段从2003年到2004年，其任务着重于将所有相关的数据控制和数据捕获工具集成到一张自启动的光盘中，使得比较容易地部署第二代蜜网，并规范化所搜集到的攻击信息格式。第四阶段从2004年到2005年，主要目标为将各个部署的蜜网项目所采集到的黑客攻击信息汇总到一个中央管理系统中，并提供容易使用的人机交互界面，使得研究人员能够比较容易地分析黑客攻击信息，并从中获得一些价值。

目前“蜜网项目组”已经完成了前三阶段的任务，即已经开发出较为完善的第二代蜜网架构，并以一张可启动光盘的形式提供部署和维护第二代蜜网所需的关键工具：HoneyWall和Sebek。

图1第二代蜜网体系架构

第二代蜜网方案的整体架构如图1所示，其中最为关键的部件为称为

HoneyWall的蜜网网关，包括三个网络接口，eth0接入外网，eth1连接蜜网，而eth2作为一个秘密通道，连接到一个监控网络。HoneyWall是一个对黑客不可见的链路层桥接设备，作为蜜网与其他网络的唯一连接点，所有流入流出蜜网的网络流量都将通过HoneyWall，并受其控制和审计。同时由于HoneyWall是一个工作在链路层的桥接设备，不会对网络数据包进行TTL递减和网络路由，也不会提供本身的MAC地址，因此对黑客而言，HoneyWall是完全不可见的，因此黑客不会识别出其所攻击的网络是一个蜜网。

首先，HoneyWall实现了蜜网的第一大核心需求－数据控制。如图2所示，HoneyWall对流入的网络包不进行任何限制，使得黑客能攻入蜜网，但对黑客使用蜜网对外发起的跳板攻击进行严格控制。控制的方法包括攻击包抑制和对外连接数限制两种手段。

图2 HoneyWall的数据控制机制

攻击包抑制主要针对使用少量连接即能奏效的已知攻击（如权限提升攻击等），在HoneyWall中使用了snort_inline网络入侵防御系统（NIPS）作为攻击包抑制器，检测出从蜜网向外发出的含有的攻击特征的攻击数据包，发出报警信息并对攻击数据包加以抛弃或修改，使其不能对第三方网络构成危害。

而对外连接数限制则主要针对网络探测和拒绝服务攻击。HoneyWall通过在IPTables防火墙中设置规则，当黑客发起的连接数超过预先设置的阈值，则IPTables将其记录到日志，并阻断其后继连接，从而避免蜜网中被攻陷的蜜罐作为黑客的跳板对第三方网络进行探测或拒绝服务攻击。

图3HoneyWall中数据控制的具体流程

图3给出了HoneyWall中实现的数据控制机制（即攻击包抑制和对外连接数限制）的具体工作流程。Swatch监视工具将snort_inline和IPTables产生的报警日志通过Email等方式通知管理员。

图4则给出了HoneyWall中实现的数据捕获机制的具体工作流程，黑客攻击数据包从eth0流入后，通过IPTables防火墙，根据防火墙规则，将对流入的连接活动进行记录，由于我们无需对流入的攻击进行过滤，因此可以直接跳过snort_inline，但在eth1流出的时候，由一个作为网络监听器使用的snort记录全部的网络流量，以供后继的攻击分析所使用。另外，如图5，在蜜网中的各个蜜罐上，通过安装Sebek的客户端，能够对黑客在蜜罐上的活动进行记录，并通过对黑客隐蔽的通道将收集到的键击记录等信息传送到位于HoneyWall的Sebek服务器。管理员可以通过eth2隐蔽通道对HoneyWall中收集到的数据进行分析，从而学习到黑客所发动的攻击方法。

图4 HoneyWall中数据捕获的具体流程

图5 Sebek工具工作原理

图6给出了Sebek服务器端的一个用户界面，使得研究人员能够较容易地从收集到的黑客键击记录中分析出其攻击方法。“蜜罐项目组”在数据分析方面的工作（即第四阶段）还未完成，因此目前对数据分析的支持还较弱。

图6 Sebek服务器端的用户界面

4研究方向

对蜜罐和蜜网技术的研究还处于早期阶段，目前蜜罐和蜜网的部署和维护还比较复杂，同时能够提供的数据分析工具的功能也较为有限，因此还需要专业的网络安全研究人员投入相当多的时间和精力。

除了“蜜网项目组”正在开发的数据分析工具外，Lance Spitzner还给出了以下三个主要的研究方向。

4.1 动态蜜罐（Dynamic Honeypot）[4]

动态蜜罐能够通过被动监听其所处的网络中的流量，从而获得当前网络的部署状况，然后在无需人工干预的前提下自动地配置一些虚拟蜜罐，并隐藏在当前网络中，等待黑客的攻击。当网络的部署状况发生变化时（如操作系统版本更新），动态蜜罐技术能够实时地识别出这些变化，并动态地进行自适应，保证部署的虚拟蜜罐反映当前网络的典型配置。

4.2 蜜场（Honey Farm）[5]

图7蜜场的基本概念图

如图7，为了在大型的分布式网络中方便地部署和维护一些蜜罐，对各个子网的安全威胁进行收集，提出了蜜场的概念。即所有的蜜罐均部署在蜜场中，而在各个内部子网中设置一系列的重定向器（Redirector），若检测到当前的网络数据流是黑客攻击所发起时，通过重定向器将这些流量重定向到蜜场中的某台蜜罐主机上，并由蜜场中部署的一系列数据捕获和数据分析工具对黑客攻击行为进行收集和分析。

蜜场模型的优越性在于其集中性，使得其部署变得较为简单，即蜜场可以作为了安全操作中心（SOC: Security Operations Center）的一个组成部分，由安全专业研究和管理人员进行部署和维护。蜜场模型的集中性也使得蜜罐的维护和更新、规范化管理及数据分析都变得较为简单。此外，将蜜罐集中部署在蜜场中还减少了各个子网内的安全风险，并有利于对引入的安全风险进行控制。

蜜场模型的实现牵涉到两个重要的问题：重定向器和蜜罐的内容。目前在蜜场模型的方向下，初步原理证明性的例子有Honeyd 的代理特性和NetBait 工具。

重定向机制的引入使得我们可以以蜜罐来伪装具有高价值的目标，通过重定向器将恶意的或未授权的活动进行重定向到蜜罐中，并对这些活动进行监视和分析。

重定向的机制可以有以下三种不同的方式：

第一种重定向机制称为“Hot Zoning ”，即将所有非规范的网络流量均进行重定向，非规范的网络流量包括发往非正常的目标端口的流量，由非正常的源端口发起的流量及非正常时间内的流量等一系列不符合正常网络情况的异常流量。

第二种重定向机制通过部署入侵检测系统等对流量进行检测，将攻击的网络流量进行重定向到蜜罐，开源项目Bait-n-Switch 即是属于此类的一个重定向器，它对著名的开源入侵检测系统Snort 进行修改，使之作为内联网关和重定向器使用。

第三种重定向机制则在目标主机上进行监视异常和未授权行为，并对其进行重定向。与此相关的著名开源项目包括PaX 和Systrace 。PaX 主要针对利用软件漏洞对攻击目标代码的内存空间进行读写滥用从而获取利益的攻击，

如缓冲区溢

图8结合Hot-zoning 和攻击检测两种重定向机制

出和格式化字符串等攻击方法，通过一些防护和容忍等机制来抵制此类攻击。Systrace则通过加强内核系统调用的安全策略，来严格限制应用程序对系统资源的访问权限，从而避免遭受一些攻击。这些研究项目都可以用来实现主机异常行为重定向机制。

重定向机制的引入还带来另外一个具有很大挑战的问题，即在不被黑客所发觉的前提下完成对其网络活动的重定向。其中最为核心的是蜜罐的内容问题。为了保证蜜罐的高度迷惑性，蜜罐必须使用真实的网络环境，同时拥有与攻击目标一直的操作系统、应用程序以及数据内容。其带来的好处是能够在高度真实的网络中，可以跟踪监视黑客的一举一动，从而获取价值度很高的攻击信息。但如何方便有效地保证蜜罐内容的高度真实性和迷惑性，还需要进行进一步的研究。

4.3 Honeytoken[6]

Honeytoken概念提出的出发点是黑客社团的攻击目标不仅仅在于攻陷网络和主机本身，往往更多时候是对信息内容的攻击。由此，我们可以扩展蜜罐的概念，即使用一些正常情况下永远不会使用的信息内容（称为Honeytoken）作为诱饵，一旦发现这些Honeytoken被访问，则预示黑客可能对信息内容发起攻击，从而我们可以发现并追踪黑客的攻击活动。

较容易实施的Honeytoken包括数据库中的某些无用数据项、以及伪装的用户帐号和及其弱口令等。

5法律问题

蜜罐技术可能会涉及以下几类法律问题，首先是诱捕行动是否会触犯法律的问题，诱捕行为仅仅是一种防御方法，而不是攻击行为，因此诱捕行为不会触犯到法律，这里需要注意的原则是不要对部署的蜜罐进行宣传从而引诱黑客进行攻击。第二个可能会涉及到的法律问题是对隐私权的侵犯，在各个国家都制定了许多保护个人隐私权的法律，可能有些法律会保护个人网络通信的隐私权，但还没有直接针对蜜罐的法律。最可能引发法律纠纷的是黑客利用蜜罐对第三方网络发起攻击造成破坏后，被攻击的第三方可能会对蜜罐的部署方提出诉讼。因此对黑

客利用蜜罐向第三方网络发起的攻击需要采取强有力的控制措施，必要时完全切断蜜罐的网络连接，从而尽量避免此风险。

6结论

本文综述了蜜罐及蜜网技术的基本概念、发展历程、核心功能及进一步的研究方向。可以看到，蜜罐和蜜网技术的发展已经使得我们能够部署一个蜜网，并对黑客攻击事件进行分析。同时蜜罐和蜜网技术还未完全成熟，还存在着大量的问题进一步的研究和解决。

参考资料

[1] L. Spitzner,“Honeypot - Definitions and Value of Honeypots” 2003/05/29. Available from https://www.wendangku.net/doc/a812602084.html,/papers/honeypots.html.

[2] L. Spitzner "The Honeynet Project: Trapping the Hackers," IEEE Security & Privacy vol. 1, no. 2, pp. 15-23, 2003.

[3] Honeynet Project. “Know Your Enemy Genii Honeynets”, 2003/11/03. Available from

https://www.wendangku.net/doc/a812602084.html,/papers/gen2/index.html.

[4] L. Spitzner "Dynamic Honeypots," 2003/09/15. Available from

https://www.wendangku.net/doc/a812602084.html,/infocus/1731.

[5] L. Spitzner "Honeypot Farms," 2003/08/13. Available from

https://www.wendangku.net/doc/a812602084.html,/infocus/1720.

[6] L. Spitzner "Honeypots: Catching the Insider Threat," Proceedings of the 19th Annual Computer Security Applications Conference, Las Vegas, Nevada, USA, December 08 – 12, 2003.

蜜罐技术是什么

第一章蜜罐技术 蜜罐（Honeypot Technology）技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。 蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所 以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。 第二章详细解释 2.1蜜罐的定义 首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别，虽然这两者都 有可能被入侵破坏，但是本质却完全不同，蜜罐是网络管理员经过周密布置而设下的“黑匣子”，看似漏洞百出却尽在掌握之中，它收集的入侵数据十分有价值；而后者，根本就是送 给入侵者的礼物，即使被入侵也不一定查得到痕迹……因此，蜜罐的定义是：“蜜罐是一个 安全资源，它的价值在于被探测、攻击和损害。” 设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此 我们要求一台合格的蜜罐拥有这些功能：发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。 2.2涉及的法律问题 蜜罐是用来给黑客入侵的，它必须提供一定的漏洞，但是我们也知道，很多漏洞都属 于“高危”级别，稍有不慎就会导致系统被渗透，一旦蜜罐被破坏，入侵者要做的事情是管理员无法预料的。例如，一个入侵者成功进入了一台蜜罐，并且用它做“跳板”（指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为）去攻击别人，那么这个损失由谁来负责？设置一台蜜罐必须面对三个问题：设陷技术、隐私、责任。 设陷技术关系到设置这台蜜罐的管理员的技术，一台设置不周全或者隐蔽性不够的蜜 罐会被入侵者轻易识破或者破坏，由此导致的后果将十分严重。 由于蜜罐属于记录设备，所以它有可能会牵涉到隐私权问题，如果一个企业的管理员 恶意设计一台蜜罐用于收集公司员工的活动数据，或者偷偷拦截记录公司网络通讯信息，这样的蜜罐就已经涉及法律问题了。

网络诱骗技术之蜜罐

网络诱骗技术之蜜罐 摘要：基于主动防御理论系统而提出的新兴蜜罐技术，日益受到网络安全领域的重视，蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵，进而了解攻击思路、攻击工具和攻击目的等行为信息，特别是对各种未知攻击行为信息的学习。根据获取的攻击者得情报，安全组织就能更好地理解网络系统当前面临的危险，并知道如何阻止危险的发生。本文首先系统地介绍了蜜罐和蜜罐网络诱骗系统的原理知识及关键技术,重点阐述了蜜罐的发展趋势及研究方向。 关键词：蜜罐、网络诱骗、网络安全、蜜网 Phishing technology Honeypot (Northeastern University at Qinhuangdao, Qinhuangdao, 066004) Abstract: Based on active defense system proposed by the emerging theory of honeypot technology, increasingly the importance of network security, honeypots, mainly through careful layout of the environment to attract and tolerance decoy invasion, and then understand the idea of attack, attack tools, and the purpose of acts such as attacks information, especially information on a variety of learning unknown attacks. According to the attacker have access to intelligence and security organizations can better understand the danger facing the network system, and how to prevent dangerous place. This article first systematic introduction to honeypots and honeypot network decoy system, the principle knowledge and key technologies, focusing on trends and honeypot research. Keywords: Honeypot, Phishing, network security, Honeynet 0引言 “蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo’s Egg》中，在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并发现一起商业间谍案的故事。“蜜网项目组”[1]（The Honey net Project）的创始人Lance Spitzner 给出了对蜜罐的权威定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用，因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。 1蜜罐技术

蜜罐系统搭建与测试分析

蜜罐系统搭建与测试分析 互联网作为世界交互的接口，是各国互联网管理的必由之路。速度快、多变化、无边界、多维度的网络传播，不仅加速了全球化的进程，也减少差异阻隔，尤其在全球经济一体化发展的背景下，互联网已成为各国政治、文化和经济融合与博弈的重要场域。但是，与此同时互联网安全面临着巨大的考验。 导致互联网目前如此糟糕的安全状况的原因有很多，一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷，同时，大部分的网络使用者还未真正拥有安全意识，也还很少进行安全加强工作，如及时打补丁、安装防火墙和其他安全工具等，从而导致了目前的互联网具有巨大的安全隐患。另一方面，随着网络攻击技术的发展，特别是分布式拒绝服务攻击、跳板（Step-stone）攻击及互联网蠕虫的盛行，互联网上的每一台主机都已经成为攻击的目标。此外，黑客社团也不像互联网早期那么纯洁，不再仅仅为了兴趣和炫耀能力而出动，而更多的由于国家利益、商业利益及黑暗心理等因素促使其对互联网安全构成危害。同时攻击者也不再需要很多的专业技术和技巧，他们可以很方便地从互联网上找到所需的最新攻击脚本和工具（如 PacketStorm 网站）。而这些由高级黑客们开发的攻击脚本和工具越来越容易使用，功能也越来越强，能够造成的破坏也越来越大。特别值得注意的一个趋势是多种攻击脚本和工具的融合，如大量的内核后门工具包（Rootkit），及能够集成多种攻击脚本并提供易用接口的攻击框架的出现。 当网络被攻陷破坏后，我们甚至还不知道对手是谁，他们使用了哪些工具、以何种方式达成攻击目标，以及为什么进行攻击更是一无所知。作为安全防护工

蜜罐技术详解与案例分析

1.引言 随着人类社会生活对Internet需求的日益增长，网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题，特别是1993年以后Internet开始商用化，通过Internet进行的各种电子商务业务日益增多，加之Internet/Intranet技术日趋成熟，很多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为攻击者的目标。据美国商业杂志《信息周刊》公布的一项调查报告称，黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失，在全球范围内每数秒钟就发生一起网络攻击事件。2003年夏天，对于运行着Microsoft Windows的成千上万台主机来说简直就是场噩梦！也给广大网民留下了悲伤的回忆，这一些都归结于冲击波蠕虫的全世界范围的传播。 2.蜜罐技术的发展背景 网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。网络安全防护涉及面很广，从技术层面上讲主要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。在这些安全技术中，大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护。而蜜罐技术可以采取主动的方式。顾名思义，就是用特有的特征吸引攻击者，同时对攻击者的各种攻击行为进行分析并找到有效的对付办法。（在这里，可能要声明一下，刚才也说了，“用特有的特征去吸引攻击者”，也许有人会认为你去吸引攻击者，这是不是一种自找麻烦呢，但是，我想，如果攻击者不对你进行攻击的话，你又怎么能吸引他呢？换一种说话，也许就叫诱敌深入了）。 3. 蜜罐的概念 在这里，我们首先就提出蜜罐的概念。美国 L．Spizner是一个著名的蜜罐技术专家。他曾对蜜罐做了这样的一个定义：蜜罐是一种资源，它的价值是被攻击或攻陷。这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的，蜜罐不会修补任何东西，这样就为使用者提供了额外的、有价值的信息。蜜罐不会直接提高计算机网络安全，但是它却是其他安全策略所不可替代的一种主动防御技术。 具体的来讲，蜜罐系统最为重要的功能是对系统中所有操作和行为进行监视和记录，可以网络安全专家通过精心的伪装，使得攻击者在进入到目标系统后仍不知道自己所有的行为已经处于系统的监视下。为了吸引攻击者，通常在蜜罐系统上留下一些安全后门以吸引攻击者上钩，或者放置一些网络攻击者希望得到的敏感信息，当然这些信息都是虚假的信息。另外一些蜜罐系统对攻击者的聊天内容进行记录，管理员通过研究和分析这些记录，可以得到攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息，还能对攻击者的活动范围以及下一个攻击目标进行了解。同时在某种程度上，这些信息将会成为对攻击者进行起诉的证据。不过，它仅仅是一个对其他系统和应用的仿真，可以创建一个监禁环境将攻击者困在其中，还可以是一个标准的产品系统。无论使用者如何建立和使用蜜罐，只有它受到攻击,它的作用才能发挥出来。 4.蜜罐的具体分类和体现的安全价值

蜜罐及蜜网技术简介

蜜罐及蜜网技术简介 Introduction to Honeypot and Honeynet 北大计算机科学技术研究所 信息安全工程研究中心 诸葛建伟，2004-10-15 Abstract The purpose of this paper is to overview the honeypot and honeynet technologies, including the concept, history, present and future. The most well known and applicable honeynet – Gen2 honeynet framework developed by The Honeynet Project is introduced. Furthermore, the emerging research directions in this area are presented. 摘要 本文给出了对蜜罐及蜜网技术的综述报告，包括蜜罐和蜜网的基本概念、发展历程、核心功能，并介绍了目前最为成熟的“蜜网项目组”推出的第二代蜜网架构。此外本文还给出了蜜罐及蜜网技术的进一步研究方向。 关键字 网络攻击；蜜罐；蜜网；诱捕网络 1问题的提出 众所周知，目前的互联网安全面临着巨大的考验。美国CERT（计算机应急

响应组）统计的安全事件数量以每年翻番的惊人指数级增长，在2003年已经达到了137,529次。 导致互联网目前如此糟糕的安全状况的原因有很多，一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷，同时，大部分的网络使用者还未真正拥有安全意识，也还很少进行安全加强工作，如及时打补丁、安装防火墙和其他安全工具等，从而导致了目前的互联网具有巨大的安全隐患。另一方面，随着网络攻击技术的发展，特别是分布式拒绝服务攻击、跳板（Step-stone）攻击及互联网蠕虫的盛行，互联网上的每一台主机都已经成为攻击的目标。此外，黑客社团也不像互联网早期那么纯洁，不再仅仅为了兴趣和炫耀能力而出动，而更多的由于国家利益、商业利益及黑暗心理等因素促使其对互联网安全构成危害。同时攻击者也不再需要很多的专业技术和技巧，他们可以很方便地从互联网上找到所需的最新攻击脚本和工具（如PacketStorm网站）。而这些由高级黑客们开发的攻击脚本和工具越来越容易使用，功能也越来越强，能够造成的破坏也越来越大。特别值得注意的一个趋势是多种攻击脚本和工具的融合，如大量的内核后门工具包（Rootkit），及能够集成多种攻击脚本并提供易用接口的攻击框架（如在2004年DEFCON黑客大会中引起广泛关注的Metasploit）的出现。 针对如此严重的安全威胁，而我们却仍然对黑客社团所知甚少。当网络被攻陷破坏后，我们甚至还不知道对手是谁（黑客、脚本小子还是蠕虫？），对他们使用了哪些工具、以何种方式达成攻击目标，以及为什么进行攻击更是一无所知。 “知己知彼，百战不殆”，安全防护工作者，无论是安全研究人员、安全产品研发人员、安全管理人员和安全响应服务人员，都需要首先对黑客社团有深入的了解，包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。只有在充分了解对手的前提下，我们才能更有效地维护互联网安全。而蜜罐和蜜网技术为捕获黑客的攻击行为，并深入分析黑客提供了基础。

蜜罐技术在防御DDoS中的应用

万方数据

２０１０年第４期汪北阳：蜜罐技术在防御ＤＤｏＳ中的应用 ７ｌ 具有足够威胁的攻击； （２）使攻击者攻击不到真正的目标［１０】。 具体方式是切断图１中的两个控制信息流中的任意一个，或者切断攻击流。蜜罐布置如图２所示的 网络结构，在ＤＭＺ区有ｗｅｂ、Ｅ—ｍａｉｌ、ＤＮＳ、ｍ四个 服务器，这些服务器是向外提供Ｉｎｔｅｒｎｅｔ服务的，在ＤＭＺ区同时也布置一些蜜罐系统，这些蜜罐系统中也分别配置成以上四种服务器中的一种，ＤＩＶＩＺ区与Ｉｎｔｅｍｅｔ用一个防火墙隔离。这些蜜罐的作用是代替 真实服务器接收由攻击傀儡机发送的攻击包。内部 局域网被一个防火墙与ＤＭＺ区隔离，包括若干台主机和伪装成存在安全漏洞的局域网主机的蜜罐。在防火墙中同时运行入侵检测、攻击扫描和网络数据包 的重定向机制¨¨。 图２蜜罐布置网 ２．２安全防范框架 （１）蜜罐技术在防范ＤＤｏＳ攻击中的作用：①目前主流的防火墙都有检测ＤＤｏＳ攻击的功能［１２１，在防火墙检测到ＤＤｏＳ攻击后启用重定向功能，将攻击流重定向到蜜罐主机（切断攻击流）；②同时蜜罐主机由于也配置有服务器相同的服务软件，并且由于蜜罐系统具有相对容易攻击的特点，可以吸引黑客的攻击，稀释对受保护主机的攻击；③吸引黑客入侵蜜罐，以蜜罐主机为控制傀儡机，由蜜罐系统控制这些信息流（切断控制信息）；④蜜罐系统内安装安全日志，可以记录不同的攻击行为，以供学习。 攻击流 防火±ｉ｛｛｝ 芷常访问 服务器 日志服务器 图３网络安全系统框图 （２）利用蜜罐技术防范ＤＤｏＳ攻击的原理，如图３所示。防火墙系统将攻击流量重定向到蜜罐，由蜜罐系统做出回应并进行日志记录。有些攻击可能突 破防火墙，这时蜜罐就能起到混淆攻击者，诱骗这些攻击流进入蜜罐系统。蜜罐系统将这些攻击行为记录加密后发送到日志服务器，这台服务器是低交互并加固的，很难被入侵ｕ３１。 ３应用蜜罐技术防御ＤｏＳ攻击的性能分析 对上述方案进行了攻击防范实验。攻击采用分 布式的ＳＹＮＦｌｏｏｄ，设置攻击傀儡机的攻击速度从２． ２Ｍｂｐｓ开始逐渐提高，网络带宽为１００Ｍｂｐｓ。服务器方由４个真实系统和４个伪装成服务器的蜜罐主机 组成［１３１。在ＳＹＮＦｌｏｏｄ攻击过程中，单个服务器主 机和蜜罐受到的攻击流量如图４所示。 ０ ＂Ｉ∞ｌ∞∞０２５０ ｍ 图４单个服务器主机和蜜罐受到的攻击流量 为避免被攻击者察觉，这里所选用的蜜罐设置为低安全措施、有漏洞的真实系统［１４１。一旦防火墙发现攻击者在试图搜寻或入侵网络主机，就会通过地址重定向将这些信息发送到合适的蜜罐，蜜罐将根据初始设置向攻击者发送他所期待的应答，使攻击者认为该主机已经被控制。攻击者将使用这些“受控主机”，在蜜罐上安装攻击软件并向这些蜜罐发送控制信息。设攻击者在搜索和入侵有漏洞主机时被入侵检测系统发现并重定向到蜜罐的概率为Ｐ．，一个网络中有普通主机数ｋ，每一台主机被成功入侵的概率 为Ｐ２，伪装成漏洞主机的蜜罐数为ｇ，可得到入侵真实主机成功的概率为Ｐ２（１－Ｐ。）ｋ／（ｋ＋ｇ），入侵蜜罐的概率是Ｐｌ＋（１一Ｐ１）ｇ／（ｋ＋ｇ）。 通过分析蜜罐日志所得的信息加强入侵检测、加固主机，可以不断提高入侵检测系统发现攻击行为的概率Ｐ。，降低主机被入侵的概率Ｐ２。由图４可见，采用上述蜜罐方案，能明显降低攻击者通过入侵足够数量的主机发起高强度ＤＤｏＳ攻击的概率，并能够有效地降低服务器主机所受到的攻击强度。 ”¨¨ ”蛐¨“ “ｎ 攻击覆量¨ Ｈ 黜攀 啵卫机生撇 重一 　 万方数据

浅谈蜜罐技术及其应用

浅谈蜜罐技术及其应用 摘要：：蜜罐技术是信息安全保障的研究热点与核心技术。本文介绍了目前国 际上先进的网络安全策略一蜜罐技术，并对近年来蜜罐技术的研究进展进行了综述评论。同时也探讨一种全新的网络安全策略一蜜网。 关键词：蜜罐；蜜网；网络安全 1 引言 随着计算机网络技术的发展，网络在世界经济发展中的地位已十分重要。然而在网络技术日益发展的同时“黑客”们对网络的攻击从未停止过。我们目前的主要防范策略就是构建防火墙。通过防火墙来阻止攻击，保障网络的正常运行。 2 蜜罐技术 防火墙确实起到了一定的保护作用，但是细想一下，这样却不近常理，“黑客”们在不断的攻击，我们的网络总是处于被动的防守之中。既不知道自己已被攻击，也不知道谁在攻击。岂有久攻不破之理。虽然网络安全技术在不断的发展，“黑客”们攻击方法也在不断翻新，在每次的攻击中“黑客”们并没有受到任何约束和伤害，一次失败回头再来。而且在这众多“黑客”对个别营运商的局面下，我们是否太被动了，稍有不周就遭恶运。 而蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还交可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社网络。 蜜罐Honeypot以及蜜罐延伸技术，当前十分流行，它已不是一种新的技术，可以说是一大进步的安全策略。它使我们知道正在被攻击和攻击者，以使“黑客”们有所收敛而不敢肆无忌惮。蜜罐的引入，类似于为网络构建了一道防火沟，使攻击者掉入沟中，装入蜜罐以至于失去攻击力，然后再来个瓮中捉鳖。关于蜜罐，目前还没有一个完整的定义。读者可以参阅Clif Stoil所著“Cuckoo’s"Egg'’，和Bill Cheswick所著“An Ev witll Be Id”。在此我们把蜜罐定义为“一种被用来侦探，攻击或者缓冲的安全资源”。当今处于商业运作的蜜罐技术方案主要是两种：商品型和研究型。商品型主要就是通过使黑客攻击蜜罐从而减轻网络的危险。研究型主要就是通过蜜罐来获得攻击者的信息，加以研究。实现知己知彼，既了解黑客们的动机，又发现我们所面临的危险，从而更好地加以防范。无论是商品型还是研究型蜜罐，他们的主要目的是被用来探测、攻击和潜在的开发利用。 实际上蜜罐就是一种工具，怎样使用该工具由你决定，并取决于你打算做什么。它是一个仿效系统或应用程序系统，它建立了一个监狱系统。它的主要目的就是诱人攻击。 3 蜜罐技术的分类和比较 目前蜜罐技术的应用比较广泛，主要用于攻击的检测、捕获、分析、取证、

蜜罐技术论文

蜜罐技术论文 摘要：蜜罐(Honeypot)是一种在互联网上运行的计算机系统。它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客)而设计的，蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标。由于蜜罐并没有向外界提供真正有价值的服务，因此所有对蜜罐尝试都被视为可疑的。蜜罐的另一个用途是拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间。简单点一说：蜜罐就是诱捕攻击者的一个陷阱。 关键词：设计蜜罐；蜜罐的分类；拓扑位置；安全价值；信息收集 一、设计蜜罐 现在网络安全面临的一个大问题是缺乏对入侵者的了解。即谁正在攻击、攻击的目的是什么、如何攻击以及何时进行攻击等，而蜜罐为安全专家们提供一个研究各种攻击的平台。它是采取主动的方式，用定制好的特征吸引和诱骗攻击者，将攻击从网络中比较重要的机器上转移开，同时在黑客攻击蜜罐期间对其行为和过程进行深入的分析和研究，从而发现新型攻击，检索新型黑客工具，了解黑客和黑客团体的背景、目的、活动规律等。 蜜罐在编写新的IDS特征库、发现系统漏洞、分析分布式拒绝服务（DDOS）攻击等方面是很有价值的。蜜罐本身并不直接增强网络的安全性，将蜜罐和现有的安全防卫手段如入侵检测系统(IDS)、防火墙(Firewall)、杀毒软件等结合使用，可以有效提高系统安全性。 设置蜜罐并不难，只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。因为黑客可能会设陷阱，以获取计算机的日志和审查功能，你就要在计算机和因特网连接之间安置一套网络监控系统，以便悄悄记录下进出计算机的所有流量。然后只要坐下来，等待攻击者自投罗网。 不过，设置蜜罐并不是说没有风险。这是因为，大部分安全遭到危及的系统会被黑客用来攻击其它系统。这就是下游责任（downstream liability），由此引出了蜜网（honeynet）这一话题。 而是防止蜜罐建立出站连接。不过，虽然这种方法使蜜罐不会破坏其它系统，但同时很容易被黑客发现。 二、蜜罐的分类 根据蜜罐的交互程度，可以将蜜罐分为3类： 蜜罐的交互程度（Level of Involvement）指攻击者与蜜罐相互作用的程度。 ⑴低交互蜜罐 只是运行于现有系统上的一个仿真服务，在特定的端口监听记录所有进入的数据包，提供少量的交互 功能，黑客只能在仿真服务预设的范围内动作。低交互蜜罐上没有真正的操作系统和服务，结构简单， 部署容易，风险很低，所能收集的信息也是有限的。 ⑵中交互蜜罐 也不提供真实的操作系统，而是应用脚本或小程序来模拟服务行为，提供的功能主要取决于脚本。在 不同的端口进行监听，通过更多和更复杂的互动，让攻击者会产生是一个真正操作系统的错觉，能够 收集更多数据。开发中交互蜜罐，要确保在模拟服务和漏洞时并不产生新的真实漏洞，而给黑客渗透 和攻击真实系统的机会。 ⑶高交互蜜罐

蜜罐与蜜网技术的研究与分析

＼．网络通讯及安全．．．．．．本栏目责任编辑：冯誓 蜜罐与蜜网技术的研究与分析 邹文．唐心玉 （湖南商学院，湖南长沙４１０２０５） “ 摘要：本文给出了蜜罐和蜜网的定义及分类．介绍了蜜罐的主要技术原理。并且比较和分析了第一代和第二代蜜网模型。 关键词：蜜罐；蜜网；防火墙；入侵检测系统 文章编号：１００９－３０４４（２００８）们ｒ－１１２１枷３ 中图分类号：ＴＰ３９３文献标识码：Ａ ＴｈｅＲｅｓｅａｒｃｈａｎｄＡｎａｌｙｓｉｓｏｆＨｏｎｅｙｐｏｔａｎｄＨｏｎｅｙｎｅｔ ＺＯＵＷｅｎ，ＴＡＮＧＸｉｎ－ｙｕ Ｏ－ＩｕｎａｎＵｎｉｖｅｒｓｉｔｙｏｆＣｏｍｍｅｒｃｅ，Ｃｌ［１ａｎｇｓｈａ４１０２０５，ｃｈｉｍ） Ａｂｓｔｒａｃｔ：Ｔｈｉｓｔｅｘｔｇｉｖｅｄｅｆｉｎｉｔｉｏｎａｎｄｃｌａｓｓｉｆｉｃａｔｉｏｎｏｆｈｏｎｅｙｐｏｔａｎｄｈｏｎｅｙｎｅｔ，ｉｎｔｒｏｄｕｃｅｄｔｈｅｍａｉｎｔｅｃｈｎｉｑｕｅｏｆｈｏｎｅｙｐｏｔ，ａｎｄａｎａｌｙｚｅｄｔｈｅｍｏｄｅｌｏｆＧｅｎＩａｎｄＧｅｎＩＩｈｏｎｅｙｎｅｔ． Ｋｅｙｗｏｒｄｓ：ｈｏｎｅｙｐｏｔ；ｈｏｎｅｙｎｅｔ；ｉｎｕｍｉｏｎｄｅｔｅｃｔｉｏｎｓｙｓｔｅｍ；ｆｉｒｅｗａｌｌ １引言 随着计算机网络技术的迅猛发展．开放式的网络体系的安全隐患日益明显地暴露出来，从上世纪八十年代至今各种计算机安全事件不断发生。传统意义上的网络安全，如防火墙、入侵检测系统、加密等等，都是被动防御的。它们的策略是，先考虑系统可能出现哪些问题，然后对问题进行分析解决，而蜜罐技术提出了一种新的网络安全防御策略，变被动防御为主动进攻，使其具有主动交互性。蜜罐系统的主要作用是学习了解人侵者的思路、工具、目的，通过获取这些信息，让互联网上的组织更好地了解他们所遇到的威胁．并且针对这些威胁及时找出相应的防御策略来提高系统的安全。 ２蜜罐的定义和国内外研究现状 ２．１譬罐的定义 蜜罐（ＨｏｎｅｙＰｏｔ）。是受到严密监控的网络诱骗系统，它通过真实或模拟的网络和服务来吸引攻击，从而在黑客攻击蜜罐期间对其攻击行为及过程进行记录分析，以搜集信息，同时对新攻击发出预警。蜜罐本身并不直接增强网络的安全性，但可以延缓攻击和转移攻击目标。简单地说．蜜罐就是诱捕攻击者的一个陷阱。 蜜Ｉｉ／ｌ（Ｈｏｎｅｙｎｅｔ）是蜜罐技术的延伸和发展，是一种高交互性的蜜罐。在一台或多台蜜罐主机基础上，结合防火墙、路由器、入侵检测系统组成的网络系统。蜜网可以合理记录下攻击者的行动，同时尽量减小或排除对因特网上其它系统造成的风险。 ２．２蜜罐的国内外研究现状 目前在国外的学术界．对蜜罐技术研究最多的是蜜网项目（ＨｏｎｅｙｎｅｔＰｒｏｊｅｃｔ）组织．它是一个非官方，非营利的由３０多位安全专家组成的组织．专门致力于了解黑客团体使用的工具、策略和动机。形成了一系列的理论基础，并提出了蜜网的一代、二代模型。 在国内．蜜罐、蜜网的研究还处于发展阶段，还没有形成自己的理论体系和流派，更没有成熟的产品。北京大学２００４年９月狩猎女神项目启动（ＴｈｅＡｒｔｅｍｉｓＰｒｏｊｅｃｔ），随后加入蜜网研究联盟，是国内唯一的蜜网研究联盟成员。 ●＿３蜜罐的分类～ 按照产品设计的目的可以将蜜罐分为产品型蜜罐和研究型蜜罐： 产品型蜜罐的目的是减轻组织受到的攻击的威胁。增强受保护组织的安全性。它们所做的工作就是检测并且对付恶意的攻击者。它一般运用于商业组织的网络中。 研究型蜜罐是专门以研究和获取攻击信息为目的设计。这类蜜罐并没有增强特定组织的安全性，恰恰相反，蜜罐要做的是让研 收稿日期：２００８一０１—０８ 作者简介：邹文（１９８１－）．女，湖南长沙人．湖南商学院助教，在读硕士．研究方向：网络安全。 １２１４，劫电＿知识与拄木 　万方数据

蜜罐技术是什么

第一章蜜鑲技术 蜜罐(HOneyPOtTeChnOlOgy)技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所而对的安全威胁,并通过技术和後理手段来增强实际系统的安全防护能力。 蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知逍他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。 第二章详细解释 2?1蜜罐的定义 首先我们要弄淸楚一台蜜罐和一台没有任何防范措施的计算机的区别，虽然这两者都有可能被入侵破坏，但是本质却完全不同，蜜罐是网络管理员经过周密布置而设下的"黑匝子”，看似漏洞百出却尽在掌握之中，它收集的入侵数据十分有价值；而后者，根本就是送给入侵者的礼物，即使被入侵也不一左査得到痕迹……因此，蜜罐的定义是："蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。" 设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，因此我们要求一台合格的蜜罐拥有这些功能：发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。 2?2涉及的法律问题 蜜罐是用来给黑客入侵的，它必须提供一沱的漏洞，但是我们也知道，很多漏洞都属于"高危”级别，稍有不慎就会导致系统被渗透，一旦蜜罐被破坏，入侵者要做的事情是管理员无法预料的。例如，一个入侵者成功进入了一台蜜罐，并且用它做"跳板"(指入侵者远程控制一台或多台被入侵的计算机对别的汁算机进行入侵行为)去攻击别人，那么这个损失由谁来负责？设宜一台蜜罐必须而对三个问题：设陷技术、隐私、责任。 设陷技术关系到设置这台蜜罐的管理员的技术，一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏，由此导致的后果将十分严重。 由于蜜罐属于记录设备，所以它有可能会牵涉到隐私权问题，如果一个企业的管理员恶意设计一台蜜罐用于收集公司员工的活动数据，或者偷偷拦截记录公司网络通讯信息，这样的蜜罐就已经涉及法律问题了。 对于管理员而言，最倒霉的事情就是蜜罐被入侵者成功破坏了。有人也许会认为，既然蜜

蜜罐技术及其应用研究

蜜罐技术及其应用研究 文章首先介绍了蜜罐技术的定义、发展及分类，分析了蜜罐系统的关键技术，阐述了蜜罐技术的具体应用。最后总结了蜜罐技术的优缺点和发展。 标签：蜜罐；Honeyd；蜜网 1 蜜罐技术概述 1.1 蜜罐技术的定义 The Honeynet Project（蜜网项目组）创始人Lance Spitzner给蜜罐的定义是：蜜罐是一种安全资源，它的价值就在于被探测、被攻击或被攻陷。其主要功能：一是通过构建蜜罐环境诱骗攻击者入侵，从而保护业务系统安全；二是诱骗成功之后捕获攻击数据进行分析，了解并掌握入侵者使用的技术手段和工具，调整安全策略以增强业务系统的安全防护。 1.2 蜜罐技术发展历程 蜜罐技术的发展经历了三个阶段： 1.2.1 蜜罐（Honeypot）。从1990年蜜罐概念提出到1999年，研究人员相继开发了欺骗工具包DTK、虚拟蜜罐Honeyd等工具，广泛应用于商业领域。 1.2.2 蜜网（Honeynet）。1999年蜜网项目组提出并实现，目前已发展到第三代蜜网技术，已有项目应用。 1.2.3 蜜场（Honeyfarm）。2003年由Lance Spitzner首次提出蜜场思想，处于研究阶段。 1.3 蜜罐技术分类 蜜罐技术可以从不同的角度进行分类： 根据系统应用目标不同，将蜜罐分为产品型和研究型蜜罐。产品型蜜罐可以为系统及网络安全提供保障，主要包括攻击检测、防范攻击造成破坏等功能，且较容易部署，不需要管理人员投入太多精力。研究型蜜罐主要用于研究活动，如吸引攻击、搜集信息、探测新型攻击及黑客工具等功能。 根据系统交互级别不同，将蜜罐分为低交互和高交互蜜罐。低交互蜜罐通过模拟操作系统和服务来实现，攻击者只被允许少量的交互行为。高交互蜜罐通常由真实的操作系统构建，提供给攻击者真实的系统和服务，可以获得大量有用信息。