蜜罐技术的研究与分析

颜德强1,2，梁忠1，蒋萌辉1

（1、福建农林大学计算机与信息学院福建福州3500022、福州大学数学与计算机学院学院福建福州350001）【摘要】：蜜罐及蜜网是网络安全领域的研究热点与核心技术,近年来得到了广泛的关注和快速的发展。本文介绍了蜜

罐的概念、分类及其涉及的主要技术，指出了蜜罐技术存在的缺陷及不足，并探讨了今后研究方向。

【关键词】：网络安全；主动防御；蜜罐技术；蜜网

1、引言

随着攻击者知识的日趋成熟，攻击工具和方法的日趋复杂多样，单纯的防火墙、入侵检测等策略已经无法满足对安全高度敏感的部门需求。网络的安全防御必须采用一种纵深的、多样的手段。在这种条件下，蜜罐（Honeypot）技术作为一种新型的网络安全技术，得到了国内外很多研究机构和公司的重视[1]，而且己经开始在不同的环境中发挥其关键作用。

2、蜜罐概述

"蜜罐"最早由Clifford Stoll于1988年5月提出，但明确提出"蜜罐是一个了解黑客的有效手段。"始于Lance Spitzner的" Know Your Enemy"系列文献[2]。

2.1蜜罐的优势

蜜罐是一个故意设计为有缺陷的系统，专门用于引诱攻击者进入受控环境中，然后使用各种监控技术来捕获攻击者的行为。同时产生关于当前攻击行为、工具、技术的记录，甚至可以通过对应用程序中存在漏洞的数据分析，通过学习攻击者的工具和思路，对系统和网络中存在的漏洞进行修补，进一步提高系统和网络的安全性能，从而降低攻击者取得成功的可能性，有效地减少攻击对重要系统和网络信息的威胁。

因此，蜜罐技术在网络安全领域有很重要的意义，主要体现在以下几个方面[3]-[5]：（1）在抵抗攻击上变被动为主动；（2）让人们认识到自身网络的安全风险和脆弱性，并能有针对性地研究解决方案，增加系统的抗攻击能力；（3）提高事件检测、响应能力，使系统能够应对未知的入侵活动；（4）蜜罐不提供真实服务，收集的证据都是与攻击者有关的信息，信息量不大，可以高效地从中找到网络犯罪证据；（5）蜜罐提供了一个很好的追踪环境。蜜罐中没有敏感数据，如果发现有入侵者进入，不必断开网络连接，可以利用各种技术欺骗他，让他在系统中长时间地逗留，这样就有充足的时间跟踪他，找到他的最初站点。

2.2蜜罐的分类

2.2.1根据设计的最终目的不同分类

根据设计的最终目的不同可以将蜜罐分为产品型蜜罐和研究型蜜罐两类[6]。产品型蜜罐目的在于为一个组织提供包括检测并且对付恶意攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能的网络安全保护。研究型蜜罐专门以获取和研究攻击信息为目的[7]。这类蜜罐并没有增强网络的安全性而是让网络面对各类攻击，利用研究型蜜罐实现对黑客攻击进行追踪和分析，了解黑客所使用的攻击工具及攻击方法，从而掌握他们的心理状态等信息，寻找对付这些威胁更好的方式。2.2.2根据蜜罐与攻击者之间进行的交互频率分类

根据蜜罐与攻击者之间进行的交互频率可分为低交互蜜罐、中交互蜜罐和高交互蜜罐[6]。这三种等级的蜜罐各有优缺点，如表1所示。低交互蜜罐最大的特点是为攻击者展示的所有攻击弱点和攻击对象都是模拟的。中交互蜜罐是对真正的操作系统的各种行为的模拟。在这个模拟行为的系统中，蜜罐可以看起来和一个真正的操作系统没有区别，却有比真正系统还要诱人的攻击目标。高交互蜜罐向攻击者提供真实的系统，攻击者更容易受系统和数据真实性的迷惑。

表1不同级别蜜罐系统的优缺点

3、蜜罐实现的关键技术

蜜罐技术的出现填补了现有网络安全技术的一些不足,但该技术一般不单独使用,主要作为现有技术的辅助与补充,协同其他技术一起维护网络的安全。蜜罐系统的实施主要包括以下几种技术：

(1)网络欺骗技术。为了使蜜罐可以引诱攻击者上当,使其成为首选的攻击目标，蜜罐使用了各式各样的欺骗技术,其中包括网络流量模拟、漏洞模拟、虚拟端口响应等。

(2)数据控制技术。蜜罐作为入侵者的攻击目标也不可避免地被入侵者俘获,成为他们攻击第三方的跳板。数据控制技术则是基于这样的考虑,采取"宽进严出"的方法:对所有流入的信息包一般不加以,但对流出的数据进行监控和追踪,设定某一对外的连接上限。当网络连接数目超过该值时,便阻塞多余的信息包。这样既可以给予入侵者足够的自由,又可以防止被攻占的蜜罐系统成为攻击第三方的跳板。

(3)数据捕捉技术。蜜罐系统可以捕捉防火墙日志、网络流量、系统活动等重要数据,然后传送至远端日志服务器并给予分析。通过分析所捕获的数据信息,可以明确入侵者的攻击手段、攻击目的等有用数据,为管理员对付入侵者提供有力帮助。

(4)早期预警。由于蜜罐系统预设的漏洞、陷阱等对于入侵者有着很大的吸引力,所以它一般会成为首选的入侵对象。而蜜罐系统一旦被访问或是扫描,则可以根据实际情况及早通知网络管理员,对网络实施监控。蜜罐系统的预警信息理论上比IDS要准确。

4、存在的问题

蜜罐最大的缺点就是视野的局限性。如果某个攻击者进入了网络中并攻击了很多系统，除非蜜罐本身受到了直接攻击，否则蜜罐会意识不到这些活动的进行。同时，蜜罐的数据收集的价值具有一种显微镜效应，可以帮助研究人员密切关注于价值高的数据，但也与显微镜相类似，蜜罐视野的局限性会忽略掉一些发生在周围的事件。

蜜罐的另一个缺点是指纹识别，尤其是很多商用版本的蜜罐。"指纹识别"指的是由于蜜罐具备一些特定的预期特征或者行为，因而能够被攻击者识别出其真实身份的情况。

蜜罐的第三个缺点是会将风险引入所在环境中。这里所说

基金项目:福建省自然科学基金资助项目（2007J0312），福建省教育厅基金资助项目（JA07073），福建农林大学青年教师基金项目（2009020）。

52010年第1期

福建电脑

（上接第10页）

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

对数极坐标变换的关键点就是将存在旋转和尺度关系的图像通过对数极坐标变换变为该坐标系下的平移关系。其中极坐标用来解决旋转问题，对数变换用来解决尺度关系问题。

由于圆形鱼眼照片在拍摄时焦距相等、相机的主轴位于同一个平面上，因此对于圆形鱼眼照片经校正后，拼接阶段进行图像配准时主要集中在平移变换的确定。最后对重叠区域按照加权平均法进行图像融合，生成一副全景图（如图4所示）。

3.结论

全景成像技术由于能获得360°的大视场，在很多场合发挥着重要的作用，其中以鱼眼照片最为突出。本文系统阐述了由两幅圆形鱼眼照片生成一张全景图的过程。并就其中的关键技术、关键算法展开了分析比较，指出了各种算法的优缺点和局限性。总的来说，全景成像技术已经较为成熟，目前该领域的研究人员致力于提高拼合精度、降低时耗，以及如何采用普通数码照片来快速准确的合成全景照片而努力。

参考文献：[1]韦群，张永明等.虚拟空间构造及漫游系统[J].计算机工程与应用，2004 Vol.40,No.4:114-117,13；

[2]徐士良，计算机常用算法[M]，清华大学出版社，2001，202-207

[3]黄有度，苏化明.一种鱼眼图像到透视投影图像的变换模型[J].系统仿真学报，2005,1:29-32

[4]Tsai R.Y.,"A versatile camera calibration technique for high-accuracy 3D machine vision metrology using off-the-shelf TV cameras and lenses.

[5]Harris C,Stephens M.A combined corner and edge detector[C].Proc of the4th Alvey Vision Conference.Manchester,1988:147-151.

[6]Smith S M，Brady M．Susan.A new approach to low level image pro-cessing[J]．International Jaurnal of Computer Vision，1997，23(1)：4578 [7]陈燕新,戚飞虎.一种新的提取轮廓特征点的方法[J].红外与毫米波学报,1998,17(3):171-176.

[8]刘小军,周越.基于轮廓特征的SAR图像自动配准[J].计算机工程, 2007,33(4):176-178.

[9]WOBERG G,ZOKA I S.Robust image registration using log-polar-transform[C],Proc of IEEE Int Conf on Image Processing.Pisca-teway: IEEE,2000:493-496.

的风险[5]，指的是一个蜜罐一旦遭受了攻击，就可以被用于攻击、渗透，甚至危害其他的系统或者组织。

5、蜜网

蜜罐自出现以来，主要经历了欺骗系统、蜜罐和蜜网几个发展阶段。欺骗系统侧重于利用蜜罐直接保护工作系统；蜜罐、蜜网则是以了解黑客为主要目的，蜜罐把注意力集中在了解黑客的结果，而蜜网研究所使用的工具的各个方面。

蜜网必须与防火墙及入侵检测等有机地结合为一完美的整体才能发挥各子系统的优势,否则所起的作用不会太大,甚至会适得其反。在蜜网中,蜜罐可部署在防火墙之外、DMZ、安全防线之后和内部网络四个位置，如图1所示。每种方法都有各自的优、缺点。

蜜罐1部署在组织机构的防火墙之外。此位置适于部署低交互蜜罐，能够检测对系统漏洞的攻击行为。最大的优点是防火墙、IDS或任何其它资源都不需要调整，但容易被攻击者识别，被攻破的风险很大，而且不容易定位或捕获到内部攻击者。

图1蜜罐在网络中的部署位置

蜜罐2部署在组织机构安全防线以内的DMZ，目标是检测及响应高风险网络上的攻击或者未授权活动。蜜罐2隐藏于DMZ区域的各种服务器之中，其工作状态类似于网络内的其他系统(如Web服务器)，当攻击者顺序扫描和攻击各服务器时，蜜罐2可以检测到攻击行为，并通过与攻击者的交互响应取证其攻击行为；当攻击者随机选取服务器进行攻击时，蜜罐2有被避开的可能性。蜜罐2不易被攻击者发现，因此只要有出入蜜罐2的活动流量均可判定为可疑的未授权行为，从而可以捕获到高价值的非法活动。在此位置可以部署低交互蜜罐用于检测，高交互蜜罐用于响应。

蜜罐3部署在组织的内部网络，目标是检测或响应来自组织内部的攻击或者未授权活动。可以部署低交互蜜罐用于检测，高交互蜜罐用于响应。

蜜罐4部署在组织安全防线之后，目标是检测和响应突破安全防线后的攻击行为，阻止攻击行为的蔓延。该位置适于部署高交互蜜罐，因为通过防火墙可以很好地进行数据控制。

为了增加捕获的数据量和数据捕获的冗余度，每个位置的蜜罐都可以添加类似蜜罐3位置的嗅探器。蜜罐2、3位置使用高交互蜜罐时，均应在网络中添加可靠的数据控制机制，如二级、三级防火墙或者IDS，或者使用隔离网段以避免高交互蜜罐被攻破成为攻击网络其他机器的跳板，如图2所示。

综上而言，一般情况下，蜜罐放置的实际位置应遵循既能最大程度的确保系统安全性，又能充分发挥系统效率的原则。

图2一种蜜网结构图

6、结论

蜜罐与蜜网技术打破了传统网络安全领域的被动防御模式，相对于其他安全机制，使用简单，配置灵活，占用资源少，可以在复杂环境下有效地工作，而且所收集的数据和信息有很好的针对性和研究价值。既能作为的安全信息工具，还可以与其他安全机制协作使用，取长补短地对入侵进行检测，查找并发现新型攻击和新型攻击工。但蜜罐也有缺点和不足，主要是收集数据面比较狭窄和给使用环境引入了新的风险。面对不断改进的黑客技术，蜜罐技术也要不断地完善和提高。

参考文献:

[1]孙印杰，王敏，陈智芳.解析蜜罐技术在网络安全中的应用[J].计算机技术与发展,2008,18(7):129-132.

[2]Lance Spitzner．Honeypots：Tracking Hackers[M]．北京：清华大学出版社，2004．

[3]程杰仁，殷建平.蜜罐及蜜网技术研究进展[J].计算机技术育发展, 2008，45（S uppl.）:375-378.

[4]王传林，商安宁.蜜罐技术发展初探[J].信息安全与通信保密,2008,8: 119-121.

[5]The Honeynet Projec&Research Alliance.Know your enemy:tracking Botnets[R/OL].(2009-05-10)[2009-03-10].http://www.honevnet.ore. 2005.

[6]胡征昉.蜜罐技术在入侵检测系统中的应用[D].武汉理工大学硕士学位论文,2007

[7]史伟奇，程杰仁，唐湘滟，刘运，张波云.蜜罐技术及其应用综述[J].计算机工程与设计,

2008,29(22):5725-5728. 6下载本文