时永进，郑 伟，朱 戈，崔玉君

（1.吉林大学计算机科学与技术学院，吉林长春 130012；2.61467部队，吉林长春 071300；3.61251部队，河北秦皇岛 066102）

0 引言

蜜网技术又称为诱捕网络，蜜罐技术的研究和发展为蜜网技术奠定了一定的理论和实践基础。蜜网实际属于一种研究型的高交互蜜罐技术，它与传统蜜罐有两个非常大的不同点：一方面，它是一种包含一个或多个蜜罐系统的黑客诱捕网络，我们通过分析所有那些控制和捕获的进出网络数据就能知道黑客们使用了何种网络工具、运用了何种攻击策略甚至他们想要攻击这个网络出于何种动机；另一方面，所有放置在蜜网中的系统都基于真实的应用软件和系统，系统中并没有故意出现漏洞。

1 蜜网技术的工作方式

蜜网的工作方式包括数据控制、数据捕获和数据分析。

数据控制是一种对越权使用资源的防御措施，它能够确定信息包被发送到何地进而防止未授权行为对网络资源进行非法访问，如此便能确保黑客不能利用蜜网危害第三方的网络安全。在与入侵者斗智斗勇期间，许多风险也伴随其中，为了避免这些问题的发生，我们需要保证系统在被入侵时不会被当成跳板来攻击第三方的主机或系统。为了不引起入侵者的怀疑，当他们进来后，我们必须给他们能从网络上下载工具包、打开 IRC等网络连接的权利。因为如果不给他们这些权利，他们会怀疑该系统然后抹掉键击的数据记录而离开。在这里，我们一般利用路由器来控制系统向外发出的连接地址，利用防火墙来控制系统向外发出的连接数目，利用入侵检测系统发现和阻止系统与外界网络之间的可疑连接。

数据捕获技术是蜜网中的核心部分，它能够搜索和分析者入侵时所有入侵行为和数据信息，然后尽可能地对其进行捕获，随后才能进一步分析他们使用的工具、策略及动机。数据捕获是在数据控制之后，它才是蜜网的最终目的。这个过程中，我们要记录入侵者的所有的入侵信息和入侵手段，如果入侵者入侵系统时利用了一些工具，我们还要对这些工具的通信信息进行捕获，所以这个过程是很复杂的。通常情况下，为了在不被入侵者察觉的状态下对更多的数据信息进行捕获，我们可能需要对系统进行一些小小的修改。除此之外，我们还要注意一个问题，即不能把所捕获到的数据信息放在蜜罐的主机上，因为这些数据不仅可能会被丢失或被销毁，还可能会另攻击者们怀疑该系统是一个陷阱系统。因此要把这些捕获的数据放在安全的远程主机上，并尽最大努力来保护这些数据安全性和完整性。

第三代蜜网体系为了能够减少网络安全人员的工作量并且方便他们能更好地分析所捕获到的攻击数据提供了两种机制，即自动报警和辅助分析机制。Swatch监视工具通过Email等方式将入侵检测系统和防火墙产生的报警日志通知管理员从而提供自动报警机制。Walleye是蜜网提供的强大GUI数据分析工具，它被安装在蜜网网关上，提供一个基于网页基础上的蜜网数据分析接口，不仅横跨多个数据源，还使用了Mysql数据库。Mysql数据库由五种数据被收集和置入：Sebek的捕获结果、POF的系统识别结果、NIPS的输出结果、Argus的分析结果、IDS的报警信息。人们只要在管理的主机浏览器上输入HoneyWall管理接口的IP地址，就能远程连接到HoneyWall上的Walleye interface。如此，网络安全人员就能查看IDS事件，还能进一步利用关系模型自动识别上下文中的事件。

2 第一代蜜网

由蜜网项目组提出的第一代蜜网模型如下图1所示，这个蜜网被防火墙分隔成了三个部分，和互联网连接的外部网络，主机和系统的管理控制平台以及由蜜罐构成的陷阱部分，外部网络除了包括互联网还包括内部工作网络，陷阱部分里我们部署的蜜罐可以是一个也可以是多个。下面我们主要来具体介绍一下管理控制平台。

图1 第一代蜜网结构模型

管理控制平台可由一台或多台机器组成，它含有防火墙、路由器、入侵检测器和日志服务器四个部分，能在较高的安全度内控制和收集数据。所有进出的入侵数据包都得通过最前端的防火墙，该防火墙能够追踪和控制所有从蜜罐向外发出的每一个连接数据。当系统向外发送的连接数超过一定的数量值时，防火墙就会起到数据控制的作用阻挡那些外发数据包，黑客便不能利用我们所部署的蜜罐向其它主机和系统发起攻击。在蜜罐与防火墙之间设置的路由器能使防火墙看起来更真实，这样，我们部署的蜜网也就跟着看起来更真实了。而且路由器的存在也能对防火墙起到很好的补充作用，因为它仅允许往外发送源地址是蜜罐IP的数据包，进而也能限制一些访问行为。

3 第二代蜜网

第二代蜜网技术是在第一代蜜网的基础上提出来的，在第一代蜜网中用来数据控制的机器和用来数据捕获的机器不是同一个，而且我们在模型中安放了路由器，数据包被路由器丢弃之前被允许通过蜜网的数量也会相对减少一些，我们部署的整个网络不是隐蔽的，所以入侵者也非常可能去入侵网络。基于上述讨论，“蜜网项目组”开发出了比较完善的第二代蜜网结构模型，如下图2所示为第二代蜜网架构图。

图2 第二代蜜网架构图

第二代蜜网架构图中被称为HoneyWall的蜜网网关是最关键的部件，该蜜网网关能把外部网络和内部蜜罐网络隔离开来。HoneyWall包括三个网络接口，eth0接入外网，eth1连接蜜网，而eth2则连接到一个监控网络，网络管理者通过eth2接口来管理Honeywall，然后把重要的数据利用该接口发送到另外一台主机系统上，如果这个蜜网网关被入侵者攻陷了，管理者收集到的宝贵信息也不至于被入侵者破坏或因系统原因而消失。HoneyWall是一个工作在链路层的黑客看不见的桥接设备，因为它不会提供本身的MAC地址，数据包被路由器丢弃之前被允许通过蜜网的数量也不会减少。目前，互联网有很多安全威胁，例如垃圾邮件、黑客攻击、恶意软件传播、僵尸网络等。由此可见，蜜网技术能提供一个高度可控的安全环境对网上的这些威胁进行了解、捕获和分析，为网络安全提供长远的保障。

4 集中式虚拟蜜网

中国北京大学计算机研究所信息安全工程研究中心在两千零四年成立了“狩猎女神”项目组，该项目组于2005年2月22日加入了世界蜜网研究联盟[17]。同一年，该项目组设计了第三代蜜网拓扑结构和虚拟蜜网拓扑结构，分别实现了“使用虚拟机作为一部分蜜罐”和“完全通过虚拟机构造蜜网”的功能。该设计改进的主要亮点是利用VMware Workstation创建的虚拟机来作为高交互蜜罐，这种改进不仅降低了部署蜜罐的成本还提高了蜜罐被攻击后的可恢复性。和第二代蜜网拓扑结构相比，该蜜网网关不是桥接在工作网络上而是直接连接到路由器，经过蜜网数据包的TTL还是会相对减少一些；同时，因为该结构的蜜网网关所连接的蜜网必须处于同一网段，所以它也被称为集中式虚拟蜜网。下图3所示即为第三代蜜网拓扑和虚拟蜜网拓扑结构图。

图3 第三代蜜网拓扑和虚拟蜜网拓扑结构图

5 结束语

随着计算机技术的迅猛发展，网络普及越来越高，未来的网络犯罪率将不可避免的增大，因此蜜网技术的应用前景相当乐观。本文通过介绍三代蜜网技术的网络拓扑结构，为读者解读了蜜网技术的构造组成以及功能特征。

[1]蔺旭东等.网络安全中的蜜罐技术和蜜网技术[J].中国环境管理干部学院院报.2007（3）：106-108.

[2]陈晨.蜜网系统告警日志分析技术研究[D].北京，北京邮电大学，2012.

[3]贺文娟.蜜罐技术分析与蜜网设计[D].合肥：安徽大学，2011.

[4]周政杰，徐志强，吴惠源.蜜罐技术及其在取证中的应用[J]. 保密科学技术 .2011（12）：60-64.