陈佩璇 荣志文

摘要：针对 Honeypot 选择合适安全防御技术将引起很大关注，结合服务方式应用欺骗主动安全防御 Honeypot 技术，分析各类 Honeypot 技术应用安全领域体现独特价值，系统研究 Honeypot 安全防御关键技术存在问题。本文提出采用蜜罐技术实现高交互虚拟操作系统，实现主流操作系统数据分析技术和风险控制，通过蜜罐技术部署，实现一套位置、数据源、数量和操作系统选择系统分析方法。

关键词：关键技术;安全防御;蜜罐技术;网络入侵检测

中图分类号：TP393.08 文献标识码：A 文章编号：1672-9129（2017）09-010-02

Abstract：Accordingtoselecttheappropriateoperatingsystemofhoneypottechnologyhasarousedgreatconcern，combinedwiththeclassificationofservices，ap- plication of deception thought of active defense honeypot technology， a large number of applications in the field of security to reflect the unique value， compare theadvantagesanddisadvantagesofvarioushoneypottechnology，existingproblemsanddevelopmenttrendsofhoneypottechnology.Thispaperpresentstheim- plementationofvirtualoperatingsystemwithhighinteractionhoneypottechnology，realizethemainstreamoperatingsystemdataanalysistechnologyandriskcon- trol， through the implementation of a honeypot deployment location， data source， quantity and operating system selection system analysis method.

Keywords：keytechnologies;supportoperatingsystem;Honeypottechnology;networkintrusiondetection

引言

近年来，网络安全防御面临形势越来越严峻，信息安全领域Honeypot 安全防御关键技术发挥了重要的作用，针对网络攻击问题出现的新情况，新攻击技术和新方法不断涌现，特征匹配防御措施方式，存在很大不确定性参数，其参数包括攻击发起时间、攻击者、攻击发起地点和攻击目标等，被动防御技术不能正确识别新攻击方法[1]。因此，网络安全的关注焦点逐渐转移到主动防御技术。主动防御技术是获得未知的攻击技术资料，试图牵制和转移网络攻击行为，针对攻击者进行监视和跟踪，并且对网络攻击进行取证。蜜罐技术主要是提供重要线索和信息的入侵取证，使入侵者攻击被顺利转移， 诱骗攻击者保护主机和网络不受入侵，是一种非常有效和实用的方法。

本文研究 Honeypot 技术的网络入侵检测，能够弥补原有安全防御的

不足，结合网络防火墙、入侵检测系统安全措施，提出一种主动防御安全 技术，提升网络安全性能。

1 蜜罐关键技术

1.1 数据捕获技术。Honeypot 技术的本质是一种对攻击方进行欺骗的技术，通过布置作为诱饵的主机、网络服务或者信息，能够使防御方清晰地了解安全威胁，通过关键技术管理手段增强实际系统的安全防护能力。因此，针对数据捕获时 Honeypot 技术不被入侵者发现的问题，其核心功能模块完成攻击工具参数设置，分析捕获信息策略和动机，包括屏幕、击键、 输出信息包和输入等[2]。采用多重机制数据控制捕获信息，实现层次化数据捕获思维模式，能够防止单点失效问题出现。通过多层次数据捕获并将信息整合起来，实现各个角度获取攻击者行为。攻击者需要捕获信息层次，主机或网络安全任何级别安全防御都能实现。发出警报时 Honeypot 企图连接防火墙，利用数据控制连接 Honeypot 所有出入口记录信息，捕获机制通过防火墙实现数据捕获过程，此时全部连接都被视为可疑。

1.2 数据控制技术。Honeypot 技术具有尤其重要的自身安全特性，网络攻击者经常以Honeypot 作为攻击目标，网络入侵者将 Honeypot 作为攻击其他系统的跳板。因此，攻破 Honeypot 技术时，任何有价值的信息都不会得到[3]。针对网络中任何系统发起攻击，外出连接是一种常见的攻击行为。Honeypot 主机被入侵者攻破时，Honeypot發起外出连接，通过Honeypot外出网络连接进行控制，允许 Honeypot 的任何访问行为。本文关注入侵者侵入系统后的动 作和企图，阻断 Honeypot 对外所有的连接不能简单进行控制。结合路由器和防火墙关键配置参数，使入侵者不会产生怀疑，并且相对自由地活动。通过最大限度数据包进行过滤，比较完美地对网络发出请求操作。

1.3 欺骗技术。通常情况下，Honeypot技术采用各种欺骗手段，具有强

大的吸引力[4]。实现各种漏洞欺骗主机模拟操作，整个网络安全防御需要 计算机模拟完成。网络流量模拟数据通过系统仿真产生，相关真正有价值 的信息存储在虚假文件路径中。通过欺骗技术诱使攻击者上当，此时蜜罐 技术主机模拟环境如同真实的工作系统。

2 网络中 Honeypot 位置

Honeypot 是一個标准服务器，不提供任何真实服务。网络中固定位置不需要放置Honeypot特定用途的位置，需要具有更好的效果，Honeypot放置特殊位置显得特别重要 [5]。根据不同需求，网络任何位置都可以放置

Honeypot系统，Honeypot系统可以部署在防火墙停火区、防火墙内或防火墙外。网络中 Honeypot 位置如图 1 所示。

图 1 网络中蜜罐位置

如果Honeypot 部署在防火墙的停火区，则会增强服务器的安全性能; 若部署在防火墙内，则会保护服务器的安全;若部署在防火墙外，则会保护内部主机的安全。

3 选择Honeypot 支撑操作系统

3.1 Unix 操作系统。UNIX 操作系统实现 Honeypot 安全防御关键技术非常方便，实现数据捕获机制，具有非常广阔的发展空间。实现源代码应用日志机制，其内核都是开放源代码。Unix 系列操作系统具有良好的可扩充性和日志记录功能，IP堆栈稳定可靠，适合Honeypot系统批量选择。其中，VMWare虚拟软件支持Linux操作系统。

3.2 Windows 系列操作系统。目前，微软家族的操作系统都是 NT 内核， 包括流行的 WindowsXP、Windows2003、Windows7、Windows2010、Win-

dows 10 等。Windows 系列操作系统容易发生 Honeypot 技术攻击行为，蜜罐系统设计时需要综合考虑 Windows 系列操作系统，修改微软操作系统非常困难。因为，Windows系列操作系统源代码至今尚未公开。

3.3 虚拟 Honeypot 系统和纯 Honeypot 系统。通过虚拟 Honeypot 系统和纯 Honeypot 系统比较分析，虚拟 Honeypot 技术攻击真实的宿主操作系统，攻击者可能绕开虚拟系统独立完成。采用单独窗口观测运行的客观操 作系统，虚拟机不需要担心被攻击者发现，使其虚拟具有真实度和健壮性。因此，虚拟 Honeypot 技术可以在不同子操作系统之间共存。通过桥接方式宿主操作系统构成一个网络，子操作系统呈现出完全不同的特性，采用不同的宿主操作系统和虚拟技术实现虚拟 Honeypot 技术构建。纯

Honeypot 系统的资源使用率较低，操作系统只能安装在一台机器，纯

Honeypot 可以在各种操作系统内出现，实现起来比较容易。通过宿主操作系统攻击者透明性，仅虚拟程序外部具有可见性，虚拟了特定系统功能时安装了特殊客户端程序。

4 结论

Honeypot 技术理论和实现方法不断发展变化，根据不同需要和情况有针对性地进行构建、部署，Honeypot安全防御关键技术安全，增强了自身功能，Honeypot技术为了捕获更多入侵行为。Honeypot技术不能解决安全防御问题，弥补原网络安全防御系统不足问题。结合安全措施工具、入侵检测和网络防火墙，成为安全防御问题解决主要工具，促进了整个网络安全体系结构发展，增强了网络系统安全性能。任何漏洞功能都可能成为 入侵者突破口，加强自身安全性，引入新安全防御关键技术不能丢失原有安全性。Honeypot 安全防御关键技术优势发挥了安全领域重要作用，各种高质量数据安全高效传输，高效贴近实际诱捕算法。Honeypot 技术不能取代任何现有安全机制，现有网络安全机制有力补充，展现出了良好的应用前景和潜力。

参考文献：

[1]詹可强.基于 Honeypot 技术的网络主动防御技术研究[J].伊犁师范学院学报，2013，7 （1）：50-52.

[2] 唐勇，卢锡城，胡华平，等.基于多序列联配的攻击特征自动提取技术研究[J].计算机学报，2006，29（9）：1533-1541.

[3] PeymanKabiri， Ali A Ghorbani. Research on intrusion detection and re- sponseasurvey[J].InternationalJournalofNet-workSecurity，September2005， 1（2）：84-102.

[4] Geng Yang， Chunming Rong， Yunping Dai. A distributed honeypot sys- tem for grid security[C]. GCC， 2003（1）： 1083-1086.

[5] Tang Yong， Lu Xiheng， et al. Automatic generation of attack signatures basedonmulti-sequencealignment[J].ChineseJournalofComputers，2006，29 （9）：1533-1541.