◆杨 轶 刘恒驰

基于蜜罐的网络防御技术研究

◆杨 轶 刘恒驰

（沈阳理工大学（沈阳）信息科学与工程学院 辽宁 110159）

蜜罐技术就是一种体现主动防御思想的安全资源，蜜罐的思想是一个故意设计为有缺陷的系统，专门用于引诱攻击者进入受控环境中，然后使用各种监控技术来捕获攻击者的行为。本文设计实现了通过对虚拟蜜网技术的研究，利用相关的虚拟软件和蜜网工具实现一个稳定的虚拟蜜网系统，通过对蜜网网关和蜜罐进行相关配置，构建出可真实攻击的攻击目标系统，为攻击训练平台提供网络攻击训练所需的攻击目标环境，使用Zenmap软件进行扫描测试，通过安装在蜜罐主机上的Sebek进行数据捕获，使用基于网页的远程管理平台进行数据分析，以及安全报警。最后连接数据库，记录下攻击活动的数据，为进一步的研究提供依据。

蜜罐；主动防御；预警

0 引言

当前，网络已经进入到人民生活的方方面面，无论是在生活还是工作中，可以说是必不可少。然而由于种种应用程序存在的各种各样的漏洞，网络本身的缺陷以及黑客的存在，引发的网络安全事件也越来越多，网络安全受到了极大的威胁，信息诈骗、信息泄露事件已经变得十分普遍。

“蜜罐”的思想是主动防御，它的概念最早出现在1988年Clifford Stoll博士发表的一篇为《Stalking the Wily Hacker》的文章,最初的构想就是利用虚假情报引诱攻击者进入到被监控环境。所以它专门设计成包含漏洞的可以被攻击和入侵的系统，它的价值就在于黑客攻击，从而能够获取有关于黑客的各种信息。

1 蜜罐和蜜罐网络

蜜罐主要是一个预先配置好的、故意包含有漏洞的系统，引诱攻击者主动进入到受控环境中来，使用各种监控方式来记录攻击者的一举一动。同时产生关于当前攻击行为的分析记录，甚至可以分析出系统或者程序中存在的漏洞，掌握攻击者所使用的工具和方法，自动修补系统中存在的漏洞，大大提升了系统和网络的安全性，使得攻击者此次的攻击行为失败。收集到的关于攻击行为的相关记录也为网络管理员提供了一些当前系统的不足，采取更安全的保护措施，降低以后被攻击成功的可能性，重要的系统或网络的安全得到保障。

蜜罐与蜜网系统作为主动防御的一种方式，主要有下面两点作用：

（1）收集攻击者的信息

思想是什么，怎么实现的攻击，使用的工具又是怎样的，这都是在受到攻击之后研究人员会考虑到的问题。现在有了蜜罐和蜜网，我们可以相对比较容易了解到黑客的这些信息，与此同时，找到自己的不足并弥补掉，避免以后遭受类似的攻击。正是蜜罐这种变被动为主动的思想，让它在网络安全中占据了一席之地，使它的地位不能被替代。

（2）保障工作系统的安全

维护网络始终处在相对安全的环境的最重要意义便是保障工作系统的安全。接下来对几个方面进行说明：

①抵御攻击。蜜罐与蜜网技术能够使攻击者把注意放在它们身上，不断诱使黑客发起进攻。但是从其他角度出发，有些攻击者在进行攻击之前也会慎重的考虑，可能认为要进攻的网络中设计了陷阱引诱他去跳，但是又不确定是什么样的，就会放弃攻击。所以可以说它也能够一定程度上地提高了工作系统的安全性。

②检测攻击。什么样的防御系统都可能被黑客攻击，无论有多么强大，带来的损失都将不可估量，所以在黑客进行攻击时，检测系统一定要尽早发现，把损失降到最低。

③响应。传统入侵检测技术对数据有很多错误的报告或者所有遗漏，蜜罐和蜜网技术完全没有这方面的问题。经过蜜罐采集到的信息，误报率特别低，可信度特别高。

入侵检测系统对先进的、全新的攻击手段的攻击一般来说难以有所反应，蜜罐和蜜网技术对其这个漏洞做了良好的补充，它们的意义就是在于吸引攻击者的注意，让他们攻击。只要黑客在蜜罐上攻击了装有蜜罐的网络，它的行动便会被发现，就会采取相应的措施去尽量避免掉被攻击的可能。

实现虚拟蜜网的关键就是虚拟机，能够安装虚拟机的技术有很多，例如VMware,UML，Virtual PC等，本设计使用的是VMware,下面对它进行介绍。

VMware是目前被应用最广泛的实现虚拟机的软件，它拥有强大的功能，能够建立在操作系统为Windows和Linux的用户主机上。它的优点主要有：

（1）操作系统的选择很多样化。

（2）VMmware有GHOST文件，便于蜜罐的备份。

（3）有良好的升级服务、技术支持。

（4）三种不同的联网方式---NAT模式、主机模式和桥接模式，可以满足不同的用户需求。

2 虚拟蜜网系统的设计与实现

蜜网结构主要有主机(控制机)，和两个虚拟机：Honeywall（蜜墙），Honepot（蜜罐）。蜜墙的网络接口其中的eth1与eth2负责分配蜜罐和管理端的两个网段。蜜墙类似于桥接器，VMware的默认接口VMnetl接到eth1上，因此蜜罐主机的IP与主机的eth0应在一个相同的网段，我将蜜罐主机的IP设为10.166.1.10，计算机主机的eth0的IP 设置为10.166.1.108，将10.166.1.1设为主机的eth1的 IP，蜜罐与管理机也因此不在相同的网段上，就能达到保护管理机的目的。eth0 (10.166.1.108)和eth2 (10.166.1.1)均定义在宿主主机上避免掉了网卡不够用的问题。

3 扫描攻击测试

在宿主主机上运行Zenmap对虚拟机蜜罐进行扫描，Zenmap主要是对端口进行扫描。扫描蜜罐机如图1所示。

图1 扫描蜜罐机

本设计采用了Navicat premium连接到MySQL数据库，通过3306端口，获取蜜墙的数据表，其中IDS表记录了入侵检测系统的数据，它的每一列都代表着一个属性。数据表如图2所示。

图2 数据表

4 结束语

随着攻击者知识的日趋成熟，攻击工具和方法的日趋复杂多样，单纯的防火墙、入侵检测等策略己经无法满足对安全高度敏感的部门需求。网络的防卫必须采用一种纵深的多样的手段。当今的网络环境也变得越来越复杂，各式各样的复杂设备，需要不断升级、补漏，使得网络管理员的工作不断加重。在这种条件下，蜜罐技术成了一种新的网络安全解决方案，不仅受到愈来愈多的人的关注，而且己经开始在不同的环境中发挥其关键作用。

[1]CNCERT.2014年我国互联网网络安全态势报告.2015,4.

[2]程曦.基于蜜网的攻击目标构建方法研究[D].厦门大学, 2013.

[3]董国锋.基于协同的虚拟蜜网实现与分析[D].华东师范大学, 2010.

[4]岳洋.基于Snort的蜜罐系统的设计与实现[D].哈尔滨理工大学, 2009.

[5]姚东铌.蜜罐技术的原理及现状研究[D].企业导报, 2010.

[6]董娅妮.基于Honeyd的恶意网页入侵检测[D].中国矿业大学, 2014.

[7]王向辉.虚拟蜜网系统研究与设计[D].哈尔滨工程大学, 2006.

[8]马肖.基于GAP技术的安全隔离网闸硬件平台的设计[D].西北工业大学, 2005.

[9]郑晓芳，陈晶，陈建军，杜瑞颖，万志伟.基于资源争夺特征的蜜罐检测方法[J].武汉大学学报(理学版), 2013.

[10]梁兴柱.网络安全—“蜜罐”技术研究与实现[D].大庆石油学院, 2006.

[11]樊萍.基于Honeypot技术的网络信息安全研究[D].西北工业大学, 2004.

[12]徐兰云.增强蜜罐系统安全性的相关技术研究[D].湖南大学, 2010.

[13]王文明，李海炜.SQL服务器注入攻击的主动防御技术研究[J].计算机科学, 2012.

[14]路苑，刘素芹.蜜网技术在军队网络安全中的应用研究[J].仪器仪表用户, 2010.

[15]Xu Mingkun, Chen Xi, Hu Yan. Design of software to Search ASP Web Shell. Procedia Engineering,2012,29:123-127.

[16]Yung-Tsung Hou, Yimeng Chang, Tsuhan Chen. Malicious web content detection by machine learning. Expert Systems with Applications,2010,37(1):55-60.

[17]S.A. Parah，J.A. Sheikh.A secure and robust information hiding technique for covert communication. International Journal of Electronics，2015，Vol.102 (8)，pp.1253-1266.