蜜罐技术及其在网络安全中的应用分析 3页

2O10．I2蜜罐技术及其在网络安全中的应用隋京’，黄晓峰(1．二炮指挥学院，湖北武汉430012；2．总后华东军用物资采购局，上海200437)摘要：文章介绍了蜜罐技术概况，提供了蜜罐技术的基本结构模型，并就蜜罐技术的应用、存在的问题以及发展趋势进行了分析。关键词：Honeypot；网络攻击；网络防御中图分类号：TP393．08文献标识码：A文章编号：1671—1122(2010)12—0030—03HoneypotTechnologyandItsApplicationinNetworkSecurityAnalysisSUIJing‘．HUANGXiao．feng(1．ErBaocommandcollege,Wuhan，Hubei430012，China,2．ThegenerallogisticsdepartmentoftheeastChinamilitarymaterialspurchasebureau,Shanghai200437，China)Abstract：Thearticleintroducesthehoneypottechnologyoverview,providesahoneypottechnologybasicstructuremodel，andtheapplicationofhoneypottechnology,theexistingproblemsanddevelopmenttrendwereanalyzed．Keywords：Honeypot；NetworkAttack；Networks0引言近年来，尽管网络安全防御技术得到了突飞猛进的发展，但面对层出不穷的网络攻击，依然显得捉襟见肘，且安全技术在实践中相对于黑客技术有一定滞后性。在此情况下，信息系统的维护方除了通过应用传统的网络安全产品实施保护外，往往还需要利用一些辅助手段来确保信息系统、系统资源不被非法攻击。在长期的网络世界正邪较量中，Honeypot(蜜罐)的技术逐渐被信息系统维护者有效应用，成为与网络入侵者巧妙周旋的有力武器。1一种欺骗黑客的技术手段作为一种网络安全防护的方法，Honeypot可以将入侵者引向一些错误的资源，使入侵者不知道其进攻是否奏效或成功，同时可跟踪人侵者的行为，在入侵者攻击成功之前修补系统可能存在的安全漏洞。从原理上讲，每个有价值的网络系统都存在安全弱点，而且这些弱点都可能被人侵者所利用。Honeypot主要有以下三个作用：1)影响入侵者并使之按照系统维护人员的意志进行选择；2)迅速地检测到人侵者的进攻并获知其进攻技术和意图；3)消耗人侵者的资源。一个理想的网络欺骗可以使入侵者感到他们不是很容易地达到了期望的目标(当然目标是假的)，并使其相信入侵取得了成功。1．1几种Honeypot技术模型(如图1】Honeypot技术是指一个故意设计为有缺陷的系统，通常是用来对入侵者的行为进行警报或者诱骗，它可以对黑客攻击的相关数据进行收集，获取如黑客使用过的技术手段等在内的资源。而不足之处是资料收集点较为单一，且能够招致风险，如作为攻击者另外一次攻击的平台。早期的Honeypot模型是通过在网络中放置少量的Honeypot主机来诱使攻击者把注意力集中在这里，其中的关键技术是如何使攻击者对主机感兴趣。该模型的突出问题是，攻击者面对真实目标的概率要远远多于面对Honeypot的概率。1。2分布式Honoypot~型(如图2)在该模型中，我们把欺骗服务配置于网络中的各个角落，充分利用网络中的有效资源以实现整体的安全防御。这样就很好地扩展了欺骗的IP／port地址空间，这类似于shannon在密码学领域中的扩散原理。收稿时间：2010-11-10作者简介：隋京(1986-)，男，硕士研究生，主要研究方向：作战指挥、信息系统安全；黄晓峰(1972一)，女，工程师，主要研究方向：信息技术应用。 2010．12的不足，一般而言，现在的黑客3Honeypot的局限性_田田都具有较高的识别水平，虚拟_国田Honeypot只有在收到攻击或被刺探Honeypot的仿真技术架构相对初后才会体现其作用，否则，一个Honeypot田_田级。由于虚拟Honeypot基本没有的部署则形同虚设。Honeypot的部署想图1Honeypot~J图2分布式Honeypot模型一个完整意义上的操作系统，其要做到全面保密存在一定难度，试想，中嵌入的Windows或Linux过于1．3欺骗墙(DeceptionWal1)模倘若网络陷阱的秘密如果公诸于众，除简化，是通常真实的服务器所不具有的型(如图3)了一些自动实施攻击的T具(如蠕虫程序)图3是我们实现的系统模型，为了特征。而那些有经验的攻击者只要对其之外，不会有黑客再冒险尝试攻击。此外，保证欺骗的有效性，我们保证在本系统多发几条指令，便会发现服务器中的操特别是一些交互较少的Honeypot，其模中欺骗服务的样本空间远远大于实际的作系统根本无法运行，从而试出自己进拟的服务操作，很便于黑客识别。漏洞样本空问：入的不是要攻击的目标，而只是一个精目前，许多攻击行为包含大量的—心设计的蜜罐系统。—一自动化机制，这使得用客户端针对恶意一·．此外，虚拟Honeypot记录的信息．■一I、。t_iWeb服务器的分析非常困难。此外，一一类别相当有限。例如，一个伪装成FTP～一个数据交互较高的Honeypot一旦被利图3欺骗墙(DeceptionWal1)模型服务器的虚拟Honeypot，只可以记录获用，那么它将成为攻击者进攻下一个系该模型利用了现代计算机系统的多取与FTP相关的数据，记录并检测已统的跳板。通常Honeypot部署后，其宿主能力(muhi—homedcapability)，通知的攻击种类，而对于新型的攻击类别运行都会具备一定的行为特征，一些有过在一块以太网卡上绑定多个IP地址，却难以获取和记录。经验的入侵者已经将这样的运行特征进而且每个IP地址还可具有它们自己的2．2真实Honeypot行了大量分析并能够成功识破，这样，MAC地址，来建立填充一大段IP地址一个真实的Honeypot南一个或Honeypot非但不能有效地获取攻击者的空间的欺骗，且化费极低。该模型能够多个的诱饵系统组合而成，与虚拟信息，反而还会成为攻击者提供大量虚显著地增加搜索空间，从而达到安全防Honeypot不同，它的技术构成中具备相假信息的平台，从而失去了存在的意义。护的目的。对完整的操作系统并且是真实存在的系该模型的突出特点就是在整个网络统。因此，对于攻击者而言，它与网络4Honeypot的发展趋势中，欺骗服务的样本空间要远远大于真上的一般主机没有什么区别，攻击者实实服务的样本空间。施攻击时，很难发现到其入侵的是一4．1跨平台工作由于不同操作系统的不兼容性，导个精心设计的陷阱，而不是想要攻击的2Honeypot技术应用真实目标。但有些不够完善的Honeypot致Honeypot的跨平台工作形成严重局随着网络攻防技术需求的不断演系统在安全更新措施上没有与正常的网限。例如能够用于Windows操作系统的进，Honeypots技术的发展也日新月异。络系统同步，一些有经验的攻击者往往Honeypot就不能用于Unix操作系统中。但在应用Honeypot系统前，你需要在能够通过这一点判断出攻击对象的真实正是由于这点，Honeypot在研究领域应真实的Honeypot或虚拟Honeypot之间性。真实Honeypot的入侵检测能力十用较多，使用范围受到局限，用户推广做个选择。分强大，Honeypot系统假定任何发送过也存在一定困难。随着网络攻击的进一2．1虚拟Honeypot来的网络数据都是恶意的，这样就能够步加剧，Honeypot在网络防御中的作用虚拟Honeypot技术通常是通过仿真捕获那些鲜为人知的新的攻击手段，不会进一步凸出，跨平台的Honeypot需求程序实现。例如虚拟Honeypot能够仿真用担心黑客行为未被记录。但真实的也将成为下一步网络安全应用的趋势。FTP服务器，且一切TCP和UDP端口的Honeypot也不是没有缺陷，如果一些技4．2技术上的升级和完善异常情况均可以受到监视并记录。不仅高一筹的攻击者完全有可能成功控制一攻击者在长期的攻击行为中，必然如此，通过仿真实现的这个虚拟的FTP个真实的Honeypot，并将其变为入侵正会不断发现各种Honeypot的弱点和漏洞，服务器不存在操作系统，所以，即便是常信息系统的跳板。不过这依然可以通因此，传统的Honeypot必须在技术上不攻击者攻击得手，进入了FTP，网络环境过技术手段加以解决，比如在正常的信断升级，才能满足网络安全维护的需求；中的别的电脑也难以被其控制。此方法息系统与Honeypot系统间架设一道防不断增加Honeypot的服务类型，收集更不但能够获取大量有价值的信息，而且火墙，逻辑阻隔两个系统间的数据交互。多的入侵行为特征、数据，建立全面的从理论上讲也较为安全。设计更加成熟的LinuxHoneypot，还有入侵行为信息的数据库，研发分析工具，但是，虚拟Honeypot也存在先天更多防范黑客攻击的技术措施。进一步完善Honeypot的系统设计。31l—— 2O10．124．3增~1]Honeypot系统数量4．5提高交互程度时间。通过Honeypot系统也让大量网Honeypot系统在捕获有效数据方面为了有效捕捉到入侵者的信息，应络攻击行为得以追溯，并留下蛛丝马迹，很擅长，并且很少出现漏报和误报。我该尽可能提高Honeypot与入侵者之间的同时也检验了网络维护的安全措施是否们目前所处的网络环境是一个巨系统，信息交换度，由于Honeypot的设计还较到位，安全策略是否正确，安全防线的面对海量的信息、数据，仅仅依靠一两为简单，无法支持更多的信息交互，这便搭建是否牢固。Honeypot的产生使网络部Honeypot系统收集黑客信息，如同大使得攻击者很容易识别出自己身处陷阱，信息系统与网络攻击者之间多了一道保海捞针一般应该考虑部署Honeypot群，从而迅速全身而退。此外，提高交互度护屏障，也从一定程度上摆脱了一味遭有时甚至需要以一个Honeypot群向同的同时，必然会使网络安全风险系数大受黑客攻击的被动地位。与一些传统的一个被怀疑是黑客来源的目标实施监控大提高，因此，有效降低的风险系数将安全技术的发展路线相同，Honeypot技和信息收集，以此来达到有效捕获非法是Honeypot系统设计时必须要考虑到的。术的出现不可避免地存在一定缺陷，但攻击的目的。也完全能够通过不断的应用和技术改良5总结4．4提高数据收集、分析能力加以完善和提高。蟹(责编杨晨)由于大部分网络攻击都属于分布式任何安全技术的发展都会存在参考文献：攻击，信息的全面收集存在困难，因此，利与弊两个方面，Honeypot技术也是【1】蜜罐技术的局限性及其发展fEB／OL】．为了适应网络安全维护的需求，新的伴随着应用的成败得失发展而来的。http：／／www．meswodd．cn／75—4／4588．htm．Honeypot产品应该提高数据收集的效率，Honeypot技术自诞生以来，通过诱导让f21网络欺骗技术『EB／0L1．htp：／／Ⅵ．fxl20．net／dnjc／java／javazh／200512271050303061．htm提升对分布式攻击者的追查、捕获能力网络攻击者误入歧途，消耗其大量的资f31李振汕．Web攻击的网络犯罪与防范技术和对分布式攻击者人侵行为的分析能力。源，为网络维护者有效防范赢得了宝贵剖析[1I信息网络安全，201006．上接第5页3．3警员的物联网速度、行为分析等传感能力的技术系统，利用无线射频身份采用物联网技术在门禁控制、会务保障和权限管理上的涉识别技术，可以轻松实现对重要物品的监管。人管理在公安系统已达到一定的应用规模。例如：可以通过身4结语份胸牌对门禁系统实现管理。我们还可以利用物联网对警员实现定位管理，进而实现对警力动态调配和合理布置，实现立体物联网技术从概念的提出，经历了从概念到技术、从技化的指挥模式和警力优化。通过GPS、RFID等技术，实现警术到产业的转变，今后这些技术还将不断完善推陈出新，推员的定位，利用警员定位软件，可以方便查找警员的位置，加广到各行各业的丰富应用中，物联网技术在中国会有很大的发大公安机关在警员方面的管控力度，优化公安机关的队伍建设。展空问。物联网技术在世博会、无锡基地等的应用，再次证在外出办案行动中，借助警员定位技术，可以高效的完成任务，明了物联网技术的智能性。随着物联网技术的快速发展，在将歹徒尽陕绳之以法。此外，在公安交通管理方面，如果某一不久的将来，物联网技术必将引起我国公安机关信息化的重地段出现交通拥堵或交通事故，可以借助物联网技术，定位最大变革，将物联网关键技术与公安业务工作相结合，研制出新型的公安业务应用模型，将显著提升公安信息化水平和智近的交警，快速合理调动警力资源疏导交通，将处理交通拥堵能化管理，进一步增强公安机关服务社会和保障人民安全的或交通事故的时间缩短到最短，从而确保良好的交通状况。能力。蟹(责编杨晨)3．4重点人群、物品的物联网RFID技术最突出的特点是无需“可视”读取，实现远距参考文献：离自动识别；既可识别静止物品也可识别运动物品。RFID标[1]张国胜．物联网技术在公安系统的对应研究U】．数字通信．2OLO(8)．[2]石军．“感知中国”促进中国物联网加速发展Ⅱ】．通讯管理与技术，签内部存储的产品电子代码(EPC代码)，为每一件物品建立2009(10)全球的、开放的标识，实现全球范围内对单件物品的跟踪与[3]邵威，李莉．感知中国——我国物联网发展路径研究卟中国科技信息，2009(24)．追溯，它包含了该件物品的所有信息，是单件物品的唯一身份I4】吝宁空间定位技术在物联网发展中的应用o]．河南科技，2010(5)．识别ID。如果在人体内部植入芯片，利用RFID技术，可以【5]盛魁祥浅谈物联网技术发展及应用【I1_现代商业，2010(3)．[6】向明尚，刘兴伟EPC物联网在车辆管理系统中的应用Ⅱ】．大庆石实现公安机关对特殊人群、重点人群行踪的监管。此外，物油学院学报，2010(2)．联网的人体活动监测模块采用先进严密的人体运动监测算法，f71十城记之无锡创业物联网大潮．http：／／www．ccidcom．com／html／yaowen／201005／17—106706．htm1．2010～10—11．整合数字集成电路处理技术，使用特殊布线集成电路组装，18J用物联网构建“感知警务”工作新模式[EB／OL]．http：／／www．cpd．corncn／gb／newspaper／2010—09／27／content1413870．htm2010—10—10．探测距离0_5米可调。例如：当有特殊人群接近ATM机时，_[9]警务通服务上海数万民警TD与物联网携手打造“平安世博”就可以准确告警并开启录像进程。另外，在金融单位、文物保[EB／OL]http：／／sh．xinmin．cn／minsheng／2010／09／09／6745500．htm1．护等单位重点物品的监管中，使用带有温度、烟雾、湿度、加201n一10—11