蜜网技术在网络安全中的应用

贺文娟 贾丙静

(安徽科技学院 理学院计算机公共教学部，安徽凤阳 233100)

随着计算机网络技术的快速发展，我们的日常生活已离不开网络。网络的确给我们的生活和工作都带来很多便利，但是网络在快速发展的过程中，其安全问题也日益凸显，甚至威胁到正常的工作和生活。传统的网络安全技术都采用的是被动防御的理念，对已知的攻击有着较好的防御作用，但是对于层出不穷的黑客攻击手段和攻击工具，对于新的攻击就没有办法识别，可能会造成损害正常系统的运行。

蜜罐技术采用主动防御的方式，在监测网络入侵、保护网络客体、信息学习反馈、提高完善反击入侵能力等网络安全方面有极大的优势［1］。蜜网技术是蜜罐的高级形式，通过搭建蜜网可以监视和跟踪攻击者的行为，进而分析数据得到攻击方法，攻击工具和攻击目的，更好地保护网络安全。

1 蜜罐与蜜网技术

蜜罐创始人Lance Spitzner 给出蜜罐的定义是: “Honeypot 是一个资源，它的价值在于它会受到探测、攻击或攻陷”［2］。从定义可以看出蜜罐只是一种工具，利用蜜罐可搭建出蜜网，利用蜜网本身带有的漏洞吸引攻击者，可以捕获到攻击者的各种信息，对这些数据进行分析就可以得知攻击者的攻击手段、方法和工具，并依此建立预警，保护正常网络的工作。将攻击者引入蜜罐，消耗攻击者的资源，拖延攻击者的时间，蜜罐采取这样的方式保护网络的正常运行。

蜜网是将多个蜜罐结合防火墙、入侵检测系统以及其他网络安全设备构架成一个系统，形成一个诱捕环境，吸引攻击者的入侵，它允许所有的入站链接，控制向外链接的数目，这样可以防止攻击者攻陷蜜罐之后，将其作为跳板攻击正常的产品网络。蜜网是一个网络系统，而不是单一的蜜罐主机［3］，因此构架蜜网系统就更加复杂，蜜网的检测，响应，分析，恢复的能力也很大程度上有所提高。

2 蜜网功能

蜜网系统形成一个诱捕环境，吸引攻击者的攻击，任何进入蜜网的链接都是可疑的，都会被记录下来，因为蜜网本身没有正常的工作流量，因此捕捉到的数据量很少，但是具有很高的研究价值。任何从蜜网发出的向外链接，则说明该蜜网系统被攻陷。一个蜜网具有3 大核心功能:数据捕获，数据控制和数据分析。

2.1 数据捕获

蜜网系统采用三种层次捕获数据，分别是防火墙，IDS 和蜜罐主机。防火墙位于蜜网系统的前面，所有进入蜜网的数据都必须经过防火墙，因此防火墙日志是蜜网系统的第一层数据。入侵检测系统IDS在数据链路层监视整个网络的流量，对可疑行为进行匹配，还可以及时预警可能发生的攻击。最后一层就是蜜罐主机，发生在蜜罐主机上的活动都将被蜜罐日志记录下了，并且这些日志可以通过网络发送到安全的日志服务器上。采用三层数据捕获机制，相比一层数据捕获，它的风险性更低，捕获到的数据更加完整，体现了蜜网强大的数据捕获功能。

2.2 数据控制

蜜网系统采用两种层次控制数据，分别是防火墙和路由器。第一层就是防火墙，防火墙允许所有的入站链接，但是对向外的连接数目进行控制，实验证明，每小时5 到10 个出站连接比较好，不仅使黑客一直保持兴趣，而且还保护其他系统免受攻击［4］。路由器是数据保护的第二层，路由器用来防止IP地址欺骗攻击，ICMP 攻击等等。如果第一层防火墙失效了，路由器就执行防火墙的主要功能。

2.3 数据分析

对蜜网系统的三层数据捕获机制捕获的数据进行采集和分析就是蜜网系统的重要功能之一。采集数据必须爆炸数据的完整性，安全性和可靠性，对数据进行分析，从而获得攻击者的攻击意图，攻击方式和攻击工具。

3 利用Honeyd 对抗蠕虫病毒

蠕虫病毒具有独立存在，自动传播的特点。当一台计算机感染上蠕虫病毒之后，蠕虫病毒就会随机选取一段IP 地址，然后扫描该段地址上的主机，一旦发现某台主机存在漏洞，就会对其发起进攻，也就是说，只要有一台计算机感染上了蠕虫病毒，那么这个蠕虫病毒很快就会在网络中蔓延开来，感染网络中数以百计的计算机，轻者影响网络的正常运行，重者使网络瘫痪。

现有的网络安全工具，比如防火墙，入侵检测系统，在对抗蠕虫病毒时都存在缺陷。防火墙需要进行正确的配置才能抵抗已知类型的蠕虫病毒，IDS 也必须不断更新知识库，才能有效抵抗已知类型的蠕虫病毒，IDS 具有的异常检测功能虽然能够发现网络中的异常状况，但是误报现象经常存在，也不能抑制蠕虫病毒的快速传播。

3.1 实现原理

蠕虫病毒传播的算法，带有漏洞的主机的数量和网络地址空间的大小决定蠕虫病毒传播的概率。蜜罐部署的数量决定了蜜罐收到蠕虫病毒扫描入侵的可能性。蜜罐部署得越多，蜜罐就越容易受到蠕虫病毒的刺探，这样对网络中有价值主机的保护效果就越好［5］。采用一台配置比较高的计算机，安装honeyd 软件，并虚拟出大量蜜罐进行配置，将这些蜜罐和网络中未使用`的IP 地址绑定在一起，并使其存在系统漏洞，利用这些漏洞吸引蠕虫病毒。利用Honeyd 构建虚拟蜜网对抗蠕虫病毒需要的硬件资源少，配置简单，一但被攻破，恢复也容易。

3.2 实现过程

利用honeyd 虚拟出大量的虚拟蜜罐，然后通过下面几个步骤实现对抗蠕虫病毒，如图1 所示。

3.3 模拟实验

利用honeyd 模拟虚拟蜜罐在校园网内捕捉冲击波蠕虫病毒。冲击波蠕虫的特点是随机扫描系统的TCP135 端口，只要发现Windows RPCDCOM 系统漏洞就对该主机发起攻击。根据该特点配置Honeyd 模板，让虚拟蜜罐具有该Windows 漏洞并吸引冲击波蠕虫病毒，致使冲击波蠕虫病毒攻击虚拟蜜罐，以达到转移攻击流量拖延时间的目的［6］。Honeyd 模板的配置如下:

图1 利用honeyd 对抗蠕虫病毒实现过程

TCP4444 端口调用WormCatcher. sh 脚本，该脚本的作用是能对蠕虫提出的远程请求做出回答，使得虚拟蜜罐的欺骗性更加真实。WormCatcher. sh 脚本如下:

配置如下模板利用虚拟蜜罐反攻被冲击波蠕虫病毒感染的主机:

我们在TCP4444 端口调用strikeback. sh 脚本，这个脚本文件的作用是首先杀死被感染主机中的冲击波蠕虫病毒，然后将蠕虫病毒的二进制代码清除，最后从注册表中删除自动启动项目，修补系统漏洞，重启主机。strikeback. sh 脚本内容如下:

3.4 实验结果

采用一台计算机，其IP 地址为192.168.52.170，让其感染冲击波蠕虫病毒。虚拟蜜罐系统运行一段时间之后，我们查看Honeyd日志，并截取其中一段如下图2，该日志保存的是蠕虫病毒的扫描信息。

图2 一段Honey日志记录

从该日志可以分析出135 端口的Windows 漏洞被虚拟蜜罐打开，虚拟蜜罐以此在比较段的时间内成功成功诱惑了冲击波蠕虫病毒。

4 结语

利用Honeyd 构建的虚拟蜜罐系统对抗蠕虫病毒，该系统具有所需的硬件成本低，恢复也较容易的特点。通过配置模板，编写脚本代码，使得Honeyd 能够与攻击者进行交互，可以获得更多的数据，用于更好地研究蠕虫病毒的传播行为，追踪蠕虫病毒的根源。虚拟蜜罐系统能够弥补传统的网络安全工具的缺陷，作为新型的主动的防御工具用于捕获未知的蠕虫病毒。

［1］夏春和，吴震，赵勇，等.入侵诱骗模型的研究与建立［J］.计算机应用研究，2002(4):76－79.

［2］Lance Spiizner.Honeypot:追踪黑客［M］.北京:清华大学出版社，2004:20－50.

［3］曹爱娟，刘宝旭，许榕生.网络陷阱与诱捕防御技术综述［J］.计算机工程，2004，30(9):1－3.

［4］马传龙，邓亚平.Honeynets 及其最新技术［J］.计算机应用研究，2004(7):11－12.

［5］张运凯，郭永宏，王浩.网络蠕虫的传播与控制［J］.网络安全技术与应用，2004(6):16－18.

［6］Know Your Enemy(KYE)series of paper［EB/OL］.http://www.honeynet.org/papers/kye.html，2005.