蜜罐诱骗的基础知识 .pdfVIP

1.引言

随着人类社会生活对Internet需求的日益增长，网络安全逐渐成为

Internet及各项网络服务和应用进一步发展的关键问题，特别是1993年以后

Internet开始商用化，通过Internet进行的各种电子商务业务日益增多，加之

Internet/Intranet技术日趋成熟，很多组织和企业都建立了自己的内部网

络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成

为攻击者的目标。据美国商业杂志《信息周刊》公布的一项调查报告称，黑客攻

击和病毒等安全问题在2000年造成了上万亿美元的经济损失，在全球范围内每

数秒钟就发生一起网络攻击事件。2003年夏天，对于运行着MicrosoftWindows

的成千上万台主机来说简直就是场噩梦！也给广大网民留下了悲伤的回忆，这一

些都归结于冲击波蠕虫的全世界范围的传播。

2.蜜罐技术的发展背景

网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。网

络安全防护涉及面很广，从技术层面上讲主要包括防火墙技术、入侵检测技术,

病毒防护技术,数据加密和认证技术等。在这些安全技术中，大多数技术都是在

攻击者对网络进行攻击时对系统进行被动的防护。而蜜罐技术可以采取主动的方

式。顾名思义，就是用特有的特征吸引攻击者，同时对攻击者的各种攻击行为进

行分析并找到有效的对付办法。（在这里，可能要声明一下，刚才也说了，“用

特有的特征去吸引攻击者”，也许有人会认为你去吸引攻击者，这是不是一种自

找麻烦呢，但是，我想，如果攻击者不对你进行攻击的话，你又怎么能吸引他呢？

换一种说话，也许就叫诱敌深入了）。

3.蜜罐的概念

在这里，我们首先就提出蜜罐的概念。美国L．Spizner是一个著名的蜜罐

技术专家。他曾对蜜罐做了这样的一个定义：蜜罐是一种资源，它的价值是被攻

击或攻陷。这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的，蜜罐不会

修补任何东西，这样就为使用者提供了额外的、有价值的信息。蜜罐不会直接提

高计算机网络安全，但是它却是其他安全策略所不可替代的一种主动防御技术。

具体的来讲，蜜罐系统最为重要的功能是对系统中所有操作和行为进行监视

和记录，可以网络安全专家通过精心的伪装，使得攻击者在进入到目标系统后仍

不知道自己所有的行为已经处于系统的监视下。为了吸引攻击者，通常在蜜罐系

统上留下一些安全后门以吸引攻击者上钩，或者放置一些网络攻击者希望得到的

敏感信息，当然这些信息都是虚假的信息。另外一些蜜罐系统对攻击者的聊天内

容进行记录，管理员通过研究和分析这些记录，可以得到攻击者采用的攻击工具、

攻击手段、攻击目的和攻击水平等信息，还能对攻击者的活动范围以及下一个攻

击目标进行了解。同时在某种程度上，这些信息将会成为对攻击者进行起诉的证

据。不过，它仅仅是一个对其他系统和应用的仿真，可以创建一个监禁环境将攻

击者困在其中，还可以是一个标准的产品系统。无论使用者如何建立和使用蜜罐，

只有它受到攻击，它的作用才能发挥出来。

4.蜜罐的具体分类和体现的安全价值

自从计算机首次互连以来，研究人员和安全专家就一直使用着各种各样的蜜

罐工具，根据不同的标准可以对蜜罐技术进行不同的分类，前面已经提到，使用

蜜罐技术是基于安全价值上的考虑。但是，可以肯定的就是，蜜罐技术并不会替

代其他安全工具，列如防火墙、系统侦听等。这里我也就安全方面的价值来对蜜

罐技术进行探讨。

★根据设计的最终目的不同我们可以将蜜罐分为产品型蜜罐和研究型蜜罐

两类。

①产品型蜜罐一般运用于商业组织的网络中。它的目的是减轻受组织将受

到的攻击的威胁，蜜罐加强了受保护组织的安全措施。他们所做的工作就是检测

并且对付恶意的攻击者。

⑴这类蜜罐在防护中所做的贡献很少，蜜罐不会将那些试图攻击的入侵者拒

之门外，因为蜜罐设计的初衷就是妥协，所以它不会将入侵者拒绝在系统之外，

实际上，蜜罐是希望有人闯入系统，从而进行各项记录和分析工作。

⑵虽然蜜罐的防护功能很弱，但是它却具有很强的检测功能，对于许多组织

而言，想要从大量的系统日志中检测出可疑的行为是非常困难的。虽然，有入侵

检测系统（IDS）的存在，但是，IDS发生的误报和漏报，让系统管理员疲于处

理各种警告和误报。而蜜罐的作用体现在误报率远远低于大部分IDS工具，也务

须当心特征数据库的更新和检测引擎的修改。因为蜜罐没有任何有效行为，从原

理上来讲，任何连接到蜜罐的