淺析蜜罐技術

前言：蜜罐技術的出現改變了這種被動態勢，它透過吸引、誘騙攻擊者，研究學習攻擊者的攻擊目的和攻擊手段，從而延緩乃至阻止攻擊破壞行為的發生，有效保護真實服務資源。

自網路誕生以來，攻擊威脅事件層出不窮，網路攻防對抗已成為資訊時代背景下的無硝煙戰爭。然而，傳統的網路防禦技術如防火牆、入侵檢測技術等都是一種敵暗我明的被動防禦，難以有效應對攻擊者隨時隨地發起的無處不在的攻擊和威脅。蜜罐技術的出現改變了這種被動態勢，它透過吸引、誘騙攻擊者，研究學習攻擊者的攻擊目的和攻擊手段，從而延緩乃至阻止攻擊破壞行為的發生，有效保護真實服務資源。

一、什麼是蜜罐技術

國際蜜罐技術研究組織Honeynet Project的創始人Lance Spitzner給出了蜜罐的權威定義:蜜罐是一種安全資源，其價值在於被掃描、攻擊和攻陷。蜜罐並不向外界使用者提供任何服務，所有進出蜜罐的網路流量都是非法的，都可能預示著一次掃描和攻擊，蜜罐的核心價值在於對這些非法活動進行監視、檢測和分析。

蜜罐是用來吸引那些入侵者，目的在於瞭解這些攻擊。蜜罐看起來就是一臺有一個或者多個可以被攻擊者利用漏洞的伺服器或計算機主機。他們簡單的就如同一個預設安裝的作業系統充滿了漏洞以及被攻破的可能性。

二、蜜罐技術的發展

蜜罐技術改變了傳統防禦的被動局面。早期的蜜罐一般偽裝成存有漏洞的網路服務，對攻擊連線做出響應，從而對攻擊方進行欺騙，增加攻擊代價並對其進行監控。由於這種虛擬蜜罐存在著互動程度低、捕獲攻擊資訊有限且型別單一、較容易被攻擊者識別等問題。Spitzner等安全研究人員提出並倡導蜜網(honeynet)技術，並在1999年成立了非贏利性研究組織The HoneynetProjectl。蜜網(是由多個蜜罐系統加上防火牆、入侵防禦、系統行為記錄、自動報警與資料分析等輔助機制所組成的網路體系結構，在蜜網體系結構中可以使用真實系統作為蜜罐，為攻擊者提供更加充分的互動環境，也更難被攻擊者所識別。蜜網技術使得安全研究人員可以在高度可控的蜜罐網路中，監視所有誘捕到的攻擊活動行為。

為了克服傳統蜜罐技術與生俱來的監測範圍受限的弱點，The Honeynet Project在2003年開始引入分散式蜜罐(distributed honeypot)與分散式蜜網(distributedhoneynet)的技術概念，並於2005年開發完成Kanga分散式蜜網系統，能夠將各個分支團隊部署蜜網的捕獲資料進行彙總分析。

分散式蜜罐/蜜網能夠透過支援在網際網路不同位置上進行蜜罐系統的多點部署，有效地提升安全威脅監測的覆蓋面，克服了傳統蜜罐監測範圍窄的缺陷，因而成為目前安全業界採用蜜罐技術構建網際網路安全威脅監測體系的普遍部署模式，具有較大影響力的包括The Honeynet Project的Kanga及其後繼GDH系統、巴西分散式蜜罐系統、歐洲電信的Leurre、Com與SGNET系統、中國Matrix分散式蜜罐系統等。

在網際網路和業務網路中以分散式方式大量部署蜜罐系統，特別是在包含提供充分互動環境的高互動式蜜罐時，需要部署方投入大量的硬體裝置與IP地址資源，並需要較多的維護人力成本。2003年，Spitzner提出了一種蜜罐系統部署的新型模式-蜜場(honeyfarm)。基於蜜場技術概念實現的網路威脅預警與分析系統有Collapsar，Potemkin和 Icarus等。

三、蜜罐的目標與作用

蜜罐技術強大而靈活，不僅可以識別對網路上主機的攻擊也可以監視和記錄攻擊是如何進行的。蜜罐可以和入侵檢測IDS一起工作，與 IDS相比，蜜罐的誤報率較低。這是因為蜜罐既不提供任何網路服務，也沒有任何合法使用者，但並不是網路上的空閒裝置。因此，任何流入或者流出蜜罐的網路通訊都可以是做可疑的，是網路正在被攻擊的一種標誌。

蜜罐的主要目標是容忍入侵者攻擊自身，在被攻擊的過程中記錄收集入侵者的攻擊工具、手段、動機、目的等行為資訊。尤其是入侵者使用了新的未知攻擊行為時，收集這些資訊，從而根據其調整網路安全策略，提高系統安全效能。同時蜜罐還具有轉移攻擊者注意力，消耗其攻擊資源、意志，間接保護真實目標系統的作用。

四、蜜罐的分類

蜜罐可以執行任何作業系統和任意數量的服務。蜜罐根據互動程度（Level ofInvolvement）的不同可以分為高互動蜜罐和低互動蜜罐。蜜罐的互動程度是指攻擊者與蜜罐相互作用的程度，高互動蜜罐提供給入侵者一個真實的可進行互動的系統。

相反，低互動蜜罐只可以模擬部分系統的功能。高互動蜜罐和真實系統一樣可以被完全攻陷，允許入侵者獲得系統完全的訪問許可權，並可以以此為跳板實施進一步的網路攻擊。相反的，低互動蜜罐只能模擬部分服務、埠、響應，入侵者不能透過攻擊這些服務獲得完全的訪問許可權。

從實現方法上來分，蜜罐可分為物理蜜罐和虛擬蜜罐。物理蜜罐是網路上一臺真實的完整計算機，虛擬蜜罐是由一臺計算機模擬的系統，但是可以響應傳送給虛擬蜜罐的網路流量。

五、蜜罐防護過程

蜜罐防護過程包括誘騙環境構建、入侵行為監控、後期處理措施3個階段。

（1）誘騙環境構建:透過構建欺騙性資料、檔案等，增加蜜罐環境甜度，引誘攻擊者入侵系統，實現攻擊互動目的。互動度高低取決於誘騙環境模擬度與真實性，目前主要有模擬環境模擬和真實系統構建方案。

模擬環境模擬方案透過模擬真實系統的重要特徵吸引攻擊者，具備易部署優勢。利用一種或多種開源蜜罐進行模擬模擬，多蜜罐結合方案有利於不同蜜罐的優勢整合;將模擬程式與虛擬系統結合構建蜜罐自定義架構，提高互動度;對硬體利用模擬器實現硬體虛擬化，避免實際硬體破壞。然而，虛擬特性使模擬環境模擬方案存在被識別風險。

真實系統構建方案則採用真實軟硬體系統作為運作環境，降低識別率，極大提高了攻擊互動度。

在軟體系統方面，採用真實系統介面真實主機服務、業務運作系統等，具備較高欺騙性與互動度，但其維護代價較高且受保護資源面臨著一定被損害風險。在硬體裝置方面，可直接利用真實裝置進行攻擊資訊誘捕，如將物理可穿戴裝置作為引誘節點、以手機SIM卡作為蜜卡等，透過構建真實軟硬體系統環境提高誘騙度。在低能耗場景下采用真實軟硬體裝置引誘攻擊者具有一定優勢，然而對於某些資料互動頻繁的業務系統內，存在高能耗、不易部署、維護成本大等缺陷。

（2）入侵行為監控:在攻擊者入侵蜜罐系統後，可利用監視器、特定蜜罐、監控系統等對其互動行為進行監控記錄，重點監控流量、埠、記憶體、介面、許可權、漏洞、檔案、資料夾等物件，避免攻擊造成實際破壞，實現攻擊可控性。如模組監控、事件監控、攻擊監控、操作監控、活動監控等。

上述攻擊入侵行為監控中，不同方案的側重點不同，高互動蜜罐則需更強監控力度。由於監控範圍無法全面覆蓋，可能導致監控缺失後果，致使攻擊者利用監控盲區損害系統，同時，較大監控範圍易捕捉更多資訊，全方位訪問監控成為一種相對安全措施。

（3）後期處理措施:監控攻擊行為所獲得資料，可用於資料視覺化、流量分類、攻擊分析、攻擊識別、警報生成、攻擊溯源、反向追蹤等。具體處理措施為:提取基礎資料，以圖表方式展示統計資料;分析關聯度，提供入侵行為電子證據;分類惡意特徵，過濾惡意使用者;分析資料包資訊，識別潛在安全威脅;利用水平檢測識別攻擊分類，後期處理措施以分析方式，使防禦系統分析收集資料，掌握攻擊資訊，實現改善系統防禦方案的良性迴圈。

六、蜜礶部署方式

按地理位置分類，蜜罐部署方式可分為單點部署和分散式部署。單點部署將蜜罐系統部署於同一區域，如工控系統工業區、無線網路作用域、特定實驗場景模擬區等，部署難度小，但作用範圍有限，風險感知能力弱。

分散式部署則是將蜜罐系統部署於不同地域回，利用分佈在不同區域的蜜罐收集攻擊資料，因此資料收集範圍廣，實驗資料全面，能有效感知總體攻擊態勢，但部署較困難且維護成本高。

按部署歸屬度劃分，蜜罐部署方式可分為業務範圍部署和外部獨立部署。前者將蜜罐部署於真實業務系統內，從而提高蜜罐甜度和互動度。但入侵者可以利用蜜罐作為跳板轉向攻擊真實系統，因而需要嚴格監控和資料通訊隔離。外部獨立部署即蜜罐與真實業務系統處於空間隔離狀態，降低將蜜罐作為攻擊跳板的風險，但誘騙效能較低。

當然攻擊們面對蜜罐的誘捕，也不會坐以待斃，所以產生了反蜜罐應對措施。

目前蜜罐研究多為工程部署，而較少涉及蜜罐基礎理論。敵手與蜜罐對抗屬於典型的博弈行為，可以將黃開枝、洪穎、羅文宇等人的博弈論應用至蜜罐中，透過博弈分析驗證，為蜜罐提供理論支撐。利用信令博弈、非合作不完全資訊博弈、貝葉斯不完全資訊博弈等驗證推理蜜罐系統主動性、有效性、約束條件等。

結論：

隨著網路技術的不斷髮展，網路上的攻擊者也越來越多，攻擊手段也曾出不窮，被動防禦的更已經不能夠完全跟上病毒、木馬的更新速度，總會有漏網之魚。蜜罐的出現改變了網路安全防護的被動局面，從被動接受病毒破壞到主動引誘病毒攻擊獲得資訊，蜜罐的主動防禦技術將會越來越受到人們的重視。