新型蜜罐有哪些？未來方向如何？

前言：技術發展為時代帶來變革，同時技術創新性對蜜罐產生推動力。

一、新型蜜罐的誕生

技術發展為時代帶來變革，同時技術創新性對蜜罐產生推動力，透過借鑑不同技術思想、方法，與其它技術結合形成優勢互補，如引入兵家作戰思想的陣列蜜罐，結合生物保護色與警戒色概念的擬態蜜罐，利用人工智慧、大資料等工具提高防護能力的蜜罐等，實驗證實創新思想結合或技術優勢整合後的系統具有較高的防禦效能、誘騙能力。

(1）創新型蜜罐:借鑑兵家戰爭思想，石樂義等人提出陣列蜜罐防禦模型，採用分散式自選舉控制策略和UDP發言人同步機制實現協同控制和同步通訊，將蜜罐與真實服務偽隨機變換，形成動態變化的陣列陷阱，從而降低攻擊者攻擊有價值資源機率。

受到生物界保護與警戒機制啟發，擬態蜜罐方案被提出，包含3種服務型別:服務、蜜罐、偽蜜罐。根據攻擊機率選擇蜜罐或偽蜜罐部署方案，其中，偽蜜罐用作警戒色嚇退攻擊者，而蜜罐作為保護色模擬真實服務，從而實現真實服務針對性保護。此外，對擬態蜜罐進行了博弈推理，驗證系統有效性。

(2）多重融合蜜罐:在《An interface diversified honeypot for malware analysis》中Laurén等人利用多介面蜜罐進行惡意軟體分析，為最底層系統呼叫提供雙介面，即每個系統服務都可透過一般系統呼叫編號和保密編號被訪問，同時，對入口點進行多元化配置。多元化介面功能將可疑攻擊行為與正常系統行為分離，避免介面為攻擊者所用。Saadi等人在《Cloud computing security using IDS-AM-Clust, honeyd, honeywall and honeycomb》提出一種新架構，使用蜜網、入侵檢測技術、防火牆等在雲環境下構建多重防護安全系統。

(3）對流量進行訪問控制操作，阻止惡意流量進入內部。作為系統核心元件，蜜牆將系統劃分為3部分:蜜罐區、乙太網區、隔離區。其中，蜜罐區由一系列誘敵深入的Sebek,Honeyd組成，進行資料捕獲、控制、分析。Sochor等人透過分析對比時下高互動蜜罐研究方法和開源方案，選取最最佳化方案並組建可應用工具來建立系統，該系統包含Linux Debian和Web server兩種高互動蜜罐。

其中，Linux Debian包含大量無用資料和MySQL資料庫等內容，若攻擊者掃描系統，將觀測到Win-dows，Linux和Cisco路由，這些裝置由Honeyd模擬模擬;Web server用以響應80埠請求，使用帶有漏洞的Web系統進行監控。Mysql資料庫將記錄儲存攻擊者登入、命令執行、指令碼執行等活動，並將資料視覺化呈現。

二、蜜罐為安全防護領域提供更多選擇

面對網際網路所誕生的多種新事物，蜜罐的多種功能進一步開發，蜜罐由對外功能由單一誘騙目標逐步進化，形成了更多、更復雜的對外功能，如將蜜罐應用於密碼模式探究、網路事件監控、未授權資料訪問判斷、網等，為安全防護領域提供了更多功能選擇。

(1)面向特定需求的功能蜜罐

Web安全:Buda等人針對Web應用P程式安全性問題，構建Web應用蜜罐，對資料進行儲存，並將資料探勘演算法應用於安全日誌分析。

密碼模式:Mun等人透過分析社會工程學，建立蜜罐網站，結合網路釣魚、移花接木等攻擊思想構建攻擊場景並實現對使用者密碼的模式分析與破解。

網路監控:Vasilomanolakis等人l5提出一種蜜罐驅動的網路事件監控器，從分佈於不同地理位置(歐洲、亞洲、北美)的蜜罐感應器中獲取警報資料，使用HTTPS服務接收資料同時利用公鑰基礎設施(Public Key Infrastructure,PKI)認證感應器。

電子資料取證:王傳極將蜜罐技術用於電子資料取證，構建蜜網拓撲，以TCPdump,Se-cureCRT和Walleye分別監聽閘道器埠、模擬終端程式及分析遠端日誌。攻防實驗中，攻擊方採用X-scan掃描主機漏洞，防禦系統記錄捕獲資料流，分析X-scan掃描型別關聯度，針對入侵者的掃描行為提供電子證據。

非法資料訪問:Ulusoy等人提出MapRe-duce系統中未授權資料訪問檢測的蜜罐模型，使用資料控制器根據實際資料生成蜜罐資料，並對真實資料和虛假資料進行同步更新。在MapReduce部件獲悉蜜罐資料位置資訊的前提下，確保已認證部件訪問正確真實資料。蜜罐資料遍佈整個系統，當攻擊者訪問這些資料時，將向資料控制器傳送警報。

惡意軟體分析:Skrzewski等人對伺服器端蜜罐惡意軟體監控效能進行了探究，收集惡意軟體活動資訊需要蜜罐和專案代理，而兩者資訊都無法完全覆蓋，因此需要一種全面性攻擊資訊檢視。透過比對多種蜜罐系統收集資訊，得出結論:伺服器端蜜罐系統無法作為未知威脅的資訊收集源，而客戶端蜜罐則可完成此任務。

蜜罐誘騙研究:Sochor等人分析蜜網拓撲模型、SSH模擬感應器攻擊、模擬Windows服務攻擊與Web服務攻擊，研究網路威脅檢測中蜜罐與蜜網吸引力，即蜜罐甜度。實驗表明安全防禦措施對誘惑攻擊者起到重要推動作用。

Dahbul等人利用網路服務指紋識別增強蜜罐欺騙能力，構建3種攻擊威脅模型來分析指紋識別潛在安全威脅，並在此基礎上建立蜜罐系統和真實系統，透過開放和配置必要埠、固定時間戳、配置指令碼等手段對蜜罐進行系統性增強。

攻擊分析研究:Sochor提出基於Windows模擬蜜罐的攻擊分析方案，部署包含6個Dionaea蜜罐的模擬Windows分散式蜜網，進行攻擊捕獲，統計攻擊連線數，分析攻擊型別、攻擊源地理位置及其所使用作業系統型別。分析結果表明，中度互動蜜罐對自動化攻擊方式更具誘惑力，此外，因使用者忽視漏洞修補，導致陳舊攻擊威脅依然盛行。

(2)針對特定攻擊威脅

針對特定攻擊威脅，如APT、勒索病毒、蠕蟲病毒、殭屍網路、系統入侵、DoS與DDoS攻擊等，蜜罐同樣可以發揮作用。

　APT攻擊:Saud等使用NIDS和KFSensor蜜罐對APT攻擊進行主動檢測，當蜜罐服務被請求呼叫執行時，向控制檯傳送警報資訊。

　頻寬攻擊:針對頻寬攻擊，Chamotra等人定義了6種不同蜜罐部署方案，其中，ADSL路由蜜罐用以驗證部署方案有效性，該蜜罐是一種低互動蜜罐，在WAN介面上模擬Telnet，SSH,SIP和HTTP服務。

　路由攻擊:劉勝利等人提出針對Cisco路由攻擊的蜜罐CHoney，該蜜罐基於dynamips模擬器實現硬體平臺虛擬化並執行實際Cisco IOS提高偽裝性，依據所收集攻擊資訊，進行敏感操作等級判斷，並制定相應報警規則。

　垃圾郵件:針對垃圾郵件，郭軍權等人設計了一種結合開放中繼和開放代理服務功能的分散式郵件蜜罐，進行不同地域空間部署，保證資料採集全面性，建立多種攻擊資訊相關資料庫，透過大量攻擊樣本分析影響蜜罐郵件誘騙因素及攻擊者行為模式。

　無目標大範圍攻擊：針對無特定目標大範圍攻擊，賈召鵬等人提出一種整合多個不同內容管理系統(Content Management System, CMS)應用的蜜罐方案，利用協同控制單元選擇合適應用蜜罐對攻擊做出合理相應，透過記錄、監控流量和檔案，獲知互動資訊、檔案操作資訊及檔案快照，進而實現攻擊分析。

　惡意URL及URL重定向:Park等人提出基於虛擬環境的應用客戶端蜜罐，由蜜罐代理、Hy perviser、URL爬蟲和主服務構成，分析網站惡意程式碼URL。Akiyama等人針對惡意URL重定向間題開展了研究，探索其演化過程，建立蜜罐監控系統，將系統長期部署於實際網路中追蹤URL重定向攻擊資訊。

　勒索蠕蟲:Moore3將蜜罐技術應用至勒索蠕蟲檢測，使用兩種服務操控Windows安全日誌，建立針對攻擊的分等級方案對策:第1級，監控資料夾修改事件，並及時向管理員傳送郵件告知;第2級，檢測到更多活動時，對攻擊軟體進行資訊推測標識，使用者據此斷開網路賬戶連線;第3級，出現更高強度活動時，將關停網路；第4級，關閉服務。

　蠕蟲病毒:Agrawal等人受“影子蜜罐”啟發提出無線網路下“影子蜜網”概念，即受保護系統例項。使用過濾器依照MAC表檢查無線網路接入節點，並利用Ettercap，Wire-shark,Payload sifting 3種工具實現分階段聯合檢測異常資料包。首先利用Ettercap檢測丟棄未授權接入請求，若攻擊者使用ARP欺騙技術，則繼續利用Wireshark透過分析資料流速率判斷攻擊，最後使用Payload sifting識別並標識蠕蟲病毒指紋，轉向“影子蜜網”的蜜罐，進行充分互動。

　殭屍網路:Al-Hakbani等人A4利用節點列表、IP地址欺騙和虛假TCP 3次握手技術等攻破殭屍網路端身份認證，提高蜜罐主機接入殭屍網路的成功率。Chamotra等人4利用分散式蜜網捕獲資料進行殭屍機檢測和殭屍網路追蹤，輸入位於中央伺服器的惡意軟體庫，庫中資料用於重建環境並在沙盒內執行。在此期間，記錄本地API呼叫序列並編碼處理，編碼序列作為殭屍機檢測輸入資料，使用支援向量機分類器標識。利用二進位制句法特徵對所檢測殭屍機實施聚類處理，聚類後的殭屍機群即為某個殭屍網路，使其執行在沙盒中，記錄其屬性並追蹤溯源。

　系統入侵:Olagunju等人建立一種蜜網系統用以實時檢測入侵行為，該系統包含4個蜜罐主機、1箇中心記錄主機和1個任務主機。其中，蜜罐系統由路由器、防火牆和Linux伺服器組成，Linux提供了SSH服務以引誘攻擊者進行攻擊;中心記錄主機進行源地址、歸屬地和時間戳相關入侵資訊收集;任務主機用以安裝、執行重複性服務。

　未知漏洞攻擊:Albashir等人提出在早期階段檢測未知漏洞的蜜網系統，為降低風險，系統結合只允許零日攻擊進入蜜網的IDPS技術和防火牆技術，利用監控器監視內部全部活動，並使用蜜網全面捕捉記錄攻擊活動。Kuze等人利用多蜜罐檢測漏洞掃描，將37個蜜罐部署在實際運作網路中收集資料，進而實現資料分析評估，建立一種包含源埠號、目的IP、請求狀態碼等多重因素的特徵向量進行分類處理。

Chamotra等人建立蜜罐基線標準來檢測0day攻擊，其建立過程涉及識別、合法系統活動白名單和蜜罐攻擊面建模，密切監控攻擊者利用的特定漏洞，結果輸出為XML檔案並對系統漏洞進行分析評估。

　拒絕服務攻擊: Anirudh等人提出針對物聯網裝置的拒絕服務攻擊蜜罐解決方案，利用IDS入侵檢測系統處理客戶端請求，並透過日誌庫比對資訊，將異常請求隔離並引導至蜜罐，記錄異常源資訊。以下是針對拒絕服務攻擊有多種不同蜜罐方案。

　李碩等人設計了一種針對拒絕服務攻擊的安全防護方案，透過防火牆、入侵檢測和訪問控制系統組建傳統防護體系，對惡意資料實施阻斷，並加入高互動蜜罐系統同時接受外部請求，透過檢測蜜罐主機工作負荷判斷攻擊，防火牆將立即暫停資料包轉發，從而保護真實伺服器。

　Sardana等人在拒絕服務攻擊網路中建立了一種自動響應蜜罐架構，任何到達路由器且去往伺服器的網路流量都將被分析標記為合法或攻擊標籤，可疑流量包將被重定向至蜜罐伺服器，全方位隔離。Sembiringl提出用以檢測和預防拒絕服務攻擊的蜜罐，蜜罐將記錄攻擊者互動資訊，使蜜罐能夠實時監測攻擊，利用Honeyd-viz圖表資料分析攻擊模式，從而將攻擊源IP隔離。

傳統蜜罐應用場景具有侷限性，現今蜜罐已擴充套件至多種領域，但新事物應用意味著未知安全漏洞的存在。如今蜜罐的防護範圍應用範圍已經轉移到新興領域內，在此給大家綜合列舉一下，不再一一贅述。

三、蜜罐發展趨勢

（1）蜜罐與攻擊者之間的攻防演化將持續升級，在自身技術方面，提高蜜罐甜度、欺騙能力及改善傳統架構仍是發展重點，主要有:

　人工智慧技術與蜜罐相融合:針對入侵者攻擊動機，採用人工智慧技術，使蜜罐具備智慧互動性，提高蜜罐學習、反識別能力，以此獲取更多攻擊互動資料有利於防禦決策。

　區塊鏈技術與蜜罐相融合:針對分散式蜜罐、分散式蜜網等架構，借鑑區塊鏈分散式、去中心化技術，建立基於P2P架構的私有鏈或聯盟鏈，使蜜罐自動化運作並保證系統內部資料隱匿性。

　遺傳演化計算與蜜罐相融合:針對攻防環境的複雜、變換，蜜罐可充分利用演化計算的高魯棒性、普適性以適應不同環境下不同問題，使蜜罐具備自適應、自組織、自演化等優勢。

（2）在蜜罐應用方面，蜜罐與新技術應用相融合、擴充套件至新興領域是一種未來趨勢:

各層次雲服務(IaaS，PaaS，SaaS)的普及，為安全人員進行蜜罐研究提供了便利，作為雲端計算的延伸，邊緣計算利用了網路邊緣裝置，具有極低時延優勢。將蜜罐與邊緣計算結合，對物聯網終端蜜罐裝置和感測器進行資料收集處理，並將結果傳送至雲端服務層，提高即時處理速度和降低服務端負荷。

目前蜜罐研究主要針對傳統網路架構，作為一種新型優勢網路架構，SDN(軟體定義網路)具有可程式設計、開放介面等特性，而在一些SDN開源專案中，存在拒絕服務攻擊、北向介面協議攻擊等行為。因此，蜜罐可應用至SDN，從控制器、介面等方面誘騙攻擊者，維護網路安全穩定。

以硬體軟體高度結合為特徵的“新硬體時代”來臨，無人駕駛技術、3D列印等新硬體裝置成為攻擊新靶標。可將輕量級蜜罐與新硬體裝置結合，識別探測可疑攻擊，拒絕惡意指令執行。

結語：

以網路安全全域性趨勢來看，蜜罐符合資訊科技時代背景，並且已經擴充套件至多個領域應用。作為一種主動性防禦技術，蜜罐將不斷髮展更新，也將被安全研究領域更廣泛地關注與應用。