蜜罐技術的分析及其研究開題報告

如今,網絡隨着計算機技術的發展，已日益成爲工作、生活中不可或缺的工具。伴隨着網絡的迅猛發展，信息安全也越來越受到個人、政府、機關、企事業單位等的重視，信息安全已經成爲網絡的重中之重。信息安全中的網絡安全技術主要包括防火牆技術、***檢測技術等，這些技術大多數都是在***者對網絡進行***時對系統進行被動的保護，目前多數網站採用的安全措施爲：防火牆作爲網絡安全的第一層防線，可以實施有效的訪問控制，阻止***的進入，但***仍可能利用系統後門或缺陷繞過防火牆實施***；***檢測系統(IDS)對網絡和系統的活動情況進行監視，及時發現並報告異常現象，但是***檢測系統在使用中存在着難以檢測新類型******方法，可能漏報和誤報的問題。蜜罐(honeypot)使這些問題有望進一步解決，蜜罐好象是故意讓人***的目標，引誘***前來***，通過觀察和記錄***在蜜罐上的活動，可以瞭解***的動向，採用的***方法等有用信息，從而採取相應的措施。
國內外的研究現狀分析及產品情況
1、 定義：
蜜罐系統(honeypot)已經逐漸的被人們所認知，但對它有不同的定義。廣泛的定義是：蜜罐系統是一個僞裝成一個真正目標的資源，它期待被***，主要目的是轉移***者的視線，收集***者的信息和***者的***手段。蜜罐通常是用來對***或***者的行爲進行警報或者誘騙，使得***或***者的精力集中到蜜罐而不是其他真正有價值的正常系統和資源中，蜜罐本身對於***或***者是一個誘惑，但它本身卻表現出一個正常的系統環境。
2、產生
   “蜜罐”的思想[1]最早由CliffordStoll於1988年5月提出, 作者在跟蹤***的過程中,利用了一些包含虛假信息的文件作爲***“誘餌”來檢測***,這就是蜜罐的基本構想。蜜罐正式出現於文獻[2]，Bill Cheswick提到採用服務仿真和漏洞仿真技術來吸引***。服務仿真技術是蜜罐作爲應用層程序打開一些常用服務端口監聽，仿效實際服務器軟件的行爲響應***請求。蜜罐自產生以來，主要經歷了欺騙系統和Honeynet兩個發展階段。
 欺騙系統：FredChoen[3-5]認爲***的***過程可分爲以發現漏洞爲目的的情報收集和針對漏洞進行***兩個階段,而在網絡中設置欺騙系統可以影響***的情報收集,使其難以實施有效的***。FredChoen的工作較大地推進了蜜罐的發展。此後,一些商用或免費的欺騙系統陸續出現,主要有DeceptionToolkit[6]、Specter[7]、Mantrap[8]、CyberCopSting[9]等。
  Honeynet (蜜網)：Honeynet 是一個包含安全缺陷的網絡系統。在一個Honeynet中，可以有不同的網絡設備和操作系統，並且可以運行不同的服務，這樣使得Honeynet和正常的網絡好象沒有任何區別。Honeynet主張使用真實的系統，這樣既可以觀察***是如何侵入系統的,又可以深入觀察***進入系統之後的一些活動。Honeynet強調要對***的活動進行控制,防止***以蜜罐爲跳板***其它系統。Honeynet還強調對***活動的觀察和控制應避免被***察覺。Honeynet方案提供給***的活動環境是一個網絡,該網絡一般有多臺作爲“誘餌”的蜜罐機,連到Inertnet上,吸引******。Honeynet利用***檢測系統捕獲網絡上傳輸的數據包,記錄***活動信息。另外, Honeynet利用防火牆控制***不能以蜜罐機爲跳板***該網絡外的系統。
3、 蜜罐的技術和實現
蜜罐技術主要包括欺騙空間技術、信息捕獲技術、信息控制技術。
欺騙空間技術   通過增加搜索空間來顯著的增加***或***者的工作量，從而達到安全防護目的的一種技術。它能使一臺主機具有衆多的IP地址，並且每個IP地址具有各自的MAC地址，這些IP地址都放置了僞造網絡服務的系統。這項技術可用於建立填充一大段地址空間的欺騙，且花費很低，而且在這種情況下，欺騙服務相對更容易被掃描器發現，便於引誘***或***者上當，增加其***時間，消耗其大量資源，使真正的網絡服務被探測到的可能性大大減少。
信息捕獲技術  要抓取到***或***者羣體們的所有數據信息，從他們的擊鍵到發送的信息包。信息捕獲能夠獲得所有***者的行動記錄，這些記錄有助於分析他們所使用的工具、策略以及***方法和目的等，並在不被對方發現的情況下，捕獲儘可能多的數據信息。捕獲的數據必須很好的保護起來，否則很可能會被***者發現，從而令其得知該系統是一個陷阱平臺。
信息控制技術  就是對***或***者的行爲進行規則上的定義，讓他們能做或者不能做某些事情，並且能夠確定信息包發送到什麼地方。這樣，當蜜罐被***或者***後，它不會用來***蜜罐以外的機器或者系統。
4、目前的幾種蜜罐產品：
DTK(DeceptionToolkit)  DTK是由FredChoen用Perl語言編寫的一組源代碼公開的腳本程序，採用服務仿真技術，是最早出現的一種欺騙系統。作爲免費的，源代碼公開的欺騙系統，由於擔心繫統本身可能存在的漏洞而引入新的安全風險，於是出現了具有類似功能的改進產品如Specter等。
Mantrap  Recource公司的欺騙系統Mantrap對Cheswick所使用的牢籠(jail)環境作了進一步改進。Cheswick所使用的蜜罐系統是用漏洞仿真的方法故意提供***一個賬號,當***以該賬號登錄時,將被引入事先設置好的牢籠環境。Mantrap在Unix的更改根目錄(chroot)機制基礎上,通過修改操作系統內核的方法,在一個運行的Solaris操作系統之上提供了4個邏輯上的操作系統環境。每一個這樣的環境都如同一個獨立運行的操作系統,Mantrap用戶可以在其上安裝任何適用於Solaris操作系統的服務器軟件。這些邏輯上的操作系統環境被稱爲“牢籠”。***可以通過在牢籠內運行的真實服務器軟件的漏洞侵入這些邏輯上的操作系統環境。與採用仿真技術的DTK相比,Mantrap使用真實的服務器軟件,對***更有吸引力。由於與***實際使用同一個操作系統,Mantrap可以收集一些系統級的***活動信息。例如, Mantrap使用一個內核模塊過濾對系統進程表的訪問,既能隱藏牢籠外運行的進程,又可以記錄牢籠內進程啓動情況。
CyberCopSting  CyberCopSting是NetWorksAssociatesTechnology公司的產品,工作在NT平臺上。除了採用服務仿真技術外,它還通過佔用多個IP地址的方法,在一個計算機系統上仿真出多臺欺騙機。
5、 蜜罐的優點
蜜罐作爲一種網絡陷阱和網絡誘騙系統，具有其明顯的優點，能夠彌補單一的防火牆的侷限性和脆弱性，具體來說，有以下幾點：
（1）系統設置蜜罐後，***或***者可能耗費大量的時間和精力嘗試刺探及研究蜜罐，將會消耗***或***者的時間，給被***者提供一定的反應時間採取相應的措施和手段。
（2）讓***或***者對現有的安全措施產生錯誤的印象，使其花費很多時間和精力尋找工具***蜜罐，但這些工具可能在真實的系統上可能無法作用。
（3）蜜罐的存在，可降低實際系統受到隨機***或刺探的可能性，降低***者選擇一臺重要機器作爲目標的機率，並且蜜罐也會偵測並記錄最初的掃描以及所有的後續***。
（4）蜜罐幾乎不會產生誤報。任何同蜜罐的通信和對話都是可疑的，因爲蜜罐除了偵測和誘騙***外沒有其他的用途。
（5）蜜罐可以發現和分析系統出現的新的弱點，並且獲得***或***者新的***手段、方法，從而進行研究和採取相應的防護措施。
6、 目前蜜罐的發展趨勢
目前,蜜罐主要表現出以下幾種發展趨勢:
（1）蜜罐系統從佔用多臺計算機向只需要一臺計算機轉變。例如Honeynet組織正在進行一個VirtualHoneynets的項目。該項目計劃通過採用虛擬機(VMware)軟件在一臺計算機上安裝多個可以同時運行的操作系統。每一個操作系統都可看作網絡上一臺獨立的計算機,稱之爲虛擬機。把這些虛擬機分別配置爲蜜罐、防火牆、***檢測系統,從而在一臺計算機系統上實現了一個虛擬的Honeynet。這樣可以方便研究人員維護、減少費用；
（2）與***檢測系統(IDS)等其它網絡安全技術相結合, 減少誤報和漏報;
（3）跨平臺蜜罐  目前的操作系統各種各樣，大部分的蜜罐只能在特定的操作平臺或系統下工作，如果蜜罐可以在任何操作系統或是多個操作系統下工作，使用者的範圍就會不斷增加，同時蜜罐也能更容易的被使用。
（4）提高蜜罐和***者的交互程度  蜜罐如果僅僅支持簡單的幾種交互行爲，那麼***很快會發現自己所處的環境，並迅速退出。所以蜜罐必須不斷的提高交互程度，以便更好的瞭解***的行爲和所採取的***方式。
（5）蜜罐的應用領域逐步擴大。最初,蜜罐只是一些研究人員獲取***活動第一手材料的工具。而目前,蜜罐開始逐步在安全人員培訓等其它場合得到較多的應用。