蜜罐技术的分析及其研究开题报告

如今,网络随着计算机技术的发展，已日益成为工作、生活中不可或缺的工具。伴随着网络的迅猛发展，信息安全也越来越受到个人、政府、机关、企事业单位等的重视，信息安全已经成为网络的重中之重。信息安全中的网络安全技术主要包括防火墙技术、***检测技术等，这些技术大多数都是在***者对网络进行***时对系统进行被动的保护，目前多数网站采用的安全措施为：防火墙作为网络安全的第一层防线，可以实施有效的访问控制，阻止***的进入，但***仍可能利用系统后门或缺陷绕过防火墙实施***；***检测系统(IDS)对网络和系统的活动情况进行监视，及时发现并报告异常现象，但是***检测系统在使用中存在着难以检测新类型******方法，可能漏报和误报的问题。蜜罐(honeypot)使这些问题有望进一步解决，蜜罐好象是故意让人***的目标，引诱***前来***，通过观察和记录***在蜜罐上的活动，可以了解***的动向，采用的***方法等有用信息，从而采取相应的措施。
国内外的研究现状分析及产品情况
1、 定义：
蜜罐系统(honeypot)已经逐渐的被人们所认知，但对它有不同的定义。广泛的定义是：蜜罐系统是一个伪装成一个真正目标的资源，它期待被***，主要目的是转移***者的视线，收集***者的信息和***者的***手段。蜜罐通常是用来对***或***者的行为进行警报或者诱骗，使得***或***者的精力集中到蜜罐而不是其他真正有价值的正常系统和资源中，蜜罐本身对于***或***者是一个诱惑，但它本身却表现出一个正常的系统环境。
2、产生
“蜜罐”的思想[1]最早由CliffordStoll于1988年5月提出, 作者在跟踪***的过程中,利用了一些包含虚假信息的文件作为***“诱饵”来检测***,这就是蜜罐的基本构想。蜜罐正式出现于文献[2]，Bill Cheswick提到采用服务仿真和漏洞仿真技术来吸引***。服务仿真技术是蜜罐作为应用层程序打开一些常用服务端口监听，仿效实际服务器软件的行为响应***请求。蜜罐自产生以来，主要经历了欺骗系统和Honeynet两个发展阶段。
欺骗系统：FredChoen[3-5]认为***的***过程可分为以发现漏洞为目的的情报收集和针对漏洞进行***两个阶段,而在网络中设置欺骗系统可以影响***的情报收集,使其难以实施有效的***。FredChoen的工作较大地推进了蜜罐的发展。此后,一些商用或免费的欺骗系统陆续出现,主要有DeceptionToolkit[6]、Specter[7]、Mantrap[8]、CyberCopSting[9]等。
Honeynet (蜜网)：Honeynet 是一个包含安全缺陷的网络系统。在一个Honeynet中，可以有不同的网络设备和操作系统，并且可以运行不同的服务，这样使得Honeynet和正常的网络好象没有任何区别。Honeynet主张使用真实的系统，这样既可以观察***是如何侵入系统的,又可以深入观察***进入系统之后的一些活动。Honeynet强调要对***的活动进行控制,防止***以蜜罐为跳板***其它系统。Honeynet还强调对***活动的观察和控制应避免被***察觉。Honeynet方案提供给***的活动环境是一个网络,该网络一般有多台作为“诱饵”的蜜罐机,连到Inertnet上,吸引******。Honeynet利用***检测系统捕获网络上传输的数据包,记录***活动信息。另外, Honeynet利用防火墙控制***不能以蜜罐机为跳板***该网络外的系统。
3、 蜜罐的技术和实现
蜜罐技术主要包括欺骗空间技术、信息捕获技术、信息控制技术。
欺骗空间技术 通过增加搜索空间来显著的增加***或***者的工作量，从而达到安全防护目的的一种技术。它能使一台主机具有众多的IP地址，并且每个IP地址具有各自的MAC地址，这些IP地址都放置了伪造网络服务的系统。这项技术可用于建立填充一大段地址空间的欺骗，且花费很低，而且在这种情况下，欺骗服务相对更容易被扫描器发现，便于引诱***或***者上当，增加其***时间，消耗其大量资源，使真正的网络服务被探测到的可能性大大减少。
信息捕获技术 要抓取到***或***者群体们的所有数据信息，从他们的击键到发送的信息包。信息捕获能够获得所有***者的行动记录，这些记录有助于分析他们所使用的工具、策略以及***方法和目的等，并在不被对方发现的情况下，捕获尽可能多的数据信息。捕获的数据必须很好的保护起来，否则很可能会被***者发现，从而令其得知该系统是一个陷阱平台。
信息控制技术 就是对***或***者的行为进行规则上的定义，让他们能做或者不能做某些事情，并且能够确定信息包发送到什么地方。这样，当蜜罐被***或者***后，它不会用来***蜜罐以外的机器或者系统。
4、目前的几种蜜罐产品：
DTK(DeceptionToolkit) DTK是由FredChoen用Perl语言编写的一组源代码公开的脚本程序，采用服务仿真技术，是最早出现的一种欺骗系统。作为免费的，源代码公开的欺骗系统，由于担心系统本身可能存在的漏洞而引入新的安全风险，于是出现了具有类似功能的改进产品如Specter等。
Mantrap Recource公司的欺骗系统Mantrap对Cheswick所使用的牢笼(jail)环境作了进一步改进。Cheswick所使用的蜜罐系统是用漏洞仿真的方法故意提供***一个账号,当***以该账号登录时,将被引入事先设置好的牢笼环境。Mantrap在Unix的更改根目录(chroot)机制基础上,通过修改操作系统内核的方法,在一个运行的Solaris操作系统之上提供了4个逻辑上的操作系统环境。每一个这样的环境都如同一个独立运行的操作系统,Mantrap用户可以在其上安装任何适用于Solaris操作系统的服务器软件。这些逻辑上的操作系统环境被称为“牢笼”。***可以通过在牢笼内运行的真实服务器软件的漏洞侵入这些逻辑上的操作系统环境。与采用仿真技术的DTK相比,Mantrap使用真实的服务器软件,对***更有吸引力。由于与***实际使用同一个操作系统,Mantrap可以收集一些系统级的***活动信息。例如, Mantrap使用一个内核模块过滤对系统进程表的访问,既能隐藏牢笼外运行的进程,又可以记录牢笼内进程启动情况。
CyberCopSting CyberCopSting是NetWorksAssociatesTechnology公司的产品,工作在NT平台上。除了采用服务仿真技术外,它还通过占用多个IP地址的方法,在一个计算机系统上仿真出多台欺骗机。
5、 蜜罐的优点
蜜罐作为一种网络陷阱和网络诱骗系统，具有其明显的优点，能够弥补单一的防火墙的局限性和脆弱性，具体来说，有以下几点：
（1）系统设置蜜罐后，***或***者可能耗费大量的时间和精力尝试刺探及研究蜜罐，将会消耗***或***者的时间，给被***者提供一定的反应时间采取相应的措施和手段。
（2）让***或***者对现有的安全措施产生错误的印象，使其花费很多时间和精力寻找工具***蜜罐，但这些工具可能在真实的系统上可能无法作用。
（3）蜜罐的存在，可降低实际系统受到随机***或刺探的可能性，降低***者选择一台重要机器作为目标的几率，并且蜜罐也会侦测并记录最初的扫描以及所有的后续***。
（4）蜜罐几乎不会产生误报。任何同蜜罐的通信和对话都是可疑的，因为蜜罐除了侦测和诱骗***外没有其他的用途。
（5）蜜罐可以发现和分析系统出现的新的弱点，并且获得***或***者新的***手段、方法，从而进行研究和采取相应的防护措施。
6、 目前蜜罐的发展趋势
目前,蜜罐主要表现出以下几种发展趋势:
（1）蜜罐系统从占用多台计算机向只需要一台计算机转变。例如Honeynet组织正在进行一个VirtualHoneynets的项目。该项目计划通过采用虚拟机(VMware)软件在一台计算机上安装多个可以同时运行的操作系统。每一个操作系统都可看作网络上一台独立的计算机,称之为虚拟机。把这些虚拟机分别配置为蜜罐、防火墙、***检测系统,从而在一台计算机系统上实现了一个虚拟的Honeynet。这样可以方便研究人员维护、减少费用；
（2）与***检测系统(IDS)等其它网络安全技术相结合, 减少误报和漏报;
（3）跨平台蜜罐 目前的操作系统各种各样，大部分的蜜罐只能在特定的操作平台或系统下工作，如果蜜罐可以在任何操作系统或是多个操作系统下工作，使用者的范围就会不断增加，同时蜜罐也能更容易的被使用。
（4）提高蜜罐和***者的交互程度 蜜罐如果仅仅支持简单的几种交互行为，那么***很快会发现自己所处的环境，并迅速退出。所以蜜罐必须不断的提高交互程度，以便更好的了解***的行为和所采取的***方式。
（5）蜜罐的应用领域逐步扩大。最初,蜜罐只是一些研究人员获取***活动第一手材料的工具。而目前,蜜罐开始逐步在安全人员培训等其它场合得到较多的应用。

附件：http://down.51cto.com/data/2350938