万方数据 蜜罐技术l及其在网络安全中的应用分析隋京1，黄晓峰2Honeypot1一种欺骗黑客的技术手段TechnologyandItsApplicationinNetworkSecurityAnalysis200437，China)O引言利用一些辅助手段来确保信息系统、系统资源不被非法攻击。在长期的网络世界正邪较量中，Honeypot(蜜罐)的技术逐渐被信1．1几种Honeypot技术模型(如图1l1．2分布式Honeypot模型(如图2)—_|30(1．二炮指挥学院，湖北武汉430012；2．总后华东军用物资采购局，上海200437)摘要：文章介绍了蜜罐技术概况，提供了蜜罐技术的基本结构模型，并就蜜罐技术的应用、存在的问题以及发展趋势进行了分析。关键词：Honeypot；网络攻击；网络防御中图分类号：TP398．鸺文献标识码：A文章编号：1671—1122(2010)12-0080--00SUIJin91．HUANGXiao．feng。2．ThegenerallogisticsdepartmentoftheeostChinamilitarymaterialspurchasebureau,Shanghaitechnologytechnology,the近年来，尽管网络安全防御技术得到了突飞猛进的发展，但面对层出不穷的网络攻击，依然显得捉襟见肘，且安全技术在实践巾相对于黑客技术有—定滞后性。在此情况下，信息系统的维护方除了通过应用传统的网络安全产品实施保护外，往往还需要息系统维护者有效应用，成为与网络入侵者巧妙周旋的有力武器。作为一种网络安全防护的方法，Honeypot可以将入侵者引向一些错误的资源，使入侵者不知道其进攻是否奏效或成功，同时可跟踪入侵者的行为，在入侵者攻击成功之前修补系统可能存在的安全漏洞。从原理上讲，每个有价值的网络系统都存在安全弱点，而且这些弱点都可能被入侵者所利用。Honeypot主要有以下三个作用：1)影响入侵者并使之按照系统维护人员的意志进行选择；2)迅速地检测到入侵者的进攻并获知其进攻技术和意图；3)消耗入侵者的资源。一个理想的网络欺骗可以使入侵者感到他们不是很容易地达到了期望的目标(当然目标是假的)，并使其相信入侵取得了成功。Honeypot技术是指一个故意设计为有缺陷的系统，通常是用来对入侵者的行为进行警报或者诱骗，它可以对黑客攻击的相关数据进行收集，获取如黑客使用过的技术手段等在内的资源。而不足之处是资料收集点较为单一，且能够招致风险，如作为攻击者另外一次攻击的平台。早期的Honeypot模型是通过在网络中放置少量的Honeypot主机来诱使攻击者把注意力集中在这里，其中的关键技术是如何使攻击者对主机感兴趣。该模型的突出问题是，攻击者面对真实目标的概率要远远多于面对Honeypot的概率。在该模型中，我们把欺骗服务配置于网络中的各个角落，充分利用网络中的有效资源以实现整体的安全防御。这样就很好地扩展了欺骗的IP／port地址空间，这类似于shann∞在密码学领域中的扩散原理。作者简介：隋京(1986一)．男，硕士研究生，主要研究方向：作战指挥、信息系统安全；黄晓峰(1972．)，女，工程师，主要研究方向：信息技术应用。2010、12、(1．ErBao收稿时间：2010-11-10■doi：10．3969，j．issn．1671—1122．2010．12．011commandcollege，Wuhan．Hubei430012，China；Abstract：Thearticleintroducesthehoneypotoverview,providesbasicmodel，andapplicationofexistingproblemsdevelopmenttrendwel"eanalyzed．Keywords：Honeypot；NetworkAttack；Networks●structurea 万方数据 r一31真实目标。但有^娇够完善的Honeypot／／／石I—0—．—1—2进一步完善Honeypot的系统设讹1．3欺骗墙(DeceptionWall)模型(如图3)Honeypot技术应用2．1虚拟Honeypot程序实现。例如虚拟Honeypot能够仿真盯P服务器，且一切TCP和UDP端口的多发几条指令便会发现服务器中的操2．2真实HoneypotHoneypot的局限性假信息的平台，从而失去了存在的意义。Honeypot的发展趋势4．1跨平台工作4．2技术上的升级和完善的不足，一般而言，现在的黑客都具有较高的识别水平，虚拟Honeypot的仿真技术架构相对初级。由于虚拟Honeypot基本没有一个完整意义上的操作系统，其图3是我们实现的系统模型，为了保证欺骗的有效性，我们保证在本系统