工程作業(yè)蜜罐與蜜網(wǎng)技術

的安全資源，即它只有虛敏感數(shù)據(jù)，不是用于對外的正常服務。它可以是一個網(wǎng)絡、一臺主機、一項服務，也可以是數(shù)據(jù)庫中的某些無用的數(shù)據(jù)項、以及的用戶賬號及其弱口令等，因此任何與它交從上世紀九十年代初蜜罐概念的提出直到1998年左右，“蜜罐”還僅僅限于一種思想，通常由網(wǎng)絡管理人員應用，通過欺編達到追蹤的目的。這一階段的蜜摘實質上是一些真正被所的主機和系從1998年開始，蜜罐擴術開始吸引了一些安全研究人員的注意，并開發(fā)出一些專門用于欺編的開源工具，如F代淚Cohen所開發(fā)的DTK(欺編工具包)、NielsProvos開發(fā)的Honeyd等，同時也出現(xiàn)了像夠模擬成虛擬的操作系統(tǒng)和網(wǎng)絡服務，并對的行為做出回應，從而欺編。虛擬蜜罐工具的但是由于虛擬蜜罐工具存在著交互程度低，較容易被識別等問題，2000年以后，安全研究人員更數(shù)據(jù)分析和數(shù)據(jù)控制的工具，并且將蜜罐納入到一個完整的蜜網(wǎng)體系中，使得研究人員能夠更方便地迫蹤侵入到蜜網(wǎng)中的并對他們的行為進行分析。產品型蜜罐主要是用于檢測、防御和取證，為的網(wǎng)絡提供安全保護。它一般采用虛擬的操作系統(tǒng)和應用程序來構建系統(tǒng)，部署在一個部門的內部網(wǎng)絡環(huán)境。這類蜜罐系統(tǒng)的代表有SymantecDecoyServer、SmokeDetector、Honeyd、Specter、ManTraq等。隨著研究的深入，產品型蜜罐出現(xiàn)了針對特定的應用，比如檢測內部的Honeytoken，檢測緩沖區(qū)溢出的TaintCheck，檢測對無線網(wǎng)絡的802.11Honeypot，檢測 對瀏覽器的Honey，檢測DOS，檢測惡意代碼的HoneyStat，檢測郵件的HoneySpam，檢測Web應用的HoneyWeb［3］等。研究型蜜罐主要是用于研究的特征和發(fā)展趨勢，以幫助安全組織研究系統(tǒng)所的，以便更好地抵抗這些。它一般采用真實的操作系統(tǒng)和應用程序來構建系統(tǒng)，部署在網(wǎng)絡系統(tǒng)中各個網(wǎng)段上。例如，Kbh提了一種從oyt自取的C( u)算法［4］，算法比較簡單，但是提取的特征質量較差。aThaar首先采用可視化、統(tǒng)計分析等方法輔助人工篩選出可疑數(shù)據(jù)，然后基于LCS取方法提高了特征提取的質量，但是還需要人工參與。低交互蜜罐與交互次數(shù)少，引入的風險較小，但是容易被者識別，捕獲的信息少。高交互蜜罐捕獲的信息較多，容易捕獲到新的工具，但是部署復雜，難以，引入了較高的安全虛擬蜜罐是由虛擬的操作系統(tǒng)和應用程序構建的，的行為只能局限在模擬的級別。主要用于攻擊的檢測、防御等。較具代表性的系統(tǒng)如DTK、Honeyd等開源工具和KFSensor、ManTrap等一系列模擬一個真實的系統(tǒng)。學習服務的蜜罐是通過機器學習由系統(tǒng)編寫，模擬一個真實的系統(tǒng)。學習服真實蜜罐交互程度高，無蜜罐，捕獲的信息量大，適合作研究，但是高交互引入了較高的安全風險。虛擬蜜罐部署比較方便，引入風險較低，適合作為商業(yè)產品，但是收集數(shù)據(jù)少，易被客戶端蜜罐是運行客戶端的軟件，模擬普通的互聯(lián)網(wǎng)客戶端或軟件，如Honey-?服務端蜜罐通過誘騙者來了解服務器端的安全，但是難以發(fā)現(xiàn)針對客戶端的安全。 或軟件來發(fā)現(xiàn)瀏覽器的，主動了解互聯(lián)網(wǎng)上針對客戶研究的特征和發(fā)展趨勢。目前具有代表性的工具是蜜網(wǎng)項目組于2005年5月推出的第三代蜜網(wǎng)技術［2］，第三代蜜網(wǎng)主要由Honey-wall、Honeypots和DataCenter這3個元素組成，分別負責數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)收集［2］。Yegneswaran等人實現(xiàn)了一種從Honeynet數(shù)據(jù)中自動提取特征的系統(tǒng)虛擬蜜網(wǎng)是通過應用虛擬操作系統(tǒng)軟件(如VMWare和UserModeLinux等)使得在單一的物理系統(tǒng)虛擬蜜網(wǎng)又可以分為兩種，自包含虛擬蜜網(wǎng)和混合虛擬蜜網(wǎng)。自包含虛擬蜜網(wǎng)是將整個蜜網(wǎng)都壓縮到一臺計算機上。其中虛擬操作系統(tǒng)由虛擬軟件控制，主機操作系統(tǒng)完成蜜網(wǎng)上的數(shù)據(jù)控制和數(shù)據(jù)捕獲功能，因而部署方便，但是一旦被攻破，就可以獲得對整個虛擬蜜網(wǎng)的控制權。真實蜜網(wǎng)對已知或未知的工具與戰(zhàn)術都有廣泛的捕獲、分析能力，適用于眾多的組織和環(huán)境，但是部署與復雜，高交互引入了較高的安全風險。虛擬蜜網(wǎng)節(jié)省硬件資源，容易部署和控制，系統(tǒng)容易恢復，引入的安全風險較低，常用于的檢測、和防御，但是收集數(shù)據(jù)較少，易被者此外，L.Spitzner蜜場(honeyfarm)［7］，其本質上還是蜜網(wǎng)，即在各個內部子網(wǎng)或關鍵主機上設置一系列用于數(shù)據(jù)控制的重定向器，將發(fā)現(xiàn)的流量重定向到蜜罐上，由在蜜場中部署的一系列數(shù)據(jù)捕獲和數(shù)據(jù)分析工具對行為進行和分析。XuxianJiang等人實現(xiàn)了一個蜜場系統(tǒng)Collap-sar，應用在分布式網(wǎng)絡中檢測和捕獲。然后引入檢測（IDS）作為網(wǎng)絡數(shù)據(jù)收集和已知的工具，使用和路由器作為數(shù)據(jù)控制的工具，同時他們的存在也是蜜罐看起來更象一個真實的網(wǎng)絡系統(tǒng)，日志服務（LogServer）用來備份蜜罐收集和記錄的的各類數(shù)據(jù)和日志。蜜罐就是由以上各組件和HUB、若干網(wǎng)線構成，如下圖所示：

蜜罐作為一種解決方案，其實現(xiàn)主要依賴于低層網(wǎng)絡技術的支持和運用。而對于蜜罐特殊的運作方式和實用目的，其原理的實現(xiàn)也在傳統(tǒng)的網(wǎng)絡技術上有新的要求。蜜罐的主要技術有網(wǎng)絡，是沒有價值的，網(wǎng)絡技術因此也是蜜罐技術體系中最為關鍵的技術和難題。在過去幾年的時間里，蜜罐技術研究人員在蜜罐技術上的每一次創(chuàng)新和突破都無一例外地在蜜罐的網(wǎng)絡功能上煞費苦心。網(wǎng)絡技術的強與弱從一個側面也反映了蜜罐本身的價值。然而正是這個關鍵的技術也是蜜罐技偵聽非工作的服務端口是誘騙的常用。當通過端口掃描檢測到系統(tǒng)打開了非作的服務端口，他們很可能主這些端口發(fā)起連接，并試圖利用已知系統(tǒng)或應用服務的來發(fā)送但是由于簡單的模擬非工作服務端口，最多只能與建立連接而不能進行下一步的信息交互，所以模擬系統(tǒng)和應用服務為者提供的交互能力比端口模擬高得多。它們可以預期一些活動，并且旨在可以給出一些端口響應無法給出的響應。譬如，可能有一種蠕蟲正在掃描特定的s情況下，可以構建一個模擬Mierosoft15eb服務器的hnoyePot，并包括通常會伴該程序的一些額外的功能或者行為。無論何時對該honePyot建立H竹P連接，它都會以一個15web服務器的加以響應，從而為者提供一個與實際的ISIW七b服務器進行交互的機會。這種級別的交互比端口模擬所收集到的信息要豐富得多［8］。IP空間利用計算機的多宿主能力在一塊兒網(wǎng)卡上分配多個PI地址來增加者的搜索空間來從如果發(fā)現(xiàn)系統(tǒng)少有網(wǎng)絡流量.，那系統(tǒng)的真實性勢必會受到懷疑。流量仿真是利用各種技術產 的絡流量使流量分析不能檢測到?，F(xiàn)在主要的方法有兩種。一是采用實時或重現(xiàn)的方式真正的網(wǎng)絡流量，這使得系統(tǒng)與真實的系統(tǒng)十分相似。二是從流量，使者可以發(fā)現(xiàn)和利用。真實網(wǎng)絡系統(tǒng)的狀態(tài)一般會隨時間而改變的，如果是靜態(tài)的，那么在者的長期監(jiān)視下就容易。因此需要動態(tài)地配置我們的系統(tǒng)以使其狀態(tài)象真實的網(wǎng)絡系統(tǒng)那樣隨時間而改變，從而更近真實的系統(tǒng)，增加蜜罐的性如果某個組織提供有關個人和系統(tǒng)信息的，那么也必須以某種方式反映出這些信息。例如如果組織的DNS服務器包含了個人系統(tǒng)擁有者及其位置的詳細信息，那么你就需要在的DNS列表中具有的擁有者及其位置，否則很容易被發(fā)現(xiàn)。而且，的人和位置也需要有的信息如薪網(wǎng)絡服務往往與特定的系統(tǒng)聯(lián)系在一起，網(wǎng)絡服務往往是者侵入系統(tǒng)的，網(wǎng)絡服務可以蜜罐主機類似于蜜罐的罐，它負責與者交互，是捕捉者活動的主要場所。蜜罐主機可以是模擬的或真實的系統(tǒng)。與一般的系統(tǒng)不同之處在于，該系統(tǒng)處于嚴密的監(jiān)視和控制之下。與系統(tǒng)的每一次交互都在不被他們察覺的情況下被日志記錄。使用虛擬機技術主要有兩個優(yōu)點，一是在單機上運行多個擁有各自網(wǎng)絡界面的客戶操作系統(tǒng)可以模擬一個網(wǎng)絡，二是在客戶操作系統(tǒng)被者破數(shù)據(jù)捕獲是蜜罐的功能模塊。;數(shù)據(jù)捕獲的目標是捕捉者從掃描、探測到到攻陷蜜罐主機 數(shù)據(jù)各不相同。最外層數(shù)據(jù)捕捉由 來完成，主要是對出入蜜罐系統(tǒng)的網(wǎng)絡連接進行日志記錄，這些日志記錄存放在本地，防止被者刪除更改。第二層數(shù)據(jù)捕捉由檢測系統(tǒng)(IDS)來完成，IDS抓取蜜罐系統(tǒng)內所有的網(wǎng)絡包，這些抓取的網(wǎng)絡包存放在DIS本地。最里層的數(shù)據(jù)捕捉由蜜罐主機來完成，主要是蜜罐主機的所有系統(tǒng)日志、所有用戶擊鍵序列和屏幕顯示，這些數(shù)據(jù)通過網(wǎng)絡傳輸送到遠程日志服務器存放。 行為的特征和模型是相當?shù)摹，F(xiàn)有的蜜罐系統(tǒng)都沒很好的解決使用數(shù) 不到任何有價值的信息，同時蜜罐系統(tǒng)將者利用作為其他系統(tǒng)的跳板。數(shù)據(jù)控制是蜜罐系統(tǒng)必我們允許所有對蜜罐的，但是我們要對從蜜罐系統(tǒng)外出的網(wǎng)絡連接進行控制，當蜜罐系統(tǒng)發(fā)起外出的連接，說明蜜罐主機被者攻破了，而這些外出的連接很可能是者利用蜜罐對其他的系統(tǒng)發(fā)起的連接。對外出連接控制不是簡單的阻斷蜜罐對外所有的連接，那樣無疑在告訴者他正身陷蜜罐系統(tǒng)當中，而者成功侵入系統(tǒng)后的動作和企圖是我們所關心的。我們可以限制一定時間段內外出的連接數(shù)，甚至可以修改這些外出連接的網(wǎng)絡包，使其不能到達它的目的地，同時又給者網(wǎng)絡包蜜罐通常有兩層數(shù)據(jù)控制，分別是連接控制和路由控制完成。連接控制由來完成，通過限制蜜罐系統(tǒng)外出的連接。路由控制由路由器來完成，主要利用路由器的控制功能對外出的數(shù)據(jù)包進行控制，以防止蜜罐系統(tǒng)作為源I句其他系統(tǒng)發(fā)起xP、Dos、IeMP、sYN、sMuRF等具鍵安全化到時效用型蜜罐技術，在公共互聯(lián)網(wǎng)或大規(guī)模業(yè)務網(wǎng)絡中進行部署，以擴大安全的監(jiān)測范圍并提升監(jiān)測能力，成為了蜜罐技術社區(qū)研究與工程實踐中的一個重要關注點.蜜罐技術社區(qū)也逐漸提出了蜜網(wǎng)、分布式蜜罐與分布式蜜網(wǎng)、蜜場等部署結構框架。蜜網(wǎng)(honeynet)技術的提出，為系統(tǒng)可控地部署多種類型蜜罐提供了基礎體系結構支持.念證明性的第一代，經(jīng)過逐漸成熟和完善的第二代，目前已步入完整、易部署、易的第三代，圖2顯示了蜜網(wǎng)的基本結構，多臺各種類型的蜜罐系統(tǒng)構成蜜網(wǎng)網(wǎng)絡，并通過一個以橋接模式部署的蜜網(wǎng)網(wǎng)關(Honeyall)與外部網(wǎng)絡連接.蜜網(wǎng)網(wǎng)關構成了蜜網(wǎng)與外部網(wǎng)絡的唯一連接點，外部網(wǎng)絡所有與蜜罐系統(tǒng)的網(wǎng)絡交互流量都將通過蜜網(wǎng)網(wǎng)關，因此，在蜜網(wǎng)網(wǎng)關上可以實現(xiàn)對安全的網(wǎng)絡數(shù)據(jù)捕獲，以及對攻擊進行有效控制.PTTL遞減與路由，以確保蜜網(wǎng)網(wǎng)關極難被方發(fā)現(xiàn).而安全研究人員通過蜜網(wǎng)網(wǎng)關的管理接口連接對蜜網(wǎng)網(wǎng)關進行管理控制，以及對蜜網(wǎng)網(wǎng)關上捕獲和匯集的安全數(shù)據(jù)進行分析?？梢灾苯釉诿劬W(wǎng)中包含真實系統(tǒng)作為高度性的蜜罐，這使得者可以和真實的操作系統(tǒng)與應用服務進行交互，讓者在蜜網(wǎng)中有更充分的活動空間，也保證了安全研究人員能夠捕獲到更加豐富和

分布式蜜罐/蜜網(wǎng)是目前安全研究機構、CERT組織與安全公司基于蜜罐技術搭建互聯(lián)網(wǎng)安全監(jiān)測體系的典型技術方案，但已有的、公開的分布式蜜罐/蜜網(wǎng)系統(tǒng)在采用底層蜜罐技術、資源要求與系統(tǒng)組 較低的低成本硬件進行部署，容易且部署安全風險很低，這使得 方式在世界五大洲的28個國家部署了70個節(jié)點，從2004年~2008年3月，共捕獲了來自于近350萬源IP地址的大量網(wǎng)絡會話，并通過聚類分析、數(shù)據(jù)挖掘等方法從中發(fā)現(xiàn)安全根源.巴西CERT的分布式蜜 系統(tǒng)類似地采用了Honeyd框架與合作加盟方式，在巴西國內部署了近30個然而，僅僅依賴單一的oy虛蜜罐框架軟件和一些定制的模擬服務，只能為互聯(lián)網(wǎng)安全提供非常受限的交互環(huán)境，無法觸發(fā)和記錄網(wǎng)絡會話的完整信息.因此，之后開發(fā)與部署的分布式蜜網(wǎng)系統(tǒng)往往將基于模擬的低交互式蜜罐與使用真實系統(tǒng)的高交互式蜜罐相結合，以結合兩者各自的優(yōu)勢.ThenytotH分布式蜜網(wǎng)系統(tǒng)以we虛擬化平臺結合sooy1個節(jié)點，在2007年3月5月運行期間，捕獲了30多萬個不同源IP地址的7300多萬個網(wǎng)絡會話連接、67萬余次SSH口令嘗試以及1680個不同的代碼樣本。2005年~2008年，Zhuge等人支持CNCERT/CC研發(fā)和部署Matrix中國分布式蜜網(wǎng)系統(tǒng)，采用自主實現(xiàn)的HoneyBow高交互式蜜罐，并集成Nepenthes蜜罐，利用CNCERT/CC在的分支機構的硬件與網(wǎng)絡資源條件，在31個省市區(qū)共部署了50個節(jié)點，從完成部署后的2006年10~2007年6月的8個月時間中，共捕獲了約80萬次代碼，提取到近10萬個不同的代碼樣本.在國家中心部署的代碼自動分析服務與僵尸網(wǎng)絡工具軟件的進一步支持下，Matrix系統(tǒng)發(fā)現(xiàn)并監(jiān)測了3290個不同的IRC僵尸網(wǎng)絡，并對IRC僵尸網(wǎng)絡行為模式進行了細致的分析.歐洲電信將系統(tǒng)升級改造為SGNET，以分布式方式部署添加了ScriptGen功能特性的Honeyd虛擬蜜罐，ScriptGen[66]技術能夠絡應用協(xié)議的自動狀態(tài)機，并生成Honeyd中相應服務模擬，從而提 中，蜜罐系統(tǒng)都被集中部署于一個受控的網(wǎng)絡環(huán)境中，由安全專家來負責、管理與數(shù)據(jù)分析，而在業(yè)務網(wǎng)絡中僅僅部署一些輕量級的重定向器，對以未使用IP地址為目標的網(wǎng)絡流量或者通過入侵防御系統(tǒng)等設備檢測出的已知網(wǎng)絡會話，重定向遷移至蜜場環(huán)境中，由蜜罐系統(tǒng)與源進行交互，在具有性的環(huán)境中更加深入地分析這些安全.Jiang Collapsar系統(tǒng)[20]，用于網(wǎng)絡的檢測與深入分析，通過幾個真實捕獲的案例驗證了系統(tǒng)的有蜜場技術框架實現(xiàn)的難點，在于重定向網(wǎng)絡會話的透明性以及蜜場環(huán)境對于分析大量網(wǎng)絡連接的可擴展性。陸騰飛等人在應用蜜場技術構建的主動式防護系統(tǒng)Icarus中，引入了具備高度透明性的網(wǎng)絡會話重定向與遷移技術，通過策略路由方式將指定的網(wǎng)絡連接從業(yè)務網(wǎng)絡中透明地重定向到蜜場網(wǎng)關，首先交由其上部署的低交互式蜜罐與源進行交互，在低交互式蜜罐對于一些未知攻過TCP會話遷過程將會話無縫地遷移到高交互式蜜罐中.這種蜜罐多級部署策略可以有效提升蜜場環(huán)境的可擴展性，而網(wǎng)絡會話遷移技術能夠保證整個交互響應過程對方的透明性.為了緩解蜜場環(huán)境中大規(guī)模安全與更為深入地捕獲數(shù)據(jù)之間的，rableokn64000BackOfficernBo，它是一個簡單的免費honeypotun和NetworkFlightReeorder公司的員工。BoF是一種低交互度的honePyot，可以運行于幾乎所有的wnidows系統(tǒng)中。對于開始hnoe沖ot討論，這不愧為一個很好的起點，因為任何人都可以將其安裝在自己的系統(tǒng)中。其裝和配置都是極為簡單的，并且所需要的也很少。不過，這種簡捷性也是有代價的:其功能非常有限。它只提供了進行端口偵聽的很小的服務集合以及特別有限的模擬功能［12能力要大得多。specetr不僅可以模擬的服務，而且可以模擬不同的操作系統(tǒng)和。它還具有大量的和日志功能。由于speeter只模擬具有有限交互的服務，因此很容易部署，也很容易，并且風險也Hnoyed是一種開放源代碼的低交互度hnoyePot。其主要目的在于對可疑活動進行檢測、捕獲和。oyd由soo2004年月，它為honeypot地址進行活動監(jiān)視，而是對具有數(shù)以萬計系統(tǒng)的網(wǎng)絡進行監(jiān)視。當它檢測到對并不存在系統(tǒng)的探測時，就會動態(tài)地承擔起這個受害者的角色，然后與者進行交互，這就指數(shù)極地增加了honePyot檢測和捕獲擊的能力。它可以在應用程序層和PI堆棧層上模擬數(shù)百個操作系統(tǒng)。作為一種開放源碼的解決方案，Hnoycd是一項免費技術，可以完全到其源代碼。定制自己的解決方案或者使用由安全界其他成員所開發(fā)的那些方案。Honeyd是為unix平臺設計的，其安裝和配置都相對簡單，主要依賴于一種命令形式的接口［12Manrap是Recouse公司銷售的honeyPot。它是一種中等到高交互度的honeyPot，Manrap的獨特之處在于它沒有模擬任何服務，而是在一個操作系統(tǒng)的基礎之上創(chuàng)建了多達4個虛擬操作系統(tǒng)。這就賦予了管理員對虛擬操作系統(tǒng)更為廣泛的控制和數(shù)據(jù)捕獲能力。組織甚至可以安裝一些希望進試的產品應用程序，如NS、eb服務器甚至數(shù)據(jù)庫等。這些虛擬的操作系統(tǒng)幾乎具有和標準的產品系統(tǒng)相同的交互性和功能。因此，可以從者那里了解到很多信息。由于這是一種產品，Manrap的部署和要相對容易些。它還可以捕獲到數(shù)甘涼人的信息。Manrap不僅可以檢測到掃描和未連接，而且還可以捕獲到未知、以及新的。不過，其多功能性能是以增加風險為代價的。因為honeypot為者提供了一個可以利用的完整的操作系統(tǒng)，因此它可以被用于其他系統(tǒng)和執(zhí)行未活動。另一個限制是ManTrap目前被限制在oslaris操作系統(tǒng)上。ManTrap可以被靈活地用作一種產品型或研究型honeyot［12Hnoyenet代表了高交互度蜜罐的極限，它不僅為者提供了完整的操作系統(tǒng)進行和交互，而且中所有活動，并降低包含者活動所帶來的風險。Honeynet的復雜性并不在于蜜罐本身的構建(可以很簡單地使用默認安裝即可)，而在于對往來于hnoyePot的所有活動既進行控制又加以捕獲的控制網(wǎng)絡的構建。因此honeynet是最難部署和的蜜罐之一。這種復雜性也使得它們成為了具備最高風險的蜜罐解決Honeytoken概念出發(fā)點是的目標不僅僅在于攻陷網(wǎng)絡和主機本身，往往時候是對信息內容的。由此，我們可以擴展蜜罐的概念，即使用一些正常情況下不會使用的信息內容作為誘餌，一旦發(fā)現(xiàn)這些Honeytoken被，則預示可能對信息內容發(fā)起，從而我們可以發(fā)現(xiàn)并追蹤的活動。較容易實施的Honeytoken包括數(shù)據(jù)庫中的某些無用數(shù)據(jù)項、的用戶帳號及其開料成產些中蜜但用了一些初級的誘騙技術，缺乏對蜜罐系統(tǒng)的誘騙技術、安全技術、功能的全面研究。然而蜜罐技術作為安全領域的新生事物，其價值在不斷創(chuàng)新的技術背景下得到提升。作為安全解決方案中的重要補充技術，其發(fā)展的前景是可觀的。為適應和的發(fā)展形勢，國家也加大了對蜜罐技術研究和開發(fā)的投入。國家高技術研究發(fā)展計劃(863)計劃的技術主要研究、關鍵和共性技術，以形成自主的防護能力、隱患發(fā)現(xiàn)能力、應急反應能力以及信息對抗能力，為建立息安全保障體系提供技術支撐。主御罐的是助 檢發(fā)的與代碼.Kwatly等人依據(jù)動態(tài)蜜罐技術概念，通過集成主動探測與 辨識工具，對Honyd虛擬蜜罐進行動態(tài)配置，在動態(tài)變化的網(wǎng)絡環(huán)境中構建出自適應蜜罐系統(tǒng)，達到對網(wǎng)絡中的檢測目的.Artail等人進一步提出了混雜模式的蜜罐架構，使用低交互式虛擬蜜罐來模擬服務與操作系統(tǒng)，并將包含的流量引導至高交互式真實服務蜜罐，增強對網(wǎng)絡者行為的監(jiān)視、分析與管控能力Anagnostakis等人則提出了Shadow()蜜罐的創(chuàng)新思路，組合了蜜罐技術與異常檢測技術的各自優(yōu)勢，首先使用異常檢測器監(jiān)視所有到受保護網(wǎng)絡的流量，檢測出的可疑流量通過hdw蜜罐進行處理hdw罐與受保護業(yè)務系統(tǒng)共享所有內部狀態(tài)，在影響受保護業(yè)務系統(tǒng)狀態(tài)之前會被蜜罐檢測出來，而被異常檢測器錯誤識別的合法流量通過hdw蜜罐驗證之后，由業(yè)務系統(tǒng)向用戶提透明的響應。蜜罐技術對具有主動特性的網(wǎng)絡蠕蟲等代碼具有很好的檢測效果.Dagon等人針對局域網(wǎng)中如何在爆發(fā)初期就檢測出蠕蟲的問題，實現(xiàn)了驅動并覆蓋大量IP地址范圍的HoneyStat蜜罐系統(tǒng)，HoneyStat針對局域網(wǎng)蠕蟲場景，生成內存操作、磁盤寫、網(wǎng)絡這3種不同類型的，并通過自動化的數(shù)據(jù)收集與關聯(lián)分析，能夠快速、準確地檢測出零日蠕蟲爆發(fā).在歐盟FP6計劃資助的NoAH項目中，SweetBait系統(tǒng)集成了SweetPot低交互式蜜罐與Argos高交互式蜜罐對互聯(lián)網(wǎng)上的蠕針對2008年底爆發(fā)的Conficker蠕蟲進行了檢測與分析［15］，驗證了系統(tǒng)的有效性。除了網(wǎng)絡蠕蟲等傳統(tǒng)類型代碼之外，研究人員還應用蜜罐技術檢測與分析針對瀏覽器等客戶端軟件的網(wǎng)頁.HoneyMonkey系統(tǒng)通過引入高交互式的客戶端蜜罐技術，使用安裝了不同補丁級別的操作系統(tǒng)與瀏覽器軟件來檢測和發(fā)現(xiàn)針對瀏覽器安全實施滲透的頁面.的SafeBrowsing300萬導致程序植入的URL，并系統(tǒng)性地對網(wǎng)頁現(xiàn)象進行了深入分析。在檢測代碼的基礎上，最近發(fā)展出的蜜罐技術還具備代碼樣本自動捕獲的能力.Nepenthes是最早出現(xiàn)基于蜜罐技術自動化捕獲與代碼樣本的開源工具，Nepenthes具有靈活的可擴展性，使用單臺物理服務器就可以覆蓋一個/18網(wǎng)段的監(jiān)測，在33個小時中捕獲了超過550萬次滲透，并成功捕獲到150萬個代碼樣本，在依據(jù)不同MD5值的消重處理后，最終在這段時間內捕獲了408個不同的代碼樣本，實際捕獲數(shù)據(jù)驗證了Nepenthes蜜罐在自動捕獲主動型代碼方面的有效性.HoneyBow系統(tǒng)則實現(xiàn)了基于高交互式蜜罐的代碼樣本自動捕獲流程，在Matrix分布式蜜網(wǎng)系統(tǒng)9個月的實際部署與監(jiān)測周期中，HoneyBow平均每天捕獲了296個不同代碼樣本，thNepe s(63. th［16］.Wtrol則針對客戶端的網(wǎng)頁木馬場景，提出了結合低交互式蜜罐與“類”Cache與重放技術的自動化捕獲方法，將分布式于多個Web站點、動態(tài)生成且包含多步驟多條路徑的網(wǎng)頁木馬場景，進行較為全面與，并支持重放場景進行離線分析，Wtrol系統(tǒng)在5個月的時間內，從CERNET網(wǎng)絡中的1248個被掛馬上捕獲了26498個網(wǎng)頁木馬場景。研究社區(qū)已經(jīng)證實了蜜罐技術在代碼樣本方面的能力，因此，反工業(yè)界目前也已經(jīng)普遍地通過大規(guī)模部署蜜罐來未知代碼樣本，如國際著名的反廠商Symantec等.僵尸網(wǎng)絡監(jiān)測與追蹤是應用蜜罐技術進行安全深入分析的一個熱點方向，其基本流程是由蜜罐捕獲通過互聯(lián)網(wǎng)主動的僵尸程序，然后在受控的蜜網(wǎng)環(huán)境或沙箱中對僵尸程序進行分析，獲取得僵令控務信以yl節(jié)點僵尸網(wǎng)絡進行追蹤，在取多的信息之后可進一步進行nh、關停、接管等主動遏制.Freilng等人最使用蜜罐技術來進行僵尸網(wǎng)絡追蹤［17］，Rajab等人進一步提出了一種多角度同時大量實際僵尸網(wǎng)絡的方法［18］，包括旨在捕獲僵尸程序的分布式代碼體系、對實際僵尸網(wǎng)絡行為獲取內部觀察的IRC局 的S絡的一些行為和結構特性.諸葛等人利用x對IRC僵尸網(wǎng)絡行為進行了長面的，揭示了現(xiàn)象特征.Stone-Gross等人在蜜罐技術監(jiān)測僵尸網(wǎng)絡行為的基礎上，通過搶注動態(tài)的對orpig了18機P收了7B信息，驗證了僵尸網(wǎng)絡追蹤與托管技術可以達到的主動遏制效果.針對互聯(lián)網(wǎng)上郵件泛濫的現(xiàn)象，ProjectHoneyPot項目利用超過5000位管理員自愿安裝的蜜罐軟件超過25萬個郵件誘騙地址，對收集郵件地址并發(fā)送郵件的行為進行了大規(guī)模的追蹤分析，Steding-Jessen等人使用低交互式蜜罐技術來研究郵件發(fā)送者對開放的行為，Levchenko等人對蜜罐到的郵件的經(jīng)濟鏈進行追蹤分析，揭示出支付環(huán)節(jié)是這一經(jīng)濟鏈蠕蟲等普遍化的安全.因此，蜜罐非常適合作為網(wǎng)絡特征提取的數(shù)據(jù)來源.安全研究人員提出了多種基于蜜罐數(shù)據(jù)進行網(wǎng)絡特征提取的方法，本文在表1中對這些方法進行了總結與對比分析.BaseSignaturebHoney19］于進網(wǎng)征究為oyd蜜罐的擴展模塊而實現(xiàn)，對于蜜罐接受到的網(wǎng)絡連接，通過與相同目標端口的保存網(wǎng)絡連接負載進行一對一的最長公共子串(LCS)匹配，如果匹配到超出最小長度閾值的公共子串，即生成一條候選特征，這些候選特征再與已有特征集進行聚合，生成更新后的特征庫 b據(jù)進行特征的基礎方法，但并未考慮應用層協(xié)議語義信息.很多情況下，由于應用層協(xié)議頭部中相同內容的影響而提取出與無關的無效特征.Nemean對 b的這一缺陷，提出感知能力的特征提取方法，以虛擬蜜罐和indows2000vr物理蜜罐捕獲的原始數(shù)據(jù)包作為輸入，數(shù)塊據(jù)為SST化樹特塊用MSG多級特征泛化算法，將網(wǎng)絡會話進行聚類，并對聚類進行泛化，生成基于有限狀態(tài)機的語義敏感特征，最后轉換為目標檢測系統(tǒng)的特征規(guī)則格式進行實際應用.SweetBait/Argos則針對主動發(fā)布型蜜罐應用場采點來透回成EIP據(jù)在網(wǎng)絡會話流中的具置，在特征自動提取環(huán)節(jié)，則支持LCS最長公共子串算法與CREST透關鍵字符串檢測算法.其中，CREST據(jù)分結到加的特征，也能夠部分地對抗網(wǎng)絡的多態(tài)化.HoneyCber統(tǒng)利用了doublehonenet部署架構來捕獲多態(tài)PCA化的特征提取.在實驗中，針對人工多態(tài)化處理的蠕蟲實例，能夠達到零誤報率和較低的漏報率，但并未VMware工作站或者QEMU來實現(xiàn)一臺虛擬機連接互聯(lián)網(wǎng)。蜜罐放置的位置可以起的作用也不盡相同。放在之前，優(yōu)點是蜜罐會吸引大量的掃描，蜜罐本身將信息記錄下來，內部的IDS系統(tǒng) 捕捉到內部者。放在 之后，優(yōu)點是可以收集到已經(jīng)通過的有害數(shù)據(jù)，還可以探查內部者；缺點是需要調整規(guī)則，如果蜜罐被外部者攻陷將就會危害整個內網(wǎng)。 信息傳遞給檢測系統(tǒng)，檢測系統(tǒng)收到信息后對其 特征添加到系統(tǒng)的特征庫中，從而使得 。利用蜜罐系統(tǒng)與檢測系統(tǒng)的聯(lián)動可以比較成功地增強 利用蜜罐系統(tǒng)對僵尸系統(tǒng)（bot）（botnet）通常利用零日或已知向量通過命令通道進行。蜜罐系統(tǒng)可利用僵尸網(wǎng)絡的這一特點，對其進行和分析，從而發(fā)現(xiàn)僵尸網(wǎng)絡的規(guī)模。可以利用蜜罐獲取僵尸系統(tǒng)的程序樣本，利用逆向分析方法來分析樣本，從中獲得僵尸程序連接僵尸網(wǎng)絡服務器所需要的屬性值，通過這些屬性值可以深入地僵尸網(wǎng)絡。例如，蜜罐可以通過監(jiān)測IRC供時流蜜識別者操作系統(tǒng)類型以及/重演活動的能力。對于蜜罐捕獲到的僵尸程序樣本可以提交給沙盒和多種反掃描工具進行進一步分析，并形成共享的信息。往種常被 用行種， 件越來越大。利用蜜罐技術可以有效地控制和防止 郵件的。首先，可以利用蜜罐 郵件制造者收集虛假地址。其次，根據(jù)郵件發(fā)送的行為特征，利用流量檢測或者虛擬的郵箱賬戶捕獲郵件，將郵件重定向到蜜罐中，進行分析和研究。最后，還可以在蜜罐中設置一個虛假，用于欺要的件常工具od 可以能用來創(chuàng)建虛 ，模擬轉發(fā)郵件郵件服務器。蜜罐技術對于反郵件已經(jīng)有實際的應用，并且成功捕獲大量的 郵件。蟲為、、的 利術地制蟲的在蟲的能的 ，的以置和 規(guī)則，直接重定向到蜜罐中。對于全新的蠕蟲，可以在網(wǎng)絡層用特定的數(shù)據(jù)包來延遲應答，延緩其掃描速度，并使用一些軟件工具或者算法對系統(tǒng)日志進行分析，采取快速阻斷連接。同時，通過蜜罐系統(tǒng)對捕獲到的信息進行分析，提取行為特征，進而對和IDS改讓檢測系統(tǒng)對后續(xù)的做出響應。對于的防御措施，傳統(tǒng)的技術只能檢測到已知類型的和。蜜罐作為一種主動御技術，填補了這一不足。蜜罐可以從各種行為中提取有用的信息，從而發(fā)現(xiàn)新的工具和模式，并且可以通過大量的數(shù)據(jù)分析者的動機，從中制定有效的防御對策。通過對蜜罐技術收集到的數(shù)據(jù)進行分析，可以進一步了解已知的和未知的方法， 以及源等。通過對這些有用的信息進行整理，建立起內部安全行為特征庫［21］，為處理各種 SpitznerL.Honeypot-definitionsandvalueofhoneypot[EB/OL].(KreibichC,CrowcroftJ.AutomatedNIDSsignaturegenerationusinghoneypots[C].Karlsruhe,Germany:ACMYegneswaranVinod,GiffinJonathonT,JhaSomesh.Anarchitectureforgeneratingsemantics-awaresignatures[C].ProceedingsofUSENIXSecuritySymposium,2005.KnowYourEnemy:Definingvirtualhoneynets[EB/OL].SpitznerL.Honeypotfarms[EB/OL]./infocus/1720,2003-08- LeitaC,PhamVH,ThonnardO,Ramirrez-SilvaE,PougetF,KirdaE,DacierM.The CollectingInternetthreatsinformationusingaworldwidedistributedhoneynet.In:ZaneroS,ed.Proc.oftheWOMBATWorkshoponInformationSecurityThreatsDataCollectionandSharing(WISTDCS2008).Amsterdam:IEEEComputerSocietyPress,2008.40?57.[:10.1109/WISTDCS.2008.8].ProvosN.Avirtualhoneypotframework.In:Proc.ofthe13thConf.onUSENIXSecuritySymp.Berkeley:USENIXAssociation,2004.1?14.HoepersC,Steding-JessenK,CordeiroLER,ChavosMHPC.Anationalearlywarningcapabilitybasedonanetwork