网络诱骗技术之蜜罐 .pdfVIP

网络诱骗技术之蜜罐

摘要：基于主动防御理论系统而提出的新兴蜜罐技术，日益受到网络安全领域的

重视，蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵，进而了解攻击思路、

攻击工具和攻击目的等行为信息，特别是对各种未知攻击行为信息的学习。根据

获取的攻击者得情报，安全组织就能更好地理解网络系统当前面临的危险，并知

道如何阻止危险的发生。本文首先系统地介绍了蜜罐和蜜罐网络诱骗系统的原理

知识及关键技术,重点阐述了蜜罐的发展趋势及研究方向。

关键词：蜜罐、网络诱骗、网络安全、蜜网

PhishingtechnologyHoneypot

(NortheasternUniversityatQinhuangdao,Qinhuangdao,066004)

Abstract:Basedonactivedefensesystemproposedbytheemergingtheoryof

honeypottechnology,increasinglytheimportanceofnetworksecurity,honeypots,

mainlythroughcarefullayoutoftheenvironmenttoattractandtolerancedecoy

suchasattacksinformation,especiallyinformationonavarietyoflearningunknown

attacks.Accordingtotheattackerhaveaccesstointelligenceandsecurity

organizationscanbetterunderstandthedangerfacingthenetworksystem,andhowto

preventdangerousplace.Thisarticlefirstsystematicintroductiontohoneypotsand

honeypotnetworkdecoysystem,theprincipleknowledgeandkeytechnologies,

focusingontrendsandhoneypotresearch.

Keywords:Honeypot,Phishing,networksecurity,Honeynet

0引言

“蜜罐”这一概念最初出现在1990年出版的一本小说《TheCuckoo’sEgg》中，

在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并发现一起商业

间谍案的故事。“蜜网项目组”[1]（TheHoneynetProject）的创始人Lance

Spitzner给出了对蜜罐的权威定义：蜜罐是一种安全资源，其价值在于被扫描、

攻击和攻陷。这个定义表明蜜罐并无其他实际作用，因此所有流入/流出蜜罐的

网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击

活动进行监视、检测和分析。

1蜜罐技术

1.1蜜罐的概念

蜜罐是一种在互联网上运行的计算机系统，它是专门为吸引并诱骗那些试图

非法闯入他人计算机系统的人(如电脑黑客)而设计的，蜜罐系统是一个包含漏洞

的诱骗系统，它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻

击的目标。由于蜜罐并没有向外界提供真正有价值的服务，因此所有对蜜罐尝试

都被视为可疑的。蜜罐的另一个用途是拖延攻击者对真正目标的攻击，让攻击者

在蜜罐上浪费时间，这样，最初的攻击目标得到了保护，真正有价值的内容没有

收到侵犯。此外，蜜罐也可以为追踪者提供有用的线索，为起诉者搜集有力的证

据。

蜜罐系统最重要的功能是对系统中所有的操作和行为进行监视和记录，网络

安全专家通过精心的伪装设计，使攻击者在进入目标系统后仍不知自己所有的行

为已经处于系统的监视之中。为了吸引攻击者，安全专家通常还故意在蜜罐系统

上留下一些安全后门，或者故意放置一些攻击者希望得到的敏感信息，以吸引攻

击者上钩。

1.2蜜罐的基本配置

在网络安全领域，蜜罐专门用于捕获入侵者的网络行为和与之相关的文件。

蜜罐可以执行任何本地配置环境能够支持的服务，但是这些服务仅为那些试图进

行本地网络入侵的人设定。蜜罐不同于普通的网络系统，因为它致力于记录所有

的网络入侵