曹龍璽 張志強 勵家磊 聞俊 張浩 張浩東

摘要：隨著現(xiàn)代計算機網(wǎng)絡(luò)通信技術(shù)的迅速發(fā)展，伴隨著網(wǎng)絡(luò)安全技術(shù)也迅速發(fā)展起來，校園網(wǎng)的網(wǎng)絡(luò)安全直接影響教學(xué)活動的正常進行以及校園數(shù)據(jù)信息的安全，因此蜜罐技術(shù)在校園網(wǎng)網(wǎng)絡(luò)安全防御也具有重要的地位，本文就蜜罐系統(tǒng)網(wǎng)絡(luò)防御技術(shù)進行淺析。

關(guān)鍵詞：蜜罐系統(tǒng);網(wǎng)絡(luò)防護;網(wǎng)絡(luò)安全防護

1.引言：

在伴隨人們生活的同時網(wǎng)絡(luò)的安全問題也對人們的安全與隱私產(chǎn)生了影響，網(wǎng)絡(luò)的安全問題也隨之受到人們的重視。網(wǎng)絡(luò)攻擊是網(wǎng)絡(luò)安全面臨的最為嚴(yán)峻的問題之一 ，在非法的網(wǎng)絡(luò)攻擊可以帶來非法利益的情況下，網(wǎng)絡(luò)攻擊手段總是不斷地更新?lián)Q代只為能夠突破也在不斷更新的防護手段。

隨著防護手段的更新人們已經(jīng)不再滿足于單純的防御，在對自身網(wǎng)絡(luò)防御的同時也在對攻擊方進行誘導(dǎo)，并且對手段、數(shù)據(jù)等進行記錄。這就是蜜罐，蜜罐可以使防御方對現(xiàn)在所面臨的安全威脅有一定了解，這樣可以通過管理與技術(shù)加強網(wǎng)絡(luò)安全防護能力。并且蜜罐技術(shù)隨著發(fā)展也在不斷的更新著。網(wǎng)絡(luò)發(fā)展的過程中伴隨著安全隱患的，而那些有非法之心的人就會應(yīng)用這些安全隱患來進行網(wǎng)絡(luò)攻擊，為應(yīng)對網(wǎng)絡(luò)攻擊也出現(xiàn)了防火墻技術(shù)、加解密技術(shù)、權(quán)限訪問控制等防御手段，但是這些手段一般都是屬于被動防御，被動即先機與優(yōu)勢的丟失，這樣的防御方式已經(jīng)逐漸的不再滿足于社會的需求了。

2.蜜罐技術(shù)的提出與發(fā)展

蜜罐的首次出現(xiàn)并沒有受到人們的重視，而在往后的時間中慢慢的發(fā)現(xiàn)了蜜罐技術(shù)的發(fā)現(xiàn)是對網(wǎng)絡(luò)安全防御的一大提升。蜜罐技術(shù)從最初的概念提出到后面的研究員的持續(xù)關(guān)注，大致可以分為以下幾個發(fā)展時間段。

（1）概念形成階段：“蜜罐”這一概念雖然是網(wǎng)絡(luò)上的一門技術(shù)，但是最先提出“蜜罐”概念的并不是在當(dāng)時的研究文獻中提出的。

（2）蜜罐起始階段：蜜罐作為一個獨立的系統(tǒng)是由Bill Cheswick在1991年發(fā)表的一篇文獻中提出，在文章中指出了蜜罐可以做出一些虛假的服務(wù)來進行誘導(dǎo)，從而記錄攻擊者的手段、數(shù)據(jù)等，而蜜罐的發(fā)展是從1998年開始，這個時間許多從事網(wǎng)絡(luò)安全研究的研究者開始對蜜罐進行研究，其中做為最知名的網(wǎng)絡(luò)安全專家之一的Cohen，提出了欺騙技術(shù)在信息保護中的做用以及與使用欺騙技術(shù)進行信息保護相關(guān)的道德問題。

（3）蜜罐發(fā)展階段：從2000年往后蜜罐技術(shù)就處于持續(xù)的發(fā)展階段，在蜜罐技術(shù)剛開始時還存在著低交互、易識別、功能單一等缺陷，1999年時安全研究員Spitzner對蜜罐技術(shù)進行了一定的加強，在蜜罐技術(shù)上添加了真實主機、防火墻、入侵檢測技術(shù)、硬件設(shè)備等構(gòu)成了蜜網(wǎng)。

（4）蜜罐新型發(fā)展階段：從2010開始蜜罐技術(shù)開始新的技術(shù)開發(fā)，廣泛應(yīng)用工業(yè)控制系統(tǒng)中來防御未知的安全威脅[1]。不僅僅如此蜜罐技術(shù)在區(qū)塊鏈上、內(nèi)網(wǎng)、物聯(lián)網(wǎng)也開始著手研究與應(yīng)用。但是在我國對蜜罐技術(shù)的關(guān)注和研究晚于國外，從2002年開始進行研究，我國的蜜罐技術(shù)發(fā)展還有一段路需要補上。

3.蜜罐技術(shù)工作原理

蜜罐技術(shù)的學(xué)習(xí)中應(yīng)當(dāng)要分清楚蜜罐與自身主機的差別，所以本段將會在解釋蜜罐技術(shù)是什么的同時還對上訴二者之間的差別進行淺析。

（1）蜜罐技術(shù)：蜜罐技術(shù)是一個具有欺騙性質(zhì)的安全技術(shù)，可以通過虛擬機等仿真技術(shù)通過布置一系列仿真的主機來進行對攻擊人員的誘導(dǎo)，在攻擊方對我們進行攻擊的同時進行攻擊方的數(shù)據(jù)收集、攻擊手段確定，這樣可以對攻擊方所使用的工具進行確定，并在數(shù)據(jù)收集的過程中可以推測對方的攻擊意圖，并且在一定的程度上可以對攻擊者進行反制。

舉例說明，蜜罐可以說是一個釣魚執(zhí)法的情報收集機構(gòu)，將一具有價值的仿真物品放在已經(jīng)上鎖的住宅里，而這時有一個小偷想要進行對這個住宅進行盜竊，這時上鎖的門被打開，隨后小偷進行盜竊。而蜜罐技術(shù)就相當(dāng)于這時住宅內(nèi)外的監(jiān)控系統(tǒng)，對小偷使用的開門工具、行進路線、容貌、盜竊目標(biāo)等等進行記錄。這樣損失了仿真的東西，但進行了記錄，這樣可以對接下來需要保護好的真實的東西進行加強防護，對小偷所使用的工具有了防護措施，并且有了視頻數(shù)據(jù)后可以進行報警的反制行動。

（2）蜜罐與自身主機的區(qū)別：雖然蜜罐與自身的主機都是會被破壞的，但是自身的主機里的內(nèi)容卻是要進行保護的，而蜜罐是一個安全資源，它制作出來的作用是在于被探測、攻擊和損害。當(dāng)蜜罐受到攻擊時，管理員就會第一時間得到被攻擊的反饋，因為蜜罐做為一個安全資源不是放在網(wǎng)上能夠搜索到的，也不是放在網(wǎng)站的門戶上能夠讓你可見的資源，所以所有流入流出蜜罐的流量都預(yù)示著某種攻擊。蜜罐可以說是一個高仿的誘餌主機，真正的主機是需要保護的，而另外一個的意義就在于被攻擊。

4.蜜罐的分類

蜜罐的分類可以通過蜜罐的交互程度和具體的實現(xiàn)方式進行不同的分類。

低交互蜜罐：低交互蜜罐的是一個較為簡單且網(wǎng)絡(luò)功能和其他程序功能都不齊全的蜜罐，低交互蜜罐只能模擬一些簡單的網(wǎng)絡(luò)服務(wù)和一定的操作權(quán)限等，不會模擬整個操作系統(tǒng)，因為功能的不齊全低交互被攻陷后很容易發(fā)現(xiàn)這是一個假的，因為低交互很未能達(dá)到真實主機的各種模仿，這樣在發(fā)現(xiàn)是一個假的主機之后，攻擊者可能就會馬上調(diào)轉(zhuǎn)方向繼續(xù)攻擊，雖然容易被發(fā)現(xiàn)，但是低交互蜜罐不僅可以用于統(tǒng)計數(shù)據(jù)的收集，可以作為入侵檢測系統(tǒng)使用，對新的攻擊提供自動報警。低交互蜜罐提供有限模擬服務(wù)，針對性強，結(jié)構(gòu)簡單，較容易部署[2]。并且因為低交互所有權(quán)限不高，不用擔(dān)心系統(tǒng)被完全攻陷。

高交互蜜罐：高交互蜜罐則是通過虛擬機技術(shù)等仿真技術(shù)做出真實的主機，使得攻擊者在攻擊時發(fā)現(xiàn)是蜜罐的可能性大大的降低，雖然高交互可能能夠真的欺騙住攻擊者，讓攻擊者認(rèn)為自己真的拿到了該計算機的控制權(quán)限，但是在高交互中應(yīng)用到的一些虛擬機仿真技術(shù)，仿真度越高暴露面就越多，因為在你仿真高的同時，攻擊者可以在這個仿真系統(tǒng)上安裝后門作為跳板去掃描內(nèi)網(wǎng)，如果蜜罐真的被攻陷后可能會使用一些虛擬機的漏洞實現(xiàn)垂直權(quán)限的提升，本來是虛擬機的權(quán)限，但是通過虛擬機攻擊者可以拿到真實計算機的權(quán)限，高交互的蜜罐需要注意這一點[3]，而且高交互蜜罐的開發(fā)與維護都較為困難。

5.總結(jié)

校園網(wǎng)根據(jù)蜜罐技術(shù)的特點應(yīng)用于校園網(wǎng)中，通過模擬仿真方法，能夠做到欺騙網(wǎng)絡(luò)攻擊者，做到保護校園網(wǎng)安全的作用。

參考文獻：

[1]張成.基于蜜罐技術(shù)的工業(yè)控制系統(tǒng)安全性研究與應(yīng)用[D].江蘇：江蘇科技大學(xué)，2020

[2]李珍珍.基于蜜罐技術(shù)的網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計[D].南京：東南大學(xué)，2019

[3]陳武.淺析蜜罐在內(nèi)網(wǎng)中的部署與應(yīng)用[J].網(wǎng)絡(luò)安全和信息化，2021（11）

資助項目：國家大學(xué)生科技創(chuàng)新項目（項目編號：201911488010），作者簡介：曹龍璽，張志強是衢州學(xué)院2018級物聯(lián)網(wǎng)工程專業(yè)本科學(xué)生。