蜜罐技术浅析

开篇：润墨网以专业的文秘视角，为您筛选了一篇蜜罐技术浅析范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘 要：网络攻击工具和方法日趋复杂多样，典型的网络安全技术已无法满足对安全高度敏感的部门需求。蜜罐技术是一个主动防御技术，它通过监视入侵者的活动，能够分析研究入侵者所掌握的技术、使用的工具以及入侵的动机等，并进行详细地记录。介绍了蜜罐的概念，着重分析了蜜罐的原理，最后提出了如何制订一个真正安全的系统。

关键词：蜜罐技术；网络安全；主动防御；欺骗

中图分类号：TP311

一、引言

信息技术的飞速发展，给当今社会带来了巨大的冲击和变革，国家的政治、经济、军事、文化以及人们的日常生活等方方面面，都深深地打上了信息烙印。然而信息技术繁荣的背后，信息网络日益暴露了其安全上的隐患和漏洞，向人们展示了其脆弱的一面，呈几何增长的网络安全事件不断地冲撞着人们的心理防线。Internet在造福人类的同时也成了网络破坏者和犯罪的天堂。信息网络安全形势日益严峻，网络攻防越演越烈，人们越来越多地把目光投向信息网络安全的前沿阵地。传统的安全防护手段如防火墙、入侵检测、安全漏洞扫描、虚拟专用网等都是被动的，它们依赖于对攻击的现有认知，对未知攻击基本没有防护效果。

蜜罐作为一种新的安全工具在攻击的检测、分析、研究，尤其是对未知攻击的捕捉方面有着优越的性能。蜜罐并不是传统安全防御手段、工具的替代，而是它们的辅助和补充。相对于传统安全手段、工具的被动防御，蜜罐最大的优势在于它是主动地检测和响应网络入侵和攻击，在网络攻防战中赢得时间，赢得主动。蜜罐是一种伪装成真实目标的资源库，它不能明显改善网络的安全状况，其主要目的是吸收受保护系统的网络安全风险、诱捕并分析网络攻击行为，帮助用户对网络安全状况进行评估。将蜜罐和传统安全防护工具相结合，根据实际需求，合理配置，信息系统将得到更好的安全保障。

二、蜜罐原理

蜜罐的最终目标是尽可能详尽地捕捉、收集、监视并控制入侵者的活动，蜜罐的所有设计、部署和实施都是围绕这一目标进行的。

蜜罐可以是单独的系统，也可以和受保护的关键系统放在一起。蜜罐由密和罐组成，蜜就是引诱黑客前来攻击的攻击诱骗技术。网络攻击诱骗技术的目的体现在入侵前后两个阶段，在黑客入侵前主要是吸引黑客的注意并诱使其发起攻击，增大黑客发现并入侵蜜罐的几率。在黑客入侵后主要是迷惑入侵者，使其相信蜜罐是真实的系统，蜜罐和真实系统最大的不同在于蜜罐没有正常的网络访问，是一个处于严密监视的、静寂的系统，所以需要使用诱骗技术来迷惑身陷蜜罐的入侵者，使他们相信他们入侵的就是一个真实的系统。

数据捕捉是蜜罐的核心功能，就是在不被入侵者察觉的情况下尽可能多地捕捉、收集他们的活动并存放在安全的地方。数据捕捉主要分为两层，一是基于主机的数据收集，就是在蜜罐目标系统捕捉和收集入侵者的活动，包括他们所执行的操作，访问过的数据和文件，主要表现为击键序列和系统日志；二是基于网络的数据收集，就是通过网络步骤和收集入侵者的活动，网络黑客的所有探测、攻击最终都是通过互联网发起的，各种数据和信息都通过网络来传送，通过截获的所有网络流量，可以监视入侵者在蜜罐中的活动，了解其与外界的联系。

蜜罐是存在诸多安全漏洞，易于攻破，高风险的网络监视系统。蜜罐是网络安全防护工具，在保护网络安全的同时，其自身的安全同样不容忽视。蜜罐是一个监视系统，也是一个牢笼系统，在诱捕黑客、收集数据，延缓入侵者攻击其他系统的同时，需要对入侵者的行为进行控制，将他们的活动限制在一定范围内，避免入侵者利用蜜罐攻击其他网络系统。一般系统的数据控制是严进宽出，蜜罐正好相反，对于进入系统的网络连接和流量不作任何限制，蜜罐外出的流量很可能是入侵者借蜜罐对外发起的新的攻击。

数据控制和数据捕捉是一对矛盾，控制得越多，系统就越安全，同时捕捉到的数据也就越少。让蜜罐捕捉的数据尽可能地多，同时系统被攻破的风险尽可能地小是蜜罐的设计目标。

三、结束语

蜜罐是主动防御型网络安全工具，它适用于各种类型的局域网，可以和现有的防火墙、入侵检测系统产生互动，互为补充，在网络防火墙、入侵检测系统等其他安全措施的配合下，弥补原有网络安全防御系统的不足，提高网络安全系统，蜜罐只是捕捉网络攻击行为的工具，对网络攻击行为进行学习和研究，最终调整安全策略、部署以及从根本上改善信息安全现状才是真正的目的。

参考文献：

［1］吕波.基于主动防御性的密网系统研究与实现［D］.电子科技大学，2010（5）.

［2］朱参世，安利.基于蜜罐的入侵检测系统模型研究［J］.微计算机信息，2010（26）.

［3］张春玉.网络安全新技术：蜜罐系统［J］.西北大学学报,2008（10）.

（作者单位陕西省延安大学西安创新学院）