“蜜罐”这一概念最初出现在1990 年出版的一本小说《The Cuckoo’s Egg》
中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起
商业间谍案的故事。“蜜网项目组”(The Honeynet Project)的创始人Lance Spitzner
给出了对蜜罐的权威定义[1]:蜜罐是一种安全资源,其价值在于被扫描、攻击和
攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流
量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进
行监视、检测和分析。
蜜罐技术的发展历程可以分为以下三个阶段。
从九十年代初蜜罐概念的提出直到1998 年左右,“蜜罐”还仅仅限于一种思
想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。这一阶段的蜜罐
实质上是一些真正被黑客所攻击的主机和系统。
从1998 年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出
一些专门用于欺骗黑客的开源工具,如Fred Cohen 所开发的DTK(欺骗工具包)、
Niels Provos 开发的Honeyd 等,同时也出现了像KFSensor、Specter 等一些商业
蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模
拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。
虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。
但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客识别等问题,从
2000 年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭
建蜜罐,但与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的
工具,并且将蜜罐纳入到一个完整的蜜网体系中,使得研究人员能够更方便地追
踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。
蜜罐的分类蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类,产品型蜜罐的
目的在于为一个组织的网络提供安全保护,包括检测攻击、防止攻击造成破坏及
帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署,而
且不需要管理员投入大量的工作。较具代表性的产品型蜜罐包括DTK、honeyd
等开源工具和KFSensor、ManTraq 等一系列的商业产品。研究型蜜罐则是专门
用于对黑客攻击的捕获和分析,通过部署研究型蜜罐,对黑客攻击进行追踪和分
析,能够捕获黑客的键击记录,了解到黑客所使用的攻击工具及攻击方法,甚至
能够监听到黑客之间的交谈,从而掌握他们的心理状态等信息。研究型蜜罐需要
研究人员投入大量的时间和精力进行攻击监视和分析工作,具有代表性的工具是
“蜜网项目组” [2]所推出的第二代蜜网技术[3]。
蜜罐还可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐,交互度反
应了黑客在蜜罐上进行攻击活动的自由度。低交互蜜罐一般仅仅模拟操作系统和
网络服务,较容易部署且风险较小,但黑客在低交互蜜罐中能够进行的攻击活动
较为有限,因此通过低交互蜜罐能够收集的信息也比较有限,同时由于低交互蜜
罐通常是模拟的虚拟蜜罐,或多或少存在着一些容易被黑客所识别的指纹
(Fingerprinting)信息。产品型蜜罐一般属于低交互蜜罐。高交互蜜罐则完全提
供真实的操作系统和网络服务,没有任何的模拟,从黑客角度上看,高交互蜜罐
完全是其垂涎已久的“活靶子”,因此在高交互蜜罐中,我们能够获得许多黑客
攻击的信息。高交互蜜罐在提升黑客活动自由度的同时,自然地加大了部署和维
护的复杂度及风险的扩大。研究型蜜罐一般都属于高交互蜜罐,也有部分蜜罐产
品,如ManTrap,属于高交互蜜罐。
蜜罐的优缺点蜜罐技术的优点包括:
收集数据的保真度,由于蜜罐不提供任何实际的作用,因此其收集到的
数据很少,同时收集到的数据很大可能就是由于黑客攻击造成的,蜜罐
不依赖于任何复杂的检测技术等,因此减少了漏报率和误报率。
使用蜜罐技术能够收集到新的攻击工具和攻击方法,而不像目前的大部
分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。
蜜罐技术不需要强大的资源支持,可以使用一些低成本的设备构建蜜罐,
不需要大量的资金投入。
相对入侵检测等其他技术,蜜罐技术比较简单,使得网络管理人员能够
比较容易地掌握黑客攻击的一些知识。
蜜罐技术也存在着一些缺陷,主要有
需要较多的时间和精力投入。
蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,其视图较为有限,
不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。
蜜罐技术不能直接防护有漏洞的信息系统。
部署蜜罐会带来一定的安全风险。
部署蜜罐所带来的安全风险主要有蜜罐可能被黑客识别和黑客把蜜罐作为
跳板从而对第三方发起攻击。一旦黑客识别出蜜罐后,他将可能通知黑客社团,
从而避开蜜罐,甚至他会向蜜罐提供错误和虚假的数据,从而误导安全防护和研
究人员。防止蜜罐被识别的解决方法是尽量消除蜜罐的指纹,并使得蜜罐与真实
的漏洞主机毫无差异。蜜罐隐藏技术和黑客对蜜罐的识别技术(Anti-Honeypot)
之间相当于一个博弈问题,总是在相互竞争中共同发展。另外,蜜罐技术的初衷
即是让黑客攻破蜜罐并获得蜜罐的控制权限,并跟踪其攻破蜜罐、在蜜罐潜伏等
攻击行为,但我们必须防止黑客利用蜜罐作为跳板对第三方网络发起攻击。为了
确保黑客活动不对外构成威胁,必须引入多个层次的数据控制措施,必要的时候
需要研究人员的人工干预。
