蜜罐技术在信息安全防御中的应用与研究

◆何坚安

（中国移动通信集团广东有限公司 广东 510623）

1 引言

随着5G移动通信、光纤通信等技术的快速发展，人们已经进入到高速信息时代，可以提供数以百兆的带宽资源，实现4K高清晰视频传输，带宽速度和实时性得到了极大的提升，具有重要的作用。但是，信息系统也面临着海量的安全攻击，比如病毒或木马等，比较著名的攻击威胁包括勒索病毒、特洛伊木马、蠕虫病毒、恶意代码等，给信息系统运行带来了严重的干扰[1]。目前，信息系统安全防御也采用了一些先进技术，包括防火墙、杀毒软件和包过滤。

（1）防火墙

防火墙是一个启发式的信息系统安全防御软件，其可以根据信息系统安全防御需求，基于IP地址、MAC地址等设置网络过滤规则，如果IP地址及MAC地址安全，此时可以通过信息系统所在网络关口访问服务器；如果不安全则无法通过。防火墙经过多年的应用，可以根据部署位置和保护对象的设置不同的防火墙，包括数据库防火墙、Web服务器防火墙等，较好地保护信息系统所在网络不受到损坏，同时部署代价也非常低，可以进一步提高信息系统防御性能。

（2）杀毒软件

杀毒软件是一套应用程序，其可以采集信息系统网络日志信息、设备运行状态信息以及各类型应用信息，针对这些信息进行挖掘和分析，从而获取信息系统中潜藏的病毒或木马，然后就可以将其清除出信息系统。杀毒软件经过多年的发展，已经诞生了很多，比如卡巴斯基、瑞星杀毒、360安全卫士等，这些杀毒软件市场份额大，实时更新病毒库和杀毒规则，可以更好地保护计算机信息系统不受到任何损害。但是，杀毒软件也是一个被动式杀毒工具，无法采取积极主动的模式为用户提供查杀方法，很容易给用户带来损失。

（3）包过滤。随着信息系统流量的增多，防火墙和杀毒软件的过滤性能逐渐降低，因此网络安全专家经过研究，提出了一种软硬件结合在一起的防御技术，也即深度包过滤，其同样采用枚举和迭代的规则，检查数据包的包头信息，这个穿透式检查不放过数据包的任何一部分，因此可以分析每一个协议字段的内容，从而提高信息系统杀毒性能，深度包过滤基于硬件进行设计，因此可以提高数据包检查的效率，满足大流量网络应用需求。

虽然信息系统采用了很多的安全防御措施，但是安全攻击的技术正不断发展，目前信息系统安全依然存在一些问题，比如作业人员无法实时掌握系统运行状态，不能够有效分析控制器数值，导致信息系统不能安全地运行。

2 蜜罐技术原理及应用现状

信息系统安全攻击非常严重，主要原因就是攻击者与防御者之间是不对称的，攻击者采用的技术也越来越先进，防御者总是被动地应付。因此，信息系统安全防御也可以采用主动模式，蜜罐技术就是这样，其可以为攻击者提供一个诱饵或陷阱，引诱攻击者来攻击，同时记录攻击行为，以便在分析后获取信息系统的漏洞，掌握攻击者的所有意图，及时地对真实服务器进行防御部署[2]。蜜罐就是网络安全管理人员精心设计的黑匣子，看似漏洞百出却尽在掌握之中，目的就是采集攻击者的入侵数据，在分析和获取有价值的数据后进行解读，获取下一步的攻击防御意图[3]。蜜罐系统的关键功能包括四个，分别是伪装模块、信息采集模块、风险控制模块和数据分析模块[4]。

（1）伪装模块

伪装模块可以构建一个模拟网络运行环境，伪装成真的信息系统，这样就可以引诱黑客攻击。伪装模块为了能够仿真，通常拷贝一些真实的机密数据到蜜罐服务器，同时针对这些信息进行加密，这些数据已经采用了多种防御措施，因此黑客无法获取真正的机密数据。

（2）信息采集模块

蜜罐最为关键的应用就是记录和分析攻击信息，尽可能地采集详细的攻击数据，记录黑客、病毒或木马完整的攻击过程，尤其是当攻击源主机与蜜罐服务器进行信息交互时，可以使用先进的Sniffer抓包软件，记录每一个进出蜜罐的数据包。

（3）风险控制模块

蜜罐可以针对黑客攻击的风险进行过滤和控制，以避免黑客发觉采用了蜜罐技术而转移攻击目标。

（4）数据分析和识别模块

蜜罐在采集到所有数据之后，可以及时地针对这些数据进行分析和识别，此时就可以采用BP神经网络、K-means算法、支持“向量机”等技术，发现黑客攻击行为特征，识别潜在的风险和危害，及时启动杀毒软件清除攻击数据。

3 蜜罐技术在信息安全防御中的应用机制设计

图1基于蜜罐的信息安全防御机制

基于蜜罐技术构建一个信息安全防御机制，可以实现通信网络安全防御和流量监控机制，保证信息系统的安全，如图1所示。

蜜罐技术在信息安全防御中可以部署于多个方面，本文根据实践认证和检验，构建了三个安全防御机制，分别是流量监控机制和通信网络安全防御机制等。

（1）流量监控机制

信息系统通信传输的内容是流量，因此，为了掌握系统运行的实时状况，可以引入蜜罐技术构建一个流量监控机制。在实施流量监控之后，就可以利用蜜罐动态地增强网络防御能力，这也是预判信息系统被攻击的一种主要方式。在管理网络的过程中，蜜罐可以采用逻辑集中控制器实施流量管制，在网络终端设备和信息系统服务器之间添加安全装置，这样就可以利用蜜罐安全策略访问系统。目前，流量控制引入蜜罐技术，可以及时地利用数据分析与识别功能，分析数据流中是否存在安全威胁，及时地发现异常特征，将这些特征添加到病毒基因库中，并且将结果发送给杀毒软件。如图2所示。

图2流量监控机制

（2）通信网络安全防御机制

通信网络安全防御技术引入蜜罐技术，其可以及时地将安全攻击的重点转移，保证数据的完整性和保密性，这也是网络安全防御的重点。信息系统安全防御可以引入一个蜜罐控制器，该蜜罐控制器利用最简单的方式进行文字交换，简化通信安全防御策略，还可以利用可编程技术提高对通信安全防御的控制能力。蜜罐安全防御技术引入脱壳技术和启发式杀毒软件，提高网络安全防御的积极性和主动性。

4 结束语

新时期信息系统面临着较多的网络威胁，比如接口处存在非法访问、应用层存在身份造假、控制层存在DDoS攻击、数据层存在泄漏和篡改等，这些都会导致互联网无法正常运行。信息系统安全防御是一项非常复杂的工作，其面临的安全攻击也是动态的和多发的，对此可以利用新型蜜罐技术，构建蜜罐防御机制，包括通信安全防御机制、流量控制机制、安全控制机制等，及时地发现系统存在的漏洞，提高网络安全防御的主动性、实时性和有效性。