網(wǎng)絡(luò)攻擊陷阱技術(shù)擬通過改變保護目標對象的信息，欺騙網(wǎng)絡(luò)攻擊者，從而改變網(wǎng)絡(luò)安全防守方的被動性，提升網(wǎng)絡(luò)安全防護能力。

網(wǎng)絡(luò)攻擊陷阱技術(shù)原理

網(wǎng)絡(luò)誘騙技術(shù)就是一種主動的防御方法，作為網(wǎng)絡(luò)安全的重要策略和技術(shù)方法，它有利于網(wǎng)絡(luò)安全管理者獲得信息優(yōu)勢。

網(wǎng)絡(luò)攻擊誘騙網(wǎng)絡(luò)攻擊陷阱可以消耗攻擊者所擁有的資源，加重攻擊者的工作量，迷惑攻擊者，甚至可以事先掌握攻擊者的行為，跟蹤攻擊者，并有效地制止攻擊者的破壞行為，形成威懾攻擊者的力量。

目前，網(wǎng)絡(luò)攻擊誘騙技術(shù)有蜜罐主機技術(shù)和陷阱網(wǎng)絡(luò)技術(shù)。

1． 蜜罐主機技術(shù)

蜜罐主機技術(shù)包括空系統(tǒng)、鏡像系統(tǒng)、虛擬系統(tǒng)等。

空系統(tǒng)?？障到y(tǒng)是標準的機器，上面運行著真實完整的操作系統(tǒng)及應用程序。在空系統(tǒng)中可以找到真實系統(tǒng)中存在的各種漏洞，與真實系統(tǒng)沒有實質(zhì)區(qū)別，沒有刻意地模擬某種環(huán)境或者故意地使系統(tǒng)不安全。任何欺騙系統(tǒng)做得再逼真，也絕不可能與原系統(tǒng)完全一樣，利用空系統(tǒng)做蜜罐是一種簡單的選擇。

鏡像系統(tǒng)。攻擊者要攻擊的往往是那些對外提供服務的主機，當攻擊者被誘導到空系統(tǒng)或模擬系統(tǒng)的時候，會很快發(fā)現(xiàn)這些系統(tǒng)并不是他們期望攻擊的目標。因此，更有效的做法是，建立一些提供敵手感興趣的服務的服務器鏡像系統(tǒng)，這些系統(tǒng)上安裝的操作系統(tǒng)、應用軟件以及具體的配置與真實的服務器基本一致。鏡像系統(tǒng)對攻擊者有較強的欺騙性，并且，通過分析攻擊者對鏡像系統(tǒng)所采用的攻擊方法，有利于我們加強真實系統(tǒng)的安全。

虛擬系統(tǒng)。虛擬系統(tǒng)是指在一臺真實的物理機上運行一些仿真軟件，通過仿真軟件對計算機硬件進行模擬，使得在仿真平臺上可以運行多個不同的操作系統(tǒng)，這樣一臺真實的機器就變成了多臺主機（稱為虛擬機）。通常將在真實的機器上安裝的操作系統(tǒng)稱為宿主操作系統(tǒng)，將在仿真平臺上安裝的操作系統(tǒng)稱為客戶操作系統(tǒng)，仿真軟件在宿主操作系統(tǒng)上安裝。VMware 是典型的仿真軟件，它在宿主操作系統(tǒng)和客戶操作系統(tǒng)之間建立了一個虛擬的硬件仿真平臺，客戶操作系統(tǒng)可以基于相同的硬件平臺模擬多臺虛擬主機。在因特網(wǎng)上，還有一個專用的虛擬蜜罐系統(tǒng)構(gòu)建軟件 Honcyd，它可以用來虛擬構(gòu)造出多種主機，并且在虛擬主機上，還可以配置運行不同的服務和操作系統(tǒng)，模擬多種系統(tǒng)脆弱性。Honcyd 的應用環(huán)境如圖 所示。

2．陷阱網(wǎng)絡(luò)技術(shù)

陷阱網(wǎng)絡(luò)由多個蜜罐主機、路由器、防火墻、IDS、審計系統(tǒng)共同組成，為攻擊者制造一個攻擊環(huán)境，供防御者研究攻擊者的攻擊行為。

陷阱網(wǎng)絡(luò)一般需要實現(xiàn)蜜罐系統(tǒng)、數(shù)據(jù)控制系統(tǒng)、數(shù)據(jù)捕獲系統(tǒng)、數(shù)據(jù)記錄、數(shù)據(jù)分析、數(shù)據(jù)管理等功能。

第一代陷阱網(wǎng)絡(luò)，出入陷阱網(wǎng)絡(luò)的數(shù)據(jù)包都經(jīng)過防火墻和路由器，防火墻的功能是控制內(nèi)外網(wǎng)絡(luò)之間的通信連接，防止陷阱網(wǎng)絡(luò)被作為攻擊其他系統(tǒng)的跳板，其規(guī)則一般配置成不限制外部網(wǎng)對陷阱網(wǎng)絡(luò)的訪問，但需要對陷阱網(wǎng)絡(luò)中的蜜罐主機對外的連接加強控制，包括:限制對外連接的目的地、限制主動對外發(fā)起連接、限制對外連接的協(xié)議類型等，路由器安放在防火墻和陷阱網(wǎng)絡(luò)之間，路由器可以隱藏防火墻，即使攻擊者控制著網(wǎng)絡(luò)中的蜜罐主機，發(fā)現(xiàn)路由器與外部網(wǎng)相連接，也能被防火墻發(fā)現(xiàn)。同時，路由器具有訪問控制功能，可以彌補防火墻的不足，例如用于防止地址欺騙攻擊、DoS、基于 ICMP 的攻擊等。陷阱網(wǎng)絡(luò)的數(shù)據(jù)捕獲設(shè)備是 IDS，它監(jiān)測和記錄網(wǎng)絡(luò)中的通信連接并報警可疑的網(wǎng)絡(luò)活動。為掌握攻擊者在蜜罐主機中的行為，必須設(shè)法獲取系統(tǒng)活動記錄，方法有兩種：一是讓所有的系統(tǒng)日志不但在本地記錄，同時也傳送到一個遠程的日志服務器上；二是安放監(jiān)控軟件，進行擊鍵記錄、屏幕拷貝、系統(tǒng)調(diào)用記錄等，然后傳送到遠程主機

第二代陷阱網(wǎng)絡(luò)技術(shù)實現(xiàn)了數(shù)據(jù)控制系統(tǒng)、數(shù)據(jù)捕獲系統(tǒng)的集成系統(tǒng)，這樣就更便于安裝與管理，如圖 所示。它的優(yōu)點包括：一是可以監(jiān)控非授權(quán)的活動；二是隱蔽性強；三是可以采用積極的響應方法限制非法活動的效果，如修改攻擊代碼字節(jié)，使攻擊失效。

研究人員正在開發(fā)虛擬陷阱網(wǎng)絡(luò)（Virtual Honcynets），它將陷阱網(wǎng)絡(luò)所需要的功能集中到一個物理設(shè)備中運行，實現(xiàn)蜜罐系統(tǒng)、數(shù)據(jù)控制系統(tǒng)、數(shù)據(jù)捕獲系統(tǒng)、數(shù)據(jù)記錄等功能，我們把它稱作第三代陷阱網(wǎng)絡(luò)技術(shù)，如圖 所示。

網(wǎng)絡(luò)攻擊陷阱技術(shù)應用

網(wǎng)絡(luò)攻擊陷阱技術(shù)是一種主動性網(wǎng)絡(luò)安全技術(shù)，已經(jīng)逐步取得了用戶的認可，其主要應用場景為惡意代碼監(jiān)測、增強抗攻擊能力和網(wǎng)絡(luò)態(tài)勢感知。

1．惡意代碼監(jiān)測

對蜜罐節(jié)點的網(wǎng)絡(luò)流量和系統(tǒng)數(shù)據(jù)進行惡意代碼分析，監(jiān)測異常、隱蔽的網(wǎng)絡(luò)通信，從而發(fā)現(xiàn)高級的惡意代碼。

2．增強抗攻擊能力

利用網(wǎng)絡(luò)攻擊陷阱改變網(wǎng)絡(luò)攻防不對稱狀況，以虛假目標和信息干擾網(wǎng)絡(luò)攻擊活動，延緩網(wǎng)絡(luò)攻擊，便于防守者采取網(wǎng)絡(luò)安全應急響應。

3．網(wǎng)絡(luò)態(tài)勢感知

利用網(wǎng)絡(luò)攻擊陷阱和大數(shù)據(jù)分析技術(shù)，獲取網(wǎng)絡(luò)威脅者情報，掌握其攻擊方法、攻擊行為特征和攻擊來源，從而有效地進行網(wǎng)絡(luò)態(tài)勢感知。