第 41卷 第 2 期 2019年2月 电  子  与  信  息  学  报 Journal of Electronics & Information Technology Vol. 41No. 2 Feb. 2019 蜜罐技术研究新进展 石乐义*      李   阳      马猛飞 (中国石油大学(华东)计算机与通信工程学院   青岛   266580) 摘   要：蜜罐技术是网络防御中的陷阱技术，它通过吸引诱骗攻击者并记录其攻击行为，从而研究学习敌手的攻 击目的和攻击手段，保护真实服务资源。然而，传统蜜罐技术存在着静态配置、固定部署等先天不足，极易被攻 击者识别绕过而失去诱骗价值。因此，如何提高蜜罐的动态性与诱骗性成为蜜罐领域的关键问题。该文对近年来 国内外蜜罐领域研究成果进行了梳理，首先总结了蜜罐发展历史，随后以蜜罐关键技术为核心，对执行过程、部 署方式、反识别思想、博弈理论基础进行了分析；最后，对近年来不同蜜罐防御成果分类叙述，并对蜜罐技术发 展趋势进行了分析陈述，针对潜在安全威胁，展望新兴领域防御应用。 关键词：网络安全；蜜罐技术；蜜网；反蜜罐；攻防策略；主动防御 中图分类号：TP393.08 文献标识码：A 文章编号：1009-5896(2019)02-0498-11 DOI: 10.11999/JEIT180292 Latest Research Progress of Honeypot Technology SHI Leyi      LI Yang      MA Mengfei (College of Computer and Communication of Engineering, China University of Petroleum, Qingdao 266580, China) Abstract: Honeypot technology is a network trap in cyber defense. It can attract and deceive attackers and record their attack behavior, so as to study the target and attack means of the adversary and protect real service resources. However, because of the static configuration and the fixed deployment in traditional honeypots, it is as easy as a pie for intruders to identify and escape those traps, which makes them meaningless. Therefore, how to improve the dynamic characteristic and the camouflage performance of honeypot becomes a key problem in the field of honeypot. In this paper, the recent research achievements in honeypot are summarized. Firstly, the development history of honeypot in four stages is summed up. Subsequently, by focusing on the key honeypot mechanism, the analysis on process, deployment, counter-recognition and game theory are carried out. Finally, the achievements of honeypot in different aspects are characterized and the development trends of honeypot technology is depicted. Key words:  Network  security;  Honeypot  technology;  Honeynet;  Anti-honeypot;  Attack-defense  strategy; Proactive defense 1 引言 自网络诞生以来，攻击威胁事件层出不穷，网 络攻防对抗已成为信息时代背景下的无硝烟战争。 然而，传统的网络防御技术如防火墙、入侵检测技 术等都是一种敌暗我明的被动防御，难以有效应对 攻击者随时随地发起的无处不在的攻击和威胁。蜜 罐技术 [ 1 ] 的出现改变了这种被动态势，它通过吸 引、诱骗攻击者，研究学习攻击者的攻击目的和攻     收稿日期：2018-03-28；改回日期：2018-10-30；网络出版：2018-11-09 *通信作者： 石乐义　[email protected] 基金项目：国家自然科学基金(61772551) Foundation Item: The National Natural Science Foundation of China (61772551) 击手段，从而延缓乃至阻止攻击破坏行为的发生， 有效保护真实服务资源。蜜罐技术改变了传统防御 的被动局面，其具备如下特点： (1) 误报率为零：蜜罐技术是一个诱骗陷阱， 正常用户不会访问到蜜罐系统，因而所有闯入或者 误入蜜罐系统的行为都是非正常行为。 (2) 可检测未知威胁：蜜罐可以捕获任何闯入 陷阱的行为，包括已知攻击和未知威胁，因而对于 先进可持续攻击(Advanced Persistent Threat, APT)、零日攻击等同样有效。 (3) 系统特性伪装：蜜罐技术可改变系统特 征，伪装迷惑攻击者，使其无法根据一般系统固定 结构发起针对性攻击。 第2期 (4) 消耗攻击资源：蜜罐通过高度仿真被保护 系统，与入侵者充分交互，从而消耗攻击资源，保 护真实资源。 蜜罐本质在于引诱、欺骗，其价值在于被攻 击，通过部署吸引敌手攻击的潜在目标，如漏洞主 机、价值信息、请求服务等，吸引攻击者并推测攻 击意图、攻击手段等信息。然而，传统蜜罐具有配 置静态、位置固定等不足，一旦被攻击者发现或绕 过，蜜罐将会立即失效。随着近年来反蜜罐技术的 兴起，攻击者开始利用反蜜罐技术探测识别蜜罐陷 阱，这使得传统蜜罐纷纷失去诱骗作用。可见，传 统蜜罐是一种“被动式主动防御”手段。如何提高 系统动态可变性与诱骗能力成为近年来蜜罐领域研 究热点。本文旨在对蜜罐发展历程、关键技术与理 论验证、研究成果进行总结梳理，为安全领域研究 人员提供参考。本文贡献如下：(1) 梳理蜜罐发展 历程，归纳蜜罐演化升级阶段。(2) 从防护过程、 部署、反蜜罐识别与防护、理论基础层面分析蜜罐 关键技术。(3) 分类蜜罐研究成果，以自身优化、 技术集成、对外功能、攻击类型和应用场景描述蜜 罐具体实现。(4) 预测蜜罐发展趋势，分析新技术 优势结合，以边缘计算、新硬件革命等新兴领域预 测蜜罐应用域。 2 499 石乐义等：蜜罐技术研究新进展 蜜罐发展历程 蜜罐技术总体发展历程可概括为4个阶段：蜜 罐概念形成阶段、技术开创初级阶段、蜜罐技术发 展阶段、蜜罐应用创新阶段。 (1) 蜜罐概念形成阶段：1989年，蜜罐概念首 次出现于黑客小说《The Cuckoo’s Egg》中，通过 制造伪机密数据文件引诱攻击者，实现入侵源反向 追踪。当时蜜罐仅作为一种新型防御思路，直至 1997年，蜜罐仍处于概念形成阶段。 (2) 蜜罐技术初期阶段：1998年，诱骗工具箱 (The Deception ToolKit, DTK)开启蜜罐技术发展 初期阶段，DTK由安全专家Cohen开发，并给出基 于欺骗理论框架与模型，为蜜罐发展提供理论支 持。此后，出现了Honeyd, KFSensor等免费开源 蜜罐和商业收费蜜罐[2]，迅速成为安全领域内相关 学术与产业界的研究热点。 (3) 蜜罐技术发展阶段：1999年，Spitzner提 出的蜜网技术改善了初期蜜罐低交互、易识别、功 能单一等缺陷，构建多个蜜罐与其它传统防御方案 相结合的新型体系结构。利用真实系统环境构建蜜 罐，不易被敌手识别。为解决传统蜜网位置局限问 题，分布式概念于2003年被引用至蜜罐与蜜网中。 同年，新型部署概念蜜场出现，旨在降低维护成 本。此后，Kanga分布式蜜网项目实现了多点位置 部署，扩大蜜罐覆盖面。此外，Honeywall, HP Feeds, HoneyState, HoneyToken等作为蜜罐通用 组件，可依据项目需求选择性部署至上述蜜罐、蜜 网、蜜场中。 (4) 蜜罐创新应用阶段：2004年，蜜罐应用开 始转向其它领域，如工业控制系统、蓝牙、 USB等，如表1所示。除表中所示蜜罐之外，近年 来，蜜罐技术亦扩展至更多新兴领域。伴随新型技 术领域的出现，新型恶意攻击紧随其后，如勒索病 毒、无线网络数据窃取等。为实现系统保护，蜜罐 扩展应用于智能手机、无线网络、BYOD自携设 备、物联网等方面。 表 1 蜜罐应用性能比对 蜜罐名称 应用领域 仿真精度 数据质量 可嵌入度 SCADA Honeynet 工控系统 一般 较差 较好 Artemisa IP话音 优秀 优秀 一般 BluePot 蓝牙 较好 一般 较差 Ghost USB honeypot USB 较好 一般 优秀 蜜罐前3阶段以网络防御体系结构为主要发展 方向，由概念转化为技术，实现蜜罐、蜜网、分布 式蜜罐、分布式蜜网、蜜场的演化，将部署结构和 优化提升作为发展推动力。蜜罐创新应用阶段则根 据新兴技术、攻击方式等衍生出新领域下的蜜罐技 术，成为网络安全领域内一项重要防护工具。 3 蜜罐关键技术及理论验证 本节以蜜罐关键技术阶段与理论验证为探索基 础，从技术出发，分析蜜罐诱捕、监控、处理功 能，并且根据蜜罐部署，探索不同部署方式优缺 点。为降低蜜罐识别率，针对反蜜罐技术，描述反 蜜罐识别思路。为了提供蜜罐技术理论支撑，概述 基于博弈论理论基础的蜜罐方案验证。 3.1 蜜罐防护过程 蜜罐防护过程包括诱骗环境构建、入侵行为监 控、后期处理措施3个阶段。 (1) 诱骗环境构建：通过构建欺骗性数据、文 件等，增加蜜罐环境甜度，引诱攻击者入侵系统， 实现攻击交互目的。交互度高低取决于诱骗环境仿 真度与真实性，目前主要有模拟环境仿真和真实系 统构建方