網絡攻擊陷阱技術擬通過改變保護目標對象的信息，欺騙網絡攻擊者，從而改變網絡安全防守方的被動性，提升網絡安全防護能力。

網絡攻擊陷阱技術原理

網絡誘騙技術就是一種主動的防御方法，作為網絡安全的重要策略和技術方法，它有利于網絡安全管理者獲得信息優勢。

網絡攻擊誘騙網絡攻擊陷阱可以消耗攻擊者所擁有的資源，加重攻擊者的工作量，迷惑攻擊者，甚至可以事先掌握攻擊者的行為，跟蹤攻擊者，并有效地制止攻擊者的破壞行為，形成威懾攻擊者的力量。

目前，網絡攻擊誘騙技術有蜜罐主機技術和陷阱網絡技術。

1． 蜜罐主機技術

蜜罐主機技術包括空系統、鏡像系統、虛擬系統等。

空系統。空系統是標準的機器，上面運行著真實完整的操作系統及應用程序。在空系統中可以找到真實系統中存在的各種漏洞，與真實系統沒有實質區別，沒有刻意地模擬某種環境或者故意地使系統不安全。任何欺騙系統做得再逼真，也絕不可能與原系統完全一樣，利用空系統做蜜罐是一種簡單的選擇。

鏡像系統。攻擊者要攻擊的往往是那些對外提供服務的主機，當攻擊者被誘導到空系統或模擬系統的時候，會很快發現這些系統并不是他們期望攻擊的目標。因此，更有效的做法是，建立一些提供敵手感興趣的服務的服務器鏡像系統，這些系統上安裝的操作系統、應用軟件以及具體的配置與真實的服務器基本一致。鏡像系統對攻擊者有較強的欺騙性，并且，通過分析攻擊者對鏡像系統所采用的攻擊方法，有利于我們加強真實系統的安全。

虛擬系統。虛擬系統是指在一臺真實的物理機上運行一些仿真軟件，通過仿真軟件對計算機硬件進行模擬，使得在仿真平臺上可以運行多個不同的操作系統，這樣一臺真實的機器就變成了多臺主機（稱為虛擬機）。通常將在真實的機器上安裝的操作系統稱為宿主操作系統，將在仿真平臺上安裝的操作系統稱為客戶操作系統，仿真軟件在宿主操作系統上安裝。VMware 是典型的仿真軟件，它在宿主操作系統和客戶操作系統之間建立了一個虛擬的硬件仿真平臺，客戶操作系統可以基于相同的硬件平臺模擬多臺虛擬主機。在因特網上，還有一個專用的虛擬蜜罐系統構建軟件 Honcyd，它可以用來虛擬構造出多種主機，并且在虛擬主機上，還可以配置運行不同的服務和操作系統，模擬多種系統脆弱性。Honcyd 的應用環境如圖 所示。

2．陷阱網絡技術

陷阱網絡由多個蜜罐主機、路由器、防火墻、IDS、審計系統共同組成，為攻擊者制造一個攻擊環境，供防御者研究攻擊者的攻擊行為。

陷阱網絡一般需要實現蜜罐系統、數據控制系統、數據捕獲系統、數據記錄、數據分析、數據管理等功能。

第一代陷阱網絡，出入陷阱網絡的數據包都經過防火墻和路由器，防火墻的功能是控制內外網絡之間的通信連接，防止陷阱網絡被作為攻擊其他系統的跳板，其規則一般配置成不限制外部網對陷阱網絡的訪問，但需要對陷阱網絡中的蜜罐主機對外的連接加強控制，包括:限制對外連接的目的地、限制主動對外發起連接、限制對外連接的協議類型等，路由器安放在防火墻和陷阱網絡之間，路由器可以隱藏防火墻，即使攻擊者控制著網絡中的蜜罐主機，發現路由器與外部網相連接，也能被防火墻發現。同時，路由器具有訪問控制功能，可以彌補防火墻的不足，例如用于防止地址欺騙攻擊、DoS、基于 ICMP 的攻擊等。陷阱網絡的數據捕獲設備是 IDS，它監測和記錄網絡中的通信連接并報警可疑的網絡活動。為掌握攻擊者在蜜罐主機中的行為，必須設法獲取系統活動記錄，方法有兩種：一是讓所有的系統日志不但在本地記錄，同時也傳送到一個遠程的日志服務器上；二是安放監控軟件，進行擊鍵記錄、屏幕拷貝、系統調用記錄等，然后傳送到遠程主機

第二代陷阱網絡技術實現了數據控制系統、數據捕獲系統的集成系統，這樣就更便于安裝與管理，如圖 所示。它的優點包括：一是可以監控非授權的活動；二是隱蔽性強；三是可以采用積極的響應方法限制非法活動的效果，如修改攻擊代碼字節，使攻擊失效。

研究人員正在開發虛擬陷阱網絡（Virtual Honcynets），它將陷阱網絡所需要的功能集中到一個物理設備中運行，實現蜜罐系統、數據控制系統、數據捕獲系統、數據記錄等功能，我們把它稱作第三代陷阱網絡技術，如圖 所示。

網絡攻擊陷阱技術應用

網絡攻擊陷阱技術是一種主動性網絡安全技術，已經逐步取得了用戶的認可，其主要應用場景為惡意代碼監測、增強抗攻擊能力和網絡態勢感知。

1．惡意代碼監測

對蜜罐節點的網絡流量和系統數據進行惡意代碼分析，監測異常、隱蔽的網絡通信，從而發現高級的惡意代碼。

2．增強抗攻擊能力

利用網絡攻擊陷阱改變網絡攻防不對稱狀況，以虛假目標和信息干擾網絡攻擊活動，延緩網絡攻擊，便于防守者采取網絡安全應急響應。

3．網絡態勢感知

利用網絡攻擊陷阱和大數據分析技術，獲取網絡威脅者情報，掌握其攻擊方法、攻擊行為特征和攻擊來源，從而有效地進行網絡態勢感知。