基于蜜罐技術的蠕蟲檢測系統的研究與設計

摘要：本文闡述了蜜罐技術的主動防御的優勢，對蠕蟲實現欺騙和誘導，收集新型病毒特征，檢測蠕蟲的變種，自動檢測和預防新型蠕蟲的爆發與傳播，最終有效彌補入侵檢測系統對未知蠕蟲攻擊的識別問題。本文所設計的基于蜜罐技術的蠕蟲檢測系統極大程度地提升了網絡安全性。

關鍵字：蜜罐 蠕蟲 檢測

引言

隨著互聯網時代的到來，蠕蟲對安全的隱患越演越烈，特別是它能在短期內產生多種變異并迅速傳播，給網絡帶來了嚴重的安全問題。雖然我們也采取了很多網絡安全技術，如防火墻、入侵檢測，但是這些技術主要是依據具體已有的特征庫進行判斷，對系統依賴性強，檢測范圍受到已知知識的局限，面對新型攻擊無能為力，時時處于被動局面。蜜罐技術的出現與應用打破了以前的被動局面，對蠕蟲實現欺騙與誘導，主動地檢測蠕蟲，可以有效地防御蠕蟲的攻擊，改變網絡防御的被動處境，給陷入困境的網絡安全問題帶來了新的生機。

1. 蜜罐技術

蜜罐（Honeypot）其實就是個誘餌，就如同使用蜂蜜來引誘蜜蜂到來一樣，Honeypot是一個設計用來引誘入侵者的系統。出于引誘的目的，它必須包含一些對入侵者較有誘惑力的數據，它的主要作用并不是用于抓獲入侵者，而是知道入侵者是如何對系統進行攻擊，在獲得被攻擊系統的權限后是如何工作的。入侵者呆在Honeypot的時間越長，他們所使用的技術暴露得越多，而這些信息可以被用來評估他們的技術水平，了解他們使用的攻擊工具。通過了解他們的技術和工具，可以更好地保護我們的系統和網絡。

蜜罐技術用來捕獲任何攻擊的任何行為，其中包括已知的和未知的工具、策略和蠕蟲等，它只需要極小的資源，收集少量的數據信息，便能得到有價值的信息。這就是說即使是一臺舊的計算機也能很容易地處理分析B類或C類網絡所收集到的數據，檢測并捕獲到這些攻擊，得到高價值的信息。

2. 基于蜜罐技術的蠕蟲檢測系統設計

2.1 基于蜜罐技術的蠕蟲檢測系統總體設計

在以前蠕蟲檢測的基礎上，利用蜜罐及時得到蠕蟲和識別蠕蟲變種，并立即更新數據庫及采取相應的措施來防御蠕蟲的爆發，不僅可以增加發現蠕蟲的能力，改善一般檢測技術的高誤報率的缺點，還可以提供新型蠕蟲早期的告警與檢測。

根據上述目標，本系統利用蜜罐來提供模擬服務，設置陷阱來掃描捕獲蠕蟲，并自動生成、更新特征簽名，自動檢測蠕蟲，防止蠕蟲的爆發與傳播。大致流程如下圖1所示：

2.2 基于蜜罐的蠕蟲引誘

蜜罐系統模擬各種路由以及各種給定的操作系統的網絡棧行為來吸引蠕蟲攻擊，當模擬路由拓撲時，必須配置路由將虛擬蜜罐所在的網絡空間指向主機。虛擬路由拓撲一般為樹形結構，該樹以數據包進入拓撲的入口作為樹根。每個內部節點代表一個路由器。接收數據包時，系統會找到合適的入口路由，從根部開始，周游路由樹，直到找到包含數據包目標IP地址的節點。

當成功引誘蠕蟲后，則分析進入蜜罐的數據，自動生成入侵的蠕蟲特征簽名。流進的通信將經過掃描，以此來識別多次重復的數據字節序列，如果存在多個相同的模式發生時就會引發一個屬于蠕蟲的特征簽名的生成過程。

對于蠕蟲檢測來說，某個端口上的通信交換的數據和信息越多，蠕蟲攻擊行為的可能性也就越大，提供的信息和數據也就具有更大的價值，因此要盡量讓蠕蟲多停留，維持蜜罐發送和接收的UDP數據包和TCP連接狀態，即使在通信連接中斷時，也不能立即釋放所有的連接狀態，僅為中斷的連接做上標記，并存儲這些連接，直到確定沒有任何使用價值的時候才釋放它們，為檢測蠕蟲的變種提供更多的時間與資源。在這里蜜罐系統所運用的通信協議采用消息塊的模式，具體的的設計格式如圖2：

2.3基于蜜罐的蠕蟲檢測

對于已知的蠕蟲，如沖擊波蠕蟲，蜜罐系統可以很容易地發現，根據所配置的特征簽名數據庫，便能在短時間內防御蠕蟲。具體地說，可以通過事前設置的防火墻規則直接重定向到蜜罐，完全改變其掃描的路線，然后將其捕獲。當然大多數時候蠕蟲的變異是相當快的，面對全新的蠕蟲攻擊時，蜜罐系統將更新每一個新的數據包建立的連接狀態，對每個存儲的連接，執行協議頭比較去檢測匹配的IP網絡、初始TCP序列號等，如果目的端口相同，則在交換的信息上做模式檢測，如果沒有生成有效的簽名，處理停止，否則，將簽名增加到特征簽名數據庫中。利用這樣的方法，可以對未知蠕蟲的爆發做出及時的響應，并在最新收集到的信息基礎上不斷的改進特征簽名的準確性。

在增加到簽名數據庫前，新的特征簽名和舊的簽名進行比較，這樣可減少特征簽名的數量，同時降低誤報率。假設舊的簽名為S.old，新的簽名為S.new。當S.old和S.new是相同時，S.new就被丟棄；當S.new包含S.old的子集，則作為新的簽名添加到數據庫中；當S.old包含S.new則改進S.old。

IfS.old=S.new S= S.old

Else S.new ∈S.old S= S.new

Else S.old∈S.newS= S.nold

利用這個方式，減少特征簽名數據庫的容量可加快處理蠕蟲病毒的時間。比較簽名、檢測模式匹配的算法采用最長相同子串算法（LCS），該算法簡單易懂，實際上也很可靠、通用。新生成的特征簽名都保存到數據庫中，同時一些過時的特征簽名則在簽名庫緩存裝滿時被刪除。對于新生成的簽名都將轉化為Snort規則簽名格式。

系統所帶的簽名日志文件對于事后分析學習蠕蟲的特征，尤其是新出現的蠕蟲的特征有很大的幫助。但是由于蠕蟲一旦感染了蜜罐，有可能抹去系統中與之相關的日志，為了記錄下蠕蟲在蜜罐上的攻擊行為，應選擇異地保存日志的策略并通過配置合適的規則保證其安全。

結束語

蜜罐技術的主動防御的優勢，改變了以往網絡安全被動防御局面，模擬出大量有漏洞的系統和服務，提供給蠕蟲攻擊的目標，增大了發現蠕蟲的能力，可實時提取、更新入侵特征并加入病毒庫，自動檢測和阻止新型蠕蟲的爆發，從而達到互聯網共同防御蠕蟲病毒的目的，有效地提升了網絡的安全性能。

參考文獻：

［1］Honeynet Project Know your Enemy:Tracking Bonnets，2003.3.13.

［2］CERT Coodination Center.CERT/CC Statistics1988-2006.

［3］古開元.基于蜜罐技術的蠕蟲檢測和防御系統的研究與設計［D］.四川大學，2005.5.

［4］王曉東.一種新型誘騙蜜罐系統的設計與實現［D］.四川大學，2005.5.

［5］劉晟.網絡蠕蟲分析與檢測防御［D］.華南師范大學，2005.

［6］趙偉鋒，曾起銘.一種了解黑客的有效手段——蜜罐［J］.計算機應用，2003.

［7］諸葛建偉.蜜罐及蜜網技術介紹［D］.北大計算機技術研究所.