基于Ｈｏｎｅｙｎｅｔ環(huán)境下的蠕蟲(chóng)防御策略研究

[摘要] 蠕蟲(chóng)對(duì)互聯(lián)網(wǎng)的威脅是越來(lái)越嚴(yán)重，但是honeynet的出現(xiàn)為解決問(wèn)題指出了一個(gè)新的途徑。在本文中，介紹了蜜網(wǎng)和蠕蟲(chóng)的定義，并在了解蜜網(wǎng)和蠕蟲(chóng)的基礎(chǔ)上，給出了三種在蜜網(wǎng)中防御蠕蟲(chóng)的方法：重定向技術(shù)，honeystat技術(shù)和honeycomb技術(shù)。

[關(guān)鍵詞] 蜜網(wǎng) 蜜罐 重定向 honeystat honeycomb

隨著 Internet 的發(fā)展， 基于互聯(lián)網(wǎng)的應(yīng)用系統(tǒng)越來(lái)越多， 社會(huì)對(duì)網(wǎng)絡(luò)的依賴日益增強(qiáng)， 同時(shí)網(wǎng)絡(luò)的安全也面臨著巨大的挑戰(zhàn)，例如著名的1988年Robert T. Morris 蠕蟲(chóng)事件成為網(wǎng)絡(luò)蠕蟲(chóng)攻擊的先例， 從此，網(wǎng)絡(luò)蠕蟲(chóng)成為研究人員的重要課題。

蠕蟲(chóng)利用常見(jiàn)服務(wù)的安全漏洞或策略缺陷，通過(guò)網(wǎng)絡(luò)進(jìn)行傳播，如果有漏洞的服務(wù)被安裝在大量可公開(kāi)訪問(wèn)的主機(jī)上，蠕蟲(chóng)就能自動(dòng)入侵這些系統(tǒng)，造成大范圍的感染。在發(fā)現(xiàn)和感染弱點(diǎn)系統(tǒng)階段，蠕蟲(chóng)占用大量網(wǎng)絡(luò)和系統(tǒng)資源，如果蠕蟲(chóng)負(fù)載具有攻擊性，則還會(huì)造成竊取用戶敏感數(shù)據(jù)、刪除寶貴資源等無(wú)法挽回的后果。傳統(tǒng)的安全措施，如防火墻或入侵檢測(cè)技術(shù)（IDS）顯得力不從心，這就需要引入一種全新的技術(shù)。這里從理論上對(duì)目前網(wǎng)絡(luò)安全領(lǐng)域的最新主動(dòng)入侵防護(hù)（Intrusion Prevention System，IPS）技術(shù)，即蜜網(wǎng)技術(shù)（Honeynet），引入到蠕蟲(chóng)病毒防治中進(jìn)行探索及討論。

一、Honeynet和蠕蟲(chóng)

1.Honeynet

Honeynet是一種被故意設(shè)計(jì)成存在缺陷，用來(lái)被攻擊或攻陷的網(wǎng)絡(luò)資源。它用于吸引攻擊者入侵，對(duì)攻擊者的一切操作進(jìn)行分析和學(xué)習(xí)。在一個(gè)Honeynet中，可以有各種不同的網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)，并可以同時(shí)運(yùn)行不同的服務(wù)。 Honeynet技術(shù)不能完全替代防火墻、入侵檢測(cè)系統(tǒng)（IDS）等傳統(tǒng)的安全技術(shù)，而要與他們合作來(lái)構(gòu)成這個(gè)網(wǎng)絡(luò)體系架構(gòu)。

一個(gè)標(biāo)準(zhǔn)的Honeynet主要由防火墻、入侵檢測(cè)系統(tǒng)（IDS）、日志服務(wù)器和多個(gè)Honeypot主機(jī)組成。其中防火墻和IDS對(duì)所有進(jìn)出Honeynet的數(shù)據(jù)進(jìn)行捕獲和控制，然后對(duì)所捕獲的信息加以研究，以便得到關(guān)于攻擊者的一些資料。而Honeynet將系統(tǒng)日志發(fā)送到服務(wù)器上保存，加強(qiáng)了對(duì)日志的保護(hù)。Honeynet可以是任何默認(rèn)安裝的系統(tǒng)。設(shè)置好Honeynet之后，盡可能不對(duì)系統(tǒng)進(jìn)行修改，以確保系統(tǒng)不會(huì)被攻擊者發(fā)現(xiàn)這是一個(gè)Honeynet。

2.蠕蟲(chóng)

早期惡意代碼的主要形式是計(jì)算機(jī)病毒，1988年Morris蠕蟲(chóng)爆發(fā)后，Spafford為了區(qū)分蠕蟲(chóng)和病毒，對(duì)病毒重新進(jìn)行了定義，他認(rèn)為，“計(jì)算機(jī)病毒是一段代碼，能把自身加到其他程序包括操作系統(tǒng)上;它不能獨(dú)立運(yùn)行，需要由它的宿主程序運(yùn)行來(lái)激活它”而網(wǎng)絡(luò)蠕蟲(chóng)強(qiáng)調(diào)自身的主動(dòng)性和獨(dú)立性。

我們認(rèn)為“網(wǎng)絡(luò)蠕蟲(chóng)是一種智能化、自動(dòng)化，綜合網(wǎng)絡(luò)攻擊、密碼學(xué)和計(jì)算機(jī)病毒技術(shù)，不需要計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的攻擊程序或代碼，它會(huì)掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點(diǎn)主機(jī)，通過(guò)局域網(wǎng)或者國(guó)際互聯(lián)網(wǎng)從一個(gè)節(jié)點(diǎn)傳播到另外一個(gè)節(jié)點(diǎn)”。該定義體現(xiàn)了新一代網(wǎng)絡(luò)蠕蟲(chóng)智能化、自動(dòng)化和高技術(shù)化的特征。

蠕蟲(chóng)的行為特征:

從功能模塊實(shí)現(xiàn)可以看出，網(wǎng)絡(luò)蠕蟲(chóng)的攻擊行為可以分為4個(gè)階段：信息收集、掃描探測(cè)、攻擊滲透和自我推進(jìn)。信息收集主要完成對(duì)本地和目標(biāo)節(jié)點(diǎn)主機(jī)的信息匯集;掃描探測(cè)主要完成對(duì)具體目標(biāo)主機(jī)服務(wù)漏洞的檢測(cè);攻擊滲透利用已發(fā)現(xiàn)的服務(wù)漏洞實(shí)施攻擊；自我推進(jìn)完成對(duì)目標(biāo)節(jié)點(diǎn)的感染。

通過(guò)對(duì)蠕蟲(chóng)的整個(gè)工作流程進(jìn)行分析，可以歸納得到它的行為特征為：自我繁殖、 利用軟件漏洞、造成網(wǎng)絡(luò)擁塞、消耗系統(tǒng)資源、留下安全隱患等。

二、Honeynet技術(shù)在對(duì)抗蠕蟲(chóng)的應(yīng)用

Honeynet技術(shù)在安全領(lǐng)域正在得到越來(lái)越廣泛應(yīng)用，我們使用Honeynet技術(shù)對(duì)抗蠕蟲(chóng)病毒，這些研究中的方法也成為Honeynet 信息分析技術(shù)的一部分。

1.重定向技術(shù)

重定向的基本思想是:通過(guò)Honeynet中的Honeypot來(lái)偽裝被保護(hù)區(qū)的主機(jī)，對(duì)進(jìn)入保護(hù)區(qū)的主機(jī)的流量利用網(wǎng)絡(luò)入侵檢測(cè)和主機(jī)上的入侵檢測(cè)，由Honeynet重定向器進(jìn)行控制，將惡意流量重定向到Honeypot上進(jìn)行拖延攻擊和深入研究，系統(tǒng)的架構(gòu)如右圖:

系統(tǒng)的實(shí)現(xiàn)原理如下：

（1）獲取重定向信息：我們通過(guò)靜態(tài)和動(dòng)態(tài)兩種方式來(lái)獲取，靜態(tài)的可以在Honeypot重定向器啟動(dòng)時(shí)，通過(guò)讀取配置文件得到（已知的攻擊）需要重定向到Honeypot中上的入侵者信息，動(dòng)態(tài)的我們利用SSL通訊機(jī)制和FIFO隊(duì)列機(jī)制，不停的接受來(lái)自NIDS和被保護(hù)主機(jī)HIDS報(bào)告的入侵者信息。

（2)管理黑名單：通過(guò)對(duì)黑名單的比對(duì)，對(duì)新的入侵者進(jìn)行重定向轉(zhuǎn)移，并更新黑名單；對(duì)已經(jīng)重定向的攻擊者更新攻擊時(shí)間，延長(zhǎng)其被重定向的時(shí)間，又避免重復(fù)實(shí)施重定向。

（3）實(shí)施重定向轉(zhuǎn)移：對(duì)來(lái)自攻擊者的數(shù)據(jù)包，并通過(guò)IPTables的標(biāo)志技術(shù)將其重定向到相應(yīng)的Honeypot上去，并記錄重定向日志。

（4）獨(dú)立的撤銷(xiāo)重定向進(jìn)程：定時(shí)啟動(dòng)進(jìn)程，根據(jù)配置文件中定義的重定向時(shí)長(zhǎng)來(lái)判斷，對(duì)已經(jīng)到達(dá)時(shí)長(zhǎng)的通過(guò)IPTables的標(biāo)志技術(shù)將其重定向到真實(shí)的主機(jī)上去。

當(dāng)蠕蟲(chóng)感染我們的主機(jī)我們能做什么呢？首先通過(guò)重定向技術(shù)，重定向到Honeynet中去，或者對(duì)那些不明的數(shù)據(jù)包進(jìn)行觀測(cè)和控制，當(dāng)它們發(fā)起攻擊時(shí)重定向到Honeynet中去，然后對(duì)它的行為特征進(jìn)行研究；如MSBlast蠕蟲(chóng)，通過(guò)TCP要求進(jìn)入port時(shí)，Honeynet響應(yīng)請(qǐng)求，這樣我們就有了感染MSBlast蠕蟲(chóng)的機(jī)會(huì)，重定向到Honeynet中去，TFTP能夠獲得MSBlast蠕蟲(chóng)，研究它的行為和流量，通過(guò)動(dòng)態(tài)的重定向技術(shù)，配合入侵檢測(cè)系統(tǒng)，能夠控制MSBlast蠕蟲(chóng)。

2.Honeystat技術(shù)

Georgia大學(xué)的David Dagon等人采用HoneyStat來(lái)識(shí)別蠕蟲(chóng)，一種基于Honeypot技術(shù)和Logistic回歸理論的病毒檢測(cè)的方法，HoneyStat是一種腳本驅(qū)動(dòng)、自動(dòng)的、覆蓋大量IP地址的Honeypot， 每個(gè)HoneyStat節(jié)點(diǎn)可以產(chǎn)生三類(lèi)事件警報(bào): 內(nèi)存事件警報(bào)、磁盤(pán)事件警報(bào)和網(wǎng)絡(luò)事件警報(bào)，內(nèi)存事件包括緩沖區(qū)溢出等操作，網(wǎng)絡(luò)事件包括下載蠕蟲(chóng)代碼，磁盤(pán)事件包括對(duì)文件系統(tǒng)的修改等操作。 然后基于Logistic回歸理論對(duì)這些警報(bào)進(jìn)行分析， 就可以檢測(cè)出當(dāng)前是否有病毒或自動(dòng)的攻擊正在局域網(wǎng)中活動(dòng)。

當(dāng)一個(gè)HoneyStat事件發(fā)生時(shí)，我們一般采取以下的方法分析;

(1)當(dāng)一個(gè)報(bào)警事件發(fā)生時(shí)，我們檢查Honeypot是否已經(jīng)記錄它為活動(dòng)、事件，如果它是一個(gè)正在感染中的事件，我們簡(jiǎn)單的加以記錄。比如，如果我們首先發(fā)現(xiàn)一個(gè)內(nèi)存事件，然后又在同一Honeypot里發(fā)現(xiàn)了磁盤(pán)事件，那么我們將添加諸如磁盤(pán)事件和相關(guān)的網(wǎng)絡(luò)活動(dòng)等信息，來(lái)更新原來(lái)的內(nèi)存事件的信息。我們這樣做的目的使得內(nèi)存事件所記錄的信息更豐富。據(jù)此，使得Honeypot能夠更好的檢測(cè)事件，保持活動(dòng)狀態(tài)。

(2)如果一個(gè)事件還包括網(wǎng)絡(luò)事件(比如下載一個(gè)egg或發(fā)起一個(gè)掃描活動(dòng)），那么報(bào)告此類(lèi)事件的honeypot將被重置。這主要是因?yàn)閮蓚€(gè)方面:一是為了和Honeypot數(shù)據(jù)控制的原則相符，我們必須防止其他節(jié)點(diǎn)對(duì)這個(gè)節(jié)點(diǎn)的攻擊;二是，一旦發(fā)起一個(gè)網(wǎng)絡(luò)活動(dòng)，我們必須記錄盡可能多的攻擊行為，用來(lái)推斷蠕蟲(chóng)目前是感染性的。如果只是觀察到磁盤(pán)事件或者內(nèi)存事件，那么honeypot所在的節(jié)點(diǎn)不需要重置。我們利用一個(gè)仿真器來(lái)部署所有的Honeypot節(jié)點(diǎn)，那么重置在實(shí)踐上也是很快的。若利用輪詢調(diào)度方式對(duì)一個(gè)虛擬磁盤(pán)進(jìn)行復(fù)制，那么我們將不得不停止或者重啟仿真器，復(fù)制得到的磁盤(pán)映像保持掛起狀態(tài)，并不需要親新啟動(dòng)客戶操作系統(tǒng)。重置延遲很短，通常幾秒鐘或者一分鐘，并且一般在TCP超時(shí)發(fā)生之前完成。

(3)分析節(jié)點(diǎn)檢查事件的基本屬性，并由此決定哪些節(jié)點(diǎn)需要重置以適應(yīng)受影響的操作系統(tǒng)（OS）。此刻，honeypot節(jié)點(diǎn)通常被設(shè)置成覆蓋各種操作系統(tǒng)linux，windows，而且還包含不同補(bǔ)丁，如果其中一個(gè)操作系統(tǒng)感染了蠕蟲(chóng)，那么重置大部分節(jié)點(diǎn)運(yùn)行有漏洞的操作系統(tǒng)，意義將會(huì)顯得非同尋常。這將會(huì)使得所有honeypot節(jié)點(diǎn)捕獲類(lèi)似事件的可能性大大提高。

3.Honeycomb技術(shù)

劍橋大學(xué)的Kreibich等人提出使用honeypot來(lái)自動(dòng)提取蠕蟲(chóng)的特征，然后將這些特征加入到現(xiàn)有的IDS特征庫(kù)。他們將這個(gè)系統(tǒng)稱為Honeycomb。

主要步驟為：首先對(duì)進(jìn)入Honeycomb的數(shù)據(jù)包按照協(xié)議進(jìn)行解析，然后提取應(yīng)用層數(shù)據(jù)，利用后綴樹(shù)算法（suffix tree）提取出最長(zhǎng)的相同子串，最后將這些子串作為蠕蟲(chóng)的特征加入到IDS的特征庫(kù)中。

采用這種方法，可以極大地減少人工操作，大大的減少事件的分析量，還改變了IDS系統(tǒng)的被動(dòng)防御為主動(dòng)防御，并且可以縮短蠕蟲(chóng)發(fā)生到特征提取之間的時(shí)間，有助于在初期就發(fā)現(xiàn)蠕蟲(chóng)。

三、結(jié)論

Honeynet技術(shù)處于發(fā)展階段，但也為整個(gè)網(wǎng)絡(luò)安全注入了新的技術(shù)。相對(duì)于其他安全機(jī)制，它具有使用簡(jiǎn)單， 配置靈活， 占用的資源少，可以在復(fù)雜的環(huán)境下有效地工作，收集的數(shù)據(jù)和信息有很好的針對(duì)性和研究?jī)r(jià)值。既可作為獨(dú)立的安全工具， 還可以與其他安全機(jī)制聯(lián)合使用。Honeypot也存在收集數(shù)據(jù)面比較狹窄和引入了新的風(fēng)險(xiǎn)的不足。Honeypot技術(shù)不能完全取代其他安全機(jī)制，應(yīng)將其與被動(dòng)防御技術(shù)結(jié)合起來(lái)使用，以增強(qiáng)網(wǎng)絡(luò)和系統(tǒng)的安全性。本文中所說(shuō)的方法就是采用Honeynet技術(shù)和被動(dòng)防御技術(shù)相結(jié)合，增強(qiáng)了系統(tǒng)安全性。而其在蠕蟲(chóng)病毒防治中病毒中的運(yùn)用還處于理論研究階段，我們可以通過(guò)增加全球的觀測(cè)點(diǎn)，來(lái)觀察和提取出蠕蟲(chóng)的行為特征，達(dá)到主動(dòng)防御蠕蟲(chóng)的目的，當(dāng)然各種新的觀點(diǎn)和技術(shù)還在不斷地出現(xiàn)，他們都將得到充分的發(fā)展和運(yùn)用，其應(yīng)用前景也將會(huì)越來(lái)越廣闊。

參考文獻(xiàn):

[1]胡文，黃 皓:蜜罐重定向機(jī)制的設(shè)計(jì)與實(shí)現(xiàn); 信息安全、文章編號(hào):1008-0570(2006)01- -0027-03

[2]DavidDagon，XinzhouQin，GuofeiGu，WenkeLee;JulianGrizzard，JohnLevine，and HenryOwen; HoneyStat: LocalWormDetection Using Honeypots

[3]文偉平卿斯?jié)h蔣建春王業(yè)君:網(wǎng)絡(luò)蠕蟲(chóng)研究與進(jìn)展.軟件學(xué)報(bào)