基于蜜罐提升Snort檢測能力的設計

陳翠云，梁華慶

（中國石油大學（北京）地球物理與信息工程學院，北京 102249）

基于蜜罐提升Snort檢測能力的設計

陳翠云，梁華慶

（中國石油大學（北京）地球物理與信息工程學院，北京 102249）

在應對網絡攻擊過程中，入侵檢測系統Snort扮演了重要角色，如何提升Snort的防護水平至關重要。本文提出了一種利用低交互蜜罐系統捕獲網絡攻擊流量，提取攻擊特征，進而主動提升Snort檢測能力，實現快速發現安全威脅能力的方法，進行了實驗設計。實驗結果表明，經過該方法主動升級Snort特征庫，能夠有效提高Snort的入侵檢測能力。關鍵詞：蜜罐技術；入侵檢測；滲透攻擊；特征提取

隨著計算機網絡的日益普及，互聯網給人們帶來了極大的生活便利，同時也產生了越來越多的網絡安全問題。近年來針對網絡安全問題，業界進行了大量的討論和研究，如何第一時間發現網絡攻擊成為關注的焦點，其中入侵檢測系統成為了該環節重要一部分。Snort是一種優秀的開源入侵檢測系統，具有擴展方便，維護、部署簡單等特點，受到業界的廣泛的關注，其他產品級的入侵檢測系統也都或多或少的參考了Snort的檢測思想。但是Snort檢測能力主要依賴于其規則庫，規則庫的質量、數量以及更新速度決定了Snort的檢測能力［1］，因此如何快速、全面發現攻擊特征并且更新特征庫具有重要意義。傳統更新規則庫的方法往往是通過被動分析真實發生的攻擊事件，從事件現場中提取攻擊特征，然后將特征轉化成規則來實現的。這種方式存在很多局限性，首先是以犧牲部分真實業務系統作為代價，其次可能因系統被嚴重破壞而無法提取到有效的規則。為了彌補這些不足，文中提出了利用低交互式蜜罐捕獲網絡攻擊，進而提升Snort檢測能力的思路進行了實驗設計。實驗設計是利用metasploit工具進行滲透攻擊，低交互蜜罐系統捕獲攻擊，從捕獲到的攻擊數據中提取特征并轉化成Snort規則，進而主動提升Snort檢測能力。

1 蜜罐系統

1.1 蜜罐概念

蜜罐類似攻擊情報收集系統，所有進出蜜罐的網絡活動都將被記錄保存下來。蜜罐的價值就在于被掃描，攻擊和攻陷。蜜罐本身存在很多漏洞，就好比是網路管理員精心設置的“陷阱”，在攻擊者看來這是一臺“千瘡百洞”的機器，但是一切卻盡在管理員掌握之中。

蜜罐按照與攻擊者交互程度的高低分為低交互式蜜罐和高交互式蜜罐［2］。低交互蜜罐是通過程序模擬了一系列有漏洞的系統服務或應用，其優點是部署簡單、風險較小且容易維護，缺點是與攻擊者的交互力度較低，無法捕獲完整的攻擊過程。高交互蜜罐系統一般是由在真實的主機上安裝存在有漏洞的系統或應用組成，優點是與攻擊者交互程度高，可以獲得較為詳細的攻擊信息，但是部署復雜并且風險較大，可能會被攻擊者當作跳板機，從而攻擊其他機器。根據本文設計的需要采用低交互蜜罐系統。

1.2 Dionaea低交互蜜罐的介紹

目前低交互蜜罐產品比較多，文中采用的是dionaea低交互蜜罐系統［3］。Dionaea是HonetNet Project中的一種優秀的低交互蜜罐系統，主要功能是針對常見的網絡攻擊進行捕獲。Dionaea具有模塊化的結構，使用python腳本模擬網絡協議棧和一些常用的應用層服務協議，目前支持的協議類型和服務主要有SMB、http、tftp、ftp、MySQL、MSSQL、SIP等。通常情況下，所有進出蜜罐的行為都意味著攻擊的發生。利用蜜罐捕獲攻擊數據，在攻擊者開始大范圍的攻擊之前，通過分析攻擊數據，進而主動提升檢測系統的檢測能力，阻斷惡意攻擊行為。

2 Snort入侵檢測系統

2.1 Snort簡介

Snort是一種具有多平臺，實時流量分析，網絡IP數據包記錄等功能的網絡入侵檢測/防御系統。Snort有3種工作模式：嗅探器、數據包記錄器和網絡入侵檢測模式。其中嗅探器是指snort從網絡上讀取數據包，然后顯示在控制臺上，例如snort-v、snort-d等。數據包記錄器指將數據包記錄到硬盤上，例如snort-dev-l./log-h 192.168.254.1/24。網絡入侵檢測模式是最復雜的，本文當中為了檢測分析蜜罐捕獲的數據包，而采用了這種工作模式。在這種檢測模式下，snort會對每個數據包和規則集進行匹配［4］，匹配成功就采取相應的動作，并且會將分析結果記錄到snort數據庫中，其中snort數據庫包括data，detail，icmphdr，iphdr，tcphdr，udphdr等數據表。

2.2 Snort規則

Snort規則是snort能夠進行入侵檢測最重要的一部分［5］，采用的是輕量級的規則描述語言，啟動或者關閉snort規則都要在配置文件里面進行配置。

Snort規則分為兩個邏輯部分：規則頭和規則選項。規則頭包括規則動作、協議、IP地址、方向操作符以及端口信息。Snort中有5種規則動作：Alert、Log、Pass、Activate、Dynamic，目前支持的規則協議有TCP、UDP、ICMP和IP。

規則選項是snort入侵檢測的核心，包括選項關鍵字和參數，其中關鍵字content經常被使用。content的選項參數可以包括混合的文本和二進制數據，例如：alerttcp192.168.254.1/ 24 any-＞192.168.254.143445（content:“|50 4C 44 66|/bin/sh”；msg:“SMB overflow！”；）。

文中的設計是首先判斷snort能否檢測到蜜罐捕獲的攻擊數據，然后根據攻擊流量的情況選擇是否增加新的規則。在實驗當中的網絡攻擊部分，文中選擇了優秀的滲透攻擊工具metasploit，因為其在滲透攻擊領域具有較廣泛的使用率，能夠最大程度的接近真實的攻擊情況，并且具有優越的性能和快速更新能力，成為本文測試的首選工具。

3 Metaspolit簡要介紹

Metaspolit是滲透測試與攻擊的必備工具［6］，功能豐富，其中使用MSF（Metasploit Frame Work）終端作為用戶接口，MSF終端是metasploit框架中功能最為靈活，最為豐富的工具之一。借助MSF終端可以發起滲透攻擊，創建監聽器或者對整個網絡進行自動化攻擊。MSF終端啟動非常方便，只需要在命令行中輸入msfconsole即可。

Metasploit包含數百個模塊，而且也在持續更新中［7］。在MSF終端中輸入show exploits會顯示metasploit中所有可行的滲透攻擊模塊，約為200個，隨著網絡安全漏洞的不斷增加，此模塊也會越來越多。Show options會顯示metasploit框架中各個模塊正確運行所需要的一些設置，例如use windows/smb/ms08_067_netapi，show options顯示參數如表 1所示。

表1 show options顯示的參數Tab.1 The corresponding parameter of show options

同時為了更好地進行漏洞滲透攻擊，metasploit經常和一些漏洞掃描器結合使用。漏洞掃描器主要用來找出系統或應用中存在安全漏洞的工具，在本文實驗中采用nmap作為漏洞掃描工具。Nmap是一款進行網絡掃描和主機檢測非常有用的工具，常常被攻擊者用來進行攻擊前的信息收集，它適用于winodws、linux、mac等操作系統［8］，其功能包括檢測網絡上存活的主機（主機發現）、主機上開放的端口（端口發現或枚舉）以及檢測相應端口（服務發現）的軟件和版本、操作系統等信息。

4 實驗設計

4.1 組網以及環境部署

本文實驗設計需要的硬件環境：

使用三臺安裝Ubuntu12.04系統的Vmware虛擬機A、B、C，其中A虛擬機安裝蜜罐系統捕獲攻擊數據，B虛擬機安裝攻擊工具 nmap、metsaploit，C虛擬機安裝入侵檢測系統snort。按照本文系統設計需求將網絡模式設置為橋接模式，虛擬機A的ip為192.168.254.143，B的ip為192.168.254.144，實現一個簡單的局域網，如圖1所示。

圖1 實驗環境Fig.1 Experimental environment

文中A機器的被攻擊環境依托dionaea蜜罐，在A機器安裝dionaea蜜罐系統，安裝完成后切換目錄到/opt/dionaea/ bin。使用./dionaea-D命令后臺運行蜜罐系統，通過ps-ef| grepdionaea查看dionaea是否運行，結果如圖2所示，dionaea蜜罐已經成功啟動。

另外為了更好的分析數據包，文中在蜜罐機器里使用tcpdump命令實時捕獲所有的網絡數據包。在B機器中安裝掃描工具nmap和metaspolit，在C機器中安裝入侵檢測系統snort，安裝過程這里不再贅述。

圖2 Dionaea蜜罐啟動頁面Fig.2 The start page of dionaea honeypot

4.2 信息采集及模擬攻擊過程

利用nmap掃描已經啟動了蜜罐的機器A，結果如圖3所示。

圖3 變更端口指紋信息前的掃描結果Fig.3 The scanned result before altering port fingerprint information

從圖3中可以看出，A系統開放了很多常見的服務，這些服務大多為dionaea通過模擬實現的。在這些服務當中，nmap識別出了部分系統服務為dionaea蜜罐模擬實現的（圖中標注有“Dionaea honeypot”字樣的信息），在實際部署當中會被攻擊者發現該系統為蜜罐系統，從而停止攻擊，因此需要將蜜罐特征盡量隱藏，dionaea提供了一種方法，通過修改配置文件/opt/dionaea/lib/dionaea/python/dionaea/smb/include/ smbfields.py和/opt/dionaea/lib/dionaea/python/dionaea/mssql/mssql.py，變更SMB的445端口指紋和MSSQL的1433端口指紋信息來實現特征隱藏，修改完成后再次利用掃描器進行掃描，結果如圖4所示。

圖4 變更端口指紋信息后的掃描結果Fig.4 The scanned result after altering port fingerprint information

根據圖3和圖4對比來看，此時已經隱藏了蜜罐的明顯字樣信息，接下來可以對蜜罐實施攻擊，由圖3可知A系統開放了smb，http，mysql等服務。本文以smb服務為例，利用namp對該服務進行進一步的探測，使用命令：

nmap-sS-sV-O-script=smb-check-vulns.nse192.168.254.143

發現漏洞信息如圖5所示。

圖5 Dionaea機器存在的漏洞Fig.5 The vulnerabilities of dionaea honeypot

從圖5中可以看到，nmap已經識別出A系統存在ms08-067漏洞，下面使用metasploit對該漏洞進行攻擊。

首先在MSF框架中搜索攻擊ms08-067的exploit，通過執行命令 search ms08_067發現存在一個名為 exploit/ windows/smb/ms08_067_netapi的攻擊模塊，選擇蜜罐系統模擬的 windows xp sp2版本漏洞，并且分別設置 RHOST和LHOST 參 數 為 192.168.254.143 （蜜 罐 機 器 A）和192.168.254.144（攻擊者機器B），配置完成后通過命令show options查看配置是否正確，確認配置正確后執行命令exploit/ windows/smb/ms08_067_netapi進行攻擊，攻擊執行結果如圖6所示。

圖6 滲透攻擊結果Fig.6 The result of penetration attacks

4.3 蜜罐捕獲攻擊確認

攻擊完成后登錄到蜜罐系統，通過dionaea的webportal系統 （dionaeaFR）查看捕獲到的信息，執行命令：python manage.py runserver 0.0.0.0:8000，在瀏覽器中輸入 http://localhost:8000可以進入 web系統，在頁面中點擊左側的connection可以看到有3條數據，確認為通過metasploit發起的攻擊，如圖7所示。

圖7 蜜罐捕獲的攻擊數據Fig.7 The attacking data captured by honeypot

4.4 攻擊數據包分析

用Snort對使用tcpdump命令捕獲到的數據包進行本地回放檢測，發現snort并未告警，說明snort目前的規則并不能有效識別該攻擊，需要增加新的規則。其中snort檢測結果如圖8所示。

圖8 更新規則庫前Snort分析結果Fig.8 The analysed result before updating snort rules

使用wireshark打開蜜罐捕獲的數據包，通過分析定位到承載攻擊的smb協議，具體的協議字段信息如圖9所示。

從圖 9中可以看到，metasploit攻擊過程中調用了SRVSVC服務的NetPathCanonicalize操作，并且傳遞了超長的參數。這些參數是進行攻擊所使用的shellcode，因此可以從該調用的數據部分提取特征作為規則，為了降低誤報率和盡量不對檢測效率產生太大的影響，從攻擊代碼中提取多段數據結合起來作為特征（系統實際部署后需要自動化提取攻擊特征，本文僅僅是論證利用蜜罐系統捕獲攻擊并提取特征從而提高snort檢測能力的思路，自動化的特征提取方法本文不進行深入的探討）。其中content內容為截取了多段的十六進制數據流，由于是針對于SMB協議的滲透攻擊，將目的端口設置為445，規則如下：

圖9 攻擊數據流信息Fig.9 The information of attacking data stream

alerttcp 192.168.254.1/24 any-＞192.168.254.143445 （content:"|5c 00 51 70 67 43 75 6d 4a 74|"；depth:10；content:”|9c e3 d1 5b d3 6c 59 4e|”；depth:8；content:”

|f2 a5 90 7c 09 89 6f 14|”；depth:8；msg:"SMB attack"；sid: 909091；）

規則編寫完成后重新加載，再次執行snort命令，對之前捕獲的數據包進檢測：

snort--pcap-single=”/var/tmp/pcap/pcap.pcap”-c snort.conf

可以看到snort已經進行報警，并記錄了數據。

圖10 更新規則庫后Snort分析結果Fig.1 0 The analysed result after updating snort rules

通過對比更新snort規則庫前后的檢測結果（圖8、圖10所示）可以看到利用蜜罐系統誘捕攻擊，從攻擊數據中提取規則，提升snort檢測能力的方法是可行的。由于蜜罐自身的特點，出入蜜罐系統的數據大部分為攻擊相關數據，數據較為“純凈”，所以從這些數據中提取特征可以在很大程度上提升snort規則更新速率。在實際運用的過程中可以通過部署大量的蜜罐系統，實時收集并分析數據，自動化提取特征，將規則推送到相關設備來持續提升檢測能力，從系統模式上實現一處攻擊，全球快速響應的能力。

5 結 論

文中通過分析蜜罐捕獲的網絡攻擊，提取攻擊特征碼，進而升級snort特征庫進行檢測的實驗，證明了利用蜜罐可以主動發現威脅，提高snort檢測能力。本文提供了一種快速更新snort規則庫，提升snort的檢測能力的方法。蜜罐系統在研究網絡安全中具有很高的性價比，能夠協助提升snort快速發現安全威脅的能力，該設計對研究未知網絡威脅具有較好的參考價值。

［1］孫偉，周繼軍，許德武.Snort輕量級入侵檢測系統全攻略［M］.北京:北京郵電大學出版社，2009.

［2］諸葛建偉，唐勇，韓心慧，等.蜜罐技術研究與應用進展［J］.軟件學報，2013，24（4）:825-842.

［3］馬騰云.基于蜜罐技術的網絡安全預警系統［D］.濟南:山東大學，2013.

［4］李海芳，王喜聰，陳俊杰，等.Snort下模式串匹配算法的研究與改進［J］.太原理工大學學報，2013，41（3）:256-259.

［5］余文衛，王永吉.基于Snort規則庫的沖突檢測［J］.計算機工程與設計，2008，29（3）:576-579.

［6］嚴俊龍.基于Metasploit框架自動化滲透測試研究［J］.信息網絡安全，2013（2）:53-56.

［7］諸葛建偉，王珩，孫松柏，等.Metasploit滲透測試指南［M］.北京:電子工業出版社，2012.

［8］鄒鐵錚，李淵，張博鋒，等.基于支持向量機的操作系統識別方法［J］.清華大學學報：自然科學版，2009，49（S2）: 2164-2168.

Design on enhancement of Snort detection capabilities based on honeypot technology

CHEN Cui-yun，LIANG Hua-qing
（College of Geophysics and Information Engineering，China University of Petroleum，Beijing 102249，China）

Snort acts as an important role in how to defend the internet attack，so the way to improve the defend level of Snort is very essential.The paper describes a method of using a low-interaction honeypot system to capture network attacks，then to extract features from the attacks，and toupgradesnortrules and at last enhancing the speed of Snort to quickly discover security threats.And the result of the experiment verifies that the method can upgrade the rules of snort and it’s effective to improve the detection capabilities.

honeypot technology；intrusion detection；penetration attacks；feature extraction

TN915.08

A

1674－6236（2016）04-0048-04

2015-03-28 稿件編號：201503403

陳翠云（1988—），女，山東聊城人，碩士研究生。研究方向：計算機工程與應用。