基于蜜罐技术的恶意移动代码扫描监测模型研究.docVIP

基于蜜罐技术的恶意移动代码扫描监测模型研究 　　摘要：目前恶意移动代码的传播严重威胁着Internet网络安全。介绍了常用网络监测技术，阐述了蜜罐技术概念、工作原理、交互级别，设计了基于蜜罐技术的恶意移动代码扫描监测模型，并对模型中各个模块进行了详细分析。实践证明，该模型能够及时、有效地监测网络中的恶意移动代码威胁，更好地保护网络和主机安全，减少网络恶意侵害行为。 　　关键词：恶意移动代码；蜜罐技术；监测；数据采集 　　中图分类号：TP309.5文献标识码：A文章编号：1672-7800（2012）010-0160-02 　　基金项目：河南省教育科学“十一五”规划2009年项目（2009-JKGHAG-0321） 　　作者简介：王乐乐（1985-），女，中国人民解放军信息工程大学信息工程学院硕士研究生，研究方向为网络安全；邢颖（1985-），女，中原工学院软件学院助教，研究方向为网格计算与云计算。 　　0引言 　　恶意移动代码（MaliciousMobileCode-MMC）是指在计算机之间以及网络之间移动的任何程序代码，这些代码未经任何允许和授权，有意对计算机系统内容进行篡改，从而达到破坏计算机数据完整性以及降低网络运行可用性的目的。恶意移动代码包括计算机病毒、木马、蠕虫、恶意脚本以及流氓软件等。恶意移动代码具有自我复制和自我传播特性，主要表现为：用户机密信息受到威胁、造成骨干网或局域网阻塞、网络服务中断、僵尸网络（Botnet）等，严重威胁着Internet网络安全。蜜罐技术可通过模拟服务来获取入侵事件的具体信息，已成为目前网络安全领域的新兴技术，本文提出的基于蜜罐技术的恶意移动代码扫描监测模型能有效对网络中恶意移动代码进行监测，及早、有效地发现面临的威胁，保护网络与主机安全。 　　1常用网络监测技术 　　为了减少网络恶意侵害行为对互联网基础设施以及主要应用系统的危害，必须对相关网络威胁进行监测和追踪。目前，监测方式主要分为两类：主机监测和网络监测。主机监测是指在用户主机上安装反病毒软件和基于主机的入侵检测软件，对入侵主机的已知恶意代码进行检测和告警。网络监测方式中，常用技术是在活动（active）网络中被动监听网络流量，利用检测算法识别网络入侵行为。虽然监测活动网络扩大了监测范围，但是如何区分活动网络中的“善意”和恶意流量却变得非常困难，导致检测结果中存在大量虚警；另一种网络监测技术是指在未使用的IP地址空间内被动收集数据。但这种集中收集恶意流量的方式割裂了恶意流量与原有活动网络流量之间的关联；最后一种网络监测技术是将未使用地址空间伪装成活动网络空间，通过与入侵者的主动交互获取入侵详细信息，如蜜罐技术（HoneynetProject，相关软件有honeyd等）。与以上两种网络监测技术相比，蜜罐技术能够有效地将活动网络中的恶意流量分离出来，监测到与活动主机相关联的网络入侵行为，从而达到保护网络的目的。 　　2蜜罐技术 　　蜜罐（Honeypot）技术作为一种典型的主动防御技术，是近年来的研究热点。蜜罐技术研究发起人LanceSpitzner给出的定义是：蜜罐是一种安全资源，它的价值体现在被刺探、攻击或者被摧毁的时候。蜜罐系统主要包括了网络诱骗、数据控制、数据捕获、数据报警、数据分析和日志远程存储等功能模块。 　　蜜罐的工作原理是通过引诱攻击者的入侵来保护系统本身安全，能通过某种方式监测与跟踪入侵者的行为，并将其记录在日志中对攻击方法进行技术分析，从而学习入侵者的工具、策略和方法。 　　蜜罐按照交互的级别，可以分为低、中、高三种交互级别： 　　低交互honeypot没有真正的操作系统可供攻击者使用，也不会给系统带来额外的风险。由于它不可能观察攻击者与操作系统的交互过程，因此不能收集到真正有意义的信息。此阶段主要提供检测功能。 　　中交互honeypot设置了一些信息以供交互，但未提供一个真正的底层操作系统。因为honeypot的交互能力提高了，攻击者发现安全漏洞的可能性也更大，所以增加了风险。 　　高交互honeypot有真正的底层操作系统，攻击者能够上传、安装新文件，可以与操作系统交互，也能够攻击各种应用程序，会给系统带来很大的风险，但捕获到有用信息的可能性越大。 　　3基于蜜罐的扫描监测原型系统设计与实现 　　本文在分析了蜜罐技术在实际部署中必须考虑的相关因素的基础上，针对恶意移动代码的特点，构建了基于蜜罐技术的恶意移动代码扫描监测模型，目标是对校园网内的恶意扫描源进行监测和预警。模型按功能实现可以划分为两部分：监测部分和预警处理部分，监测部分是预警处理部分的基础。 　　3.1模型构成 　　整个系统由6个模块构成，如图1所示，分别为监测数据采集模块、数据存储和预处理模块、单点检测预警