基于蜜罐技术蠕虫检测系统研究与设计.docVIP

基于蜜罐技术蠕虫检测系统研究与设计 　　摘要：本文阐述了蜜罐技术的主动防御的优势，对蠕虫实现欺骗和诱导，收集新型病毒特征，检测蠕虫的变种，自动检测和预防新型蠕虫的爆发与传播，最终有效弥补入侵检测系统对未知蠕虫攻击的识别问题。本文所设计的基于蜜罐技术的蠕虫检测系统极大程度地提升了网络安全性。 　　关键字：蜜罐 蠕虫 检测 　　 　　引言 　　随着互联网时代的到来，蠕虫对安全的隐患越演越烈，特别是它能在短期内产生多种变异并迅速传播，给网络带来了严重的安全问题。虽然我们也采取了很多网络安全技术，如防火墙、入侵检测，但是这些技术主要是依据具体已有的特征库进行判断，对系统依赖性强，检测范围受到已知知识的局限，面对新型攻击无能为力，时时处于被动局面。蜜罐技术的出现与应用打破了以前的被动局面，对蠕虫实现欺骗与诱导，主动地检测蠕虫，可以有效地防御蠕虫的攻击，改变网络防御的被动处境，给陷入困境的网络安全问题带来了新的生机。 　　 　　1. 蜜罐技术 　　蜜罐（Honeypot）其实就是个诱饵，就如同使用蜂蜜来引诱蜜蜂到来一样，Honeypot是一个设计用来引诱入侵者的系统。出于引诱的目的，它必须包含一些对入侵者较有诱惑力的数据，它的主要作用并不是用于抓获入侵者，而是知道入侵者是如何对系统进行攻击，在获得被攻击系统的权限后是如何工作的。入侵者呆在Honeypot的时间越长，他们所使用的技术暴露得越多，而这些信息可以被用来评估他们的技术水平，了解他们使用的攻击工具。通过了解他们的技术和工具，可以更好地保护我们的系统和网络。 　　蜜罐技术用来捕获任何攻击的任何行为，其中包括已知的和未知的工具、策略和蠕虫等，它只需要极小的资源，收集少量的数据信息，便能得到有价值的信息。这就是说即使是一台旧的计算机也能很容易地处理分析B类或C类网络所收集到的数据，检测并捕获到这些攻击，得到高价值的信息。 　　 　　2. 基于蜜罐技术的蠕虫检测系统设计 　　2.1 基于蜜罐技术的蠕虫检测系统总体设计 　　在以前蠕虫检测的基础上，利用蜜罐及时得到蠕虫和识别蠕虫变种，并立即更新数据库及采取相应的措施来防御蠕虫的爆发，不仅可以增加发现蠕虫的能力，改善一般检测技术的高误报率的缺点，还可以提供新型蠕虫早期的告警与检测。 　　根据上述目标，本系统利用蜜罐来提供模拟服务，设置陷阱来扫描捕获蠕虫，并自动生成、更新特征签名，自动检测蠕虫，防止蠕虫的爆发与传播。大致流程如下图1所示： 　　 　　2.2 基于蜜罐的蠕虫引诱 　　蜜罐系统模拟各种路由以及各种给定的操作系统的网络栈行为来吸引蠕虫攻击，当模拟路由拓扑时，必须配置路由将虚拟蜜罐所在的网络空间指向主机。虚拟路由拓扑一般为树形结构，该树以数据包进入拓扑的入口作为树根。每个内部节点代表一个路由器。接收数据包时，系统会找到合适的入口路由，从根部开始，周游路由树，直到找到包含数据包目标IP地址的节点。 　　当成功引诱蠕虫后，则分析进入蜜罐的数据，自动生成入侵的蠕虫特征签名。流进的通信将经过扫描，以此来识别多次重复的数据字节序列，如果存在多个相同的模式发生时就会引发一个属于蠕虫的特征签名的生成过程。 　　对于蠕虫检测来说，某个端口上的通信交换的数据和信息越多，蠕虫攻击行为的可能性也就越大，提供的信息和数据也就具有更大的价值，因此要尽量让蠕虫多停留，维持蜜罐发送和接收的UDP数据包和TCP连接状态，即使在通信连接中断时，也不能立即释放所有的连接状态，仅为中断的连接做上标记，并存储这些连接，直到确定没有任何使用价值的时候才释放它们，为检测蠕虫的变种提供更多的时间与资源。在这里蜜罐系统所运用的通信协议采用消息块的模式，具体的的设计格式如图2： 　　 　　2.3基于蜜罐的蠕虫检测 　　对于已知的蠕虫，如冲击波蠕虫，蜜罐系统可以很容易地发现，根据所配置的特征签名数据库，便能在短时间内防御蠕虫。具体地说，可以通过事前设置的防火墙规则直接重定向到蜜罐，完全改变其扫描的路线，然后将其捕获。当然大多数时候蠕虫的变异是相当快的，面对全新的蠕虫攻击时，蜜罐系统将更新每一个新的数据包建立的连接状态，对每个存储的连接，执行协议头比较去检测匹配的IP网络、初始TCP序列号等，如果目的端口相同，则在交换的信息上做模式检测，如果没有生成有效的签名，处理停止，否则，将签名增加到特征签名数据库中。利用这样的方法，可以对未知蠕虫的爆发做出及时的响应，并在最新收集到的信息基础上不断的改进特征签名的准确性。 　　在增加到签名数据库前，新的特征签名和旧的签名进行比较，这样可减少特征签名的数量，同时降低误报率。假设旧的签名为S.old，新的签名为S.new。当S.old和S.new是相同时，S.new就被丢弃；当S.new包含S.old的子集，