基于Honeynet环境下蠕虫防御策略研究.docVIP

基于Honeynet环境下蠕虫防御策略研究 　　[摘要] 蠕虫对互联网的威胁是越来越严重，但是honeynet的出现为解决问题指出了一个新的途径。在本文中，介绍了蜜网和蠕虫的定义，并在了解蜜网和蠕虫的基础上，给出了三种在蜜网中防御蠕虫的方法：重定向技术，honeystat技术和honeycomb技术。 　　[关键词] 蜜网 蜜罐 重定向 honeystat honeycomb 　　 　　随着 Internet 的发展, 基于互联网的应用系统越来越多, 社会对网络的依赖日益增强, 同时网络的安全也面临着巨大的挑战，例如著名的1988年Robert T. Morris 蠕虫事件成为网络蠕虫攻击的先例, 从此,网络蠕虫成为研究人员的重要课题。 　　蠕虫利用常见服务的安全漏洞或策略缺陷,通过网络进行传播，如果有漏洞的服务被安装在大量可公开访问的主机上,蠕虫就能自动入侵这些系统,造成大范围的感染。在发现和感染弱点系统阶段,蠕虫占用大量网络和系统资源,如果蠕虫负载具有攻击性,则还会造成窃取用户敏感数据、删除宝贵资源等无法挽回的后果。传统的安全措施，如防火墙或入侵检测技术（IDS）显得力不从心，这就需要引入一种全新的技术。这里从理论上对目前网络安全领域的最新主动入侵防护（Intrusion Prevention System，IPS）技术，即蜜网技术（Honeynet），引入到蠕虫病毒防治中进行探索及讨论。 　　一、Honeynet和蠕虫 　　1.Honeynet 　　Honeynet是一种被故意设计成存在缺陷，用来被攻击或攻陷的网络资源。它用于吸引攻击者入侵，对攻击者的一切操作进行分析和学习。在一个Honeynet中，可以有各种不同的网络设备和操作系统，并可以同时运行不同的服务。 Honeynet技术不能完全替代防火墙、入侵检测系统（IDS）等传统的安全技术，而要与他们合作来构成这个网络体系架构。 　　一个标准的Honeynet主要由防火墙、入侵检测系统（IDS）、日志服务器和多个Honeypot主机组成。其中防火墙和IDS对所有进出Honeynet的数据进行捕获和控制，然后对所捕获的信息加以研究，以便得到关于攻击者的一些资料。而Honeynet将系统日志发送到服务器上保存，加强了对日志的保护。Honeynet可以是任何默认安装的系统。设置好Honeynet之后，尽可能不对系统进行修改，以确保系统不会被攻击者发现???是一个Honeynet。 　　2.蠕虫 　　早期恶意代码的主要形式是计算机病毒，1988年Morris蠕虫爆发后,Spafford为了区分蠕虫和病毒,对病毒重新进行了定义,他认为,“计算机病毒是一段代码,能把自身加到其他程序包括操作系统上;它不能独立运行,需要由它的宿主程序运行来激活它”而网络蠕虫强调自身的主动性和独立性。 　　我们认为“网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,不需要计算机使用者干预即可运行的攻击程序或代码，它会扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或者国际互联网从一个节点传播到另外一个节点”。该定义体现了新一代网络蠕虫智能化、自动化和高技术化的特征。 　　蠕虫的行为特征: 　　从功能模块实现可以看出，网络蠕虫的攻击行为可以分为4个阶段：信息收集、扫描探测、攻击渗透和自我推进。信息收集主要完成对本地和目标节点主机的信息汇集;扫描探测主要完成对具体目标主机服务漏洞的检测;攻击渗透利用已发现的服务漏洞实施攻击；自我推进完成对目标节点的感染。 　　通过对蠕虫的整个工作流程进行分析，可以归纳得到它的行为特征为：自我繁殖、 利用软件漏洞、造成网络拥塞、消耗系统资源、留下安全隐患等。 　　二、Honeynet技术在对抗蠕虫的应用 　　Honeynet技术在安全领域正在得到越来越广泛应用，我们使用Honeynet技术对抗蠕虫病毒，这些研究中的方法也成为Honeynet 信息分析技术的一部分。 　　1.重定向技术 　　重定向的基本思想是:通过Honeynet中的Honeypot来伪装被保护区的主机，对进入保护区的主机的流量利用网络入侵检测和主机上的入侵检测,由Honeynet重定向器进行控制,将恶意流量重定向到Honeypot上进行拖延攻击和深入研究,系统的架构如右图: 　　系统的实现原理如下： 　　（1）获取重定向信息：我们通过静态和动态两种方式来获取，静态的可以在Honeypot重定向器启动时，通过读取配置文件得到（已知的攻击）需要重定向到Honeypot中上的入侵者信息，动态的我们利用SSL通讯机制和FIFO队列机制，不停的接受来自NIDS和被保护主机HIDS报告的入侵者信息。 　　（2)管理黑名单：通过对黑名单的比对，对新的入侵者进