基于Honeynet蠕虫检测策略研究.docVIP

基于Honeynet蠕虫检测策略研究 　　摘要：　将蜜网技术应用于蠕虫检测中，利用蜜罐技术较好地捕获蠕虫的样本，通过研究蠕虫的特性，有效抑制蠕虫的爆发提供可靠的数据。基于蜜罐的蠕虫防御技术有效地避免常有的蠕虫检测系统中误报、漏报率高以及不能全部检测到蠕虫的变种等问题。 　　关键词：　Honeynet；蠕虫检测；策略研究 　　0　引言 　　随着计算机网络突飞猛进的发展，它几乎渗透到各个领域中，社会对网络的依赖程度在不断地加强，但是网络本身就是一把双刃剑，在方便人们的同时，也让用户感觉到了前所未有的危险。在1988年的时候Robert　T.Morris蠕虫事件首次面世，网络安全研究人员便把网络蠕虫作为一个重要的课题来研究。2003年，MSBlast再次爆发，蠕虫研究更加成为网络工作者们关注的重点。 　　蠕虫是通过各个网络进行隐性传播，它在常见服务的安全漏洞或策略缺陷的基础上，对网络进行感染。可公开访问的主机上一旦出现了有漏洞的服务，蠕虫便会主动而快速地入侵到主机系统内部，进而隐性传播到访问主机的各个用户的主机及系统中，最终造成大规模的感染，甚至整条网络也会毁于一旦。在蠕虫感染的初期，蠕虫会占用被感染网络的大量资源和带宽，到发展到蠕虫负载具有不同程度的攻击性的时候，还可能造成用户数据的丢失，给人们带来无法挽回的损失[1]。 　　计算机系统一旦有蠕虫入侵到一台主机，便有可能感染整个网络。防火墙或杀毒软件以往的一些安全策略，对于蠕虫感染便显得力不从心，在这里我们引入了一种全新的安全技术，将蜜网技术（Honeynet）加入到蠕虫病毒防治中进行探索及讨论。 　　1　蜜网技术 　　蜜罐的价值是被扫描、攻击和攻陷注解[2]。它是一种安全资源，并不向任何用户提供服务，每一次进出蜜罐的主机都会被扫描一次，网络流量也预示着一次扫描、攻击和攻陷。蜜罐最核心价值在于对所有活动进行监视、检测和分析，最终能找到可疑数据。我们把蜜罐又简单地划分为单机蜜罐系统和Honeynet系统。所谓的Honeynet是一种被攻击或攻陷的网络资源，它本身存在一定的缺陷，但是它并不会对可疑数据进行任何修改，这就保证为我们保存与提???了完整和可靠第一手资料。Honeynet与传统的安全策略存在很大的差别，它的目的不是防止而是吸引攻击者，度对攻击者的行为进行记录、分析和学习与输出。但是我们并不是要把Honeynet技术完全替代防火墙、杀毒软件等传统的安全技术，而是要把他们结合起来，为整个网络安全作出新的贡献。 　　2　蠕虫病毒及其特征 　　2.1　蠕虫 　　计算机病毒是网络安全面临最普通又最难解决的问题，自从1988年Morris蠕虫爆发后，Spafford为了把蠕虫和病毒区分开，他简单地把计算机病毒定义为：一段能把自身加到其他程序可以是操作系统上；但是不能独立运行，必需由宿主程序运行来激活它的代码[2]。网络蠕虫与计算机病毒最大的差别便是具有主动性和攻击性和隐蔽性。 　　如果对蠕虫做一个定义，它应该是把网络攻击、密码学和计算机病毒技术综合为一体，完全具有主动性和智能性，在不需要计算机使用者干预的情况下即可运行的攻击程序或代码，它可以自动扫描和攻击网络上存在漏洞的各个节点主机，并通过网络传播到每一个节点主机上。再次说明它具有主动性、智能性和隐蔽性。 　　2.2　蠕虫的行为特征 　　蠕虫随着使用者技术知识水平及所运用漏洞类别的不同，出现了多种不同的分类。在这里我们按功能对蠕虫进行划分，它主要包括传播、隐藏和感染三个功能模块，传播模块主要负责蠕虫病毒的传播，隐藏模块负责先侵入主机，再隐藏到正常程序中，保证不被用户发现，感染功能模块是为了实现对计算机的控制、监视或破坏而设计的。在这里我们重点研究传播模块，又把它分为扫描、攻击和复制。网络蠕虫的攻击行为主要包括收集信息、扫描数据、渗透程序和自我改进。我们把蠕虫的工作流程归纳为：在自我繁殖的基础上，再利用软件漏洞给整个网络造成拥堵，通过大量地消耗网络资源，最终给整个网络留下安全隐患，甚至是摧毁整条网络[3]。 　　3　Honeynet在蠕虫防御策略中的应用 　　Honeynet技术引入到网络安全中并不是一个新的课题，但如何能真正地发挥它的作用，我们便需要把它不同于传统安全策略的技术引入到各个领域，如今我们把Honeynet技术应用到防御蠕虫病毒中，希望给网络安全带来更多的希望。 　　3.1　常见的蠕虫检测技术 　　网络蠕虫的检测技术是随着网络蠕虫编写技术的提高而发展的。蠕虫技术一次又一次地更替流行再繁衍，网络安全研究人员也绞尽脑汁改善、创新着网络蠕虫的检测技术，他们二者是一个对立统一的过程，在对立的过程中求新、求进、求发展，网络安全研究人员永恒的追求便是准确而高效地检测到病毒，把用户的损失降到最低，保护