（计算机软件与理论专业论文）基于主动防御模式下病毒特征码的研究.pdf

青岛科技人学研究生学位论文 i i i i ii i ii ii ii ii i i ii i iil 17 4 0 4 6 3 基于主动防御模式下病毒特征码的研究 摘要 蠕虫病毒是一种通过网络传播的恶性病毒，自世界上第一例蠕虫病毒问世以 来，蠕虫病毒在全球互联网上造成的危害性越来越大。因此，针对蠕虫病毒检测 技术的研究已经成为网络工作者研究的必要课题之一。 如何能够检测未知蠕虫病毒，减小未知蠕虫病毒造成的危害一直是当前蠕虫 病毒防御技术的关键。本文通过蜜罐技术的数据诱骗捕获机制对蠕虫病毒特征码 的检测技术进行研究，提出了基于主动防御模式下病毒特征码的检测技术，并将 高效的w u m a n b e r 算法应用到蠕虫病毒特征码的检测模块中。 本文首先从蠕虫病毒防御技术和主动防御技术的研究现状入手，分析了蠕虫 病毒特征码检测的相关技术，对当日订流行的蜜罐技术进行了深入的研究，给出了 基于主动防御思想的蠕虫病毒特征码检测系统的设计规划和方案。 其次，在充分研究的基础上，提出了当前蠕虫病毒特征码检测算法中存在的 不足：当特征码的模式字符串的个数超过5 0 0 0 时，检测延迟时问会不断攀升， 严重影响了蠕虫病毒的检测效率。通过将w u m a n b e r 算法应用到特征码检测模块 中，解决了网络数据传输过程中由于大量重复的字符串出现在模式串尾端导致基 于b m 算法的特征码检测模块效率低下的问题。通过两组有针对性的实验分别对 基于w u m a n b e r 算法和b m 算法的特征码检测模块进行测试，结果表明改进之后 的算法在检测效率上有了明显的提高。 最后，从软件测试的角度上对整个主动防御系统进行功能测试，从具体的数 掘可以看出本系统的实现达到了预期的要求。同时又发现了其中的不足，并提出 了相应的解决方案。 关键词：蠕虫病毒蜜罐特征码b m 算法w u m a n b e r 算法 青岛科技人学研究生学位论文 r e s e a r c ho nv i r u sc h a r a c t e r i s t i c c o d eb a s e d0 na c t i v ed e f e n s em o d e a b s t r a c t w o r mv i r u si sav i r u l e n tv i r u ss p r e a d i n gt h r o u g ht h en e t w o r k s i n c et h e e m e r g e n c eo ft h ef i r s tc a s e so fw o r m s ，w o r m sh a r mi sg r o w i n gi nt h eg l o b a li n t e r n e t t h e r e f o r e ，w o r md e t e c t i o nt e c h n o l o g yh a sb e c o m eo n eo ft h em o s ti m p o r t a n tt o p i c r e s e a r c h e sb yn e t w o r k e r s t h ek e yp r o b l e m st od e f e n dt h ew o r mv i r u sa r eh o wt od e t e c tt h eu n k n o w nw o r m a n dh o wt or e d u c et h eh a r mc a u s e db yt h ew o r m t h i sp a p e rm a i n l yd i ds o m er e s e a r c h o nt h ew o r mc h a r a c t e r i s t i cc o d ed e t e c t i o nt e c h n o l o g yt h r o u g ht h ed a t at r i c kc a p t u r e m e c h a n i s mo ft h eh o n e y p o tt e c h n o l o g y b e s i d e s ，t h ew o r mc h a r a c t e r i s t i cc o d e d e t e c t i o nt e c h n o l o g yb a s e do nt h ea c t i v ed e f e n s em o d ei sp r o p o s e d ，a n dt h ee f f i c i e n t w u - m a n b e ra l g o r i t h mi s a p p l i e dt ot h ew o r mv i r u sc h a r a c t e r i s t i cc o d ed e t e c t i o n m o d u l e f i r s t l y , t h er e l e v a n tt e c h n o l o g yo ft h ew o r mc h a r a c t e r i s t i cc o d ee x t r a c t i o nh a s b e e na n a l y s i s e di nt h i sp a p e r , f r o mt h er e s e a r c h e so ft h ew o r md e f e n s et e c h n o l o g ya n d a c t i v ed e f e n s et e c h n o l o g y b e s i d e s ，i ta l s od i ds o m er e s e a r c ho nt h ec u r r e n tp o p u l a r n e t w o r kt r a pt e c h n o l o g y , a n dt h ed e s i g ns c h e m eo fw o r ms i g n a t u r ed e t e c t i o ns y s t e mi s a l s o p r o p o s e d ，w h i c h i sb a s e do nt h ea c t i v ed e f e n s ei d e a s s e c o n d l y , s o m e d i s a d v a n t a g e sa b o u tt h ea l g o r i t h mo ft h ec u r r e n tw o r mc h a r a c t e r i s t i cc o d ed e t e c t i o n a f t e rt h ef u l ls t u d yh a sb e e np r o p o s e di n t h i sp a p e r , f o re x a m p l e ，i ft h el e n g t ho f c h a r a c t e r i s t i cc o d e ss t r i n g si sm o r et h a n5 0 0 0 ，t h ed e t e c t i o nd e l a yt i m ew i l lc o n t i n u e t or i s e s ot h ee f f i c i e n c yo ft h ew o r md e t e c t i o nw i l lb ea f f e c t e ds e r i o u s l y t h ew u m a n b e ra l g o r i t h mi sa p p l i e dt ot h ec h a r a c t e r i s t i cc o d ed e t e c t i o nm o d u l e t h e r e f o r e ，i tc a ns o l v et h ep r o b l e mt h a tal a r g en u m b e ro fr e p e a t e ds t r i n g sa p p e a ri nt h e e n do ft h ep a t t e r ns t r i n gi nt h ep r o c e s so ft h en e t w o r kd a t at r a n s m i s s i o n ，s oi tw i l l r e s u l ti nt h em o d u l eb a s e do nb ma l g o r i t h mi n e f f i c i e n t t h e n ，t h e r ea r et w o e x p e r i m e n t a lt e s t so nt h ec h a r a c t e r i s t i cc o d em o d u l eb a s e do n 陟b m a n 6 e l a l g o r i t h m a n db ma l g o r i t h mr e s p e c t i v e l y , t h er e s u l t ss h o wt h a tt h e d e t e c t i o ne 娟c i e n c va r e i n c r e a s e dw i t ht h ei m p r o v e da l g o r i t h m f i n a l l y , t h ef u n c t i o no ft h ea c t i v ed e f e n s es y s t e mi st e s t e df r o mt h ep e r s p e c t i v eo f s o t t w a l et e s t i n g , a n dt h i ss y s t e mh a sa c h i e v e de f f e c t i v ea n de x p e c t e dr e s u l t s 舶mt h e s p e c i f i ce x p e r i m e n td a t a b e s i d e s ，s o m es o l u t i o n sc o r r e s p o n d i n gt ot h ed i s a d v a n t a g e s a le p r o p o s e di nt h i sp a p e r k e yw o r d s ：w o r m h o n e y p o t c h a r a c t e r i s t i cc o d eb ma l g o r i t h m w u m a n b e ra l g o r i t h m 青岛科技人学研究生学位论文 目录 第一章绪论1 1 1 课题背景及意义l 1 2 国内外研究现状2 1 2 1 主动防御系统研究现状2 1 2 2 蠕虫病毒检测研究现状3 1 3 本文的主要工作和结构安排4 第二章蜜罐系统和蜜网系统技术原理6 2 1 蜜罐的概念及分类6 2 1 1 蜜罐的概念6 2 1 2 蜜罐的分类6 2 2 蜜罐技术的实现形式9 2 2 1 单机蜜罐系统9 2 2 2 蜜网系统1 0 2 2 3 虚拟蜜网体系结构11 2 3 蜜网的关键技术1 2 2 4 本章小结1 6 第三章b m 算法与w u - m a n b e rt 陕速字符串匹配算法的研究1 7 3 1 基本概念17 3 2b m 算法1 7 3 2 1b m 算法概述17 3 2 2b m 算法的基本思想和原理1 8 3 2 3b m 算法的程序流程图2 0 3 3w u - m a n b e r 算法2 0 3 3 1w u m a n b e r 算法概述2 0 3 3 2w u m a n b e r 算法的原理和思想2 1 3 4 本章小结2 4 第四章蠕虫病毒及防御技术研究2 5 4 1 蠕虫病毒的研究2 5 4 1 1 蠕虫病毒与一般病毒的异同2 5 4 1 2 蠕虫病毒的攻击过程2 6 基丁i 动防御模式卜病毒特征码的研究 4 1 3 网络蠕虫的结构模型2 7 4 2 蠕虫病毒特征码的研究3 l 4 2 1 蠕虫病毒特征码的定义3 l 4 2 2 蠕虫病毒特征码的特性3 1 4 2 3 网络数据流的特征分析3 2 4 3 基于陷阱的反蠕虫技术的研究3 4 4 3 1 抑制传播3 4 4 3 2 病毒捕捉3 5 4 4 本章小结3 5 第五章病毒主动防御系统关键技术和部分实现3 7 5 1 数据捕获3 7 5 1 1w in p c a p 工具包3 7 5 1 2a r p 地址欺骗3 8 5 1 3 地址管理3 9 5 1 4 数据包过滤4 0 5 1 5 数据发送4 2 5 2 日志记录4 4 5 2 1 记录连接参数4 4 5 2 2 数据保存4 4 5 3 本章小结4 6 第六章特征码优化算法实验验证及系统测试4 7 6 1 特征码优化算法实验验证4 7 6 1 1 实验环境4 7 6 1 2 实验模式集和文本的选取4 7 6 1 3 算法的j 下确性验证4 7 6 1 4 特征码检测优化的实验及分析5 0 6 1 5 特征码提取算法部分源代码5 2 6 2 系统测试5 3 6 2 1 同志记录测试5 3 6 2 2 虚拟i p 地址的测试5 4 6 3 本章小结5 5 结论5 6 参考文献。5 7 青岛科技人学研究生学位论文 致谢6 0 作者在攻读硕士期间发表的论文6 1 独创声明6 2 关于论文使用授权的说明6 2 青岛科技人! 学研究生学位论文 1 1 课题背景及意义 第一章绪论 伴随互联网技术的飞速发展，网络为信息交流、信息共享以及信息服务创造 了理想的环境。由于网上的信息以惊人的几何倍数速度增长，互联网以前所未有 的深度和广度介入了人们的生活和工作。可以看出，人类步入网络时代的大趋势 己被广泛的承认和接受。互联网已经改变了人们的工作方式和生活方式，改变了 全球的社会结构和经济结构，已经成为了人类物质社会的最重要组成部分和二十 一世纪改变人类生活的最杰出的研究成果。由互联网发起的信息系统的应用，加 快了社会自动化的进程，减轻了人们几常繁杂的重复性劳动，同时也提高了生产 率，创造了巨大的社会价值。例如，在金融服务业，信息化早己不是陌生的名词； 在政府、娱乐、教育等其他信息密集型的行业中，互联网也有着很人的作为。 然而，随着互联网高速发展的同时，网络安全问题变得开益严重。据媒体报 道，到目前为止，世界各国遭受的计算机病毒感染以及攻击的事件数以亿计，严 重地干扰了人类j 下常的社会生活，给计算机系统和网络带来了巨大的威胁和破 坏。其中，蠕虫病毒是其中破坏力极强且数量最多的病毒。世界上第一例蠕虫病 毒是由美国c o r n e l l 大学的研究生摩单斯编写，虽然当时并无恶意，但是“蠕 虫”在i n t e r n e t 上的大肆传播，使得数以千计的计算机停止运行，并造成巨大的 经济损失l l 】。这一计算机病毒入侵计算机网络的事件，迫使美国国防部立刻成立 了计算机应急行动小组。据最终不完全统计，这次计算机病毒事件造成的直接经 济损失达9 6 0 0 万美元。由此可见，蠕虫病毒的破坏力之强已达到了骇人听闻的 地步。 蠕虫病毒的传播机理是通过网络来进行大量的复制和传播。传染途径主要是 通过电子邮件、网络和u 盘、移动硬盘等移动存储没备。例如臭名昭著的“熊猫 烧香”病毒就是蠕虫病毒的一种【2 】。目前，蠕虫病毒的研究工作还主要停留在对 已知蠕虫的检测与防范上，针对蠕虫的防治措施还处于一种非常被动的状态。因 此，研发出能够早期检测与预警新型蠕虫病毒的主动防御技术，提自玎发现未知蠕 虫病毒并作出预警，这对减少蠕虫病毒的大规模爆发，降低其危害有重要意义。 基丁主动防御模式卜病毒特，祉码的研究 1 2 国内外研究现状 1 2 1 主动防御系统研究现状 网络陷阱技术，又称为蜜罐( h o n e y p o t ) 技术，该技术已经逐步在网络安全 领域的各个方面引起了巨大的影响，被业界公认为是引领网络安全领域从被动防 御变为主动防御的重要技术之一。近年来，蜜罐是国际上比较热门的研究项目之 一，已经丌发出许多不同用途的蜜罐。 最早被公丌发布的蜜罐工具包是由著名安全专家f r e dc o h e n 创建的d t k ( d e c e p t i o nt o o l k i t ) 。d t k 的0 1 版本于1 9 9 7 年1 1 月发布，它是一种免费提供 的蜜罐解决方案。1 9 9 8 年，随着蜜罐的价值更加受到人们的重视，第一个用于商 业用途的蜜罐产品c y b e r c o ps t i n gi f 式现身。c y b e r c o ps t i n g 相比d t k 具有很多 不同的特性：比如陔产品可以运行在w i n d o w s 平台，使得该系统的部署获得了很 大简化；另外，该产品还可以同时模拟很多不同类型的操作系统，这就使用户不 但可以模拟单个操作系统，还可以创建一个模拟的网络。同样在1 9 9 8 年，m a r l y r o e s c h 也丌发了一个与s t i n g 非常类似的被称为n e t f a c a d e 的产品。尽管该产品 在商业方面没有什么成就，但是从这个产品的丌发过程中却衍生出了个非常重 要的了i ：源项目s n o r t ( 该项目是著名的丌源入侵检测系统) 。1 9 9 9 年，h o n e y n e t 项目的创建为蜜罐系统在安全领域的地位奠定了峰实的基础。这是由几十名安全 专家自发形成的一个非赢利性质的项目，在这个项目中他们提出了的h o n e y n e t 是一种高级的蜜罐形式。在项目创建后的几年时间罩，h o n e y n e t 成功的表现了它 在研究和检测攻击和反病毒方面的价值【3j 。 当前，国外研究蜜罐技术的主要组织机构有： ( 1 ) 分伟式蜜罐项目( d i s t r i b u t e dh o n e y p o tp r o j e c t ) 。该组织将蜜罐系统放置 在互联的多个j f 常资源和系统中，通过闲置的端口进行i p 地址欺骗的方式，来达 到将欺骗分白到更广范嘲的端口和i p 地址的空i 日j 中的目的，从而增大了欺骗在整 个互联网中的比重。 ( 2 ) 蜜网研究联盟( h o n e y n e tr e s e a r c ha l l i a n c e ) 。该联盟拥有自己的组织结 构，并且独立于蜜网项目组，其主体是各个研究蜜罐的组织。它主要目的是：将 各个成员组钐i 的，1 ：发、研究、部署蜜罐的相关研究成果和技术进行共享，并且免 费向外界发布这些成果。 ( 3 ) s e c u r i t yf o c u s 、s a n s 。这些组织主要通过模拟和部署某些具有w i n d o w s 系统漏洞的蜜罐的方式来捕获并且深入分析蠕虫病毒。 在国内现有的主动防御的相关研究主要是a r t e m i s ( 狩猎女神) 项目。a r t e m i s 2 青岛科技人。学研究生学何论文 ( 狩猎女神) 项目是北京大学计算机研究所信息安全工程研究中心推出的蜜网研 究项目【4 j 。狩猎女神i 员目于2 0 0 5 年1 月向世界“蜜网研究联盟”正式提出加入申 请，并于2 0 0 5 年2 月萨式成为该组织的第一支中国研究团队。狩猎女神项目当 前研究方向主要包括以下三个方面：一是及时跟进蜜罐与蜜网最新的技术发展， 实际维护和部署蜜网，并且对蜜网捕获的黑客攻击和恶意代码进行深入的分析， 加强对蜜罐与蜜网技术的理解，及时了解互联网最新的安全威胁；二是通过恶意 软件收集软件和物理蜜罐这两种方式对互联网上传播的恶意软件进行捕获，并对 其进行深入的分析，研究恶意软件分析和捕获的自动化以及规范化流程；三是针 对当前蜜网的核心功能，重点研究蜜网攻击关联分析和数据统计分析技术，并大 力推进实用化工具的研发。目前，狩猎女神项目部署的蜜网已经融合了“蜜网研 究联盟”最新提出的h o n e y d 虚拟蜜罐系统、第三代蜜网框架、n e p e n t h e s 和 m w c o l l e c t 恶意软件自动捕获软件。 1 2 2 蠕虫病毒检测研究现状 常见蠕虫检测技术主要有以下两种【5 】： ( 1 ) 模式匹配技术( s i g n a t u r e b a s e d ) 如果所有的入侵手段和行为都能够表示成一科，特征或者模式，那么我们可以 用匹配的方法来发现所有已知的入侵方法。如何表达入侵的模式是模式匹配技术 的关键所在，只有f 确的表达入侵模式，彳能把正常行为和入侵行为和区别丌来。 模式匹配技术的优点是误报率低，执行效率高，缺点是只能发现已知的攻击，而 不能发现未知的攻击。 ( 2 ) 异常柃测技术( a n o m a l y b a s e d ) 以正常的系统为参照系，那么所有蠕虫的行为都是异常的。因此我们可以通 过建立系统j 下常行为的记录，只要是与正常行为不用的状态都可以视为可疑行 为。异常检测技术的关键是最异常阀值和特钮f 的选择。例如，通过网络数据的流 量统计分析可以把异常时间发生的异常网络流量看做足可疑行为。异常检测技术 的缺点是并不是所有的异常行为都是入侵造成的，容易造成误报。优点是可以对 未知病毒进行检测。 当前，国外针对蠕虫异常行为的检测技术研究比较多，比如g e o r g e b a k o s 等 人利用分布在网络中的多个路由器和数据采集器来采集网络中的i c m p 目的不可 达报文( i c m p t 3 ) 来检测蠕虫病毒【6 】，前提是需要修改路由器，让它产生特定 的i c m p t 3 报文。c h e ns 采用了一种计算t c p 失效连接率的方法来检测蠕虫【7 】， 但是该系统没有给出如何检测u d p 蠕虫的方案。t w y c r o s s 和w i l l i a m s o n 提出了 基丁主动防御模式卜病毒特祉码的研究 病毒遏制技术( v i r u s t h r o t t l i n g ) g - 9 】，该技术的原理是利用主机向外发起的新连 接数来检测蠕虫，但是该技术没有考虑到蠕虫传播过程中使用相同端e l 这一特 性。s i n 曲s 等人实现的e a r l y b i r d 系统【1 0 】通过基于内容的方式实现对蠕虫的检测， 该内容就是网络中频繁出现的数据包内容，但是该系统检测的效率比较低。 国内主要有南丌大学的郑辉对蠕虫病毒的实体结构、行为特征、传播模型以 及功能结构和i n t e m e t 仿真理论等方面进行了深入的研究，对网络蠕虫提出了完 整的定义，并且是国内提出基于m a r k o v 过程的传播模型第一人j 。此外，文伟 平等学者对网络蠕虫的检测与防御、传播模型、扫描策略等方疽i 进行了全面的分 析和研究，并提出了抑制基于网状关联分析的网络蠕虫预警新方法【l 引，建立了网 络蠕虫的预警模型。 1 3 本文的主要工作和结构安排 本文首先对蠕虫病毒特征码的检测和主动防御相关技术进行了深入的研究， 提出了基于主动防御模式下病毒特征码的检测的实现方案；其次对病毒特征码检 测机制和蜜罐系统的技术进行了详细的分析，并针对当前基于b m 算法的蠕虫检 测算法存在的不足提出了改进方案；然后通过v i r u a lc + + 6 0 和压力测试软件对改 进算法和原算法的执行效率进行了测试，结果证实了改进算法确实能够解决超大 量模式集的匹配延迟问题。最后对整个主动防御系统进行了部分功能的测试，从 整体测试数据上表明该系统实现了我们预期的目的，同时又对该系统的不足提出 了改进意见。 本文的结构安排如下： 第一章：绪论，介绍了基于主动防御模式下病毒特征码研究的背景、意义和 国内外研究现状，阐明了文章的研究内容和结构。 第二章：蜜罐系统技术原理，对蜜罐系统和蜜网系统的关键技术，分类以及 实现形式进行了详细的说明。 第三章：b m 算法与w u m a n b e r 快速字符串匹配算法的研究，详细介绍了 b m 算法与、u m a n b e r 快速字符串匹配算法的思想和原理，通过比较二者的实际 运行效率，证明了在实际网络环境应用中w u m a n b e r 快速字符串匹配算法的优越 性。 第四章：蠕虫病毒及防御技术研究，通过蠕虫病毒的结构模型和攻击过程的 描述，指出当前蠕虫病毒防御技术上存在的不足，引出了在主动防御模式下防御 蠕虫病毒研究的必要性。 第五章：病毒主动防御系统关键技术和部分实现，利用a r p 地址欺骗的原理 4 青岛科技人学研究生学位论文 和丌源的蜜罐系统设计了一个主动防御系统，利用w i n p c a p 包库的功能实现了数 据的捕获和生成同志的功能。 第六章：特征码优化算法实验验证及系统测试。该章分成两个部分，第一部 分是在搭建好的主动防御系统中，通过实验验证w u m a n b e r 算法的f 确性，并通 过w u m a n b e r 算法优化当前的病毒特征码提取算法，并对该算法进行了系统测 试，对测试结果进行了分析，同时提供了程序实现的关键代码；第二部分是对整 个主动防御系统a r p 地址欺骗和同志生成功能的测试。 最后对整篇论文的工作进行了总结，发现不足，提出了下一步的工作计划。 基丁主动防御模式卜病毒特征码的研究 、第二章蜜罐系统和蜜网系统技术原理 2 1 蜜罐的概念及分类 2 1 1 蜜罐的概念 对于蜜罐的定义，一直以来都没有一个准确而统一的定义。不同的人对蜜罐 有不同的定义。本文采用了美国p r o j e e th o n e y n e t 研究组成员之一的l a n c es p i t z n e r 给出的关于蜜罐的定义为：蜜罐是一个信息系统的资源，它的价值在于未授权或 非法使用该资源【1 3 】。这是一个总体的定义，包含了所有不同的蜜罐表现形式。 蜜罐是一种伪装成真实的目标系统束诱骗攻击者去攻击或损害网络安全的 工具。蜜罐的主要目标为容忍攻击者入侵，记录并且学习攻击者的攻击工具、手 段、动机及目的等行为信息，尤其是未知攻击行为的信息，从而调整网络安全的 策略，提高系统的安全性能。同时蜜罐还具有转移攻击者的注意力，消耗其攻击 资源、意志以及间接保护真实目标系统的作用。 蜜罐系统根据其应用的目的可以分为两类：分别是业务型蜜罐系统和研究型 蜜罐系统。前者用来提高一些商业组彩 的安全性能；而后者主要是用来尽可能多 的收集攻击情报信息。 2 1 2 蜜罐的分类 从蜜罐系统用途的角度上可以分为业务型蜜罐和研究型蜜罐两类。 ( 1 ) 业务型蜜罐 业务型蜜罐的目的是为了减轻受保护组织将受到的攻击威胁，所做的工作是 检测并对付恶意攻击者【l4 1 。它所代表的足这样的一种系统：它有助于减轻组织或 环境中存在的风险，可以对系统及网络的安全保障提供特定价值。在阻止安全的 方面，它能采取欺骗和威慑技术。欺骗就是让攻击者在进攻蜜罐时浪费时问和资 源；而威慑则是为了告诉攻击者，组织中已经部署了一些蜜罐，以此来吓跑它的 攻击者。在检测的方面，因为蜜罐没有任何产品流量，任何发往蜜罐的连接请求 都会被认为是可疑的活动，都会被蜜罐检测到，因此对蜜罐而言，不存在误报和 错报。所以蜜罐可以减小正常数据对入侵数据的“污染”，提供可以进行离线分 析的冗余系统。 ( 2 ) 研究性蜜罐 6 青岛科技人学研究，i = 学位论文 研究性蜜罐的主要价值在于可以为我们提供一个学习攻击信息的平台。安全 专家们所面临的主要难题是缺乏对敌人的了解。诸如：谁是攻击者，他们为什么 要攻击，怎样攻击，使用什么样的工具进行攻击，何时可能发起攻击等，这些方 面都是网络专家们迫切需要了解的知识。研究用途的蜜罐系统足用于观察、记录、 学习攻击者和其攻击行为的最好的工具，同时它还能学习到攻击者在攻陷一个系 统后，如何与其它的黑客通信或者上载新的工具包等更高价值的信息【1 5 】。因此研 究型蜜罐优于业务型蜜罐，是捕捉蠕虫等自动攻击的优秀工具。它虽不能直接保 护系统，但它却能间接的保护系统安全。 此外，按照实现时允许操作系统与黑客交互的复杂程度，蜜罐系统可以划分 为：低交互型蜜罐系统、中交互型蜜罐系统和高交互型蜜罐系统。 ( 1 ) 低交互型蜜罐 典璎的低交吒型蜜罐仅仅提供一些简单的虚拟服务，比如监听某些特定的端 口。该类蜜罐系统结构如图2 1 所示。 铲 攻击者 图2 1 低交互型蜜罐系统结构 f i g 2 - il o w i n t e r a c t i o nh o n e y p o ts y s t e ms t r u c t u r e 此类蜜罐没有向黑客提供可以进行远程登录的真实操作系统，所以使用蜜罐 系统的风险最低，但是蜜罐所扮演的角色却是非常被动的，就好像一个单向连接， 只有信息从外界流向本机，而没有相回应信息发出，因此无法捕捉到复杂协议下 的通讯过程【1 6 】。 ( 2 ) 中交互型蜜罐 中交互型蜜罐系统，仍没有提供真实的操作系统与黑客之j 、日j 进行交互，但却 为攻击者提供了更多复杂的诱骗进程，模拟出了更多更复杂的特定服务。该类型 的蜜罐结构如图2 2 所示。 7 基丁上动防御模式+ 卜病毒特征码的研究 虻 攻击者 图2 2 中交互型虿罐系统结构 f i g 2 - 2m i d d l e i n t e r a c t i o nh o n e y p o ts y s t e ms t r u c t u r e 随着复杂服务的增加，加大了攻击者发现系统安全漏洞的可能，同时也增加 了使用蜜罐技术的风险。但是中交互型蜜罐一般提供了完善的同志系统来时时刻 刻监控着黑客行动，可以缓解黑客攻破蜜罐的威胁【 】。中交互型蜜罐系统为攻击 者提供了一个更好更真实系统的幻影，蜜罐学习攻击能力明显增强。 实现中交互型蜜罐系统需要花费更多的时问和精力，设计者需深刻的理解各 种网络协议和服务的具体实现过程，这样彳能确保虚拟进程的真实性。蜜罐系统 不应该像真实系统那样具有雉以控制的安全漏洞，而必须采用专门的安全措施来 控制并且利用这些安全漏洞，这也是为什么使用诱骗进程而非真实进程的原因。 ( 3 ) 高交互型蜜罐 高交互型蜜罐，它面对攻击者的是一个真实的支撑操作系统。蜜罐的系统结 构如图2 3 所示。 图2 - 3 高交互型蜜罐系统结构 f i g 2 - 3h i g h i n t e r a c t i o nh o n e y p o ts y s t e ms t r u c t u r e 青岛科技人学研究生学何论文 此类蜜罐的复杂度和甜度大大增加，收集攻击者信息的能力也随着大大强。 但与此同时蜜罐也具有高度的危险，攻击者最终的目标就是取得r o o t 权限，自由 获取目标机上的数据，然后利用已有的资源继续攻i 鸯其它的机器l l 引。所以，高交 互型蜜罐系统部署的代价最高，并需要系统管理员进行连续监控，不可控制的蜜 罐对任何组织来说都没有任何安全意义，甚至它可以成为网络中最大的安全隐 患。因此，必须严格控制蜜罐对本地局域网的访问。但是高代价就意味着高受益， 有关黑客社团的各种鲜为人知的复杂攻击行为就可以被同志系统收集记录下来， 例如上传并且安装新文件等操作，这些也正是高交互蜜罐的主要目标之一。 2 2 蜜罐技术的实现形式 2 2 1 单机蜜罐系统 单机蜜罐系统是由一台主机来实现，这擎的“单机”指的是逻辑上的一台计 算机，也就是仅运行一个操作系统。单机蜜罐系统通常是低交互或者中交互级别 的蜜罐系统，因为它们提供给入侵者的交卫：程度是有限的，相应地捕获的数据量 也足比较少的，所以它们通常用于对未授权活动来进行检测和预警，同时也可以 用来对正常主机提供一定的保护。 目前，国外已经出现的单机蜜罐系统包括：可提供技术支持的商业化蜜罐和 丌放源代码的蜜罐。下面对其中有代表性的蜜罐进行简要的介绍【l9 1 。 ( 1 ) b a c k o f f i c e rf r i e n d l y b a c k o 伍e e l f r i e n d l y 通常被称作b o f ，它是一个简单免费的蜜罐解决方案， 其丌发者是m a r e u s r a n u m 和n e w t o r k f l i g h t r e e o r d e r 公司的员工。b o f 是一种低 交互的蜜罐，可以运行在几乎所有的w i n d o w s 操作系统中。其安装和配置都非常 简单，并且所需的维护也比较少。但是，这种简捷性也是有代价的：它的功能非 常有限，只提供了进行端口侦听的很小的服务集合以及非常有限的模拟功能。 ( 2 ) s p e c t e r s p e c t e r 是一种有商业支持的蜜罐，它是由n e t s e c 公司丌发和销售的。与b o f 类似，s p e c t e r 也是一种低交互型的蜜罐。但是，与b o f 相比，s p e c t e r 所具备的 功能更加骰大。s p e c t e r 不但可以模拟更多的服务，而且还可以模拟不同的操作系 统和漏洞。同时它还具有大量的预警和h 志功能。因为s p e c t e r 只模拟了有限交 互的服务，因此非常容易部署，维护起来也很方便，并且风险也比较低。但是， 与中等和高交互型的蜜罐相比，它受到所能收集到的信息量的限制。 9 粉- ， 基丁土动防御模式卜病毒特征码的研究 ( 3 ) d t k d t k ( d e e p t i o nt o o l k i t ) 是在1 9 9 7 年问世的首个开放源码的蜜罐系统，它是 用p e r l 和c 语言编写的。d t k 的目的在于使运行d t k 的系统在攻击者看来似乎 存在许多已知的漏洞，d t k 监听输入并且做出好像真的存在某些漏洞的反应1 2 。 在这个过程中它记录了所有动作，提供相对应的应答，让攻击者产生出了系统不 安全的错觉。d t k 的主要目的就是引诱攻击者。 ( 4 ) h o n e y d h n o y e d 是一种丌发源码的低交互型蜜罐【2 。它的主要目的就在于对可疑的 活动进行检测、捕获并且报警。h o n e y d 是由n i e l s p r o v o s 在2 0 0 2 年4 月丌发的， 它为蜜罐引入了几个新的概念。首先，它并不是对单个的i p 地址进行活动监视， 而是对具有成百上千个系统的网络进行监视。当它检测到对不存在的系统探测 时，便会动念地承担起此系统的角色，然后跟攻击者进行交互，这就使得蜜罐检 测和捕获攻击的能力指数级地增加。它能够在应用程序层和证堆栈层上，模拟数 百个操作系统。作为一种丌放源码的解决方法，h o n e y d 是一项免费的技术，我们 可以完全访问到它的源代码，并且制定自己的解决方案或使用由安全界其他成员 所丌发的。些方案。h n o y e d 是为协议平台而设计的，其安装和配置都相对比较简 单，主要依靠一种命令行形式的接口。 2 2 2 蜜网系统 针对单机蜜罐的缺不足之处，于是出现了对蜜网技术的进一步改进。它的基 本体系结构如图2 4 所示。 图2 _ 4 蜜网体系结构 f i g 2 - 4h o n e y n e ta r c h i t e c t u r e 相对于单机蜜罐而言，改进的蜜网技术在外网和蜜网之间增加了一个蜜网防 l o 青岛科技人学研究生学 节论文 火墙或网桥设备，于是进出蜜网的所有连接，都必须经过蜜网防火墙，因此能够 很方便的在该防火墙上设定相应的规则，对进出蜜网的连接实行控制，对网络上 所有的流量实行捕获。 蜜网防火墙就是一道隔离墙，攻击者假如控制了蜜网中的某台陷阱主机，并 试图利用该主机对外网发起连接时( d d o s 攻击的惯用手法) 【2 引，则可以通过蜜网 防火墙上设定的外出连接限制功能来阻断该连接，攻击者就不能利用蜜网来危害 其他非蜜网主机；若发现内部蜜网被攻击者攻击，如果希望阻断攻击者，也可以 在防火墙上较为容易的实现这一点。同时，在该结构中，蜜罐主机捕获的数据也 不必存储于本地，可以通过内部网存放到一台单独的且安全的主机上，这样数据 捕获的安全性便有了更大的保证。 蜜网防火墙若采用第三层网络设备，具有i p 地址的话，攻击者就容易通过数 据包头t t l 的减小来发现蜜网防火墙的存在，同时它还能够对蜜网防火墙进行攻 击和破坏。所以现在大多采用第一层网桥设备作为蜜网防火墙，这是因为网桥没 有i p 地址，数据包经过时t t l 不再减少，被攻击者发现的可能性也很小；同时囊 由于不存在i p 地址，攻击者几乎无法对它进行攻击和破坏。所以现在的蜜网防火 墙多设置在第二层网桥设备上。 2 2 3 虚拟蜜网体系结构 要组建传统的蜜网的话，就需要有足够多的计算机来充当蜜罐主机和防火 墙，并且还要专人对这些设备来进行配置，以便达到数据控制和数据捕获的目的， 但是这对于部分单位或者个人来说，成本实在太高。于是最近便出现了利用虚拟 系统软件来构建虚拟蜜网的技术。虚拟蜜网在一台物理机器上运行，通过虚拟的 操作系统软件，在此系统上虚拟多个操作系统，从外部看，像是有多个系统单独 独立的运行一样。虚拟蜜网的体系结构如图2 5 所示。 基丁主动防御模式- 卜病毒特征码的研究 彭一二机w 图2 5 虚拟蜜网的体系结构 f i g 2 - 5v i r t u a lh o n e y n e ta r c h i t e c t u r e 虚拟蜜阏系统的主要优点是成本低廉，易于布设和管理。当然它的缺点也是 明显的，首先是存在单点失效的问题，因为整个蜜网都依赖单个主机的硬件，万 一某个共享的硬件出了问题的话，整个蜜网也就失去了作用；如果要虚拟多个操 作系统，对真实主机的性能要求也比较高，同时其网络带宽的要求也比较高；所 以安全性不是很高，如果攻击者获取了某个虚拟主机的控制权，就会影响被其他 虚拟系统共享的资源；只能安装特定的几种系统，由于系统硬件的限制，不能随 意御设蜜罐主机的操作系统，必须同时考虑硬件和软件的兼容性。 2 3 蜜网的关键技术 1 漏洞的提供 为了使入侵者相信其已经发现具有安全弱点的系统，陷阱系统必须要提供一 些安全漏洞f 2 引。但这些漏洞的提供必须要精心的策划和设计。在应用型的陷阱中 则需要这螳漏涮来共同分担系统的安全风险，通过误导入侵者，并且攻击这些蓄 意提供的安全漏洞，来为生产性的系统获得反应的时间。在一些研究性质的陷阱 系统中，则需要利用这些漏洞来对入侵者是如何利用这些漏洞来侵入系统进行分 析。 在陷阱系统中，若丌放己知的安全漏洞，则可能会引起一般的己知类型的攻 击。如果丌放的漏洞过于简单，则入侵者就会很简单的采用已有的脚本或没有什 么实际研究意义手段来攻击，入侵者还会在很短的时间内成功进入系统，那就使 陷阱系统起不到任何延缓攻击的作用。因为攻击类型太过简单，就可能会使攻击 者不屑于去入侵系统。若堵上已知漏洞，则可能会发现新型的或者意料之外的一 1 2 青岛科技人学研究生学位论文 些攻击方式，这就是陷阱系统最有价值的作用，它能够侦测到未知方式的入侵行 为，同时进行跟踪、分析、并且做出相对应的反应。但因为许多人不知道陷阱系 统所提供的安全漏洞，所以有时入侵者便没有发现明显的安全漏洞，这样就有可 能减小入侵者的入侵欲望。因此陷阱设计者就需要精心设计所丌放的漏洞类型， 以便起到引诱作用同时又不会导致不可控制的后果，并且还要有利于管理员进行 精确的管理和监视。 最重要的方面是，对于所有的入侵行为都要有记录。并且对于任何成功的入 侵都要保