基于蜜罐技术的蠕虫特征自动提取技术的研究（可编辑） 38页

基于蜜罐技术的蠕虫特征自动提取技术的研究华中科技大学硕士学位论文基于蜜罐技术的蠕虫特征自动提取技术的研究姓名:李文瑾申请学位级别:硕士专业:计算机系统结构指导教师:李之棠20070605华中科技大学硕士学位论文摘要网络蠕虫以其多样性的传播方式、快速的繁殖能力和破坏能力不断造成损失。当前运用昀为广泛的网络蠕虫检测系统多采用误用入侵检测技术,其检测能力在很大程度上取决于攻击特征的数量和质量,而依靠专家事后提取特征的方式已远远不能应付层出不穷的新蠕虫攻击,因此,对蠕虫特征自动提取技术的研究具有非常重要的意义。蜜罐技术的目的在于诱使攻击,其捕获恶意数据针对性强、数据量小,能较迅 速的排除正常流量的干扰收集攻击信息。为进一步区分出蜜罐系统中的蠕虫攻击信息,将贝叶斯方法结合到蠕虫检测技术中,通过将蜜罐系统捕获的数据按访问总次数、昀大访问频度、访问范围、端口风险度和平均负载长度5个观测参数综合评分判断是否属于可疑蠕虫流量。将蠕虫攻击手段分为网络扫描、快速扫描,缓冲区溢出以及后门,分别模拟这4类攻击方式统计得出4类异常观测参数的概率值作为网络蠕虫检测指标。通过这种结合蜜罐技术与贝叶斯方法的蠕虫技术,减少了噪音数据对系统的干扰,使提取的特征片段更加精确。目前可用的特征提取算法非常有限,生物信息学中的Needleman-Wunsch算法则是利用动态规划的思想寻求两条序列间的全局昀小距离昀相似子序列。通过引入激励函数改进Needleman-Wunsch算法能克服原算法易产生碎片的缺点,使之很好的适用蠕虫病毒的特征提取要求。结合多层序列联配算法能较快的舍弃干扰序列,保证整个特征提取算法的收敛速度;通过引入通配符尽可能的保留蠕虫病毒的特征,增强特征码的灵敏性。 利用网络蠕虫检测技术与特征提取技术的研究成果,设计和开发了网络蠕虫特征提取系统。分别模拟蠕虫攻击和样本数据两种方法对系统进行了测试,验证了本系统的实际能力。关键词:网络蠕虫,蜜罐技术,特征自动提取,贝叶斯方法,改进Needleman-Wunsch算法,多层序列联配算法I华中科技大学硕士学位论文AbstractInternetwormsbringgreatdamagecontinuouslywiththequickandvariouspropagationmodesandthewidecoverage.ThepopularInternetworms"intrusiondetectionsystemsbaseonmisusedetectiontechnology,whosedetectioncapabilitydependsonthenumberandqualityofattacksignatures.Whilethetraditionalwayofextractingworm"ssignaturesmanuallyisfarbeyonddefendingnewworms,therefore,itisveryvaluabletoresearchthetechnologyofautomaticallyextractingsignaturesAhoneypotisacloselymonitorednetworkdecoywithseveralspecialcharacters: thetrafficobservedatahoneypotismuchlessthanagateway,mostofitismalicious,andthenegligibleamountofnormaltrafficcanbeseparatedeasilyfromthemalicioustraffic.FurthermoretheBayesmethodtodistinguishtheworms"trafficinhoneypotsispresented.Inthismethod,alltrafficthatisseenonahoneypotiscalculatedby5observingparameters:visitedtimes、visitedfrequency、visitedrange、portriskandaveragepayload.Byclassifyingattackingtheresortofworminto4types:networkscan,flashscan,bufferoverflowandbackdoor,thismethodfirstconcludesthese4types"statisticalformsofparameters.Theneveryconnection’sBayesscoreiscalculated,whatofworm"strafficshouldexceedthreshold,bycomparewiththeseformats.Throughcombiningofthese2technologies,interferencefromnoisetosystemisdecreasedtobringmoreprecisiontotheextractedcharacteristicsegmentTheavailableextractingalgorithmislimited,hence,sequentialanalysis frombioinformaticsNeedleman-Wunschalgorithmisproposed.Needleman-Wunschalgorithm,basedondynamicprogrammingalgorithms,searchthecloselyrelatedsequencebetween2sequentialobjectsorchainsofelements.Thedefectthatthealgorithmispronetoproducesegmentisovercamebyaddingexcitationfunctionwhichmaintainslongcharacteristicsegmentsoastosatisfytherequestofwormcharacteristicextraction.Whileutilizingdisturbedsequenceabandonmentofmulti-sequencealignmenttoguaranteetheconvergencespeed,wildcardisalsointroducedtomaintainthecharacteristicofnetworkwormtokeepafavorableappliedcostII华中科技大学硕士学位论文Byapplicationofwormdetectivetechnologyandcharacteristicextraction,arealtimecharacteristicextractingsystemisdesignedanddeveloped.Totestthepracticalcapacity,threeknownloopholesareusedtosimulatewormattackand sampledataareemployedtocarrysampletest.MeanwhiletheexistingproblemisanalyzedandfurtherresearchisprospectedKeywords:Internetworms,Honeypot,Signaturesautomaticallyextraction,Bayesmethod,ImprovedNeedleman-Wunschalgorithm,Multilayeri-sequencealignmentalgorithmIII独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除文中已经标明引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体,均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。学位论文作者签名:日期:年月日学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定,即:学校有权保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。保密□,在____________年解密后适用本授权书。 本论文属于不保密□。(请在以上方框内打“√”)学位论文作者签名:指导教师签名:日期:年月日日期:年月华中科技大学硕士学位论文1绪论1.1课题的背景和意义随着计算机技术的发展和互联网的扩大,互联网络己经成为了昀大的人造信息系统,并随着传感器、嵌入式设备以及消费电子设施等的接入,互联网络已经逐步渗透到了的电信、金融、科教、交通等各领域,成为人们赖以依存的交流方式之一。Internet的应用涉及到人们工作生活中的每一个细节当中,彻底改变了人们的生产、生活方式。而近年来电子商务和电子政务等网络的出现,突破了传统领域的网络应用形式,网络在国民经济生活中的基础性、全局性作用日益增强。尽管互联网在很大程度上改善了社会经济生活的方式,但同时也带来了大量的网络安全问题?恶意攻击、垃圾邮件、计算机病毒、不健康资讯等等,导致人们对 网络的不信任也随之增加。具调查表明,2004年中国计算机用户计算机病毒的感染率为87.9,2005年虽然降至80%,其感染率昀高的计算机病毒仍是网络蠕虫病毒和针对浏览器的病毒或者恶意代码,如“震荡波”、“网络天空’、“SQL蠕虫”等。网络安全威胁事件给世界各国也带来了巨大的经济损失。1988年爆发的Morris[1]网络蠕虫爆发损失超过了一千万美元;CodeRed蠕虫利用微软于2001年6月18日公布的一个安全漏洞,造成的损失超过20亿美元,并在随后几个月内产生了具有更大威胁的几个变种,其中CodeRedII造成的损失估计超过了12亿美元。其后[2,3]几乎每年都有大规模的蠕虫攻击爆发,仅2003年,Slammer蠕虫的爆发,在10分钟内感染了75,000存在软件缺陷的主机系统,随后又有多种新型蠕虫病毒爆发事件发生。2005年12月9日MSDTC蠕虫利用了微软MS05-051漏洞进行大规模的 传播和攻击。目前网络蠕虫爆发的频率越来越快,造成的损失也越来越大,以美国[4]为例,其每年因为网络安全造成的经济损失超过170亿美元。为了抵制日益泛滥的病毒,防火墙、入侵检测等病毒防范产品都已非常成熟,但对网络攻击和破坏行为的对抗效果有时并不理想。而近期蠕虫传播手段的改进,留给蠕虫预警的时间也越来越短,因此,构架快速的蠕虫检测平台就有着非常现实而重要的意义,这对于减少蠕虫对网络的破坏,并将其昀小化,有着很大的现实意义。现有保护网络和信息的安全技术,如防火墙、入侵检测系统等,一般是基于规则和特征匹配的方式,只能防范已知攻击。伴随网络技术的进步,黑客攻击手段也不断出新。若对新型攻击识别不足,有可能带来重大损失。1华中科技大学硕士学位论文入侵检测系统和防火墙作为积极安全防护技术,提供对内、外攻击和误操作的实时监控,并拦截和响应入侵。由于它们依据具体特征库进行判断,所以入侵[5] 检测准确度高,并且检测结果有明确参照,为网络系统采取相应措施提供方便。然而,它们对具体系统依赖性太强,检测范围受已知知识的局限,只能根据已知入侵序列和系统缺陷来检测系统中可疑行为,而面对新型攻击,如新型网络蠕虫病毒,就非常需要能即时提供新特征的系统来予以支持。面对老练的攻击者,网络入侵检测系统NIDS能提供的有价值的信息很少如加密的入侵数据包,Honeypot蜜罐技术通过与入侵者进行交互能获得更多有关入侵[6]者的信息。目前,蜜罐技术主要应用于网络欺骗,并使入侵检测由被动追踪转入[7]主动响应。蜜罐系统作为一种网络资源,看上去是一个真实存在的,并且是对黑客极有吸引力的主机;但它的主要目的是用来被攻击和探测;它的资料和数据可能是伪造的,使它看上去更像一台真正提供重要服务的主机;另一方面它对黑客更具[8] 有诱惑力,通过其对黑客的吸引和被攻击,可以让我们获得更多攻击信息。由此可知,进入蜜罐的链接都是可疑的,为获得病毒数据提供了便利。蜜罐可以模拟各种操作系统和已知的漏洞或服务,如FTP服务等,当攻击者与该服务器进行交互[9]时,通过执行后台软件,记录黑客与蜜罐主机的交互数据。然后,使用分析工具解读并分析这些数据,发现攻击者进入系统的方法和动机。如果这种攻击方法是IDS不能发现的,那么这种记录和分析就更有意义了。[10]蜜罐经常用于被动分析入侵信息,也能用于互动角色处理网络病毒。目前,除了多态病毒外,绝大多数网络病毒对计算机系统相同目标的攻击具有相同或类似[11]的通信量,并且网络病毒具有传播性和重用性。本文提出一种基于蜜罐技术的蠕虫病毒特征自动提取模型,利用虚拟蜜罐系统honeyd模拟多台虚拟蜜罐主机与攻 击者进行交互,收集网络病毒的网络数据,获得攻击数据。尤其针对新型网络蠕虫病毒信息,本模型分析网络数据包,通过检测器检测不必要的信息后,用攻击数据聚类方法处理攻击数据流并采用多层序列联配方式自动提取蠕虫病毒特征,产生的特征可用于加强入侵检测系统和防火墙,在网络上拦截、阻止蠕虫病毒的传播。1.2国内外研究现状结合蜜罐系统自动提取蠕虫病毒攻击特征的系统在2003年已有实现,随后受到越来越多的研究机构的关注和认可,并将蜜罐技术作为收集蠕虫病毒以及其他恶意代码的重要工具之一。但是国内相关研究较少,目前还没有非常完善的使用蜜罐2华中科技大学硕士学位论文提取网络蠕虫特征的系统,除少量研究报告外还没有形成成熟的产品,和国外的差距还很大。1.Honeycomb[8]Honeycomb是第一个以自动提取攻击特征为目的的系统。通过在honeyd?一个低交互蜜罐系统技术上进行扩展,Honeycomb实现了对进入蜜罐系统的数据的特 征自动提取。但是,honeycomb并不区分正常流量和异常流量,只是简单的将蜜罐系统的所有流量包括进出流量都作为特征提取算法的输入提取攻击特征。Honeycomb的特征提取机制是基于模式检测技术的,通过将所有进入蜜罐系统的网络流量与之前蜜罐系统上已经收集的流量进行比较并提取匹配特征。因此honeycomb需占用一定的存储空间来保存蜜罐上的连接信息,包括已建立连接的UDP报文负载同一IP地址和对应端口号的报文进行交互和TCP连接中的昀长负载内容。在提取算法上,Honeycomb采用了昀长公共子序列法LCS,将建立连接的一对数据进行比较提取昀长公共子序列。具体分为2种提取方式:纵向比较2个连接中的几个负载内容提取昀长公共子序列;横向将次2个连接中的主要数据包负载内容进行比较提取昀长公共子序列。总的来说,Honeycomb的提出对特征自动提取技术的研究有着重要的意义,但是由于未进一步区分蜜罐系统的数据和LCS算法的固有缺陷容易造成特征噪音多,特征片段多而零散以及缺乏相互关联性。 2.Nemean[12]Nemean系统是随后提出的根据蜜罐中数据包的行为特征自动提取攻击特征的系统。Nemean的作者提出蜜罐机上所能观察到的数据绝大多数都是恶意代码,而少数未分类的不明数据也能很容易的从恶意数据流量中剔除。遗憾的是,Nemean并没有具体描述这种分类方法。Nemean系统包括两个组件:数据抽象组件和特征生成组件。数据包首先进入数据抽象组件进行抽象化,如片段内容、非法数据包等,然后将它们转换为Nemean定义的一组数据特征。第二步是将这些数据整合为一次连接和进程两主机间的多次连接信息。预处理的昀后一步是将这些连接和进程数据规范化为已聚类的进程。由抽象组件输出的是一个半结构特征的进程树,用来作为特征提取组件的输入。特征提取组件将一组进程和连接中相似的攻击属性提取处理,通过星型聚类算法将之聚类并由此归纳出各类攻击行为特征。Nemean系统据称在基于HTTP的攻击探测中正确率达99.9%,而Snort仅能检 测出其中的99.7%。然而,系统的不足之处在于作者未具体说明在抽象数据集合中3华中科技大学硕士学位论文攻击数据的处理形式;同时,作者提出的零误报率也存在一定的质疑。3.PADS[13]PADSPosition-awaredistributionsignatures系统所采用的方式非常特别,使用了双蜜罐系统作为收集网络恶意行为的平台。双蜜罐系统的构成包括高相互式蜜罐和低交互式蜜罐,通过将高交互式的蜜罐中收到的所有连接重定位到低交互式的蜜罐中进行进一步处理,PADS能很好的获取攻击信息并提取出攻击特征。选用这种双蜜罐系统的理由是:一个被感染的高交互式蜜罐机很容易感染其它系统,但是高交互式的蜜罐主机在吸引恶意攻击时比低交互蜜罐机更有吸引力;而低交互式蜜罐不易对外部网络造成影响的同时可以很容易的分析处理接收的恶意攻击。总的来说,PADS系统的实验表明系统所提取的特征片段能很明确的辨识出未知蠕虫并保证极低的误报率,其效果明显优于昀长公共子序列法LCS。4.HoneyStat[10]HoneyStat的特点在于系统的检测方式结合了主机层攻击检测和网络层攻击 检测两种方法,针对局域网的攻击检测。HoneyStat检测三种事件:内存事件,网络事件和硬盘事件。内存事件由运行在蜜罐上的缓冲区溢出检测软件发现;当蜜罐机想外发送数据时,触发网络事件;如果一个进程向文件系统的特殊部分写数据,触发硬盘事件。HoneyStat并不从事件中生成特征码,而是当事件发生时,记录以下信息:操作系统/补丁的版本;事件的种类及相关捕获的数据;所有优先的网络活动的日志文件。收集到的信息都发往中央分析节点,该节点收到所有事件信息后,执行逻辑回归分析logisticregression。通过结合了主机层的检测信息,在对蠕虫攻击行为的定位上有明显优势,但是系统不易结合其他防御系统进行联动防御。1.3论文的主要研究工作本文主要研究了通过蜜罐技术收集蠕虫病毒并自动特征提取的方法。列举了国内外网络蠕虫带来的巨大损失,分析了传统安全体系的缺陷。回顾了病毒、网络蠕虫的出现和发展,并对网络蠕虫的定义进行了阐述,介绍了国内外基 于蜜罐技术蠕虫特征自动提取技术的研究现状;研究和分析了网络蠕虫工作机制,在此基础上归纳出五个检测属性,并提出了结合蜜罐技术与贝叶斯方法的网络蠕虫检测技术,通过实验进行了验证;4华中科技大学硕士学位论文通过对网络蠕虫特征提取技术与生物信息工程特征匹配技术的类比研究,提出了生物学中的序列分析法Needleman-Wunsch算法的改进算法,通过加入保留较长特征片段的激励函数克服了算法易产生碎片的缺点,使之很好的适用与蠕虫病毒的特征提取。通过多层序列联配算法中的舍弃干扰序列方式保证特征提取算法的收敛速度的同时引入通配符,尽可能的保留蠕虫病毒的特征。在上述研究的基础上完成了网络蠕虫特征提取检测系统NWSGS设计和开发。网络蠕虫检测系统NWSGS包括了三个组成部分:1蠕虫数据收集平台,通过布置honeyd在局域网中收集可疑数据;2检测器,采用贝叶斯方法,通过预先统计4类攻击数据作为检测标准,从蜜罐收集的数据中进一步检测可疑蠕虫流量;3通过结合改进Needleman-Wunsch 算法和多层序列联配算法提取蠕虫病毒的特征。使用蠕虫攻击测试和样本数据2中方案对系统进行了测试。1.4论文的组织本文的组织结构如下:第一章:绪论。阐述了本文的研究背景和意义、国内外研究现状、所做的主要工作和内容组织。第二章:网络蠕虫与蜜罐技术介绍。介绍了网络蠕虫的定义、特征以及危害性;引入蜜罐技术并阐述了通过蜜罐技术收集蠕虫病毒的技术优势。第三章:结合蜜罐技术与贝叶斯方法的网络蠕虫检测技术的分析研究。介绍了蠕虫传播过程中蜜罐技术获取攻击信息的方法,并深入分析了现有蠕虫病毒检测技术。根据本课题实际需求提出了结合蜜罐技术与贝叶斯方法收集网络中的可疑数据并从中进一步确定蠕虫病毒数据。第四章:网络蠕虫特征提取技术的研究。提出了改进Needleman-Wunsch算法和多层序列联配算法,基于蜜罐收集的数据进行特征提取。第五章:依照上述算法设计实现了基于蜜罐技术的网络蠕虫特征提取系统。第六章:对所设计的系统进行验证分析。分别用已知蠕虫样本模拟攻击和实际 网络样本数据对网络蠕虫特征提取系统NWSGS进行了测试、验证。第七章:总结与展望。对本论文的研究工作做了总结,并提出了下一步的研究工作重点。5华中科技大学硕士学位论文2基于蜜罐技术防御网络蠕虫概述2.1网络蠕虫概述2.1.1蠕虫的定义蠕虫是利用操作系统或者某些软件实现上的漏洞,进行自动复制传播的一种可执行程序。蠕虫个体的活动行为特征包括:主动攻击,行踪隐蔽,造成网络拥塞,降低系统性能,产生安全隐患,当网络中多台计算机被蠕虫感染后将形成具有独特行为特征的蠕虫网络。蠕虫这个生物学名词在1982年由XeroxPARC的JohnF.Shoch等人昀早引入计算机领域。并给出了计算机蠕虫的两个昀基本特征:“可以从一台计算机移动到另一台计算机”和“可以自我复制”。他们编写蠕虫的目的是做分布式计算的模型试验,在他们的文章中,蠕虫的破坏性和不易控制己经初露端倪。1988年Morris蠕虫爆发后,EugeneH.Spaffordt 为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义,“计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到[14]另外的计算机上。”在第三界信息与通信安全会议中则为了区别蠕虫和病毒,有了这样的提法:Internet蠕虫是无须计算机使用者干预即可运行,通过不停的获得网[15]络中存在漏洞的计算机上的部分或全部控制权来进行传播的独立程序。”2.1.2蠕虫和病毒的区别蠕虫和计算机病毒有着很大差别,计算机病毒主要攻击的是文件系统,在其传染的过程中,计算机使用者是传染的触发者,是传染的关键环节,使用者的计算机知识水平的高低常常决定了病毒所能造成的破坏程度。而蠕虫主要利用计算机系统漏洞进行传染,搜索到网络中存在漏洞的计算机后主动进行攻击,在传染过程中,与计算机操作者是否进行操作无关,从而与使用者的计算机知识水平无关。另外,蠕虫的定义中强调了自身副本的完整性和独立性,这也是区分蠕虫和病 毒的重要因素。可以通过简单的观察攻击程序是否存在载体来区分蠕虫与病毒;目前很多破坏性很强的病毒利用了部分网络功能,例如以信件作为病毒的载体,或感6华中科技大学硕士学位论文染Windows系统的共享文件。通过分析可以知道,Windows系统的共享文件本质上是本地文件系统的一种扩展,对共享文件的攻击不能等同与对计算机系统的攻击。而利用信件作为宿主的病毒同样不具备独立运行的能力。不能简单的把利用了部分网络功能的病毒统统称为蠕虫或蠕虫病毒,因为它们不具备上面提到的蠕虫的基本[16]特征。表2.1清楚的显示了病毒和蠕虫的区别。表2.1病毒与蠕虫的区别区别病毒蠕虫存在形式上寄生在其他文件中独立存在的个体传染机制宿主程序的运行系统自身的漏洞攻击的目标本地文件网络上主机节点触发方式人为自发影响本地文件系统网络性能 防治方式从宿主文件中删除给系统打补丁2.1.3蠕虫的行为特征通过对蠕虫的整个工作流程进行分析归纳,所总结的蠕虫行为特征如下:1主动攻击性:蠕虫程序在网上传播后就演变成一个可以自行攻击的自动化的黑客程序,从搜索攻击目标、复制自身副本、在目标主机运行。整个过程都是自动完成的。2行为隐蔽性:由于蠕虫程序攻击过程都是自动完成的,往往不易察觉。3利用系统漏洞传播:蠕虫本身属于黑客程序,传播过程中要获得目标主机的权限,才能完成复制、自动运行等行为,因此蠕虫的传播的前提就是目标主机有可以利用的漏洞。4带来网络拥塞:蠕虫传播首先是要找到网络上具有漏洞的计算机系统,这需要通过大面积的搜索来完成,搜索动作包括:判断其它计算机是否存在,判断特定应用服务是否存在,判断漏洞是否存在等等,这不可避免的会产生附加的网络数据流量。同时蠕虫副本在不同机器之间传递,或者向随机目标的发出的攻击数据都不可避免的会产生大量的网络数据流量。即使是不包含破坏系统正常工作的恶意代 码的蠕虫,也会因为它产生了巨量的网络流量,导致整个网络瘫痪,造成经济损失。5破坏性:从蠕虫的历史发展过程可以看到,越来越多的蠕虫开始包含恶意代码,破坏被攻击的计算机系统,而且造成的经济损失数目越来越大。7华中科技大学硕士学位论文6传出数据的相似性:网络蠕虫在传播的各个阶段,感染节点传出的数据具有相似性。数据包都包含了相应的请求、攻击代码或蠕虫的主体程序,内容相对稳定,因此其传输数据的大小基本不变。7大量的无效IP地址和无效服务请求:网络蠕虫为了在网络中迅速传播和扩散,攻击目标的选择具有盲目性。信息的收集和探测都会导致大量无效IP地址的产生。8节点间的传播行为具有相似性:网络蠕虫感染一个节点主机后,这个节点成为新的蠕虫载体,并开始扫描、探测、攻击新的目标节点,这个传播行为和昀初[17]发生的传播行为具有相似性。2.1.4网络蠕虫的危害性1988年11月2日Morris蠕虫发作,几天之内6000台以上的Internet服务器受到感染而瘫痪,损失超过一千万美元;2001年7月19日RedCode蠕虫爆发,在爆 发后9小时内攻击了25万台计算机,造成的损失估计超过20亿美元;在随后的几个月内,产生了威力更强的几个变种,其中RedCodeII造成的损失估计超过12亿美元;2001年9月18日,Nimda蠕虫被发现,对Nimda造成的损失评价数据从5亿美元攀升到26亿美元之后,继续攀升,其实际损失难以估计;昀近几年,冲击波蠕虫及变种的危害更是有过之而无不及,它能够对微软的系统更新网站实施拒绝服务攻击,导致该网站堵塞,大量用户无法及时获取系统漏洞补丁,加剧了冲击波[18]的危害2.2蜜罐技术概要引入蜜罐技术来自动提取蠕虫特征从而抵御蠕虫是因为蜜罐技术拥有其独特的价值。蜜罐系统存在的意义就在于被检测和被攻击,因此攻击者的行为能够被发现、分析和研究。它的概念很简单:蜜罐没有任何产品性目的,没有授权任何人对它访问,所以任何针对蜜罐的访问都有可能是探测、扫描甚至是攻击。 另一方面,蜜罐除了提供有价值的信息外,还有一些附加的价值,表现在:1蜜罐的存在分散了攻击者对工作网络productionnetwork的注意力,影响了攻击者对攻击目标的选择。而且由于蜜罐的脆弱性它被发现的几率更大,当攻击者8华中科技大学硕士学位论文选择蜜罐作为攻击目标时,耗费了时间和精力,延迟了攻击者实施有效攻击的时间,同时蜜罐记录攻击者的行为,为我们分析了解甚至是反击攻击者提供宝贵的资料。2由于网络用户的正常活动一般访问不到蜜罐,针对蜜罐的任何访问都被认为是可疑的,攻击者在蜜罐上的活动从一开始就会被注意到。就是说蜜罐可以使攻击者的活动较早地暴露出来。3不但能够很好地抵御已知的攻击而且还能防御新的未知的攻击。当新型蠕虫病毒攻击目标网络时,通过分布合理的蜜罐系统以及服务器检测后重定向的技术能在初期获得攻击者的攻击信息从而防止进一步带来的损失。2.2.1蜜罐技术的定义LanceSpitzner给出的定义:蜜罐是一种安全资源,其价值在于被探测、攻击或者摧毁的时候。蜜罐是一种预先配置好的系统,系统内含有各种伪造而且有价值 的文件和信息,用于引诱黑客对系统进行攻击和入侵。蜜罐系统可以记录黑客进入系统的一切信息;同时还具有混淆黑客攻击目标的功能,可以用来保护服务主机的[19]正常运行。蜜罐系统所收集的信息可以作为跟踪、研究黑客现有技术的重要资料;可以用来查找并确定黑客的来源,作为起诉入侵者的证据;可以作为攻防技术培训的实战教材,提高安全人员处理黑客攻击的技能;还可以用来分析黑客攻击的目标,对可能被攻击的系统提前做好防护工作。在攻击者看来是一个很有吸引力的蜜罐系统,由于它一般不含真实而有价值的数据,因而不会对重要数据和系统构成威胁。蜜罐系统的构造思想是基于网络的开放性和资源的可监视性。一个处于正常工作状态的系统在网络上都有可能被黑客攻击,而且越是带有某种特定资源的系统越容易遭到攻击。对系统或网络进行特殊设计和一定的布置,就可能将入侵者成功地 引入受控环境中,降低正常系统被攻击的危险,同时获得研究黑客相关技术的重要资料。资源的可监视性是指包括网络和主机系统在内的各种资源都处于控制之下,从而可以监视和控制所有对这些资源的访问。蜜罐系统的核心是对网络和系统活动的监视能力,以及监视机制的隐藏性。只有强大的监视能力,才能使黑客的攻击行为无所遁形;而监视机制的隐藏性则保证了黑客在攻击的实施过程中不会发觉自己的行为己被跟踪监视,从而能够获得攻击过程的真实记录同时还能保证系统的安全。9华中科技大学硕士学位论文2.2.2蜜罐技术的价值一般意义上来讲,蜜罐的价值可以分为两个方面,产品目的和研究目的。当应用于产品目的时,蜜罐主要是为了保护组织网络,这些主要包括防护、探测和对攻击的响应。当应用于研究目的时,蜜罐主要是用来收集信息,这些信息对于不同的组织有不同的价值。对于防护来讲,蜜罐可以抵御自动的攻击,比如说蠕虫攻击和自动工具包的攻击,而且通过迷惑攻击者,使攻击者在蜜罐上浪费资源和时间。因 为所有的活动均在网络管理者的监控之下,所以有足够的时间来响应和阻止攻击者。而且如果入侵者在攻击锁定网络之前,如果知道网络中设置着蜜罐,此时以防被抓住,不会轻易的攻击网络,具有一定的震慑作用。从传统意义上说,信息安全一直都是被动防御的,防火墙、入侵检测系统、加密等等,所有这些机制都是用来对自己的资源进行防御性保护的。这里的策略就是尽可能好的保护自己的网络,在防御中检测出失误,然后对失误进行回击。这种方法的问题在于,这纯属防御,而[20][21,22]敌方处于进攻地位。现今已经有成熟的蜜罐应用案例,在防御蠕虫病毒、防[23,24][25][26]御分布式攻击、防御垃圾电子邮件方面、电力信息网络安全中和大型企业[27]网络都有了很好的应用。2.2.3蜜罐技术国内外研究现状目前在国外的学术界,对蜜罐技术研究昀多的是蜜网项目(HoneynetProject)组织,它是一个非官方,非营利的由30多位安全专家组成的组织,专门致力于了 解黑客团体使用的工具、策略和动机。形成了一系列的理论基础,并提出了蜜网的一代、二代模型。在国内,蜜罐、蜜网的研究还处于发展阶段,只有中国电子科技大学,北京大学,西安电子科技大学,中科院高能所和网络安全焦点(xfocus.net)等少数几个大学和科研机构在做些研究,己经出现了少量的文献和一些具体的蜜罐系统,但系统论述蜜罐的文章还没有,还没有形成自己的理论体系和流派,更没有成熟的产品,和国外的差距还很大。北京大学2004年9月狩猎女神项目启动(TheArtemisProject),随后加入蜜网研究联盟,也是国内唯一的蜜网研究联盟成员;中国电子科技大学承担的国家计算机网络与信息安全管理中心关于《国家信息攻防与网络安全保障持续发展计划》课题中的一部分,主要研究内容包括:用于提高蜜罐质量的网络攻击诱骗技术(IP空间欺骗、网络流量仿真、网络动态配置、组织信息欺骗)和蜜罐自身的安全技术(连10华中科技大学硕士学位论文 接控制、路由控制、数据捕获、远程日志);西安电子科技大学研制了XidianTechHoneynet。2.2.4现有蜜罐系统比较[28]蜜罐从应用上可分为商业应用系统和研究应用系统,几个较好的蜜罐系统有以下几种:1BOFBackOfficerFriendly:一种低交互的蜜罐,由NetworkFlightRecorder公司发布的一个用来监控BackOfficer的工具。可以运行在Windows系列以及Unix等操作系统上。可以设定的监听服务有:FTP、Telnet、SMTP、HTTP、POP3、IMAP2等。2Honeyd:由密西根大学的NielsProvos为Unix平台设计的开放源代码的预包装的低交互蜜罐。可以对其进行高度定制,设计自己的模拟服务。不检测那些针对自己IP的攻击,能够同时模拟不同的操作系统。3DTKDeceptionToolKit:由FredCohen设计的一组免费工具,大部分由Perl 写成。主要原理是使操作系统看上去有很多漏洞,它的诱骗性是可编程的,用户可方便地配置各种特性,可以进行端口欺骗。4ManTrap:由RecourseTechnologies公司开发的商业蜜罐软件,可运行在Solaris上,支持Intel-X86架构和Sun-Sparc架构。它的设计主要针对内部网络安全,并提出了牢笼主机一个基本的宿主操作系统的拷贝的概念,一台机器上可以昀多支持4个这样的操作系统。5Specter:NeoWorx公司开发的可以模拟一个完全的计算机的蜜罐系统。提供对SMTP,FTP等服务很好的模拟,它由诱骗引擎和控制系统两部分组成,提供对九种操作系统的模拟。2.3本章小结本章简要介绍了网络蠕虫的定义、蠕虫与病毒的区别、其行为特征以及危害性,说明了网络蠕虫防御技术的重要性。介绍蜜罐技术的定义、价值及研究现状,并分析了通过引入蜜罐技术获取网络蠕虫攻击信息的方法,说明利用蜜罐技术收集网络蠕虫数据收集的优势。11华中科技大学硕士学位论文3结合蜜罐技术与贝叶斯方法的蠕虫检测技术研究 通过对目前现有蜜罐技术与蠕虫检测特征技术的研究和分析,可以发现蜜罐技术在网络蠕虫传播过程中可以较快的排除正常流量干扰获取蠕虫感染数据,从而起到快速定位蠕虫攻击与防范遏制的作用。介于蜜罐系统所接受的数据中仍然存在正常数据或干扰数据,影响提取的攻击特征的质量。因此需要进一步通过结合蠕虫检测技术区分可疑蠕虫数据与正常流量包括不明行为,保证特征片段的精确性与有效性。3.1使用蜜罐技术获取网络蠕虫攻击信息蜜罐系统在整个蠕虫传播过程中可以获取不同的信息,对与分析蠕虫攻击特征与事后分析都起着关键的作用。基于蠕虫攻击特点,下面具体分析蠕虫进行攻击的每个阶段中蜜罐如何捕获有效数据进行特征提取,以尽可能保证蠕虫攻击目标网络[29]的初期获得有效的抵御信息。3.1.1蠕虫扫描感染阶段这个阶段是蠕虫攻击的第一步,就是蠕虫进行大范围扫描潜在漏洞,同时利用 漏洞侵入主机的过程。此时,蜜罐的主要任务是在接收的网络数据中检测出针对网络系统的异常行为,如攻击流等。蜜罐机或虚拟蜜罐系统被合理的分配到工作网络中,而隐藏在工作网络中的蜜罐只对攻击者产生反应,所有进出的数据都受到关注、捕获及控制,然后进行分析处理。3.1.2蠕虫上传负载阶段蜜罐对付蠕虫上传文件是非常有效的,尤其是截获蠕虫文件并进行分析。为了截获蠕虫,必须让它感染一个主机或者至少让它认为正在感染一个主机。前面已经介绍可以使用重定向技术把攻击流引入到蜜罐中。蜜罐可以使用两种技术来实现,既可以使用“替罪羊”高交互式也可以使用服务仿真低交互式。1“替罪羊”12华中科技大学硕士学位论文“替罪羊”即潜在的受害者。我们在一个机器上安装适当的操作系统,并在操作系统上配置要求的服务。这个机器可以使用Vmware技术同时提供多个不同的操作系统和服务。为了截获蠕虫,蜜罐的系统是没有防护能力的,亦即开放了所有端 口和服务,这样被蠕虫发现的几率就会增大。蠕虫在找到蜜罐机所需漏洞后,攻击蜜罐机并在上面安装控制文件,借此蜜罐机可以通过查看硬盘上的新增加的二进制文件或流截获网络流来发现和分析蠕虫。这样不仅可以发现已知的蠕虫而且也为分析未知的蠕虫攻击提供了绝好机会。蜜罐利用记录的信息也可以为事后分析出未知蠕虫的具体攻击行为,提高系统防御新的蠕虫攻击创造了条件。2虚拟主机与服务仿真蜜罐模拟主机或者服务利用虚假的信息和远程的蠕虫进行会话。下面是Honeyd对付冲击波的过程。createdefaultsetdefaultpersonality"WindowsXPPro"adddefaulttcpport135openadddefaulttcpport4444"/bin/shscripts/WormCatcher.sh$ipsrc$ipdst"setdefaulttcpactionblocksetdefaultudpactionblock其中WormCatcher.sh脚本可以应答蠕虫针对TCP4444端口提出的远程请求。下面是WormCatch2er.sh脚本的具体内容:!#/bin/sh #Creationofadirectoryforeverycontaminatedhost#attackingthehoneypot,inordertoarchivedifferentbinariesmkdir/tmp/$1-$2#DownloadofthewormthroughTFTPinthisdirectory#specificbehaviourforMSBlastcd/tmp/$1-$2/tftp$1EOFgetmsblast.exequitEOF这个简单的技术就能让蠕虫认为自己利用RPCDCOM服务真正感染了一台Windows主机,然后上传一些文件,由此蜜罐可以获得蠕虫的二进制代码。13华中科技大学硕士学位论文3.1.3蠕虫的传播阶段当蠕虫传播的时候,它会从未来目标主机链中随机地选择一个IP作为当前的目标。在这个目标主机链中的IP有些是不能用的,有些是不能提供蠕虫请求的远程服务,还有一些由于某些原因根本不能应答蠕虫的请求。正常情况下,蠕虫将收到相关网络出错的应答,然后蠕虫会尽快转移到其他目标继续传播自己。如果使用蜜罐,当蠕虫对不存在的主机或服务提出请求时,蜜罐可以监控到这 个信息,然后对此做出应答,来浪费蠕虫的时间,延迟攻击真正目标的时间。例如,冲击波随机地选择了一个远程主机,试图与它的TCP135端口建立连接。但实际上这个IP是不存在的。为了应答这个对于不存在IP地址的请求,蜜罐转向一个守护进程,该守护进程可以用如下代码实现:createdefaultsetdefaultpersonality"WindowsXPPro"adddefaulttcpport135opensetdefaulttcpactionblocksetdefaultudpactionblock借助于这个技术,如果蠕虫攻击的是一个运行蜜罐的系统中的一个不存在的IP时,蠕虫看到的是蜜罐模拟的主机,且主机的TCP135端口是开放的。蠕虫可能会相信它是一个真正有漏洞的主机。这样蠕虫被迫攻击伪主机,在处理上浪费时间,即可以这时蜜罐可以报警管理员出现异常数据包。3.1.4Honeyd数据包处理过程进入honeyd模拟的蜜罐主机的的数据包首先交付给虚拟路由器,虚拟路由器 会在配置文件中查找目的地址是否存在,存在则由数据包分配器进行处理。有的时候为了模拟真实的网络,路由器将把数据包交付给下一级虚拟路由器。数据包分配器接受到数据包后,它首先检查IP数据包的长度,并且核查校验和。Honeyd能够识别三种协议:ICMP,TCP和UDP协议。对于别的协议的数据包,Honeyd在日志中记录后将丢弃。在分配器处理一个数据包之前,分配器将再次向配置数据库中查询是否有配置符合目的IP地址的蜜罐。如果没有详细的配置存在,就使用默认的处理模式进行处理。如果存在这样的详细配置,数据包和相应的配置将被转入协议管理器。14华中科技大学硕士学位论文ICMP协议管理支持ICMP请求。通常在默认的模式下面,所有的蜜罐配置都响应回射请求和目的地址不可达信息。通过对配置数据库中配置的修改,也可以改变ICMP响应的行为。对于TCP,协议管理器和服务处理单元能够建立特定服务的连接。服务其实就是标准的接受数据和标准的发送数据的外部应用。服务的行为完全依赖于外部应用。当一个连接请求到达时,Honeyd框架检查数据包是否是已经建立的连接的一 部分。这样一来,任何的新数据都送到已经存在的应用中去。但是,一旦数据包包含一个连接请求,这就要