收藏
下载资源

基于蜜罐的网络蠕虫样本捕获系统的研究

上传人:E**** 文档编号:117922692 上传时间:2019-12-11 格式:PDF 页数:5 大小:364.51KB
返回 下载 相关 举报
基于蜜罐的网络蠕虫样本捕获系统的研究_第1页
第1页 / 共5页
基于蜜罐的网络蠕虫样本捕获系统的研究_第2页
第2页 / 共5页
基于蜜罐的网络蠕虫样本捕获系统的研究_第3页
第3页 / 共5页
基于蜜罐的网络蠕虫样本捕获系统的研究_第4页
第4页 / 共5页
基于蜜罐的网络蠕虫样本捕获系统的研究_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

《基于蜜罐的网络蠕虫样本捕获系统的研究》由会员分享,可在线阅读,更多相关《基于蜜罐的网络蠕虫样本捕获系统的研究(5页珍藏版)》请在金锄头文库上搜索。

1、纪念马祖光院士全国光电子与光电信息技术学术研讨会论文集哈尔滨2 0 0 6 基于蜜罐的网络蠕虫样本捕获系统的研究 董萌1 ,云晓春2 ,辛毅1 ,吴冰1 ( I 哈尔滨工业大学国家计算机信息内容安全重点实验室,黑龙江哈尔滨1 5 0 0 0 1 ; 2 国家计算机网络与信息安全管理中心,北京1 0 0 0 3 1 ) 籀要:每次网络蠕虫爆发都会给社会带来重大损失,传统的网络安全手段存在缺陷。蜜罐技术作为监测和信息搜集手段与 传统网络安全手段的本质不同。介绍了蜜罐及蜜场的基本思想,提出了一个利用重定向技术在大规模网络中实现“分布式蜜 罐映像、集中式蜜罐管理,的蠕虫样本捕获系统原型,该系统为早期预

2、警、发现最新的攻击代码、蠕虫防治等方面提供了丰 富的信息。 关键词:网络蠕虫;蜜罐:蜜场:重定向 S t u d y o f I n t e r n e tW o r m C a p t u r i n gS y s t e m B a s e do nH o n e y p o t D O N GM e n 9 1 ,Y U NX i a o - c h u n 2 ,X 1 NY i l ,W UB i n 9 1 ( 1 N a t i o n a lC o m p u t e rI n f o r m a t i o nC o n t e n tS u r i t yK e yL a

3、b o r a t o r y , H a r b i nI n s t i t u t eo f T e c h n o l o g y , H a r b i nH e i l o n g J i a n g1 5 0 0 0 1 , C h i n a ;2 N a t i o n a lC o m p u t e r N e t w o r ka n dI n f o r m a t i o nS y s t e mS e c u r i t yA d m i n i s t r a t i o nC e n t e r , B e i j i n g1 0 0 0 3 1 ,C h

4、i n a ) A b s t r a c t :T h ee r u p t i o no fi n t c r n e tw o r mc a u s e dg r e a tl o s s e st ot h es o c i e t y ,t r a d i t i o n a ld e t e c t i o nm e t h o dh a v em a n yd i s a d v a n t a g e s H o n c y p o ti sap o w e r f u lt e c h n o l o g yd i f f e r e n tw i t ha n yo t h

5、 e rd e t e c t i o nm e t h o d T h e r eh a sb e e ne x t e n s i v er e s e a r c hi n t oh o n e y p o tf o r d e t e 圮t i o na n di n f o r m a t i o ng a t h e r i n g T h es y s t e ms h a r i n gt h ec o n c e p t i o no f “ D i s t r i b u t e dh o n e y p o tp r e s e n c e ,C e n t r a l

6、i z e dh o n e y p o t o p e r a t i o n w i t ht h e h o n c y p o tf a r m s “ p r o v i d i n gr i c hi n f o r m a t i o nf o re a r l yw a m i n g 。c a p t u r i n gn e we x p o i t sa n di n m e tW O r m d e f e n s e K e yw o r d s :i n t c m e tw o r m , h o n e y p o t , h o n e y p o tf a

7、r m s , r e d i r e c t i o n 1 引言 研究表明,近年来从漏洞发现到蠕虫产生的时 间间隔越来越短,蠕虫的传播速度越来越快,造成 的损失越来越巨大。寻找一种行之有效的蠕虫防治 策略,为使用者提供一种安全的网络环境已经成为 一个亟待解决的问题。在与蠕虫斗争的过程中,要 想把握好战争的主动权,赢得宝贵的时间采取防治 措施,首先要在第一时间获彳导蠕虫样本并对蠕虫的 信息和相关行为作全面深入的了解。正所谓“知己 知彼,百战不殆”,只有了解了足够的信息,我们 在和蠕虫的战争中才可能变被动为主动,由被动防 御变成主动遏制。 蜜罐的主要思想是将一个有缺陷的系统( 主 机、小型局域

8、网等) 暴露在网络中,借此吸引入侵 者对其进行攻击,在入侵者攻击的同时记录攻击的 全部信息,作为进一步分析的依据。目前国内外很 多研究机构都将蜜罐引入了蠕虫研究的领域。在本 文中,主要分析了蜜罐技术的特点及国外几个著名 的蜜罐系统的工作方式,提出了一个基于蜜场思想 3 2 4 的网络蠕虫样本捕获系统原型,该系统利用重定向 技术,将各个子网中捕获的蠕虫信息重定向到一个 统一的中心进行分析和处理,提高了可控性、降低 了风险、易于维护、便于部署。 2 蜜罐及其相关概念 2 1 蜜罐的定义 蜜罐最权威的定义来自L a n c eS p i t z n e r ,“蜜罐 是一种信息系统资源,它的价值在于

9、对该资源的未 授权的或可疑的访问”【l 】。蜜罐没有产品价值,蜜 罐存在的意义就在于被别人访问甚至攻击。 蜜罐是一种很有力的工具。首先,它不局限于 解决某一个特殊的问题,它作为一种高度灵活的工 具在安全领域有很多应用,比如:延迟、制止攻击, 发现新的攻击代码,信息搜集,早期预警等等。其 次,蜜罐的实现形式多种多样,它可以被设计成不 同的外形和大小,它可以是一个模拟某项服务的程 序,也可以是一台真正的计算机或一个网络,甚至 可以是一个信用卡号码或一个登录密码,具有很高 的适应性。B J 纪念马祖光院士全国光电子与光电信息技术学术研讨会论文集哈尔滨2 0 0 6 2 2 蜜罐的分类 蜜罐可以按照其

10、部署目的分为产品型蜜罐和 研究型蜜罐两类。产品型蜜罐像一个替身,它的职 责是为另一台机器或者网络提供安全保护,牵制敌 人、赢得宝贵时间来采取防御措旌。从而保护真实 有用的系统。研究型蜜罐则像一个陷阱,它吸引攻 击者到来,然后不动生色的配合攻击者,其实暗中 观察和记录攻击者的一切举动,它的目的是为了更 好的搜集攻击者的信息、研究攻击者行为、发现新 的攻击类型、发现新的黑客工具、为I D S 等技术提 供新的规则信息等。研究型蜜罐比产品型蜜罐需要 更多的人力和时间来进行分析和维护。 蜜罐还可以按照与攻击者的交互程度分为低 交互蜜罐、中交互蜜罐和高交互蜜罐。低交互蜜罐 往往只是通过软件或脚本模拟一些

11、简单的服务而 不提供真实的操作系统,对于攻击者发来的数据连 接也只是记录而一般不产生应答,这样获得的信息 是极其有限的。高交互蜜罐对外提供真实的操作系 统或网络服务,这样为攻击者提供了很大的活动空 间,甚至可以提供一个真实的s h e l l 让攻击者获得 r o o t 权限,这样我们可以获得更多更完整的信息。 中交互蜜罐则介于二者之间,它可以对攻击者的连 接作简单的响应但是依然不提供真实的操作系统 和网络服务。交互度越高,部署和维护起来就越消 耗时间和人力,而且面临的风险也越大。l I l l 3 1 蜜罐按照实现方式还可以分为物理蜜罐和虚 拟蜜罐。物理蜜罐就是在真实主机上安装真实操作 系

12、统或运行真实的服务;虚拟蜜罐是指对外提供模 拟的服务或利用虚拟机软件产生虚拟的操作系统 或网络环境,这样在一台物理真实的主机上可以运 行多种服务或多种操作系统。相比之下。物理真实 的蜜罐需要更多硬件资源,搭建、维护、管理起来 比较复杂;虚拟蜜罐所用的资源较少,部署简单, 维护容易,但是存在单点失效等问题。 2 3 蜜罐技术的优缺点 2 3 1 蜜罐技术的优点 蜜罐作为一种检测和信息搜集手段具有以下 优点:I l l 2 1 【4 l 较小的数据量传统的检测技术采用旁路 3 2 5 监听,每天都要产生庞大的数据记录。蜜罐只记录 访问到自身的数据信息,产生的数据量不大,但是 这些数据具有很高的真实

13、性和研究价值。 低误报率传统检测技术最大的挑战就是 产生误报。而由于蜜罐不对外提供任何服务,对蜜 罐的一切访问都是可疑的,因此大量的降低了误报 率,提高了检测攻击的效率。 低漏报率传统的检测技术很难检测到未 知类型的攻击。而蜜罐的与误用检测( m i s m e d e t e c t i o n ) 和异常检测( a n o m a l yd e t e c t i o n ) 等I D S 检测 手段都有本质的区别,它可以在第一时间发现新的 攻击类型。 适用于加密环境目前网络上越来越多的 数据采用加密传输( 如S S H 、I P s e c 、S S L ) ,传统 的检测手段无法处理。

14、蜜罐一般作为终端与攻击者 进行交互,所以可以处理加密的数据。 适用于I P v 6 当前许多技术如防火墙、I D S 等都是针对I P v 4 设计的,不能处理I P v 6 数据。蜜 罐可以用于所有I P 环境,不受l P 协议影响。 高度灵活的实现方式蜜罐的实现形式多 种多样,甚至可以是一个信用卡号码或数据库的一 条数据,所以蜜罐具有很高的适应性,在许多环境 中可以使用。 资源最小化使用虚拟方式实现的蜜罐只 需要很少的资源,例如一台奔腾机就可以管理上万 个I P 地址。 技术简单蜜罐实现的技术简单,不需要 复杂的算法和特殊的技术,便于安装和部署。 2 3 2 蜜罐技术的缺点 和所有其他的技

15、术一样,蜜罐也有自身的缺 点,因此人们常常将蜜罐与I D S 、防火墙等技术配 合使用。l l 】【2 1 风险蜜罐需要与攻击者进行交互,一旦 蜜罐被攻克它很可能会被作为跳板去攻击其他的 非蜜罐系统。风险的高低取决于蜜罐与外界的交互 程度及蜜罐的实现方式。 视野受限由于蜜罐只能记录访问过它的 信息,不像I D S 可以对整个网络的流量进行检测, 因此单一的蜜罐的视野比较狭小。 纪念马祖光院士全国光电子与光电信息技术学术研讨会论文集哈尔滨2 0 0 6 3 几种著名的蜜罐系统介绍 3 1H o n e y d H o n e y d 属于虚拟的低交互蜜罐,它是一个小巧 的在一台主机上就能模拟多个

16、虚拟网络主机的后 台程序。通过一些简单的配置,这些虚拟主机对外 就好像是在运行不同的操作系统并且提供各种不 同的服务。H o n e y d 允许为每一台虚拟主机配置I P 地址,并且外界可以通过P i n g 、t r a c e r o u t e 等操作来 确定这些虚拟主机的存在。它可以提供任意的路由 拓扑。模拟延迟、丢包等操作。H o n e y d 还可以为真 实的主机提供代理服务。H o n e y d 是一个功能强大的 蜜罐系统,它在充当网络诱饵,蠕虫监测,遏制垃 圾邮件等方面都有很好的应用。但是它只提供网络 级别上的模拟,不能提供真正的操作系统作为交互 环境,所以搜集到的信息有限,在实际应用中常作 为产品型蜜罐或作为高交互蜜罐的补充来进行信 息搜集。1 5 1 1 6 1 3 2 H o n e y n e t 蜜网是蜜网项目组对高交互蜜罐研究型蜜罐 的一种优秀的实现方案,目前已经发展到第三代。 它不是一个单一的系统,而是一个由很多蜜罐组成 的一个诱捕网络,每一个蜜罐都可以运行各种各样

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号