（计算机应用技术专业论文）基于蜜罐技术的蠕虫检测研究.pdf

哈尔滨：l ：程大学颁十学位论文 摘要 随着网络技术的广泛应用和网络经济的不断发展，网络安全问题同益突 出，在诸多的网络安全事件中网络蠕虫造成的危害尤为巨大。虽然入们在检 测和防范蠕虫方面进行了大量的研究，提出了许多技术方案，但这些方案大 多着眼于实时发现所有的蠕虫攻击，其有效工幸謇往往需要耗费众多的网络资 源。然而，互联网上为数众多的小型组织或个人网络大多无法提供那么多的 资源。所以，如何在弱部小的网络环境中实现一个用户运尾少量资源郄可对 蠕虫进行有效检测和防御的系统便成为了一个值得深入研究的课题。 本文首先分析了网络安全及蠕虫发展的现状，根据网络蠕虫技术的基本 原理，对目前已有的蠕虫检测技术进行了深入的研究和总结：同时，通过对 蜜罐( h o n e y p o t ) 技术的基本原理和相关技术的研究、分析，发现蜜罐技术 是一种很好的捕获蠕虫样本、研究蠕虫特性、抑制蠕虫爆发的安全技术。 然后，本文对现有的两种典型的基于蜜罐技术的蠕虫检测系统进行了分 析，在总结它们各自特点的基础上，研究了它们在小型网络环境下的改进措 施。接着，本文针对小型网络的特点提出了一种基于蜜罐技术的蠕虫检测方 案，给出了该方案的详缨设计思想、框架和工作流程，并对其适用性做了探 讨。 本文最后通过实验对此方案进行了验证测试，根据实验结果与对比分析， 可以证实该方案对于小型网络下的蠕虫检测既有效又可靠。 关键词：蜜罐；蠕虫检测；小型网络；网络资源 哙尔滨+ t 程大学硕士学位论文 鼍宣暑| _ i i l l i 1 i i 暑置暑萱篁黼常i 宣暑叠叠黼 a b s t r a c t w i t ht h ew i d ea p p l i c a t i o na n dt h ei n c r e a s i n gn e t w o r ke c o n o m y , t h es e c u r i t y o fn e t w o r kb e c o m e sm o r ea n dm o r eo u t s t a n d i n g i ns om a n yn e t w o r ks e c u r i t y a c c i d e n t s ，t h ed a m a g eb yw o r mb e c o m e sm o r ea n dm o r es e r i o u s 。al a r g en u m b e r o fr e s e a r c h e sw e r ed o n et of i n dh o wt od e t e c ta n dp r e v e n tn e t w o r kw o r ma n d m a n yt e c h n i q u ep r o j e c t sw e r ed e v e l o p e d ，b u tm o s to fa l lt h e s ep r o j e c t sr e q u i r ea l o lo fn e t w o r kr e s o u r c e s , 。h o w e v e r , m a n ys m a l ln e t w o r k so rp e r s o n a ln e t w o r k si n i n t e r n e te n v i r o n m e n ta r eu n a b l et oo f f e ra 】o to fr e s o u r c e s t h e r e f o r e ，i tb e c o m e s a v e r yi m p o r t a n tr e s e a r c hi s s u eh o wt or e a l i z eas y s t e ma l l o w i n gu s e r st od e t e c t w o r ma n dd e f e n dt h e m s e l v e sw i t has m a l lq u a n t i t yo fr e s o u r c e s 。 f i r s t l y , a c t u a lc o n d i t i o n so fc u r r e n tn e t w o r ks e c u r i t yt e c h n i q u ea n dn e t w o r k w o r m sd e v e l o p m e n tw e r ea n a l y z e di nt h eb e g i n n i n go ft h i sp a p e r , a c c o r d i n gt o t h ee s s e n t i a lp r i n c i p l eo fn e t w o r kw o r m ，c u r r e n t l ye x i s t e n tt e c h n i q u e sd e t e c t i n g a n d p r e v e n t i n ga g a i n s t w o r mw e r ef u r t h e rr e s e a r c h e da n ds u m m a r i z e d m e a n w h i l e ，a c c o r d i n gt ot h er e s e a r c ha n da n a l y s i so fb a s i cp r i n c i p l ea n dr e l a t i v e t e c h n i q u eo fh o n e y p o t ，i tc a nb es e e nt h a th o n e y p o tt e c h n i q u e si sa k i n do fg o o d s e c u r i t yt e c h n i q u ew h i c hc a nc a p t u r ew o r ms a m p l e s ，i n v e s t i g a t et h ec h a r a c t e r i s t i c o fw o r m sa n dr e s t r a i nt h ew o r m sf r o mb u r s t i n g , ， n e x t ，i nt h i sp a p e rt w ot y p i c a le x i s t i n gw o r m d e t e c t i n gs y s t e m sb a s e do n h o n e y p o tt e c h n i q u e s w e r ea n a l y z e d 。t h e i ri m p r o v e m e n t si ns m a l ln e t w o r k e n v i r o n m e n tw e r es t u d i e dt h r o u g hs u m m a r i z i n gt h e i rr e s p e c t i v ec h a r a c t e r i s t i c s a n dt h e na i m i n ga tt h ef e a t u r eo fs m a l ln e t w o r ke n v i r o n m e n t ，aw o r m - d e t e c t i n g p r o j e c tb a s e do nh o n e y p o tt e c h n i q u e sw a sp r e s e n t e d 。t h ed e t a i l e dd e s i g ni d e a ，t h e f r a m ea n dt h ew o r kp r o c e s so ft h i sp r o j e c tw e r ea l s og i v e n a n di t sa p p l i c a b i l i t y w a ss t u d i e df u r t h e r f i n a l l y , t h ep r o j e c tw a sv e r i f i e da n dt e s t e dw i t he x p e r i m e n t a c c o r d i n g t ot h e e x p e r i m e n t a lr e s u l ta n di t sc o n t r a s ta n a l y s i s ，i tw a sa p p r o v e dt h a tt h ep r o j e c tw a s e f f e c t i v ea n dr e l i a b l ef o rw o r m - d e t e c t i n gi ns m a l ln e t w o r ke n v i r o n m e n t , 。 k e y w o r d s ：h o n e y p o t ，w o r md e t e c t i o n ，s m a l ln e t w o r k ，n e t w o r kr e s o u r c e 哈尔滨工程大学 学位论文原创性l 声明 本人郑重声明：本论文的所有工作，是在导师的指导下， 由作者本人独立完成的。有关观点、方法、数据和文献的引 用已在文中指出，并与参考文献相对应。除文中已注明引用 的内容外，本论文不包含任何其他个人或集体己经公开发表 的作品成果。对本论文的研究做出重要贡献的个人和集体， 均已在文中以明确方式标明。本人完全意识到本声明的法律 结果由本人承担。 作者( 签字) ： e l 期：支多年乡月工e l 哈尔滨t 程人学硕+ 学位论文 第1 章绪论 1 1 研究背景和研究意义 随着网络技术的广泛应用和网络经济的不断发展，网络安全问题日益突 出，各种网络攻击方式日新月异，尽管这些攻击的动机不尽相同，但攻击的 破坏程度及其效率却日益受到攻击者们的重视。在传统的病毒已经无法及时 地产生足够破坏性的情况下，便产生了完全自动化的攻击方式，此种攻击不 需要经由使用者的介入，它能利用系统漏洞自动的侵入繁殖并执行攻击者所 预期的行为( 如：潜伏到全球各地的电脑并同时发动拒绝服务攻击) ，由于这 种攻击的行为像虫子一样无孔不入，所以其被人们称为蠕虫( w o r m ) 攻击。 1 9 8 8 年1 1 月，世界上第一只蠕虫m o r r i s 的出现造成了全世界6 0 0 0 多台 计算机瘫痪；2 0 0 1 年7 月爆发的红色代码蠕虫利用微软的i i s 服务器的弱 点，在9 小时之内入侵了世界上2 5 万台计算机，造成的损失估计超过2 0 亿 美元【1 1 ，随后几个月内产生了威力更强的几个变种，其中c o d e r e di i 造成的 损失估计超过1 2 亿美元；日益严重的蠕虫问题不仅给企业和个人带来了巨大 的损失，而且还严重威胁着国家的安全。 根据c e r l 犯c ( 计算机紧急响应小组) 公布的统计报告，现今蠕虫感染 的速度是越来越快，而相对地要完全消灭它们耗时却越来越长，由此可以明 显的看到从漏洞的发现到蠕虫爆发的周期是越来越短，如图1 1 所示，那么 应该如何抓住蠕虫爆发的关键时刻，把灾害减至最轻，便成为目前蠕虫研究 的一个主要内容。 圆圈固囡固 i - ，- - - - 纠 时间周期越来越短时间周期越来越长 图1 1 蠕虫的生命周期 在蠕虫的对抗策略上通常可以分为四个阶段，即预防阶段、检测阶段、 灾害控制阶段以及清除阶段。其中，榆测阶段的主要任务就是在蠕虫攻击的 哈尔滨f ：程人学硕十学位论文 早期发现蠕虫并产生出相应特征以减缓或阻断它的传播，因为该阶段是直接 处在最前线与蠕虫对抗，它的反应速度将直接影响到蠕虫扩散速度及受害机 器数量，尤其是在蠕虫攻击周期越来越短的现在，更需要抢在蠕虫爆发前将 灾害抑止下来，所以检测阶段是蠕虫对抗中极其关键的部分。 然而，现有的蠕虫检测系统大多数都以捕获所有可能的蠕虫特征，实时 发现所有的蠕虫攻击为设计目标，构建并有效运用这些检测系统要耗费很多 的网络资源，监控较大的网络空间，所以，对资源紧张的个人或小型公司而 言，在他们的小型网络中运用这些系统检测蠕虫的效果并不理想。 近年来，蜜罐作为一种新型的安全技术在针对己知和未知攻击的检测、 分析、研究，尤其是对网络蠕虫攻击的捕获、分析、研究方面日益显示出其 优越性。目前，蜜罐技术的研究己经成为信息安全领域的新热点，如何在小 型网络中运用蜜罐技术来改进现有的蠕虫检测系统，对网络安全研究人员来 说具有重要的理论意义和研究价值。本文研究的重点将是寻求一种基于蜜罐 技术的适合于小型网络的蠕虫检测方案。 1 2 国内外研究现状 虽然早在1 9 8 8 年第一个m o r r i s 蠕虫出现以来，蠕虫就显示出它巨大的 破坏力和危害性，但由于当时互联网络普及度不高，所以并没引起人们更多 的注意。近年来，随着i n t e m e t 网络的大力普及，人们对网络技术的认识越 来越深入，大量的蠕虫工具包和蠕虫编写技术文章在网络上的共享，使得蠕 虫编写工作越来越容易。旧的蠕虫威胁依然存在，新的蠕虫又不断涌现，给 互联网带来的危害已远远超过了传统病毒，人们逐渐认识到了研究蠕虫对抗 措施的重要性。其中，如何在蠕虫爆发之前及时发现异常并采取措施，是当 前国内外研究的一个重点。1 9 9 8 年，s t e v er w h i t e 就曾强调应该加强蠕虫对 抗工作的研究力度【2 l ，并指出：针对文件系统的防范措施并不适用于蠕虫的 防范需求。2 0 0 0 年，i b m 启动对抗网络蠕虫的项目，力求开发一个自动检测 和防御蠕虫的软硬件环境，关键技术是构造虚拟机来仿真蠕虫传播的网络环 境。2 0 0 1 年，j o s en a z a r i o 等人讨论了蠕虫的技术发展趋势，给出了蠕虫的 一个功能模型框剁3 1 。2 0 0 1 年7 月，“红色代码”( c o d e r e d ) 蠕虫爆发，针 对蠕虫的研究逐渐成为热点。b e r k e l y 大学的n i c h o l a sw e a v e r 给出了几种蠕 2 哈尔滨t 程大学硕：t 学位论文 虫快速传播策略1 4 j ，并预言在3 0 分钟内感染整个互联网的蠕虫即将出现，在 蠕虫对抗技术方面则强调蠕虫的检测、分析和响应需要自动化，认为数学建 模和仿真是研究蠕虫的主要手段。邹长春以红色代码蠕虫为例，讨论了基于 微分方程描述的双因素传播模型，这个模型可以看作是s i r 传播模型的一种 扩展1 5 j 。d a v i dm o o r e 提出了衡量防范蠕虫技术的有效性的三个参数：响应时 间、防范策略、部署策略，但令人失望的是，目前的防御技术在这三个参数 上都远达不到对蠕虫防御的要求 6 1 。d u gs o n g 等人对蠕虫引起的网络流量统 计特征做了研究，力图通过对网络流量的异常检测实现对网络蠕虫的防范。 华盛顿大学应用研究室的j o h nw l o c k w o o d 等人【7 】提出了一种采用可编程逻 辑设备对抗蠕虫的防范系统。v i n c e n tb e r k ，g e o r g eb a k o s 等人设计的系统主 要监视蠕虫访问不存在的网络地址时所引起的目的不可达的i c m p 报文以进 行蠕虫检测，他们的检测方法需要分布在多个网络范围内的组件进行协同合 作。 目前国内在这方面的工作也已有开展，但是多数还处于研究和设计阶段， 少有成形的商业化产品出现，特别地，专门适用于小型网络环境的蠕虫检测 系统国内更是罕有研究，相关的理论研究和文献也屈指可数。传统的蠕虫检 测和防御系统大多着眼于实时发现所有的蠕虫攻击，所采用的蠕虫检测方法 都是针对大规模网络的算法，要求建立全局控制中心，耗费众多的网络资源 监控大量的网络信息。然而，i n t e r n e t 上为数众多的小型组织与个人网络大多 无法提供其有效工作所需的大量资源。所以，研究如何在局部小的网络环境 中实现一个用户运用少量资源即可对蠕虫进行有效检测和防御的系统便变得 迫在眉睫，势在必行。 1 3 本文所做的工作 本文在深入地研究目前网络蠕虫的工作机制、扫描策略，传播特点和攻 击过程的基础上，详细地分析了近几年新兴发展起来的蜜罐技术的原理、分 类、优缺点及其采用的相关技术，并全面的阐述了当前流行的蠕虫检测技术， 并给出了它们各自的优缺点。然后，作者针对当前蠕虫检测系统在小型网络 环境下应用的不足，考虑到蜜罐技术无论是在捕获最新的蠕虫攻击还是未知 攻击方面都有着其它安全技术不可比拟的优点，结合小型网络的具体需要， 3 哈尔滨r 稃大学硕 学位论文 提出了在小型网络中利用蜜罐技术对蠕虫进行检测和防御，设计并构建了一 种适合于小型网络环境的蠕虫检测方案，而且实现了部分相关的关键技术， 并通过实验证实其初步达到了设计要求，最后对系统的适用性和未来工作给 出了自己的看法。本文所做的工作主要有以下几个部分： ( 1 ) 网络蠕虫的工作机制、传播特点和扫描策略的深入分析； ( 2 ) 现有蠕虫检测技术的原理及其优缺点的总结： ( 3 ) 对蜜罐技术的基本原理、关键技术和优缺点的研究与分析； ( 4 ) 用于小型网络的基于蜜罐技术的蠕虫检测的研究与方案设计； ( 5 ) 对本文所提出的检测方案的实验验证及该系统适用性的讨论。 4 哈尔滨t 程人学硕十学位论文 第2 章网络蠕虫及蜜罐技术 2 1 蠕虫的概念及其工作原理 2 1 1 蠕虫的概念 蠕虫是在1 9 8 2 年被引入到计算机领域的，最初编写蠕虫的目的是为了分 布式计算模型的测试，当时蠕虫的破坏性已经初露端倪，但并没有引起研究 者的重视和注意。直到1 9 8 8 年m o r r i s 蠕虫的爆发，才使得全世界的目光第 一次聚集到这种恶意代码的身上来，s p a f f o r d 为了区分蠕虫和病毒，对蠕虫 重新进行了定义，他认为“蠕虫可以独立运行，并且自动复制自身并传播到 另一台主机。郑辉【8 】在他的博士论文中认为蠕虫具有主动攻击、行踪隐蔽、 利用漏洞、造成网络拥塞、降低系统性能、产生安全隐患、反复性和破坏性 等特征，并给出相应的定义：“网络蠕虫是无须计算机使用者干预即可运行 的独立程序，它通过不停地获得网络中存在漏洞的计算机上的部分或全部控 制权来进行传播。 文伟平【9 l 等给出了一个更为完整的网络蠕虫定义，“网络蠕虫是一种智 能化、自动化，综合网络攻击、密码学和计算机病毒技术，不需要计算机使 用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞 的节点主机，通过局域网或者国际互联网从一个节点传播到另外一个节点。 该定义体现了新一代网络蠕虫智能化、自动化和高技术化的特征。 2 1 2 蠕虫的工作机制 网络蠕虫的工作机制【l o j 如图2 1 所示。网络蠕虫攻击行为可以分为四个 阶段：信息收集、扫描探测、攻击渗透和自我复制。信息收集主要完成对目 标网络和主机的信息汇集。扫描探测主要完成对具体目标主机服务漏洞的检 测。攻击渗透利用已发现的服务漏洞实施攻击。自我复制完成对目标节点的 感染。网络蠕虫在整个攻击过程中，要向目标网络和目的节点发送大量的服 务请求。 5 哈尔滨t 程大学硕十学位论文 图2 1 网络蠕虫工作机制 每一个具体的蠕虫，四个部分会有不同的侧重，有的部分实现的相当复 杂，有的部分相当简略。 2 1 3 典型的蠕虫攻击过程 一个蠕虫的攻击过程通常包括感染、传播和执行负载三个阶段1 1 l 】。 1 、感染 这个阶段，蠕虫己入侵到本地系统，它为了利用网络资源进行自治传播 必须修改些系统配置，运行程序，为后续阶段做准备，如生成多个线程以 备快速探测新的目标之需，设置互斥标志防止系统被再次感染而影响传播速 度等。通过这个阶段的工作，蠕虫将所入侵的系统变为一个新的感染源。以 后这个感染源就可以去感染其它系统以扩大感染范围。 2 、传播 在这个阶段蠕虫会采用多种技术感染更多的系统，该阶段通常包含下列 步骤。 1 ) 目标探测 在蠕虫感染系统前，它必须首先发现目标。基于不同扫描策略的蠕虫可 以采用相应的技术来发现和利用新目标。扫描需要探测一个地址空间，识别 出有漏洞的系统，它是一种主动的目标发现技术。同时，扫描也是特别异常 的行为，如产生大量的无效的i p 数据报文，产生异常的网络活动，利用这一 特点可以有效检测蠕虫。 2 ) 利用漏洞感染目标系统 利用常见服务的漏洞获取特权，这样可以在目标系统做更多的事情，比 6 哈尔滨t 程大学硕十学伉论文 如c o d er e di i 在感染系统时利用i i s ( i n t e r n e ti n f o r m a t i o ns e r v i c e s ) 服务的 缓冲区溢出漏洞获取特权，然后在系统安装后门。由于蠕虫漏洞利用的模式 相同，因此也可针对这一特点进行蠕虫检测。 3 ) 运输蠕虫代码 蠕虫必须将自身从一个系统传播到另一个系统以重复这样的过程，从而 控制大量的系统。一些蠕虫，如冲击波蠕虫( b l a s t e r ) ，需要第二个通信通道 完成感染，被感染的系统使用唧回连到感染源以下载蠕虫实体，完成蠕 虫代码的运输。而有些蠕虫在利用漏洞入侵系统时将蠕虫代码放在同一个报 文中进行运输。还有一些蠕虫将蠕虫代码作为正常通信的一部分进行发送， 要么附在正常信息后要么替换正常信息，这样做的结果是，如果观测通信模 式，其传播行为并不显现异常。蠕虫在运输代码时可以是一对多，一个站点 在被感染后向多个站点提供一个蠕虫或模块；或者是多对多的，多个副本传 播恶意代码；或者使用混合的方法，基本的蠕虫以多对多的方式传播，通过 中央站点进行更新。蠕虫在复制自身进行代码运输时具有相同的通信模式， 因此可利用这一特点进行蠕虫检测。 3 、执行负载 有些蠕虫包含负载，而有些蠕虫不包含负载。负载是指能够完成黑客攻 击者意图的代码，通过执行负载，蠕虫可以完成攻击任务，例如，发动拒绝 服务攻击的代码，删除系统数据等。在执行负载阶段蠕虫表现出一定的攻击 性，此时可以采用多种入侵检测手段予以检测，如网络防火墙、入侵检测系 统、个人防火墙等等。 2 2 蠕虫的扫描策略及传播特点 2 2 1 蠕虫的扫描策略 蠕虫扫描策略是指蠕虫在扩散的过程中选择下一步潜在感染对象时所采 用的方法，扫描策略的好坏与否直接影响着蠕虫传播速度的快慢。研究人员 对目前出现的蠕虫进行分析得知蠕虫的扫描策略主要有如下几种。 1 、选择性随机扫描( s e l e c t i v er a n d o ms c a n ) 随机扫描会对整个地址空问的l p 随机抽取进行扫描，而选择性随机扫描 哈尔滨t 程人学硕十学位论文 将最有可能存在漏洞主机的地址集作为扫描的地址空间，也是随机扫描策略 的一种。所选的目标地址按照一定的算法随机生成，互联网地址空间中未分 配的或者保留的地址块不在扫描之列。选择性随机扫描具有算法简单、易实 现的特点，若与本地优先原则结合，则能达到更好的传播效果。但选择性随 机扫描容易引起网络阻塞，使得网络蠕虫在爆发之前易被发现，隐蔽性差。 2 、顺序扫描( s e q u e n t i a ls c a n ) 顺序扫描是指被感染主机上蠕虫会随机选择一个c 类地址进行传播，根 据本地优先原则，蠕虫一般会选择它所在网络内的i p 地址。若蠕虫扫描的目 标地址i p 为a ，则扫描的下一个地址i p 为a + i 或者a 1 。一旦扫描到具有很多 漏洞主机的网络时就会达到很好的传播效果。该策略的不足是对同一台主机 可能重复扫描，引起网络拥塞。 3 、基于目标列表的扫描( h i t 1 i s ts c a n ) 基于目标列表的扫描是指网络蠕虫在寻找受感染的目标之前预先生成一 份可能易传染的目标列表，然后对该列表进行攻击尝试和传播【1 2 l 。目标列表 生成方法有两种：通过小规模的扫描或者互联网的共享信息产生目标列表； 通过分布式扫描可以生成全面的列表的数据库。 4 、基于路由的扫描( r o u t a b l es c a n ) 基于路由的扫描是指网络蠕虫根据网络中的路由信息，对i p 地址空间进 行选择性扫描的一种方法。采用随机扫描的网络蠕虫会对未分配的地址空间 进行探测，而这些地址大部分在互联网上是无法路由的，因此会影响到蠕虫 的传播速度。如果网络蠕虫能够知道哪些l p 地址是可路由的，它就能够更快、 更有效地进行传播，并能逃避一些对抗工具的检测。基于路由的扫描极大地 提高了蠕虫的传播速度，不足是网络蠕虫传播时必须携带一个路由i p 地址库， 蠕虫代码量大。 5 、基于d n s 扫描( d n ss c a n ) 基于d n s 扫描是指网络蠕虫从d n s 服务器获取i p 地址来建立目标地址。 该扫描策略的优点在于，所获得的i p 地址块具有针对性和可用性强的特点。 基于d n s 扫描的不足是：难以得到有d n s 记录的地址完整列表：蠕虫代码需 要携带非常大的地址库，传播速度慢；目标地址列表中地址数受公共域名主 机的限制。 r 哈尔滨t 程大学硕十学位论文 6 、分治扫描( d i v i d e c o n q u e rs c a n ) 分治扫描是网络蠕虫之间相互协作、快速搜索易感染主机的一种策略1 1 3 j 。 网络蠕虫发送地址库的一部分给每台被感染的主机，然后每台主机再去扫描 它所获得的地址。主机a 感染了主机b 以后，主机a 将它自身携带的地址分出 一部分给主机b ，然后主机b 开始扫描这一部分地址。分治扫描策略的不足是 存在“坏点”问题。在蠕虫传播的过程中，如果一台主机死机或崩溃，那么 所有传给它的地址库就会丢失。 7 、被动式扫描( p a s s i v es c a n ) 被动式传播蠕虫不需要主动扫描就能够传播。它们等待潜在的攻击对象 来主动接触它们，或者依赖用户的活动去发现新的攻击目标1 1 4 j 。由于它们需 要用户触发，所以传播速度很慢，但这类蠕虫在发现目标的过程中并不会引 起通信异常，这使得它们自身有更强的安性。 2 2 2 蠕虫传播的特点 通过分析2 0 0 1 年至2 0 0 6 年国际权威应急响应网站c e r t 上发布的知名 网络蠕虫信息，可以发现网络蠕虫的传播具有以下几个特点。 1 、传出数据的相似性 网络蠕虫在传播的各个阶段，感染节点传出的数据具有相似性。数据包 都包含了相应的请求、攻击代码或蠕虫的主体程序，内容相对稳定，因此其 传输数据的大小基本不变。在一定时间内，每个线程对目的主机的请求内容 都是相似的。还有，同一个蠕虫一般使用同一个目的端口，如c o d e r e d 固定 使用8 0 端口。 2 、大量的无效i p 地址和无效服务请求 网络蠕虫为了在网络中迅速传播和扩散，攻击目标的选择具有盲目性。 信息的收集和探测都会导致大量无效i p 地址的产生，由于攻击目标i p 地址 的无效性，因此相应的服务请求也得不到应答。 3 、节点问的传播行为具有相似性 网络蠕虫感染一个节点主机后，这个节点成为新的蠕虫载体，并开始扫 描、探测、攻击新的目标节点，这个传播行为和最初发生的传播行为具有相 似性，即同一个蠕虫一般均采用相同步骤去感染目标主机奄 q 哈尔滨t 科人学硕十学位论文 4 、传播过程中一般呈现一对多的模式 蠕虫的一个本质特征就是传播，为了能在短时间内感染尽可能多的主机， 一台感染主机一般会同时向多个目标主机发送蠕虫数据，因此在传播模式上 必然表现出一对多的关系。 2 3 常见的蠕虫检测技术 蠕虫在传播上具有多种特性，所以可以综合分析利用这些特性来检测蠕 虫。许多研究人员从蠕虫的功能结构、扫描策略、传播模型等多个方面对蠕 虫的特性作了深入研究并由此提出了许多检测方法。以下将主要介绍近年来 具有代表性的网络蠕虫检测防御技术。 1 、基于网络黑洞的检测 网络黑洞指的是网络中没有分配的l p 地址空间。由于蠕虫作者在编写蠕 虫时出于减少蠕虫个体的大小或者扩大蠕虫影响范围的考虑，往往会采用对 全部i p 地址进行扫描探测的方法，而正常的网络通信一般不会涉及这些并不 使用的i p 地址。根据这一点，就可以通过对与网络黑洞相关的数据包的监控 来实现恶意行为的检测，通过对所监测到的数据进行分析，就可以及时发现 网络中出现的蠕虫攻击行为【”j 。 这种技术的优点是：对所有扫描全网的蠕虫都适用，无论是己知蠕虫还 是未知蠕虫，缺点是：为了提高捕捉到攻击数据包的概率和速度需要布下较 大的诱捕网，这就要求使用者拥有足够多的可实时产生反应的空闲l p 地址， 而对于l p 资源紧张的小型网络用户而言这正是一个问题；此外，该技术对于 基于目标列表扫描的蠕虫和被动型扫描蠕虫来说不太适用。 2 、基于特征签名的检测 其核心是模式匹配。每当新的蠕虫出现时，研究人员通过对蠕虫的研究 提取出能充分识别该蠕虫的特征字符串，形成对该蠕虫的特征签名，加到相 应的签名库中，这些签名可能是恶意的网络负载，也可能是蠕虫可执行代码 中的部分样本代码等。有了该蠕虫的签名之后，当再有此类爆发或者此类蠕 虫在其它地方爆发时就可以通过该签名进行识别，以采取进一步的防范措施 加以阻止。对于基于签名的蠕虫检测系统来说，签名库是这类系统中非常重 要的部件，因为签名库的质量高低直接影响系统的准确性和有效性。 1 0 哈尔滨一f ：程大学硕一 = 学位论文 基于特征签名的蠕虫检测技术具有高效准确的优点，但它也有以下缺陷： 首先，如果只采用外部提供的签名数据库，那么它只可检测到已知蠕虫，因 此它并不具备检测未知蠕虫的能力，无法在此类蠕虫攻击的第一时间里做到 实时检测；其次，单纯采用此种检测技术会漏检含有多特征值的蠕虫代码， 并且容易因网络上的噪声或是一些正常的行为而造成误判。 3 、基于异常流量的检测 基于异常流量的检测方法充分利用没有蠕虫与存在蠕虫时流量的差异性 来实现蠕虫的检测。通常情况下，一台主机或者一个局域网在正常运转的情 况下其每天的平均流量几乎是相等的，即使稍有变化也是在很小的范围内波 动，但总体上是稳定的。遭受蠕虫入侵后其网络流量则会出现较大幅度的变 化，所有的蠕虫在展开攻击前都要先通过扫描探测来发现其要攻击的目标， 而且在攻击成功后往往还要完成其负载的传播，由于整个过程是蠕虫自主发 起的，探测频率一般非常高，所以通常会在短期内产生大量的扫描探测包， 使网络的流量迅速增加，甚至会造成网络的拥塞。 基于异常流量的检测技术的优点是它不仅对已知蠕虫有效，而且还能检 测未知的蠕虫。其缺点是：难于确定各种参数的阈值，这将影响着检测结 果的准确性，阈值制定得太低容易造成太多的误报，而如果制定得太大，则 又容易造成漏报而起不到应有的检测作用；采用此技术需要监控大范围的 网络，以减少背景噪声的影响，而实际上，随着背景噪声的不断增加，实际 监控的网络以及所产生的时延会大到无法容忍的地步【1 6 1 。根据采用各种扫描 方式的蠕虫的传播模型1 1 7 j ，还可以看出在蠕虫低感染率的时候，网络中异常 流量并不明显，当检测到大量异常流量的时候，蠕虫已经开始广泛传播，失 去了预警的意义。 4 、基于传播行为的检测 e l l i s 等人i l8 j 指出蠕虫在传播过程中体现了下列三个特征：传播数据的 相似性；蠕虫传播呈类似树状结构( 不考虑重复感染的情况) ；主机感染 蠕虫后其行为发生变化，也称为角色发生变化，即由攻击的受害者变为攻击 的发起者。因此可以通过观察网络中是否出现上述模式来判断蠕虫是否发生。 与此类似s t a n i f o r d 等人提出了用活动图的方式来检测蠕虫，他们设计了一个 原犁系统g r i d s l l 9 l ( g r a p hb a s e di n t r u s i o “d e t e c t i o ns y s t e m ) ，将网络连接转 1 1 哈尔滨t 程人学硕十学位论文 换成图，然后观察图中是否出现传播树这种独特的模式。 g r i d s 利用行为特征来发现蠕虫的优点在于：它利用了蠕虫的传播本 性，与内容无关，因此能够发现自我变异的蠕虫；它具有局部性特点，这 使得该方法受背景噪声的影响很小，而且它对于快速传播的蠕虫能表现出更 佳的实时检测、准确定位的效能。其主要缺点在于：g r i d s 没有对t c p 连接 中的目标地址和目标服务做有效性分析，而上述分析是判断未知网络蠕虫入 侵网络的重要依据，此外这种方法需要观察所有的网络活动，因此对于网络 资源的耗费较大。 5 、基于l c m p 目的不可达报文的检测 利用i c m p ( i n t e m e tc o n t r o lm e s s a g ep r o t o c 0 1 ) 不可达信息进行蠕虫检测 意义非凡，该类信息可将主机、网络、端口、服务等不可达消息返回给发送 端。由于目的地不可达消息在i c m p 报文的t y p e 字段的值是3 ，所以我们也 称i c m p 不可达消息为i c m p t 3 报文。基于i c m p 目的不可达报文的蠕虫检 测方法是通过网络节点中的多个数据采集器和路由器采集网络中被检测节点 的i c m p t 3 报文来检测分析蠕虫的。如果检测到一个源地址与多个不同的目 的地址连接通讯，则该系统把此种情况认为可能是蠕虫传播行为。如果一个 i p 地址访问不同目的地址时所产生的i c m p - t 3 报文数目超过了特定的阈值， 则必须将结果送关联器作进一步的检测。如果检测到一个源地址与多个目的 地址的同一个端口通信的事件，则关联器将该事件与以前的事件对比。如果 发现事件间共性较多，则认为检测到了蠕虫活动。由于是分析i c m p t 3 报文， 因此该方法需要修改路由设备，以启动路由设备在目标不可达时产生特定的 i c m p t 3 报文的功能，这一系统是针对大规模的网络环境的，其对蠕虫的检 测很大程度依赖于参与蠕虫检测的路由器多少，如果路由器的个数不多，那 么收集到的i c m p 目标主机不可到达消息会比较少，将会影响蠕虫检测的效 果和效率，因此它并不适合于小型的网络环境。 6 、基于扫描的蠕虫检测 通常蠕虫传播是依靠随机扫描方式，大范围的随机扫描往往是蠕虫爆发 时的征兆，因此收集这些扫描活动就能在一定程度上发现蠕虫。m a s s a c h u s e t t s 大学的z o u 等人j 下是利用这种思想，通过统计对未用i p 地址进行的扫描来分析 是否发生蠕虫1 7 0 l 。他们提出了一个蠕虫预警系统模型，该模型主要包含两个 1 2 哈尔滨j r ：程人学硕十学位论文 部分：蠕虫预警中心和大量的监视器。 这些监视器分布在i n t e r a c t 的各个位置上，主要是收集本地蠕虫扫描的相 关数据，然后将统计数据发送到预警中心。预警中心则综合分析收到的数据。 监视器分为两种，即入口监视器和出口监视器。其中，入口监视器在网络的 入口处监视输入数据流，其目的就是检测是否有对内部网络未用i p 的扫描活 动；出口监视器设置在网络的出口处，用来监视网络输出数据流，以发现对 外的扫描。监视器在每个时间间隔内都会向预警中心发送自己收集到的信息， 预警中心根据这些数据计算出蠕虫的感染率、易感染主机数等，当推算出的 感染率是零或是变化过大时，即可能是一个错误的警报；反之，如果推算出 的感染率在一个正的常量值附近稳定或振荡，则认为检测到了蠕虫活动。这 种方法的检测范围是针对大规模网络的，它可以直接观察网络上数据包的异 常行为，并在蠕虫刚开始传播不久就进行预警，其对于检测未知或是变形的 蠕虫攻击都能有效的发挥作用。但是，此种方法的一个主要缺点就是系统的 监控范围必须很广，否则便不能做出可靠的分析，而要维护这么一个规模庞 大的防范体系很显然其代价也是很高的。 7 、基于目的与来源关联性( d s c 算法) 的蠕虫检测 目的与来源关联性( d s cd e s t i n a t i o n s o u r c ec o r r e l a t i o n ) 1 2 1 j 算法的提出 是基于这样一个前提：尽管网络蠕虫攻击感染方式多种多样，但通常情况下 大多数蠕虫都是利用某一网络服务( 用端口号来标识) 的漏洞进行感染，当 一个脆弱主机通过特定端口被感染后，它将通过相同端口感染下一台主机， 感染节点传出数据具有相似性。d s c 算法通过查看受害机器进出数据包的关 联性来找出感染特征，利用蠕虫有感染与被感染都会使用相同目的端口号( 标 识某服务) 的特性，观察受害机器的行为模式变化收到目的端口号为a 的数据包一段时间后大量产生目的端口号为a 的数据包。 利用d s c 算法可以确切方便地判断出机器被感染的时间，并且此方法不 需比较数据包负载，因此对于那些采用伪装技术的蠕虫也可以检测。但此方 法也存在如下缺陷：单纯采用端口号来做为判断依据，误报率会较高，因 为部分正常网络服务，如网络邻居、s m t p 服务器或某些p 2 p 共享软件也有 此类的行为模式；该方法无法对利用多个端口传播的蠕虫进行检测；尽 管这种检测方式漏报率很低，但无攻击发生时的误报率较高，为降低误报率， 1 3 哈尔滨t 程人学硕+ 学位论文 就需提高检测的阈值，这势必会降低检测告警的反应速度进而升高漏报率。 以该算法提出者的实验1 2 1 】为例，在监控一个b 类网络时，蠕虫大约感染了网 域上3 0 5 5 7 的主机后，系统才发出了告警。 8 、基于蜜罐技术的蠕虫检测 蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或多个易受攻击 的主机，给攻击者提供一个容易攻击的目标。它是一种信息系统资源，它的 价值在于可以被非授权和非法使用。由于蜜罐并没有向外界提供真正有价值 的服务，因此所有对蜜罐尝试都被视为可疑的。由于蠕虫随机选择i p 地址进 行探测，因此会向目的地址不可达或者根本不存在的系统发送连接请求。如 果使用蜜罐模拟这些系统，就可以诱骗蠕虫对其发起连接，从而获得发起连 接的蠕虫来源信息，通过集中分析蠕虫对不存在地址的访问情况和数据包信 息以及蠕虫连接企图，这样可以在蠕虫探测时就发现蠕虫行为，而且所分析 的数据量也相对较少。由于在后续章节还要对基于蜜罐技术的蠕虫检测做详 细的介绍和分析，故此处只是给出了极简要的概述。 综上所述，前面介绍的各种检测技术( 系统) 都有其相应的适用环境， 例如：那些利用大量i p 地址空间进行检测的技术，通常是运用在具有足够 i p 资源的学术单位或是大型防病毒软件开发商；而基于异常流量的检测系统 通常被那些掌控着一个或多个网域路由器的用户所使用，当其用户所能掌控 的资源有限时，这个系统可能就无法有效地工作。通过对以上内容的介绍和 分析，可以发现采用单一的某种检测技术是难以满足小型网络环境下的蠕虫 检测要求的，因此有必要寻求一种适合于小型网络或个人用户的简单易行的 蠕虫检测防御方案。 2 4 蜜罐技术研究 2 4 1 蜜罐技术的概念 1 、蜜罐的提出 当前互联网的安全状况令人担忧，主要表现在操作系统和应用软件存在 着大量的漏洞，网络用户的安全意识相当薄弱，并且缺乏自我防御的技术能 力；而对于攻击者而言，随着攻击工具的不断完善和发展，越来越多的攻击 1 4 哈尔滨f ：稃人学硕十学位论文 脚本和工具在网络上可以免费获得和使用，攻击者已经不需要太多的技术和 知识。这样的趋势造成了网络攻防双方非对称的博弈，如表2 1 【2 2 1 。 表2 1网络攻防的非对称博奔 攻击者防御者 工作量夜深人静，攻其弱点 时刻准备，全面防护 信息通过网络扫描，探测，踩点对目标全面j ，解对攻击者一无所知 后果任务欠败，极少受到损失安全策略被破坏，利益受损 蜜罐的提出正是试图改变网络攻防双方博弈的这种非对称性，用以增加 攻击者的攻击代价，减少对实际真实系统的安全威胁，同时可以让安全人员 了解攻击者所使用的攻击工具和攻击方法，并给公安执法部门追踪犯罪攻击 源，获取攻击行为和审计取证等方面开辟了新的思路。 2 、蜜罐的定义 对蜜罐系统的定义目前各不相同，但都大同小异。蜜罐一词来自英文 h o n c y p o t ，在国内有翻译成陷阱系统，也有翻译成蜜罐系统的。在这里本文 采用“蜜罐”一词，它准确而形象的表达了h o n e y p o t 的功能和思想。国际“蜜 网项目组”的创始人l a n c es p i t z n e r 给出了对蜜罐的权威定义【2 3 j ：蜜罐是一 种安全资源，其价值在于被扫描、攻击和攻陷。蜜罐没有产品价值，任何对 蜜罐的访问都可以视为是未被授权的或可疑的【2 4 , 2 5 l 。这个定义明确的表明了 蜜罐并无其它实际作用，只是一种对攻击者的欺骗技术，并没有业务上的用 途，不存在区分正常流量和攻击的问题，因此所有流入和流出蜜罐的网络流 量都可能预示着一次扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻 击活动进行监视、检测和分析。 蜜罐系统可以是一台模拟已知的漏洞或者某一服务的计算机，也可以模 拟各种操作系统及其相应的特点，或者就是一台普通标准的操作系统，只不 过经过了特殊的处理可以完整记录攻击者的攻击行为l 矧。蜜罐系统可以转移 攻击者的攻击力，使攻击者对真正系统攻击的危害性降到最低。 3 、蜜罐网络密网( h o n e y n c t ) 蜜网技术是在蜜罐技术上逐步发展起来的一个新的概念，又可称为诱捕 网络，它实质上仍是一种蜜罐技术，但其与传统的蜜罐技术相比具有两大优 势：首先，蜜网是一种高交互型的用来获取广泛的安全或胁信息的蜜罐。其 1 5 哈尔滨t 程大学硕士学位论文 次，蜜网是由多个蜜罐以及防火墙、入侵防御系统、系统行为记录、自动报 警、辅助分析等一系列系统和工具所组成的一整套体系结构，这种体系结构 创建了一个高度可控的网络，使得安全研究人员可以控制和监视其中的所有 攻击活动，从而去了解攻击者的攻击工具、方法和动机。此外，虚拟蜜网 通过应用虚拟操作系统软件( 如v i w a r e ：和u s e rm o d el i n u x 等) 使得用户 可以在单一的主机上实现整个蜜网的体系架构。虚拟蜜网的引入使得架设蜜 网的代价大幅降低，也较容易部署和管理，但同时也带来了更大的风险，黑 客有可能识别出虚拟操作系统软件的指纹，也可能攻破虚拟操作系统软件从 而获得对整