[摘要] 蠕虫对互联网的威胁是越来越严重,但是honeynet的出现为解决问题指出了一个新的途径。在本文中,介绍了蜜网和蠕虫的定义,并在了解蜜网和蠕虫的基础上,给出了三种在蜜网中防御蠕虫的方法:重定向技术,honeystat技术和honeycomb技术。
[关键词] 蜜网 蜜罐 重定向 honeystat honeycomb
随着 Internet 的发展, 基于互联网的应用系统越来越多, 社会对网络的依赖日益增强, 同时网络的安全也面临着巨大的挑战,例如著名的1988年Robert T. Morris 蠕虫事件成为网络蠕虫攻击的先例, 从此,网络蠕虫成为研究人员的重要课题。
蠕虫利用常见服务的安全漏洞或策略缺陷,通过网络进行传播,如果有漏洞的服务被安装在大量可公开访问的主机上,蠕虫就能自动入侵这些系统,造成大范围的感染。在发现和感染弱点系统阶段,蠕虫占用大量网络和系统资源,如果蠕虫负载具有攻击性,则还会造成窃取用户敏感数据、删除宝贵资源等无法挽回的后果。传统的安全措施,如防火墙或入侵检测技术(IDS)显得力不从心,这就需要引入一种全新的技术。这里从理论上对目前网络安全领域的最新主动入侵防护(Intrusion Prevention System,IPS)技术,即蜜网技术(Honeynet),引入到蠕虫病毒防治中进行探索及讨论。
一、Honeynet和蠕虫
1.Honeynet
Honeynet是一种被故意设计成存在缺陷,用来被攻击或攻陷的网络资源。它用于吸引攻击者入侵,对攻击者的一切操作进行分析和学习。在一个Honeynet中,可以有各种不同的网络设备和操作系统,并可以同时运行不同的服务。 Honeynet技术不能完全替代防火墙、入侵检测系统(IDS)等传统的安全技术,而要与他们合作来构成这个网络体系架构。
一个标准的Honeynet主要由防火墙、入侵检测系统(IDS)、日志服务器和多个Honeypot主机组成。其中防火墙和IDS对所有进出Honeynet的数据进行捕获和控制,然后对所捕获的信息加以研究,以便得到关于攻击者的一些资料。而Honeynet将系统日志发送到服务器上保存,加强了对日志的保护。Honeynet可以是任何默认安装的系统。设置好Honeynet之后,尽可能不对系统进行修改,以确保系统不会被攻击者发现这是一个Honeynet。
2.蠕虫
早期恶意代码的主要形式是计算机病毒,1988年Morris蠕虫爆发后,Spafford为了区分蠕虫和病毒,对病毒重新进行了定义,他认为,“计算机病毒是一段代码,能把自身加到其他程序包括操作系统上;它不能独立运行,需要由它的宿主程序运行来激活它”而网络蠕虫强调自身的主动性和独立性。
我们认为“网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,不需要计算机使用者干预即可运行的攻击程序或代码,它会扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或者国际互联网从一个节点传播到另外一个节点”。该定义体现了新一代网络蠕虫智能化、自动化和高技术化的特征。
蠕虫的行为特征:
从功能模块实现可以看出,网络蠕虫的攻击行为可以分为4个阶段:信息收集、扫描探测、攻击渗透和自我推进。信息收集主要完成对本地和目标节点主机的信息汇集;扫描探测主要完成对具体目标主机服务漏洞的检测;攻击渗透利用已发现的服务漏洞实施攻击;自我推进完成对目标节点的感染。
通过对蠕虫的整个工作流程进行分析,可以归纳得到它的行为特征为:自我繁殖、 利用软件漏洞、造成网络拥塞、消耗系统资源、留下安全隐患等。
二、Honeynet技术在对抗蠕虫的应用
Honeynet技术在安全领域正在得到越来越广泛应用,我们使用Honeynet技术对抗蠕虫病毒,这些研究中的方法也成为Honeynet 信息分析技术的一部分。
1.重定向技术
重定向的基本思想是:通过Honeynet中的Honeypot来伪装被保护区的主机,对进入保护区的主机的流量利用网络入侵检测和主机上的入侵检测,由Honeynet重定向器进行控制,将恶意流量重定向到Honeypot上进行拖延攻击和深入研究,系统的架构如右图:
系统的实现原理如下:
(1)获取重定向信息:我们通过静态和动态两种方式来获取,静态的可以在Honeypot重定向器启动时,通过读取配置文件得到(已知的攻击)需要重定向到Honeypot中上的入侵者信息,动态的我们利用SSL通讯机制和FIFO队列机制,不停的接受来自NIDS和被保护主机HIDS报告的入侵者信息。
(2)管理黑名单:通过对黑名单的比对,对新的入侵者进行重定向转移,并更新黑名单;对已经重定向的攻击者更新攻击时间,延长其被重定向的时间,又避免重复实施重定向。
(3)实施重定向转移:对来自攻击者的数据包,并通过IPTables的标志技术将其重定向到相应的Honeypot上去,并记录重定向日志。
(4)独立的撤销重定向进程:定时启动进程,根据配置文件中定义的重定向时长来判断,对已经到达时长的通过IPTables的标志技术将其重定向到真实的主机上去。
当蠕虫感染我们的主机我们能做什么呢?首先通过重定向技术,重定向到Honeynet中去,或者对那些不明的数据包进行观测和控制,当它们发起攻击时重定向到Honeynet中去,然后对它的行为特征进行研究;如MSBlast蠕虫,通过TCP要求进入port时,Honeynet响应请求,这样我们就有了感染MSBlast蠕虫的机会,重定向到Honeynet中去,TFTP能够获得MSBlast蠕虫,研究它的行为和流量,通过动态的重定向技术,配合入侵检测系统,能够控制MSBlast蠕虫。
2.Honeystat技术
Georgia大学的David Dagon等人采用HoneyStat来识别蠕虫,一种基于Honeypot技术和Logistic回归理论的病毒检测的方法,HoneyStat是一种脚本驱动、自动的、覆盖大量IP地址的Honeypot, 每个HoneyStat节点可以产生三类事件警报: 内存事件警报、磁盘事件警报和网络事件警报,内存事件包括缓冲区溢出等操作,网络事件包括下载蠕虫代码,磁盘事件包括对文件系统的修改等操作。 然后基于Logistic回归理论对这些警报进行分析, 就可以检测出当前是否有病毒或自动的攻击正在局域网中活动。
当一个HoneyStat事件发生时,我们一般采取以下的方法分析;
(1)当一个报警事件发生时,我们检查Honeypot是否已经记录它为活动、事件,如果它是一个正在感染中的事件,我们简单的加以记录。比如,如果我们首先发现一个内存事件,然后又在同一Honeypot里发现了磁盘事件,那么我们将添加诸如磁盘事件和相关的网络活动等信息,来更新原来的内存事件的信息。我们这样做的目的使得内存事件所记录的信息更丰富。据此,使得Honeypot能够更好的检测事件,保持活动状态。
(2)如果一个事件还包括网络事件(比如下载一个egg或发起一个扫描活动),那么报告此类事件的honeypot将被重置。这主要是因为两个方面:一是为了和Honeypot数据控制的原则相符,我们必须防止其他节点对这个节点的攻击;二是,一旦发起一个网络活动,我们必须记录尽可能多的攻击行为,用来推断蠕虫目前是感染性的。如果只是观察到磁盘事件或者内存事件,那么honeypot所在的节点不需要重置。我们利用一个仿真器来部署所有的Honeypot节点,那么重置在实践上也是很快的。若利用轮询调度方式对一个虚拟磁盘进行复制,那么我们将不得不停止或者重启仿真器,复制得到的磁盘映像保持挂起状态,并不需要亲新启动客户操作系统。重置延迟很短,通常几秒钟或者一分钟,并且一般在TCP超时发生之前完成。
(3)分析节点检查事件的基本属性,并由此决定哪些节点需要重置以适应受影响的操作系统(OS)。此刻,honeypot节点通常被设置成覆盖各种操作系统linux,windows,而且还包含不同补丁,如果其中一个操作系统感染了蠕虫,那么重置大部分节点运行有漏洞的操作系统,意义将会显得非同寻常。这将会使得所有honeypot节点捕获类似事件的可能性大大提高。
3.Honeycomb技术
剑桥大学的Kreibich等人提出使用honeypot来自动提取蠕虫的特征,然后将这些特征加入到现有的IDS特征库。他们将这个系统称为Honeycomb。
主要步骤为:首先对进入Honeycomb的数据包按照协议进行解析,然后提取应用层数据,利用后缀树算法(suffix tree)提取出最长的相同子串,最后将这些子串作为蠕虫的特征加入到IDS的特征库中。
采用这种方法,可以极大地减少人工操作,大大的减少事件的分析量,还改变了IDS系统的被动防御为主动防御,并且可以缩短蠕虫发生到特征提取之间的时间,有助于在初期就发现蠕虫。
三、结论
Honeynet技术处于发展阶段,但也为整个网络安全注入了新的技术。相对于其他安全机制,它具有使用简单, 配置灵活, 占用的资源少,可以在复杂的环境下有效地工作,收集的数据和信息有很好的针对性和研究价值。既可作为独立的安全工具, 还可以与其他安全机制联合使用。Honeypot也存在收集数据面比较狭窄和引入了新的风险的不足。Honeypot技术不能完全取代其他安全机制,应将其与被动防御技术结合起来使用,以增强网络和系统的安全性。本文中所说的方法就是采用Honeynet技术和被动防御技术相结合,增强了系统安全性。而其在蠕虫病毒防治中病毒中的运用还处于理论研究阶段,我们可以通过增加全球的观测点,来观察和提取出蠕虫的行为特征,达到主动防御蠕虫的目的,当然各种新的观点和技术还在不断地出现,他们都将得到充分的发展和运用,其应用前景也将会越来越广阔。
参考文献:
[1]胡文,黄 皓:蜜罐重定向机制的设计与实现; 信息安全、文章编号:1008-0570(2006)01- -0027-03
[2]DavidDagon,XinzhouQin,GuofeiGu,WenkeLee;JulianGrizzard,JohnLevine,and HeyOwen; HoneyStat: LocalWormDetection Using Honeypots
[3]文伟平卿斯汉蒋建春王业君:网络蠕虫研究与进展.软件学报