基于Honeynet蠕虫检测策略的研究

摘要：　将蜜网技术应用于蠕虫检测中，利用蜜罐技术较好地捕获蠕虫的样本，通过研究蠕虫的特性，有效抑制蠕虫的爆发提供可靠的数据。基于蜜罐的蠕虫防御技术有效地避免常有的蠕虫检测系统中误报、漏报率高以及不能全部检测到蠕虫的变种等问题。

关键词：　Honeynet；蠕虫检测；策略研究

0　引言

随着计算机网络突飞猛进的发展，它几乎渗透到各个领域中，社会对网络的依赖程度在不断地加强，但是网络本身就是一把双刃剑，在方便人们的同时，也让用户感觉到了前所未有的危险。在1988年的时候Robert　T.Morris蠕虫事件首次面世，网络安全研究人员便把网络蠕虫作为一个重要的课题来研究。2003年，MSBlast再次爆发，蠕虫研究更加成为网络工作者们关注的重点。

蠕虫是通过各个网络进行隐性传播，它在常见服务的安全漏洞或策略缺陷的基础上，对网络进行感染。可公开访问的主机上一旦出现了有漏洞的服务，蠕虫便会主动而快速地入侵到主机系统内部，进而隐性传播到访问主机的各个用户的主机及系统中，最终造成大规模的感染，甚至整条网络也会毁于一旦。在蠕虫感染的初期，蠕虫会占用被感染网络的大量资源和带宽，到发展到蠕虫负载具有不同程度的攻击性的时候，还可能造成用户数据的丢失，给人们带来无法挽回的损失[1]。

计算机系统一旦有蠕虫入侵到一台主机，便有可能感染整个网络。防火墙或杀毒软件以往的一些安全策略，对于蠕虫感染便显得力不从心，在这里我们引入了一种全新的安全技术，将蜜网技术（Honeynet）加入到蠕虫病毒防治中进行探索及讨论。

1　蜜网技术

蜜罐的价值是被扫描、攻击和攻陷注解[2]。它是一种安全资源，并不向任何用户提供服务，每一次进出蜜罐的主机都会被扫描一次，网络流量也预示着一次扫描、攻击和攻陷。蜜罐最核心价值在于对所有活动进行监视、检测和分析，最终能找到可疑数据。我们把蜜罐又简单地划分为单机蜜罐系统和Honeynet系统。所谓的Honeynet是一种被攻击或攻陷的网络资源，它本身存在一定的缺陷，但是它并不会对可疑数据进行任何修改，这就保证为我们保存与提供了完整和可靠第一手资料。Honeynet与传统的安全策略存在很大的差别，它的目的不是防止而是吸引攻击者，度对攻击者的行为进行记录、分析和学习与输出。但是我们并不是要把Honeynet技术完全替代防火墙、杀毒软件等传统的安全技术，而是要把他们结合起来，为整个网络安全作出新的贡献。

2　蠕虫病毒及其特征

2.1　蠕虫

计算机病毒是网络安全面临最普通又最难解决的问题，自从1988年Morris蠕虫爆发后，Spafford为了把蠕虫和病毒区分开，他简单地把计算机病毒定义为：一段能把自身加到其他程序可以是操作系统上；但是不能独立运行，必需由宿主程序运行来激活它的代码[2]。网络蠕虫与计算机病毒最大的差别便是具有主动性和攻击性和隐蔽性。

如果对蠕虫做一个定义，它应该是把网络攻击、密码学和计算机病毒技术综合为一体，完全具有主动性和智能性，在不需要计算机使用者干预的情况下即可运行的攻击程序或代码，它可以自动扫描和攻击网络上存在漏洞的各个节点主机，并通过网络传播到每一个节点主机上。再次说明它具有主动性、智能性和隐蔽性。

2.2　蠕虫的行为特征

蠕虫随着使用者技术知识水平及所运用漏洞类别的不同，出现了多种不同的分类。在这里我们按功能对蠕虫进行划分，它主要包括传播、隐藏和感染三个功能模块，传播模块主要负责蠕虫病毒的传播，隐藏模块负责先侵入主机，再隐藏到正常程序中，保证不被用户发现，感染功能模块是为了实现对计算机的控制、监视或破坏而设计的。在这里我们重点研究传播模块，又把它分为扫描、攻击和复制。网络蠕虫的攻击行为主要包括收集信息、扫描数据、渗透程序和自我改进。我们把蠕虫的工作流程归纳为：在自我繁殖的基础上，再利用软件漏洞给整个网络造成拥堵，通过大量地消耗网络资源，最终给整个网络留下安全隐患，甚至是摧毁整条网络[3]。

3　Honeynet在蠕虫防御策略中的应用

Honeynet技术引入到网络安全中并不是一个新的课题，但如何能真正地发挥它的作用，我们便需要把它不同于传统安全策略的技术引入到各个领域，如今我们把Honeynet技术应用到防御蠕虫病毒中，希望给网络安全带来更多的希望。

3.1　常见的蠕虫检测技术

网络蠕虫的检测技术是随着网络蠕虫编写技术的提高而发展的。蠕虫技术一次又一次地更替流行再繁衍，网络安全研究人员也绞尽脑汁改善、创新着网络蠕虫的检测技术，他们二者是一个对立统一的过程，在对立的过程中求新、求进、求发展，网络安全研究人员永恒的追求便是准确而高效地检测到病毒，把用户的损失降到最低，保护网络的安全，用户的利益。

以往我们最常见的蠕虫检测技术有基于签名的检测技术、网络黑洞检测技术和基于流量的检测技术等。基于签名的蠕虫检测技术可以高效准确检测到蠕虫，但它也有致命的缺点：随着蠕虫的变异，它的检测准确度也越来越低。但是蠕虫的变异的速度高得出乎人们的意料，相应的单纯的此种检测技术也不被人们所青睐。另外，基于签名的蠕虫检测技术存在着一定的滞后来性，因为在检测过程中要用到蠕虫的特征签名。网络黑洞检测技术的优点是适用范围广，无论是已知蠕虫还是未知蠕虫都要以扫描，但它不适用基于目标列表扫描的蠕虫和被动型扫描蠕虫，也存在很大的弊端。基于流量的检测方法最容易造成漏报现象，从而起不到应有的检测作用，给网络带来了本来可以预测的危险[4]。

3.2　基于Honeynet蠕虫检测技术

恶意软件日新月异，为了能更好地了解它们的特征，较之于被动地防御，我们更需要主动地了解分析它们，最终作出准确的判断。Honeynet的特征应运而生，恰好解决了这一问题。蜜罐技术能准确地捕获蠕虫的样本，给了我们第一手的资料，为我们准确研究蠕虫的特性，有效抑制蠕虫的爆发提供了可靠的数据。基于Honeynet的蠕虫检测技术，与常见的检测技术相比，最大的优点便是耗费资源小，配置简单，操作方便，容易恢复，但安全风险也随之而来，在运用蜜网技术的时候，要严格控制网络数据的来源，不能把真正具有危险性的数据放到Honeynet系统中，以防止攻击者把系统数据作为跳板，给网络带来真正的危险，那样后果将不堪设想。

3.3　基于Honeynet环境下的蠕虫防御策略

通常蠕虫的编写者都会考虑到运用各种算法和技术来达到在最短的时间内传播并感染到足够多的主机，进而造成最大的危险，对应的一个好的蠕虫检测和防御系统，最要力争做到能实时地、主动地检测突发的蠕虫事件，及时做出响应，避免蠕虫的大规模爆发，把网络的损失降到最低。基于蜜罐的蠕虫防御技术有效地避免了常有的蠕虫检测系统中存在的一些问题：误报、漏报率高、不能全部检测到蠕虫的变种以及无法按照蠕虫的危害级别进行分类处理等。

基于Honeyne的蠕虫防御技术包含了内部事件和网络事件作为蠕虫的观测事件。它是一个可控制的半自动化的蠕虫保护系统，通过利用高交互式蜜罐系统捕获所有的数据，在记录、分析和学习的基础上，把可疑的数据分离出来，并进行分析研究，做出相应的响应，自动更新蠕虫特征签名库。在最短的时间内，更新特征签名库中的数据并发送到安全控制中心，安全控制中心将捕获的蠕虫特征签名到本地局域网的网络入侵检测和阻止系统，及时高效地抑制蠕虫的爆发，达到封堵蠕虫、防御蠕虫的目的，更好地保护了网络，得到了安全[5]。

4　结论

本文主要针对以往大量蠕虫事件给信息网络安全带来的危害，在常见蠕虫的检测技术和防御技术的基础上，对基于Honeynet的蠕虫防御技术进行了研究，扭转了以往的被动防御局面，通过模拟大量漏洞系统，对发现蠕虫并分析研究提供了方便，有效改善了常用蠕虫检测技术高误报率的缺点。

参考文献：

[1]郑辉，Internet蠕虫研究：博士论文，南开大学，2000.

[2]闫伯儒、方滨兴、李斌、王垚，DNS欺骗攻击的检测和防范，计算机工程，2006，32，21.

[3]胡文、黄皓，蜜罐重定向机制的设计与实现，信息安全，文章编号：1008-0570（2006）01-　-0027-03.

[4]梁兴柱，网络安全“蜜罐”技术研究与实现，大庆石油学院，2006.

[5]王旭，基于蜜罐技术下的本地蠕虫检测和防御策略研究，大连交通大学，2009.