基于蜜罐技术的恶意移动代码扫描监测模型研究

摘要：目前恶意移动代码的传播严重威胁着Internet网络安全。介绍了常用网络监测技术，阐述了蜜罐技术概念、工作原理、交互级别，设计了基于蜜罐技术的恶意移动代码扫描监测模型，并对模型中各个模块进行了详细分析。实践证明，该模型能够及时、有效地监测网络中的恶意移动代码威胁，更好地保护网络和主机安全，减少网络恶意侵害行为。

关键词：恶意移动代码；蜜罐技术；监测；数据采集

中图分类号：TP309.5文献标识码：A文章编号：1672-7800（2012）010-0160-02

基金项目：河南省教育科学“十一五”规划2009年项目（2009-JKGHAG-0321）

作者简介：王乐乐（1985-），女，中国人民信息工程大学信息工程学院硕士研究生，研究方向为网络安全；邢颖（1985-），女，中原工学院软件学院助教，研究方向为网格计算与云计算。

0引言

恶意移动代码（MaliciousMobileCode-MMC）是指在计算机之间以及网络之间移动的任何程序代码，这些代码未经任何允许和授权，有意对计算机系统内容进行篡改，从而达到破坏计算机数据完整性以及降低网络运行可用性的目的。恶意移动代码包括计算机病毒、木马、蠕虫、恶意脚本以及流氓软件等。恶意移动代码具有自我复制和自我传播特性，主要表现为：用户机密信息受到威胁、造成骨干网或局域网阻塞、网络服务中断、僵尸网络（Botnet）等，严重威胁着Internet网络安全。蜜罐技术可通过模拟服务来获取入侵事件的具体信息，已成为目前网络安全领域的新兴技术，本文提出的基于蜜罐技术的恶意移动代码扫描监测模型能有效对网络中恶意移动代码进行监测，及早、有效地发现面临的威胁，保护网络与主机安全。

1常用网络监测技术

为了减少网络恶意侵害行为对互联网基础设施以及主要应用系统的危害，必须对相关网络威胁进行监测和追踪。目前，监测方式主要分为两类：主机监测和网络监测。主机监测是指在用户主机上安装反病毒软件和基于主机的入侵检测软件，对入侵主机的已知恶意代码进行检测和告警。网络监测方式中，常用技术是在活动（active）网络中被动监听网络流量，利用检测算法识别网络入侵行为。虽然监测活动网络扩大了监测范围，但是如何区分活动网络中的“善意”和恶意流量却变得非常困难，导致检测结果中存在大量虚警；另一种网络监测技术是指在未使用的IP地址空间内被动收集数据。但这种集中收集恶意流量的方式割裂了恶意流量与原有活动网络流量之间的关联；最后一种网络监测技术是将未使用地址空间伪装成活动网络空间，通过与入侵者的主动交互获取入侵详细信息，如蜜罐技术（HoneynetProject，相关软件有honeyd等）。与以上两种网络监测技术相比，蜜罐技术能够有效地将活动网络中的恶意流量分离出来，监测到与活动主机相关联的网络入侵行为，从而达到保护网络的目的。

2蜜罐技术

蜜罐（Honeypot）技术作为一种典型的主动防御技术，是近年来的研究热点。蜜罐技术研究发起人LanceSpitzner给出的定义是：蜜罐是一种安全资源，它的价值体现在被刺探、攻击或者被摧毁的时候。蜜罐系统主要包括了网络诱骗、数据控制、数据捕获、数据报警、数据分析和日志远程存储等功能模块。

蜜罐的工作原理是通过引诱攻击者的入侵来保护系统本身安全，能通过某种方式监测与跟踪入侵者的行为，并将其记录在日志中对攻击方法进行技术分析，从而学习入侵者的工具、策略和方法。

蜜罐按照交互的级别，可以分为低、中、高三种交互级别：

低交互honeypot没有真正的操作系统可供攻击者使用，也不会给系统带来额外的风险。由于它不可能观察攻击者与操作系统的交互过程，因此不能收集到真正有意义的信息。此阶段主要提供检测功能。

中交互honeypot设置了一些信息以供交互，但未提供一个真正的底层操作系统。因为honeypot的交互能力提高了，攻击者发现安全漏洞的可能性也更大，所以增加了风险。

高交互honeypot有真正的底层操作系统，攻击者能够上传、安装新文件，可以与操作系统交互，也能够攻击各种应用程序，会给系统带来很大的风险，但捕获到有用信息的可能性越大。

3基于蜜罐的扫描监测原型系统设计与实现

本文在分析了蜜罐技术在实际部署中必须考虑的相关因素的基础上，针对恶意移动代码的特点，构建了基于蜜罐技术的恶意移动代码扫描监测模型，目标是对校园网内的恶意扫描源进行监测和预警。模型按功能实现可以划分为两部分：监测部分和预警处理部分，监测部分是预警处理部分的基础。

3.1模型构成

整个系统由6个模块构成，如图1所示，分别为监测数据采集模块、数据存储和预处理模块、单点检测预警模块、检测结果可视化模块、多点综合处理与预警模块、防火墙访问规则自动生成模块。除监测数据采集模块属于监测部分外，其余模块均属于预警处理部分。

系统框图如图1所示。整个系统的数据处理流程描述如下：

监测数据采集模块负责在监控网络内采集恶意扫描流量，将流量数据输送至数据存储与预处理模块中的数据服务器，并对存储格式进行简单转换处理，然后单点检测预警模块分别对各采集点的流量数据进行统计分析，形成单点扫描检测预警结果。该结果一方面由可视化模块进行可视化，另一方面传输给多点综合处理与预警模块进行综合处理与预警。综合检测与预警结果由可视化模块进行可视化输出，同时由防火墙规则自动生成模块生成防火墙访问规则，与防火墙联动对恶意扫描源行为进行控制。

3.2监测数据采集模块

监测数据采集模块为模型的基础模块，只有监测数据采集准确，才能提供有效的处理信息给后续预警分析。在监测数据采集模块中，首先应该确定监测点在网络中的部署位置。因为本文系统提出的设计目标是监测校园网内的恶意扫描源，所以监测重点是出现在校园网内部的扫描连接，根据部署原则，监测点需要部署在校园网防火墙内，并且是由内部路由器连接的网络中。由于蜜罐技术可以把网络中路由未使用的IP地址伪装成“活动主机”，因此在内部网络中，监测点主要以活动主机的形式存在。

3.3单点检测预警模块

单点检测预警模块为模型的核心处理模块之一，其功能是对各个监测采集点数据进行独立统计，并且进行扫描源与扫描端口的监测、报警、预警。根据蜜罐的工作原理，访问蜜罐的网络行为被认为未授权或恶意行为，所以基于蜜罐技术的扫描监测模型捕获到的流量一定是纯的异常流量。本文采用的蜜罐技术可以直接确定访问源性质，从而将研究重点集中在扫描源行为的研究而不是在扫描源识别上。

3.4可视化模块

可视化模块是实现数据检测结果方便用户可视的重要模块，主要由Web网页相关处理脚本构成，建立了专门的Web网站扫描源检测处理可视化结果。网站可以自动更新每日扫描源检测报警、预警结果，提供数据库查询接口页面，并且为用户提供以日、周、月为单位的扫描源检测结果。

3.5多点综合处理与预警模块

多点综合处理与预警模块是模型的核心模块，其功能是以时间为尺度对各个单点检测报警的结果进行关联分析和综合分类，从而形成来自于不同的监控网段共同扫描行为的综合报警和预警报告，并且将结果输入到防火墙访问规则自动生成模块，进而对后续相同的扫描源的恶意移动行为进行控制。有关关联分析处理参阅文献。

3.6防火墙访问规则自动生成模块

当今网络中普遍采用的网络安全防御部署系统主要有防火墙、入侵防护系统（IPS）和入侵检测系统（IDS）等。这几个系统的基本工作原理是根据一定的访问控制规则对恶意移动行为进行逻辑判断，因此如何提取和制定控制规则对于这些网络安全防御系统的正常运行起着重要作用。因为蜜罐技术具有针对性强、检测准确的检测优势，所以检测结果可生成相对应的访问控制规则，并且反馈给其他广泛应用的网络安全防御系统使用，以便于发挥更大的检测效用。

4结语

蜜罐技术是目前网络安全领域的新兴技术，通过模拟服务来获取入侵事件的具体信息，通过在一台物理主机上虚拟网络和不同操作系统的主机来扩大监测地址空间。本文主要工作为：设计了基于蜜罐技术的恶意移动代码扫描监测模型，并对监测数据采集模块、数据存储和预处理模块、单点检测预警模块、检测结果可视化模块、多点综合处理与预警模块、防火墙访问规则自动生成模块等各个模块进行了详细介绍，此模型能有效检测恶意移动代码威胁。模型的具体实现，以及多矢量传播监测系统部署问题是下一步研究的主要工作。

参考文献：

[1]GRIMESRA.MaliciousMobileCode[C].USA：O’Reilly&Associates，2001.

[2]SymantecCorporation[EB/OL].http：//.1995/20075-10-29.

[3]SANS.Sans-InternetStormCenter-CooperativeCyberThreatMonitorandAlertSystem[M].Press，2004.

[4]HoneynetProject[EB/OL].2003-01-01/2007-05-15.http：//.

[5]程志鹏.基于Honeypot技术的入侵诱骗系统的研究与应用[J].网络安全技术与应用，2008（2）.

[6]于雪丽.分布式IDS报警数据融合模型的研究与实现[D].北京：清华大学，2005.