基于網(wǎng)絡(luò)流量的低交互性蜜罐檢測(cè)技術(shù)研究.pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，互聯(lián)網(wǎng)已經(jīng)在人們?nèi)粘Ｉ钪邪缪葜絹?lái)越重要的角色，也帶來(lái)了許多不容忽視的潛在威脅。由于網(wǎng)絡(luò)協(xié)議不可避免的一些缺陷，網(wǎng)絡(luò)經(jīng)常遭受到黑客的惡意攻擊，諸如拒絕服務(wù)攻擊、網(wǎng)絡(luò)蠕蟲攻擊、跳板攻擊等方式。針對(duì)網(wǎng)絡(luò)安全問(wèn)題，蜜罐技術(shù)提出了主動(dòng)防護(hù)的入侵誘騙技術(shù)，通過(guò)進(jìn)行積極地入侵檢測(cè)，實(shí)時(shí)地將可疑目標(biāo)引向自身，導(dǎo)致攻擊失敗，有效地保護(hù)目標(biāo)，是目前比較有效的網(wǎng)絡(luò)安全技術(shù)手段。蜜罐從發(fā)布至今，不斷的被人研究并發(fā)現(xiàn)各種漏洞。目前許多國(guó)

2、內(nèi)外組織及個(gè)人已經(jīng)提出了一些蜜罐檢測(cè)技術(shù)，包括本文提出的基于網(wǎng)絡(luò)流量的檢測(cè)技術(shù)，已經(jīng)對(duì)蜜罐技術(shù)的生存狀況提出了嚴(yán)峻挑戰(zhàn)。
　　 本文選取了低交互性蜜罐中最典型的一個(gè)開源解決方案Honeyd作為研究對(duì)象，現(xiàn)有的基于Honeyd協(xié)議仿真缺陷的檢測(cè)技術(shù)研究，檢測(cè)效率不高，并且容易被Honeyd修復(fù)，不能更進(jìn)一步促進(jìn)低交互性蜜罐技術(shù)的進(jìn)步，基于網(wǎng)絡(luò)流量的Honeyd檢測(cè)方法能夠根據(jù)網(wǎng)絡(luò)流量特征采取一系列的檢測(cè)方法，提高檢測(cè)準(zhǔn)確度，主要工

3、作如下:
　　 1) Honeyd搭建的虛擬主機(jī)以及所形成的蜜罐系統(tǒng)，通常它們與網(wǎng)絡(luò)上的其他主機(jī)幾乎不會(huì)有交互，處于“孤立”狀態(tài)。利用這一網(wǎng)絡(luò)流量特點(diǎn)，對(duì)各個(gè)IP的主機(jī)進(jìn)行流量分析和數(shù)據(jù)量測(cè)量，可以達(dá)到發(fā)現(xiàn)虛擬主機(jī)進(jìn)而檢測(cè)出蜜罐系統(tǒng)的目的。實(shí)驗(yàn)表明，該方法能簡(jiǎn)單有效的檢測(cè)出諸如Honeyd的低交互性蜜罐系統(tǒng)。
　　 2)低交互性蜜罐必須與物理機(jī)器中的所有進(jìn)程共享資源，其網(wǎng)絡(luò)流量交互必須依賴真實(shí)的主機(jī)。根據(jù)這一特點(diǎn)，找到一

4、種方法與蜜罐進(jìn)程爭(zhēng)奪物理機(jī)器的系統(tǒng)資源，將可以使蜜罐虛擬主機(jī)產(chǎn)生比以前更長(zhǎng)的反應(yīng)延遲，達(dá)到識(shí)別出虛擬主機(jī)的目的。實(shí)驗(yàn)表明，該方式能夠準(zhǔn)確的確定網(wǎng)絡(luò)中的虛擬機(jī)群，且該方式針對(duì)的蜜罐缺陷不易于修復(fù)。
　　 3)集成基于網(wǎng)絡(luò)流量的兩種特征的檢測(cè)方法，形成本文的低交互性蜜罐檢測(cè)方法。實(shí)際運(yùn)用中，先通過(guò)流量分析和測(cè)量的方式掌握虛擬機(jī)群范圍，然后采用檢測(cè)延遲變化準(zhǔn)確確定蜜罐虛擬主機(jī)。選取一種常見(jiàn)的Honeyd檢測(cè)方法，與本文研究的檢測(cè)方法進(jìn)