基于Argos的捕獲零日攻擊的蜜罐技術(shù)的研究.pdf

1、蜜罐是一種用來誘捕，延緩網(wǎng)絡(luò)攻擊和收集攻擊者信息的技術(shù)。它與其他入侵檢測軟件，防火墻和漏洞掃描軟件的最大區(qū)別是它響應(yīng)迅速，適應(yīng)能力強，能夠主動的捕獲攻擊，而不再是被動防御。我們能夠利用蜜罐搜集的日志來分析攻擊者的攻擊行徑，從而設(shè)計出新的防御方案，以最快的響應(yīng)速度減少受侵害的損失。蜜罐從簡單的低交互腳本模擬服務(wù)方式如今已經(jīng)發(fā)展到利用虛擬操作系統(tǒng)技術(shù)來使得攻擊者更難以辨認其與真實機的區(qū)別。一個虛擬蜜罐能夠在一種機器上模擬多種操作系統(tǒng)，構(gòu)成了

2、各式各樣的網(wǎng)絡(luò)環(huán)境，使其更加真實。Argos作為下一代新型高交互蜜罐，利用動態(tài)標(biāo)簽技術(shù)，從根本上能夠檢測出多種緩沖區(qū)溢出，能夠有效的捕獲到零日攻擊。 如果一個漏洞被發(fā)現(xiàn)后，在24小時內(nèi)，立即被惡意利用，出現(xiàn)對該漏洞的攻擊方法或出現(xiàn)攻擊行為，那么該漏洞被稱為“零日漏洞”，該攻擊被稱為“零日攻擊”。 Argos是一種利用蜜罐技術(shù)實現(xiàn)的安全模擬器，基于Qemu開發(fā)，Qemu足Linux平臺下利用動態(tài)翻譯機制來達到高模擬速度的開

3、源虛擬機軟件。Argos在Qemu的模擬機制上開發(fā)了相應(yīng)的檢測記錄機制，能夠誘騙遠端入侵者利用緩沖區(qū)溢出入侵操作系統(tǒng)，而入侵者并不知道入侵的其實足虛擬的操作系統(tǒng)，其入侵行為已被記錄。利用動態(tài)標(biāo)記分析技術(shù)，它能跟蹤網(wǎng)絡(luò)信息的執(zhí)行，發(fā)現(xiàn)多種試圖非法使用的代碼，并產(chǎn)生相應(yīng)的內(nèi)存日志記錄。Argos的最杰出的功能是識別出零日攻擊和其他類似的攻擊。一個高模擬度的蜜罐，不應(yīng)該隱藏起來，而應(yīng)該對外界可見，與真實機一樣，擁有顯視的IP，公開提供應(yīng)有的服

4、務(wù)，產(chǎn)生正常的流量。然而這一點對以前的蜜罐來說是不可能的，因為惡意的和無害的流量不能被區(qū)別開來。而Argos能夠精確的通報每一個可能成功的漏洞攻擊，將惡意流量進行記錄。因此對Argos的捕捉零日攻擊的原理有必要進行研究分析，所以本論文的工作主要集中在以下三個方面。 1．對緩沖區(qū)溢出原理進行深入研究，總結(jié)分析緩沖區(qū)溢出攻擊和防御途徑。 2．研究虛擬機的實現(xiàn)機制，并深入研究Qemu的實時翻譯機制。 3．研究以Argo