专利名称:一种漏洞拟真超载蜜罐方法
技术领域:
本发明涉及一种漏洞拟真超载蜜罐方法,属于网络信息安全技术领域。
技术背景蜜罐和蜜网技术的应用是为了能有效的获取网络入侵信息,了解网络入侵 的过程和目的以更好的防护。蜜网按交互能力可分为高交互蜜网和低交互蜜网。 现在高交互蜜网主要是用真实的主才几来组成网络,在真实的主机上安装相应的 检测工具,其能获得较完全的入侵信息,但资源要求过高。低交互蜜网主要是 虚拟蜜网,在一台主机上用软件虚拟出蜜网,为虚拟的每台主机配置系统信息, 其资源要求低,但具有较低的交互能力很容易被攻击者识别出来,其能获得较 少关于入^f曼的信息。从九十年代初蜜罐概念的提出到1998年左右,"蜜罐,,还仅仅限于一种思 想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。这一阶段的蜜 罐实质上是一些真正被黑客所攻击的主机和系统。从1998年开始,蜜罐技术开 始吸引了一些安全研究人员的注意,并开发出一些专门用于#太骗黑客的开源工 具,这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为估支出回应,从而#大骗黑客。漏洞模拟是蜜罐技术的重要部分。为了提高蜜网的真实度,可以模拟出各 种操作系统及应用软件具有的漏洞,并根据攻击者对蜜网的入侵行为而采取相 应的回复,使攻击者能够探测出蜜罐中模拟的漏洞。对于虚拟蜜罐工具在国内比较少,国外的开源软件有honeyd、 mwcollect、 nepenthes等。1、 现有漏洞模拟系统主要是根据分析器发出的探测包中是否含有特征码, 并返回相应响应特征码的数据包。因此首先要建立漏洞资料数据库,对每一个 漏洞必须有纟笨测特征码和响应特4正码。漏洞扫描器对目标系统进4于扫描,漏洞 模拟系统对数据报进行分析,遍历数据库查找是否有与检测特征码匹配的数据 报,如果检测到数据报中包含检测特征码,就根据检测特征码找到相应的漏洞 信息,并将响应特征码返回扫描器。这样模拟的漏洞可欺骗简单的扫描器,告 知系统存在某种漏洞,通过这样的漏洞模拟可以获得较少的入侵信息。2、 honeyd可以模拟少数漏洞,honeyd作为虚拟蜜罐工具通过脚本实现对 漏洞的模拟。 ■3、 n印enthes可;f莫拟一些现有的主要漏洞,主要用来捕获恶意软件的攻击。 Nepenthes 分为the core 、 vulnerability modules 、 shellcode parsing modules、 fetch modules、 submission modules。 The core 4空制与网纟备的才妄口 并协调其他模块;vulnerability modules来模拟网络月艮务的漏洞;shellcode modules分析漏洞模块收到的数据,提取有关恶意软件的信息;fetch modules利 用才是取到的信息来下载恶意软件;最后submission modules将下载的恶意软件 保存。综上所述,现有蜜网中漏洞模拟技术的主要缺点是交互能力低,其模拟漏 洞仅能欺骗简单的扫描和探测,很容易被攻击者识破。而且,现有的漏洞模拟 技术不能给攻击者提供利用漏洞的机会,无法捕获更进一步的入侵行为。现在 高交互蜜网主要是用真实的主机来组成网络,在真实的主机上安装相应的检测 工具,其能获得较完全的入侵信息',但资源要求过高。发明内容本发明提出一种漏洞拟真超载蜜罐技术,该技术提高了交互的能力,不易 被攻击者识破,并通过提供给攻击者进一步利用漏洞的机会,从而记录或捕获 到进一步的入侵行为。整个系统由主机、端口扫描欺骗模拟模块、漏洞扫描欺骗模拟模块、漏洞攻击欺骗模拟模块、数据审计模块和漏洞利用模块组成。主机、端口扫描模拟模块、漏洞扫描欺骗模拟模块组成虚拟蜜罐系统;漏洞攻击欺骗模拟模块在漏 洞蜜罐系统上实现;漏洞利用模块在物理蜜罐上实现。虛拟蜜罐系统根据用户要求配置虚拟主机信息,在一台主机上虚拟出多台 虚拟主机,并配置虚拟网络连接信息。在攻击者看来虚拟主机与网络中其它真 实的主机并无区别。更方便的是为每台虚拟主机的漏洞进行配置,可为一虚拟主机配置多个不同的漏洞;可以为多台虚拟主机同时提供漏洞模拟功能,引导 攻击者误以为可对不同虚拟主才几的漏洞进行攻击利用。漏洞蜜罐系统指在虚拟 蜜罐系统上配置攻击者可利用的漏洞信息和参数,物理蜜罐系统是真实的主机 或服务器,当攻击者利用某个漏洞攻击成功后,物理蜜罐提供攻击者一个数据 交互的场所。主机、端口扫描欺骗模拟模块主要完成对简单扫描器的欺骗; 漏洞扫描欺骗模拟模块完成对各种不同操作系统的不同漏洞的模拟; 漏洞攻击模拟模块对攻击者对漏洞的攻击进行处理和响应; 漏洞利用模块利用物理蜜罐系统来处理漏洞被攻破后攻击者对系统的搡作 信息,数据审计模块将所有攻击者攻击的过程以及回复过程的任何相关信息数据 记录。整个的方法具体步骤为首先,配置虛拟蜜罐系统、漏洞蜜罐系统和物理蜜罐系统,虛拟蜜罐系统 指配置虚拟主机的操作系统及端口特性,设置相应虚拟主机中存在的漏洞而形 成虛拟蜜网网络拓朴。漏洞蜜罐系统配置攻击者可利用的漏洞信息和参数。物 理蜜罐系统配置其系统信息和参数设置。第二步,在攻击过程中,攻击者首先对目标网络进行扫描。即指攻击序列 到达虚拟蜜罐时,根据情况由虚拟蜜罐部分根据网络配置来进行处理。然后攻 击者对虚拟主机进行端口扫描,端口扫描由虚拟蜜罐根据端口配置情况来进行 处理。接下来,攻击者对虛拟主机进行漏洞扫描,虚拟蜜罐根据漏洞配置信息进4亍响应处理。情况A:对于主机或端口扫描,系统利用主机、端口扫描欺骗模拟模块根据 配置文件直接进行回复。情况B:对漏洞的扫描时,系统进行模拟的漏洞则由漏洞模拟模块直接回复。 系统匹配漏洞扫描特征码,匹配成功则根据漏洞特征进行回复,即指目标主机 的端口和服务进行扫描后继续对相应端口可能存在的漏洞进行扫描,针对开放 端口的漏洞扫描信息由漏洞模拟模块根据配置情况进行处理。第三步,攻击者扫描出虛拟蜜罐系统模拟的不同漏洞之后,会利用这些漏 洞进一步攻击,此时,虚拟蜜罐系统将漏洞攻击数据流转发至漏洞蜜罐系统, 由漏洞攻击才莫拟模块对攻击者的漏洞利用攻击进行处理和响应。第四步,当攻击者利用漏洞攻击成功获取控制权时,则将此时的攻击数据 转交至物理蜜罐模块,攻击者与目标主机的交互过程由真实主机来完成。以上所有过程在回复攻击者之前都经过数据审计模块,将所有的攻击过程 和相关数据记录下来,最后,由数据审计模块综合分析整个攻击过程,描述攻 击者的入侵方法和意图。有益效果本申请所提供的高交互漏洞模拟技术具有多个优点 (1)高交互层次的漏洞才莫拟用本技术对虚拟主机配置了漏洞后,攻击者从网络中可扫描到系统存在的 漏洞。攻击者可以^^对真正的漏洞一样来攻击这些虚拟漏洞,然后攻击者可以 继续对虚拟主机做一定的操作。其中主机对攻击者的回复都是系统虚拟的,主 机中并不存在真实的可被利用的漏洞。在交互中可以获得对整个攻击过程较为 完全的掌握。(2 )低交互层次到高交互的灵活转换攻击者最初进行漏洞的^:测与扫描,漏洞拟真超载蜜罐以低交互的方式与其通信。随着获取的蜜罐信息的增多,攻击者开始利用探测的漏洞进行攻击, 此时,漏洞拟真超载蜜罐随即提高交互层次,对恶意代码进行捕获,或者提供黑客入侵的环境,使黑客入侵成功,并对其攻击行为进行捕获。(3 )提供大规模的模拟漏洞超载技术可以同时模拟大量漏洞并4是供交互功能。系统设置的多台虚拟主 机组成的蜜罐网络,用本技术为每台虚拟主机配置的漏洞可与不同的攻击者同 时进行交互。使用少量服务器设备就可以实现大规模蜜罐网络漏洞的模拟。(4) 覆盖范围广对于已有主要漏洞,通过模拟技术可欺骗对漏洞的访问。对于新发现的系 统漏洞,本技术方案采用将攻击数据转发真实主机的方法来处理。这使系统中 漏洞具有高交互功能,可处理所有对漏洞的访问l史据。(5) 全面捕获蜜网数据流对出入蜜网的数据进行全面监控,可获得较为完备的入侵者的攻击资料。 可获得恶意软件的注入和运行机制。可拦截攻击者以蜜网中主机为跳板对互联 网其他主机的攻击,了解攻击者的真正意图。(6 )漏洞拟真超载蜜罐能够在一 台服务器或主机上模拟多种不同操作系 统、应用软件的漏洞,具有较大的模拟规模,这样可以减小蜜网中硬件设备数 量,降低成本。
图1 一种漏洞拟真超载蜜罐方法的软件组成结构2 —种漏洞拟真超载蜜罐方法的攻击序列处理流程3 —种漏洞拟真超载蜜罐方法的漏洞模拟实施例拓朴图 图4 一种漏洞拟真超栽蜜罐方法的实现流程图
具体实施例方式下面通过一个应用实例来说明本发明的实施方案。在该应用实例中,本系 统的网络拓朴结构由虚拟蜜罐、漏洞模拟、物理蜜罐组成。有一台主机与网络 相连,在其上按需要虚拟多个虚拟主机,并配置每个虛拟主机的系统及服务情8况,为虚拟主机配置漏洞信息。漏洞模拟模块为虚拟主机提供漏洞模拟的功能,并实现与攻击者的交互功能。图中蓝色虚线表示虚拟的网络连接状况,在攻击者看来多个虚拟主机与网络连接并存在相应的漏洞,其与真实的主机并无差别。然而,在与虚拟主机通信时,实际上是与真实主机进行交互,真实主机根据配置来回应访问信息。对虚拟主机上的漏洞进行操作时,真实主机将数据转发给漏洞模拟模块来处理。从攻击方来看,漏洞就是存在于虛拟主机中的,整个过程与真实的一样。
在攻击者访问漏洞过程中,对系统可模拟的漏洞进行的扫描和攻击由漏洞模拟模块直接回复。当攻击者在攻破漏洞后,攻击者通过漏洞继续对目标主机进行操作时,漏洞模拟模块将攻击者的命令转交物理蜜罐来处理。
工作原理
本技术方案可监控所有进出虛拟蜜网的数据流,其中进入虛拟蜜网的数据由虚拟蜜罐对数据进行分类,其中对漏洞的攻击数据交漏洞模拟模块来处理。攻击序列处理方案
本技术方案可处理所有对漏洞的攻击,根据攻击的过程和漏洞的特点,将对攻击行为分别进行如下不同的处理。恶意軟件捕获
在攻击者向目标主机注入恶意软件时,本技术可以捕获恶意软件。采用在网络中或在目标主机上截获,并在虚拟环境中运行恶意软件,比较恶意软件运行前后系统的差别。研究恶意软件注入系统的方法和过程,研究攻击者入侵的目的。在恶意软件运行后,监控恶意软件的运行过程及网络数据流,了解恶意软件的作用并分析其特点。
数据监控
监控攻击者对系统进行攻击的整个过程的数据流,分析攻击者入侵的手段和目的。攻击者对虚拟主机中的漏洞进行攻击,在攻击成功后,攻击者可能会利用目标主机去执行某些恶意操作。所以对攻击者与目标主机间的数据流进行监控,对从被控制的虚拟主机发出的数据流过滤,拉截其中的具有危害性的数据流。
漏洞模拟实施例拓朴图如下图1所示
该蜜罐技术具有以下三个层次
1. 低交互层次实现对各种不同操作系统、应用软件漏洞的模拟,使得攻击者能够扫描探测到模拟漏洞;
2. 中交互层次在对各种操作系统和软件漏洞;^莫拟的J^出上,捕获利用该漏洞传播的恶意代码;
3. 高交互层次在各种漏洞模拟的基础上,引诱利用该漏洞传播的恶意代码,并提供恶意代码执行的环境,使攻击者能够完成发现漏洞、利用漏洞入侵主机的整个过程。
这三个层次是互相联系,逐步深入的。应用这种思想和技术,不但能够模拟
各种漏洞,吸引攻击者注意,还能够在蜜网管理者的监控下,提供黑客利用漏
洞进^f亍攻击的环境,实现AM氐到高的交互层次转变。
如图1所示,网络由攻击机、虛拟主机、漏洞模拟、物理蜜罐组成。其中
虚拟主机是由一台真实主机虚拟出来的,并且漏洞模拟部分运行在与其相连的
另一台主机上,物理蜜罐则与漏洞模拟相连。在攻击机上来扫描网络中存在的
主机和相应主机上的服务和漏洞。
整个系统由主机端口扫描欺骗模块、漏洞扫描欺骗模拟模块、漏洞攻击模
拟模块、数据审计模块和漏洞利用模块组成。
主机、端口扫描欺骗模拟模块主要完成对简单扫描器的欺骗;
漏洞扫描欺骗模拟模块完成对各种不同操作系统的不同漏洞的模拟;
漏洞攻击^t拟^^莫块对攻击者对漏洞的攻击进行处理和响应;
漏洞利用模块利用物理蜜罐系统来处理漏洞被攻破后攻击者对系统的操作
信息,物理蜜罐系统是真实的主机或服务器,当攻击者利用某个漏洞攻击成功
后,物理蜜罐提供攻击者一个数据交互的场所。
数据审计模块将所有攻击者攻击的过程以及回复过程的任何相关信息数据记录。整个的方法具体步骤为
首先,配置虚拟蜜罐系统、漏洞蜜罐系统和物理蜜罐系统,虚拟蜜罐系统指配置虛拟主机的操作系统及端口特性,设置相应虚拟主机中存在的漏洞而形成虚拟蜜网网络拓朴。漏洞蜜罐系统配置其可利用的漏洞信息和参数。物理蜜罐系统配置其系统信息和参数设置。在本例中,虚拟蜜罐网络中IP为192. 168. 2. 10的虚拟主机开发FTP服务(21端口 ),并配置FTP PASS緩冲区溢出漏洞。
第二步,在攻击过程中,攻击者首先对目标网络进行扫描。即指攻击序列到达虛拟蜜罐时,根据情况由虚拟蜜罐部分根据网络配置来进行处理。然后攻击者对虚拟主机进行端口扫描,端口扫描由虚拟蜜罐根据端口配置情况来进行处理。接下来,攻击者对虚拟主机进行漏洞扫描,虚拟蜜罐根据漏洞配置信息进行响应处理。本例中,攻击者首先扫描4笨测到192. 168. 2. 10主4&存活,开放了 21端口 ,并存在FTP PASS漏洞。
情况A:对于主机或端口扫描,系统利用主机、端口扫描欺骗模拟才莫块根据配置文件直接进行回复。
情况B:对漏洞的扫描时,系统进行模拟的漏洞则由漏洞模拟模块直接回复。系统匹配漏洞扫描特征码,匹配成功则根据漏洞特征进行回复,即指目标主机的端口和服务进行扫描后继续对相应端口可能存在的漏洞进行扫描,针对开放端口的漏洞扫描信息由漏洞模拟模块根据配置情况进行处理。
第三步,攻击者扫描出虚拟蜜罐系统模拟的不同漏洞之后,会利用这些漏洞进一步攻击,此时,虚拟蜜罐系统将漏洞攻击数据流转发至漏洞蜜罐系统,由漏洞攻击模拟模块对攻击者的谅洞利用攻击进行处理和响应。本例中,攻击者针对FTP PASS漏洞进行攻击。
第四步,当攻击者利用漏洞攻击成功获取控制权时,则将此时的攻击数据转交至物理蜜罐模块,攻击者与目标主机的交互过程由真实主机来完成。本例中,最终攻击者成功利用了 FTP PXSS漏洞获取了管理员权限。
以上所有过程在回复攻击者之前都经过数据审计模块,将所有的攻击过程和相关数据记录下来,最后,综合分析整个攻击过程,描述攻击者的入侵方法和意图。
本发明包括^旦不限于以上的实施例,凡是在本发明的精神和原则之下进行的任何局部改进,等同替换都将视为在本发明的保护范围之内。
权利要求
1.一种漏洞拟真超载蜜罐方法,其特征在于包括主机、端口扫描欺骗模拟模块、漏洞扫描欺骗模拟模块、漏洞攻击欺骗模拟模块、数据审计模块和漏洞利用模块;主机、端口扫描模拟模块、漏洞扫描欺骗模拟模块组成虚拟蜜罐系统;漏洞攻击欺骗模拟模块在漏洞蜜罐系统上实现;漏洞利用模块在物理蜜罐上实现;虚拟蜜罐系统根据用户要求配置虚拟主机信息,在一台主机上虚拟出多台虚拟主机,并配置虚拟网络连接信息;在攻击者看来虚拟主机与网络中其它真实的主机并无区别;漏洞蜜罐系统指在虚拟蜜罐系统上配置攻击者可利用的漏洞信息和参数,物理蜜罐系统是真实的主机或服务器,当攻击者利用某个漏洞攻击成功后,物理蜜罐提供攻击者一个数据交互的场所;主机、端口扫描欺骗模拟模块完成对简单扫描器的欺骗;漏洞扫描欺骗模拟模块完成对各种不同操作系统的不同漏洞的模拟;漏洞攻击模拟模块对攻击者对漏洞的攻击进行处理和响应;漏洞利用模块利用物理蜜罐系统来处理漏洞被攻破后攻击者对系统的操作信息,数据审计模块将所有攻击者攻击的过程以及回复过程的任何相关信息数据记录。
2. 根据权利要求1所述的一种漏洞拟真超载蜜罐方法,其特征在于整个 的方法具体步骤为首先,配置虚拟蜜罐系统、漏洞蜜罐系统和物理蜜罐系统,虚拟蜜罐系统 指配置虚拟主机的操作系统及端口特性,设置相应虚拟主机中存在的漏洞而形 成虚拟蜜网网络拓朴;漏洞蜜罐系统配置攻击者可利用的漏洞信息和参数。物 理蜜罐系统配置其系统信息和参凄t设置;第二步,在攻击过程中,攻击者首先对目标网络进行扫描。即指攻击序列 到达虛拟蜜罐时,根据情况由虚拟蜜罐部分根据网络配置来进行处理,然后攻 击者对虚拟主机进行端口扫描,端口扫描由虚拟蜜罐根据端口配置情况来进行处理,接下来,攻击者对虚拟主机进行漏洞扫描,虚拟蜜罐根据漏洞配置信息 进4亍响应处理;情况A:对于主机或端口扫描,系统利用主机、端口扫描欺骗模拟模块根据 配置文件直接进行回复,情况B:对漏洞的扫描时,系统进行模拟的漏洞则由漏洞模拟模块直接回复; 系统匹配漏洞扫描特征码,匹配成功则根据漏洞特征进行回复,即指目标主机 的端口和服务进行扫描后继续对相应端口可能存在的漏洞进行扫描,针对开放 端口的漏洞扫描信息由漏洞模拟模块根据配置情况进行处理;第三步,攻击者扫描出虛拟蜜罐系统模拟的不同漏洞之后,会利用这些漏 洞进一步攻击,此时,虚拟蜜罐系统将漏洞攻击数据流转发至漏洞蜜罐系统, 由漏洞攻击模拟模块对攻击者的漏洞利用攻击进行处理和响应;第四步,当攻击者利用漏洞攻击成功获取控制权时,则将此时的攻击数据 转交至物理蜜罐模块,攻击者与目标主机的交互过程由真实主机来完成;以上所有过程在回复攻击者之前都经过数据审计模块,将所有的攻击过程 和相关数据记录下来,最后,由数据审计模块综合分析整个攻击过程,描述攻 击者的入侵方法和意图。
3. 根据权利要求1所述的一种漏洞拟真超载蜜罐方法,其特征在于在虚 拟蜜罐系统中,在为每台虚拟主机的漏洞进行配置时,能为一个虚拟主机配置 多个不同的漏洞。
4. 根据权利要求1所述的一种漏洞拟真超载蜜罐方法,其特征在于在虚 拟蜜罐系统中,能多台虚拟主机同时提供漏洞模拟功能,引导攻击者误以为可 对不同虚拟主^L的漏洞进^f亍攻击利用。
全文摘要
本发明公开了一种漏洞拟真超载蜜罐方法,包括主机、端口扫描欺骗模拟模块、漏洞扫描欺骗模拟模块、漏洞攻击欺骗模拟模块、数据审计模块和漏洞利用模块;当攻击序列到达虚拟蜜罐时,根据情况由虚拟蜜罐系统来进行处理;当攻击者对虚拟主机进行漏洞扫描,虚拟蜜罐根据漏洞配置信息进行响应处理;接着,会利用这些漏洞进一步攻击,此时,虚拟蜜罐系统将漏洞攻击数据流转发至漏洞蜜罐系统,由漏洞攻击模拟模块对攻击者的漏洞利用攻击进行处理和响应;最后,当攻击者利用漏洞攻击成功获取控制权时,则将此时的攻击数据转交至物理蜜罐模块,所有的攻击过程和相关数据由数据审计模块记录下来并进行综合分析。本方法减小蜜网中硬件设备数量,降低了成本。
文档编号H04L12/24GK101567887SQ20091013609
公开日2009年10月28日 申请日期2009年4月28日 优先权日2008年12月25日
发明者朱峻茂, 杨义先, 斌 武, 王秀娟, 赵建鹏, 郑康锋, 郭世泽 申请人:中国人民解放军总参谋部第五十四研究所;北京邮电大学;北京工业大学