信息安全 您的论文得到两院院士关注 文章编号：1008-0570(2007)01-3-0065-03 分布式蠕虫蜜罐部署策略分析 ResearchonthedeploymentstrategyofdistributedhoneypotbasedonInternetwormdetection (哈尔滨工业大学)王琦吴冰云晓春 WANG QI WU BING YUN XIAOCHUN 摘要：蜜罐的捕获能力来自于其数量和分布位置，在同一网络拓扑中，运用合理的部署策略，可以部署最少的蜜罐，在最短的 时间内捕获到虫样本。本文讨论了蜜罐以及烯虫扫描策略的研究内容，对红色代码蠕虫进行了深入的分析，根据随机扫描 扫描策略建立了蜜罐部署策略模型，针对红色代码这种网络虫的扫描策略，在模拟环境下对蜜罐部署策略进行了验证。 关键词：网络蠕虫;分布式蜜罐;部署策略 中图分类号：TP393 文献标识码：A Abstract:The capture ability of honeypot comes from its number and the distributed places. In the same network topology, by using proper deployment strategy,the number of honeypot and the worm capturing time can both be minimized.Here we discuss the re- search content of honeypot and the scan strategy of the intemet worms ,and analyze the principium of RedCode wom, we also estab- lish a honeypot deployment strategy model based on network worm scan strategy.Finally,we validate the honeypot deployment strategy 技 against RedCode worm scan strategy int network simulation environment. Key words:internet worm,distributed honeypot,deployment strategy 术 互联网给人们带来了巨大的方便，同时也使人们遭受着计 大的推动作用。 算机系统安全和网络安全的威胁。众多威胁中，网络螨虫的威 1.1蜜罐 胁日益增加。网络蝎虫呈现出极高的传播速度和巨大的破坏能 如何能够更多的获取攻击资源，并且如何保障蜜罐不被攻 力，在现在乃至可预见的未来都是一种不容忽视的威胁。 破，是针对蜜罐本身研究的核心问题。 蜜罐作为一种主动防御的方法近几年来逐渐受到人们的 表1蜜罐的分类 关注。通过它可以了解入侵者的动机、意图和手段。对于网络螨 分类标准 分类名称 主要特点 无工代表 虫来说，可以发现新的蠕虫，并分析其手段，使虫在大规模爆 交互层次 低交互蜜罐 容易部署和安装，简单的模拟一些系统和服务，Hiney Specter 易被黑客识别，信息和风险均有限 发之前，用户可能采取一定的防御手段，从而减轻虫造成的 中交互度蜜 比低交互蜜谨模拟的操作系统种类多，比高交互蜜 ManTnap 危害。 境的使用受限 蜜的捕获能力很大程度上来自于其数量和分布范围。为 高交互蜜储 操作复杂，真实地系统和服务，信息丰富，安全风 Honeynet 险高，不易被识别 此产生了分布式蜜罐的概念，即在网络中布置物理位置相对独 ManTnip 部署目标 产品型蜜谈 主要用来保护一家组织 立的蜜罐。合理的选取部署蜜罐策略，会让我们在最短的时间 研究型蜜罐 更多的用来学习 Honeymet 最大概率并且最减少蜜罐数量的捕获到蠕虫样本。但是如何在 蜜网是在蜜罐技术上逐步发展起来的一个新的概念。蜜网 网络中部署蜜罐目前并没有形成一个指导用户的标准文档，所 技术实质上还是一类研究型的高交互蜜罐技术，其主要目的是 以研究分布式蜜罐的部署策略是非常有意义的。 收集黑客的攻击信息。但与传统蜜罐技术的差异在于，蜜网构 成了一个黑客诱捕网络体系架构，在这个架构中，可以包含- 1蜜罐 个或多个蜜罐，同时保证了网络的高度可控性，以及提供多种 蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这 工具以方便对攻击信息的采集和分析。 个定义表明蜜罐并无其他实际作用，因此所有流人/流出蜜罐的 1.2分布式蜜罐 网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值 蜜罐的捕获能力来自于其数量和分布范围，所以提出了分 就在于对这些攻击活动进行监视、检测和分析。 布式蜜罐的概念，即在网络中布置物理位置相对独立的蜜罐。分 目前，蜜罐研究的主要方向有：蜜罐本身的配置和研究，分 布式蜜罐是与蜜网不同的技术，它强调的是区域的分布式，即 布式蜜罐的研究以及反蜜罐技术的研究。这三个方面的研究侧 地理位置的分布式，而蜜网技术则是在一个点所作的体系架 重点不同：蜜罐本身的研究侧重于如何设计适合公众场合使用 构，蜜网可以作为分布式蜜罐的节点。 的蜜罐，分布式蜜罐的研究侧重于如何能够最快的信息量最大 1.3蜜罐农场部署 的捕获到攻击信息，而分蜜罐技术研究的是如何识别蜜罐，穿 为了便于蜜罐的部署和管理，蜜网项目组提出了蜜场的方 透蜜罐，避开蜜罐的识别，反蜜罐技术对蜜罐部署的研究有极 案，即将蜜罐在网络中集中放置形成“农场”,通过重定向的手 段，将恶意攻击集中到部署了各种蜜罐的“农场”中，由农场进 王琦：硕士研究生 行统一管理，这种模式降低了管理的复杂度，但是同时也引来 基金项目：国家自然科学基金(60403033)项目资助 了安全风险性的增加，一旦蜜罐农场被识破，就有可能全军覆 《PLC技查应用200例》 t 中文核心期刊《微计算机信息》（管控一体化)2007年第23卷第1-3期 信息安全 没。所以这种部署模式仅停留在概念研究上。 服务器。该攻击代码在系统中运行时没有任何权限限制，因此 能够完成任意操作。 2网络蠕虫 红色代码螨虫的传播采用了随机扫描策略，随机扫描会对 网络螨虫是一种智能化、自动化，综合网络攻击、利用密码 整个地址空间的IP随机抽取进行扫描，而选择性随机扫描将最 学和计算机病毒技术，不需要计算机使用者干预即可运行的攻 有可能存在漏洞主机的地址集作为扫描的地址空间，也是随机 击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主 扫描策略的一种.所选的目标地址按照一定的算法随机生成,互 机，通过局域网或者国际互联网从一个节点传播到另外一个节 联网地址空间中未分配的或者保留的地址块不在扫描之列.本 点”该定义体现了新一代网络螨虫智能化、自动化和高技术化 文中对红色代码螨虫的代码进行了修改，使其满足选择性随即 的特征,是文献中对网络蜗虫定义的扩展， 扫描策略，但是不同的是红色代码蠕虫只会扫描感染我们放在 螨虫的主要传播特点：蝎虫是一种通过网络传播的恶性病 白名单之内的IP地址。 毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同 3.3基于随机性扫描策略的蠕虫的分布式蜜罐的部署策略 时具有自已的一些特征，如不利用文件寄生（有的只存在于内存 的研究 中），对网络造成拒绝服务，以及和黑客技术相结合等等！在产生 定理：在网络中没有防火墙强的情况下，对于随机扫描策 的破坏性上，螺虫病毒也不是普通病毒所能比拟的，网络的发展 略的蠕虫，当蜜罐放置在某个子网的出人口时，分布式蜜罐的 使得蠕虫可以在短短的时间内蔓延整个网络，造成网络摊痪！ 投放点放置和该子网的ip数量成一定正比关系。 蠕虫的扫描策略会影响分布式蜜罐的部署方式 证明： 按照蠕虫对目标地址空间的选择方式进行分类，扫描策略 在这里我们假设在网络中没有防火墙，由于选择性随机传 包括：选择性随机扫描、顺序扫描、基于目标列表的扫描、分治扫 播策略，也就是说对于扫描目标的选取是随机的，那么如果某 描、基于路由的扫描、基于DNS扫描等。 个子网的ip数目越多，其被扫描的概率就越大，把当蜜罐资源 技 本文针对采用选择性随机扫描策略的蠕虫，提出了一种分 有限时，把蜜罐选择放置在这些ip数目相对来说比较多的子网 布式蜜罐的部署策略 中，对于整个蜜罐所在的分布式网络来说，捕获蠕虫的概率就 术 随机扫描会对整个地址空间的IP随机抽取进行扫描，而选 越大，捕获到螨虫的时间也就越短。 择性随机扫描将最有可能存在漏洞主机的地址集作为扫描的 P(某个子网被蠕虫扫描的概率)= N_subnet（该子网的ip总数） 创 地址空间，也是随机扫描策略的一种.所选的目标地址按照一定 N（所有的ip总数） 的算法随机生成，互联网地址空间中未分配的或者保留的地址 若P的值越大则说明该子网被扫描，感染的概率越大。那 新 块不在扫描之列.。 么当我们没有足够的蜜罐资源可以放置在每个子网上时，就可 3蜜罐投放策略研究 以选取这样的子网来配置蜜罐。 4模拟实验 3.1蜜罐的选取 正如我们在第二部分分析的一样，不同种类的蜜罐完成的 4.1模拟的实验环境 工作，以及其安全级别存在差异，考虑到网络螨虫的工作机制 本实验环境由NS2模拟而成。在不考虑有防火墙和系统打 以及其原理，针对蠕虫的自动传播性，可繁殖性以及传播速度 补丁的情况，设置三个中心，然后每个中心连接不同的分中心， 快的特点，为了更得好获取虫信息，我们采用了高交互的蜜 将各个分中心看成一个子网，