基于虛擬蜜罐的入侵特征碼生成

摘要：目前許多入侵檢測系統基于被動防御，需要及時更新入侵檢測規則庫，否則將對最新的攻擊產生漏報現象。而虛擬蜜罐系統基于主動防御，利用虛擬蜜罐軟件Honeyd的插件Honeycomb可以為入侵檢測系統自動生成攻擊特征碼，從而降低入侵檢測系統的漏報幾率。

關鍵詞：入侵檢測系統；虛擬蜜罐；Honeyd；Honeycomb

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)22-716-02

The Creation of Intrusion Detection Signatures Based on the Virtual Honeypots

TANG Xin-yu，CHEN hao

(School of Computer and Communication，Hunan University，Changsha 410082，China)

Abstract:Many instrusion detection system(IDS) are based on the passive defense currently， thus needs to renew the instrusion detection signatures in time.Otherwise， it will fail to report the latest attack. Virtual Honeypots are based on the active defense， which requires such Honeyd plug-in software namedHoneycomb to create aggressivecondition code for the IDS， dropping the rate of failing report.

Key words: Instrusion detection system;Virtual honeypots;Honeyd;Honeycomb

1 引言

隨著計算機技術的發展及互聯網的普及，在人們的日常生活中，計算機起著越來越重要的作用，但隨之而來的網絡安全問題也日益突出。針對這些問題，目前使用了多種網絡安全技術，其中入侵檢測技術就是應用較廣泛的一種。

入侵檢測系統采用拒絕型防御策略，屬于被動防御技術。其最為關鍵的就是如何定義可疑行為，基于規則是最為常見的方法。基于規則的入侵檢測都有一個龐大的規則庫，而更新規則庫是一個被動的行為，當有某種新的攻擊出現，就要定義相應的規則，否則入侵檢測系統就會漏報這種攻擊。顯然被動更新規則難以及時應對新的攻擊，一種基于主動防御的蜜罐技術應運而生。

2 蜜罐技術

蜜罐（Honeypot）的定義存在著多種解釋。蜜罐技術的奠基者Lance Spitzner對蜜罐如下定義：蜜罐是一種資源，它的價值在于被攻擊或攻陷，這就意味著蜜罐希望被探測、攻擊甚至攻破，蜜罐并非用來解決某個問題的，而主要是用于收集有關攻擊的一些有價值信息。通過一個精心設置的蜜罐系統來引誘黑客，并對黑客進行跟蹤，借以觀測記錄入侵者如何攻擊系統。通常在蜜罐中放置一些入侵者希望得到的敏感信息，當然這些信息都是虛假信息，或是故意留下一些安全漏洞。入侵者與蜜罐的交互時間越長，他們所使用的技術和方法就暴露的越多，所收集的信息也就越多。這些信息可以被用來了解他們使用的攻擊工具和方法，發現系統的未知漏洞以及相應的攻擊，這樣就可以更好地保護系統和網絡安全。

2.1 蜜罐的作用

蜜罐和傳統的網絡安全技術不是完全沒有聯系，蜜罐需要防火墻和入侵檢測系統的主要功能，具有以下作用和意義。

1)簡單、實效。將一個不加修飾的系統暴露在入侵者面前，再通過各種手段收集入侵者的信息，監視他們的活動，就構成了一個簡單的蜜罐。

2)主動防御。傳統的防御手段都是被動的，它們只限于對已知攻擊的響應。而對于各種新攻擊，傳統的被動防御手段起到的只能是亡羊補牢的作用，只能在系統遭到破壞或造成了不可挽回的損失后才發現并認識新的攻擊，因此主動權掌握在攻擊者手中。蜜罐正好可以改變這種局面，它能夠誘惑或欺騙攻擊者，讓他們優先攻擊蜜罐而不是實際的工作系統。從捕獲的數據中能夠學習攻擊者的工具、方法和動機，了解他們入侵一個系統后會做什么，這樣就能更好地理解面臨的威脅，而且贏得了研究對策的時間。

3)蜜罐是很好的入侵者追蹤環境。一般來說，對入侵的響應有兩種選擇：一是切斷入侵者與系統或網絡的連接并恢復系統；二是繼續開放系統，跟蹤并收集更多關于入侵者的信息。對于實際工作網絡通常選擇第一種，因為繼續開放系統將會面臨系統被嚴重破壞的威脅，因此沒有足夠的時間去搜索入侵者的更多信息。由于蜜罐中沒有正常的網絡訪問，發現入侵后，不必斷開連接，還可以利用各種網絡攻擊誘騙技術迷惑他，讓他在系統中長時間逗留，這樣就有充足的時間跟蹤他，找到他發起攻擊的最初位置。

2.2 虛擬蜜罐Honeyd

目前蜜罐產品種類比較多，本文采用的是基于Libpcap庫捕獲技術的虛擬蜜罐軟件Honeyd，是由Google工程師Neils Provos創建的一種強大的開放源代碼蜜罐，其具有如下優勢[4]：

1)Honeyd具有對數百萬個IP地址進行監視以及主動擔當起尋址的能力，并且所有功能同時進行。

2)Honeyd是作為后臺進程來運行，它產生的蜜罐是由后臺進程所模擬。故運行Honeyd的主機能有效的控制系統安全。

3)Honeyd可以通過插件形式載入相應的腳本來與黑客進行交互，這些腳本可以模仿相應的服務，增加與攻擊者交互的深度。

4)Honeyd具有相應的指紋匹配機制，能欺騙攻擊者的指紋工具。

5)Honeyd能在網絡層次虛擬大量的蜜罐，這些蜜罐之間可以是松散的集合，也可以組成嚴密的網絡體系，從而構成一個虛擬的蜜罐網絡。

此外，Honeyd還有一些優勢。Honeyd最初是在Linux下開發的，開放源代碼，讓大家共享程序代碼；由于程序的模塊化設計，人們可以方便的進行修改；作者在制作Honeyd軟件的時候特地設計了很多功能的插件接口，而本文要實現的功能就是利用了Honeyd的插件支持功能。

3 Honeycomb應用與研究

3.1 Honeycomb簡介

Honeycomb利用了Honeyd插件支持功能，在Honeyd的基礎上使用了插件機制和回調鉤子。插件機制允許我們獨立于Honeyd編寫插件程序；回調鉤子的作用是在當收到或發送數據包時通知插件對數據進行處理。

Honeyd能夠模擬許多不同的計算機，并且在這些計算機上模擬不同的服務。而Honeycomb則作為一個插件牢牢監視著Honeyd的網絡傳輸，并對Honeyd的連接狀態進行管理。Honeycomb同樣基于Lipcap庫來進行網絡數據捕獲。通過將Honeycomb整合到Honeyd，Honeycomb可以時時檢測到Honeyd的連接狀態，當Honeyd收到新的連接數據包時，Honeycomb同樣能夠檢測到這個連接的啟動。

3.2 特征碼生成

Honeycomb捕獲到數據并將數據流表示成Message的鏈表后將開始特征提取，特征提取可分為3步[5]：

1)對收到的數據進行網絡層和傳輸層的檢查和入侵特征提取，此處可以進行連接企圖檢查，如檢查目標IP是否落在可疑IP段(如未使用的IP地址)里，檢查TCP標志為的組合是否異常，檢查IP分片偏移量是否正常。出現異常的部分將被提取出來作為入侵特征。

2)如果第一步的檢查未發現有入侵特征，則這一步對具有相同目標端口的連接的數據負載進行模式字符串提取。

3)如果第一、二步可以提取出入侵特征則將此特征送入特征池，并定期對特征池的特征進行處理并輸出為入侵檢測規則偽碼。

在第二步中對數據負載進行特征提取時，調用了LCS算法，對數據負載進行最大相同子串匹配，對超過設定長度的字串作為入侵特征進行輸出。并對數據流進行流重組，即對屬于同一個流（從一個IP端口傳向另一個IP端口的有序數據）的數據進行存儲和拼接。

3.3 系統應用

本文描述的系統模式是利用虛擬蜜罐為入侵檢測系統生成攻擊特征碼，降低入侵檢測系統的誤報、漏報幾率，入侵檢測系統采用同樣開源的Snort軟件。系統模型如圖1。

■

圖1 利用虛擬蜜罐為Snort生成攻擊特征碼

Snort首先對網絡數據包進行截獲，然后對截獲的數據包進行各種支持網絡協議的格式分析，接著對數據包應用特征庫中的各種規則，判斷是否有入侵發生。如果判斷為入侵行為，則生成警報信息；否則將正常的網絡數據包重新插入到系統協議棧中去，使其繼續傳遞。

在使用時，特征庫需要不斷更新，對一些最新的攻擊可能會產生漏報現象。而虛擬蜜罐系統則采取主動防御的方式，利用特征碼生成，為Snort自動更新或生成特征碼，從而降低Snort未及時更新特征庫導致的漏報幾率。

4 小結

如上所述，Honeyd可以對攻擊進行早期的預報，利用Honeyd為入侵檢測系統產生入侵規則。Honeycomb是Honeyd的插件，可以自動地為入侵檢測系統Snort產生特征碼。當有數據包進出時，Honeycomb會記錄這些數據包。然后對這些數據包進行入侵模式抽取，并且把這些模式和Snort的模式庫進行比較。如果模式庫中沒有相似的入侵模式存在，Honeycomb會自動創建一個新的模式。如果模式庫中有相似的模式存在，Honeycomb則會更新該模式，即對于新攻擊Honeycomb能幫助Snort及時地發現這種攻擊。對于已有的攻擊，Honeycomb會將攻擊的變種反映到Snort的模式中使其更具有通用性。換言之，借助于Honeycomb、Snort就可以同時檢測出己有攻擊及其變種。

參考文獻：

[1] 周蓮英，曹登元，年軼.虛擬蜜罐系統框Honeyd的分析與研究[J].計算機工程與應用，2005(27):141-144.

[2] 官凌青，類嘉鵬，劉莉. Honeyd的擴展設計與實現[J].北京：電子科技學院學報，2006，14(4).

[3] 肖蓉.基于Honeypot技術的網絡安全研究[D]. 廣東:廣東工業大學，2007.

[4] Provos N. A Virtual Honeypot Framework[Z].Google，Inc.

[5] Kreibich C.， Crowcroft J. HoneycombCreating Intrusion Detection Signatures Using Honeypots[D]. University of Cambridge Computer Laboratory.