[发明专利]一种漏洞拟真超载蜜罐方法

说明书

所属技术领域

本发明涉及一种漏洞拟真超载蜜罐方法，属于网络信息安全技术领域。

背景技术

蜜罐和蜜网技术的应用是为了能有效的获取网络入侵信息，了解网络入侵 的过程和目的以更好的防护。蜜网按交互能力可分为高交互蜜网和低交互蜜网。 现在高交互蜜网主要是用真实的主机来组成网络，在真实的主机上安装相应的 检测工具，其能获得较完全的入侵信息，但资源要求过高。低交互蜜网主要是 虚拟蜜网，在一台主机上用软件虚拟出蜜网，为虚拟的每台主机配置系统信息， 其资源要求低，但具有较低的交互能力很容易被攻击者识别出来，其能获得较 少关于入侵的信息。

从九十年代初蜜罐概念的提出到1998年左右，“蜜罐”还仅仅限于一种思 想，通常由网络管理人员应用，通过欺骗黑客达到追踪的目的。这一阶段的蜜 罐实质上是一些真正被黑客所攻击的主机和系统。从1998年开始，蜜罐技术开 始吸引了一些安全研究人员的注意，并开发出一些专门用于欺骗黑客的开源工 具，这些蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行 为做出回应，从而欺骗黑客。

漏洞模拟是蜜罐技术的重要部分。为了提高蜜网的真实度，可以模拟出各 种操作系统及应用软件具有的漏洞，并根据攻击者对蜜网的入侵行为而采取相 应的回复，使攻击者能够探测出蜜罐中模拟的漏洞。

对于虚拟蜜罐工具在国内比较少，国外的开源软件有honeyd、mwcollect、 nepenthes等。

1、现有漏洞模拟系统主要是根据分析器发出的探测包中是否含有特征码， 并返回相应响应特征码的数据包。因此首先要建立漏洞资料数据库，对每一个 漏洞必须有探测特征码和响应特征码。漏洞扫描器对目标系统进行扫描，漏洞 模拟系统对数据报进行分析，遍历数据库查找是否有与检测特征码匹配的数据 报，如果检测到数据报中包含检测特征码，就根据检测特征码找到相应的漏洞 信息，并将响应特征码返回扫描器。这样模拟的漏洞可欺骗简单的扫描器，告 知系统存在某种漏洞，通过这样的漏洞模拟可以获得较少的入侵信息。

2、honeyd可以模拟少数漏洞，honeyd作为虚拟蜜罐工具通过脚本实现对 漏洞的模拟。

3、nepenthes可模拟一些现有的主要漏洞，主要用来捕获恶意软件的攻击。 Nepenthes分为：the core、vulnerability modules、shellcode parsing modules、fetch modules、submission modules。The core控制与网络的接口 并协调其他模块；vulnerability modules来模拟网络服务的漏洞；shellcode modules分析漏洞模块收到的数据，提取有关恶意软件的信息；fetch modules利 用提取到的信息来下载恶意软件；最后submission modules将下载的恶意软件 保存。

综上所述，现有蜜网中漏洞模拟技术的主要缺点是交互能力低，其模拟漏 洞仅能欺骗简单的扫描和探测，很容易被攻击者识破。而且，现有的漏洞模拟 技术不能给攻击者提供利用漏洞的机会，无法捕获更进一步的入侵行为。现在 高交互蜜网主要是用真实的主机来组成网络，在真实的主机上安装相应的检测 工具，其能获得较完全的入侵信息，但资源要求过高。

发明内容

本发明提出一种漏洞拟真超载蜜罐技术，该技术提高了交互的能力，不易 被攻击者识破，并通过提供给攻击者进一步利用漏洞的机会，从而记录或捕获 到进一步的入侵行为。

整个系统由主机、端口扫描欺骗模拟模块、漏洞扫描欺骗模拟模块、漏洞 攻击欺骗模拟模块、数据审计模块和漏洞利用模块组成。主机、端口扫描模拟 模块、漏洞扫描欺骗模拟模块组成虚拟蜜罐系统；漏洞攻击欺骗模拟模块在漏 洞蜜罐系统上实现；漏洞利用模块在物理蜜罐上实现。

虚拟蜜罐系统根据用户要求配置虚拟主机信息，在一台主机上虚拟出多台 虚拟主机，并配置虚拟网络连接信息。在攻击者看来虚拟主机与网络中其它真 实的主机并无区别。更方便的是为每台虚拟主机的漏洞进行配置，可为一虚拟 主机配置多个不同的漏洞；可以为多台虚拟主机同时提供漏洞模拟功能，引导 攻击者误以为可对不同虚拟主机的漏洞进行攻击利用。漏洞蜜罐系统指在虚拟 蜜罐系统上配置攻击者可利用的漏洞信息和参数，物理蜜罐系统是真实的主机 或服务器，当攻击者利用某个漏洞攻击成功后，物理蜜罐提供攻击者一个数据 交互的场所。