所屬技術領域

本發明涉及一種漏洞擬真超載蜜罐方法，屬于網絡信息安全技術領域。

背景技術

蜜罐和蜜網技術的應用是為了能有效的獲取網絡入侵信息，了解網絡入侵 的過程和目的以更好的防護。蜜網按交互能力可分為高交互蜜網和低交互蜜網。 現在高交互蜜網主要是用真實的主機來組成網絡，在真實的主機上安裝相應的 檢測工具，其能獲得較完全的入侵信息，但資源要求過高。低交互蜜網主要是 虛擬蜜網，在一臺主機上用軟件虛擬出蜜網，為虛擬的每臺主機配置系統信息， 其資源要求低，但具有較低的交互能力很容易被攻擊者識別出來，其能獲得較 少關于入侵的信息。

從九十年代初蜜罐概念的提出到1998年左右，“蜜罐”還僅僅限于一種思 想，通常由網絡管理人員應用，通過欺騙黑客達到追蹤的目的。這一階段的蜜 罐實質上是一些真正被黑客所攻擊的主機和系統。從1998年開始，蜜罐技術開 始吸引了一些安全研究人員的注意，并開發出一些專門用于欺騙黑客的開源工 具，這些蜜罐工具能夠模擬成虛擬的操作系統和網絡服務，并對黑客的攻擊行 為做出回應，從而欺騙黑客。

漏洞模擬是蜜罐技術的重要部分。為了提高蜜網的真實度，可以模擬出各 種操作系統及應用軟件具有的漏洞，并根據攻擊者對蜜網的入侵行為而采取相 應的回復，使攻擊者能夠探測出蜜罐中模擬的漏洞。

對于虛擬蜜罐工具在國內比較少，國外的開源軟件有honeyd、mwcollect、 nepenthes等。

1、現有漏洞模擬系統主要是根據分析器發出的探測包中是否含有特征碼， 并返回相應響應特征碼的數據包。因此首先要建立漏洞資料數據庫，對每一個 漏洞必須有探測特征碼和響應特征碼。漏洞掃描器對目標系統進行掃描，漏洞 模擬系統對數據報進行分析，遍歷數據庫查找是否有與檢測特征碼匹配的數據 報，如果檢測到數據報中包含檢測特征碼，就根據檢測特征碼找到相應的漏洞 信息，并將響應特征碼返回掃描器。這樣模擬的漏洞可欺騙簡單的掃描器，告 知系統存在某種漏洞，通過這樣的漏洞模擬可以獲得較少的入侵信息。

2、honeyd可以模擬少數漏洞，honeyd作為虛擬蜜罐工具通過腳本實現對 漏洞的模擬。

3、nepenthes可模擬一些現有的主要漏洞，主要用來捕獲惡意軟件的攻擊。 Nepenthes分為：the?core、vulnerability?modules、shellcode?parsing modules、fetch?modules、submission?modules。The?core控制與網絡的接口 并協調其他模塊；vulnerability?modules來模擬網絡服務的漏洞；shellcode modules分析漏洞模塊收到的數據，提取有關惡意軟件的信息；fetch?modules利 用提取到的信息來下載惡意軟件；最后submission?modules將下載的惡意軟件 保存。

綜上所述，現有蜜網中漏洞模擬技術的主要缺點是交互能力低，其模擬漏 洞僅能欺騙簡單的掃描和探測，很容易被攻擊者識破。而且，現有的漏洞模擬 技術不能給攻擊者提供利用漏洞的機會，無法捕獲更進一步的入侵行為。現在 高交互蜜網主要是用真實的主機來組成網絡，在真實的主機上安裝相應的檢測 工具，其能獲得較完全的入侵信息，但資源要求過高。

發明內容

本發明提出一種漏洞擬真超載蜜罐技術，該技術提高了交互的能力，不易 被攻擊者識破，并通過提供給攻擊者進一步利用漏洞的機會，從而記錄或捕獲 到進一步的入侵行為。

整個系統由主機、端口掃描欺騙模擬模塊、漏洞掃描欺騙模擬模塊、漏洞 攻擊欺騙模擬模塊、數據審計模塊和漏洞利用模塊組成。主機、端口掃描模擬 模塊、漏洞掃描欺騙模擬模塊組成虛擬蜜罐系統；漏洞攻擊欺騙模擬模塊在漏 洞蜜罐系統上實現；漏洞利用模塊在物理蜜罐上實現。

虛擬蜜罐系統根據用戶要求配置虛擬主機信息，在一臺主機上虛擬出多臺 虛擬主機，并配置虛擬網絡連接信息。在攻擊者看來虛擬主機與網絡中其它真 實的主機并無區別。更方便的是為每臺虛擬主機的漏洞進行配置，可為一虛擬 主機配置多個不同的漏洞；可以為多臺虛擬主機同時提供漏洞模擬功能，引導 攻擊者誤以為可對不同虛擬主機的漏洞進行攻擊利用。漏洞蜜罐系統指在虛擬 蜜罐系統上配置攻擊者可利用的漏洞信息和參數，物理蜜罐系統是真實的主機 或服務器，當攻擊者利用某個漏洞攻擊成功后，物理蜜罐提供攻擊者一個數據 交互的場所。