CN108521406A - 一种基于蜜罐技术捕获网络蠕虫的方法 - Google Patents
一种基于蜜罐技术捕获网络蠕虫的方法 Download PDFInfo
- Publication number
- CN108521406A CN108521406A CN201810233295.5A CN201810233295A CN108521406A CN 108521406 A CN108521406 A CN 108521406A CN 201810233295 A CN201810233295 A CN 201810233295A CN 108521406 A CN108521406 A CN 108521406A
- Authority
- CN
- China
- Prior art keywords
- worm
- snort
- honey jar
- network
- loophole
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Medicinal Preparation (AREA)
Abstract
一种基于蜜罐技术捕获网络蠕虫的方法,涉及一种捕获网络病毒的方法,所述方法包括a.提取该蠕虫程序特征:启动带有某一漏洞的服务程序,并查看漏洞服务端口;利用netcat监听端口,创建一个开放的socket并捕获所有发往该socket的活动,进行监听;捕获蠕虫;根据病毒特征片段编写Snort入侵规则;进行入侵检测,创建端口监听器,然后以入侵检测方式运行Snort;观察snort捕获情况,并查看snort报警日志;利用蜜罐与网络蠕虫进行交互:蜜罐请求下载蠕虫病毒体;蜜罐主机创建4567/tcp监听器。本发明自制了一个蜜罐来捕获网络蠕虫病毒,解决计算机蠕虫病毒给网络世界带来的巨大危害。
Description
技术领域
本发明涉及一种捕获网络病毒的方法,特别是涉及一种基于蜜罐技术捕获网络蠕虫的方法。
背景技术
自1998年莫氏放出第一个蠕虫病毒以来,计算机蠕虫病毒以其快速、多样化的传播方式给网络世界带来巨大灾害。特别是网络的迅速发展令蠕虫造成的危害日益严重,造成一个谈毒色变的网络世界。
不同于一般的病毒,病毒是一段可执行代码 ,它具有独特的复制能力 ,可以把自身附着在各种类型的文件并在一定条件下激活 ,这一特点很像生物病毒。而宏病毒是一种新形态的病毒 ,它寄生在一些数据文档中以便在不同的操作系统中使用 ,已具备了跨平台传播的能力。蠕虫则完全不同 ,它是通过计算机网络连接进行传播 ,通常在计算机内存中复制自己的一段程序;蠕虫不需要宿主程序 ,它在结构、 攻击内容以及检测方法上和普通病毒有着根本上的不同;蠕虫更接近于黑客工具 ,而不是病毒。
蠕虫的工作原理一般是:首先,蠕虫的扫描功能模块负责探测存在漏洞的主机。随机选取某一段IP地址,然后对这一段上的主机扫描。这样,随着蠕虫的传播,新感染的主机也开始进行这种扫描,这些扫描程序不知道哪些地址已经被扫描过,它只是简单的随机扫描互联网。于是蠕虫传播的越广,网络上的扫描包就越多。即使扫描程序发出的探测包很小,积少成多,大量蠕虫程序的扫描引起的网络拥塞就非常严重了。其次,当蠕虫扫描到网络中存在的主机后,就开始利用自身的破坏功能获取主机的管理员权限。最后,利用原主机和新主机的交互将蠕虫程序复制到新主机并启动。
发明内容
本发明的目的在于提供一种基于蜜罐技术捕获网络蠕虫的方法,该方法通过使用一个端口监视程序对特定的端口进行监听并记录下所有连接到这些端口的活动,自制了一个蜜罐来捕获网络蠕虫病毒,解决计算机蠕虫病毒给网络世界带来的巨大危害。
本发明的目的是通过以下技术方案实现的:
一种基于蜜罐技术捕获网络蠕虫的方法,所述方法包括以下具体过程:
a.提取该蠕虫程序特征:
(1)启动带有某一漏洞的服务程序,并查看漏洞服务端口,以确认带有某一漏洞的服务程序运行正常;
(2)利用netcat监听端口,创建一个开放的socket并捕获所有发往该socket的活动,对一个特定的端口进行监听;
(3)利用Snort捕获蠕虫;
(4)根据病毒特征片段编写Snort入侵规则;
(5)进行入侵检测,创建端口(漏洞服务)监听器,然后以入侵检测方式运行Snort;
(6)观察snort捕获情况,并查看snort报警日志;
b. 利用蜜罐与网络蠕虫进行交互:
(1)蜜罐请求下载蠕虫病毒体;
(2)蜜罐主机创建4567/tcp监听器。
本发明的优点与效果是:
蜜罐系统的构造思想是基于网络的开放性和资源的可监视性。一个处于正常工作状态的系统在网络上都有可能被黑客攻击,而且越是带有某种特定资源的系统越容易遭到攻击。对系统或网络进行特殊设计和一定的布置,就可能将入侵者成功地引入受控环境中,降低正常系统被攻击的危险,同时获得研究黑客相关技术的重要资料。资源的可监视性是指包括网络和主机系统在内的各种资源都处于控制之下,从而可以监视和控制所有对这些资源的访问。本发明通过使用一个端口监视程序对特定的端口进行监听并记录下所有连接到这些端口的活动,以实现数据捕获和数据控制。
附图说明
图1为蠕虫程序特征片段图;
图2蠕虫感染过程示意图。
具体实施方式
下面结合实施例对本发明进行详细说明。
1.特征提取方法
蠕虫执行体会首先在网络中探测带有该漏洞服务的主机,若探测到满足需求的主机后,会将病毒体程序通过网络传输到具有该漏洞服务的主机,并将病毒体程序启动以及设置一些保护措施,如设置为开机自动运行。病毒体程序运行后,会继续探测漏洞并复制自身,并执行具有一定目的的工作。可以通过被感染的文件提取该蠕虫程序特征,其具体过程如下:
(1)启动带有某一漏洞的服务程序,并查看漏洞服务端口,以确认带有某一漏洞的服务程序运行正常。
(2)利用netcat监听端口
使用netcat进行端口监听器创建的命令行如下:
命令:nc -l -p 80 > http。
该命令被分解为:
nc = netcat,实际的应用程序;
-l = listen,也就是说创建一个开放的socket并捕获所有发往该socket的活动;
-p = 对一个特定的端口进行监听;
80 = netcat将会侦听的特定端口;
> = 这个符号将netcat所捕获的全部内容都进行了重定向,并放在了一份文件中;
http = 这里发往端口80的所有连接将会被捕获和保存的文件的名字。
这样,无论攻击者或者应用程序何时对蜜罐上的端口80发起TCP连接,该次连接都会被捕获,并且所有的载荷数据也会重定向到文件http。netcat向远程系统发起了一个完整的TCP连接,并将攻击者可能会发送的所有数据进行了重定向。
(3)利用Snort捕获蠕虫
输入命令:snort -i 2 -v arp,其中-i参数用于指定snort监听网络接口,-v用于显示TCP/IP包头信息。
如果受到蠕虫攻击,其文件http将会发生变化,利用UltraEdit以十六进制形式将其打开,并完成数据特征片段的提取,如图1。
(4)根据病毒特征片段编写Snort入侵规则
创建规则文件wang.rules,针对病毒特征片段编写Snort入侵规则,并设置报警日志。进入配置目录,配置Snort配置文件snort.conf。在文档最后添加如下内容:
include ..\rules\ wang.rules
(5)进行入侵检测
首先创建端口(漏洞服务)监听器,然后以入侵检测方式运行Snort,命令如下:
snort -i 2 -v -c 配置目录\snort.conf。
(6)观察snort捕获情况,并查看snort报警日志(执行目录\log\alert.ids)。
2.利用蜜罐与网络蠕虫进行交互
蠕虫感染过程,如图2所示。根据蠕虫感染过程,蜜罐模拟靶机,诱使蠕虫感染。
蜜罐所要模拟靶机行为:一个是创建4567/tcp端口监听器;另一个是当有4567/tcp请求时蜜罐主动访问攻击源主机(已感染蠕虫X主机),并请求下载病毒体文件。
蜜罐请求下载蠕虫病毒体
将tftp客户请求命令保存在批处理文件getworm.bat中,具体操作如下:新建批处理文件getworm.bat,内容如下:
C:\ tftp -i 攻击源IP GET Worm_body.exe D:\Worm_body.exe
蜜罐主机创建4567/tcp监听器
蜜罐主机创建一个针对4567/tcp端口的监听器,当其监听到4567/tcp请求时会触发下面的行为:通过tftp命令(目的服务端口69/udp)从蠕虫主机下载病毒体。可以通过下面的命令实现netcat程序的重定向:
nc -l -p 4567 -e getworm.bat
其中,-e表示程序重定向,当监听器被触发后,它会执行当前目录下的getworm.bat批处理文件。
Claims (1)
1.一种基于蜜罐技术捕获网络蠕虫的方法,其特征在于,所述方法包括以下具体过程:
a.提取该蠕虫程序特征:
(1)启动带有某一漏洞的服务程序,并查看漏洞服务端口,以确认带有某一漏洞的服务程序运行正常;
(2)利用netcat监听端口,创建一个开放的socket并捕获所有发往该socket的活动,对一个特定的端口进行监听;
(3)利用Snort捕获蠕虫;
(4)根据病毒特征片段编写Snort入侵规则;
(5)进行入侵检测,创建端口(漏洞服务)监听器,然后以入侵检测方式运行Snort;
(6)观察snort捕获情况,并查看snort报警日志;
b. 利用蜜罐与网络蠕虫进行交互:
(1)蜜罐请求下载蠕虫病毒体;
(2)蜜罐主机创建4567/tcp监听器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810233295.5A CN108521406A (zh) | 2018-03-21 | 2018-03-21 | 一种基于蜜罐技术捕获网络蠕虫的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810233295.5A CN108521406A (zh) | 2018-03-21 | 2018-03-21 | 一种基于蜜罐技术捕获网络蠕虫的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108521406A true CN108521406A (zh) | 2018-09-11 |
Family
ID=63433841
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810233295.5A Withdrawn CN108521406A (zh) | 2018-03-21 | 2018-03-21 | 一种基于蜜罐技术捕获网络蠕虫的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108521406A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113411356A (zh) * | 2021-08-23 | 2021-09-17 | 北京华云安信息技术有限公司 | 漏洞的检测方法、系统、设备和计算机可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| CN102882884A (zh) * | 2012-10-13 | 2013-01-16 | 山东电力集团公司电力科学研究院 | 信息化生产环境下基于蜜网的风险预警系统及方法 |
| CN103051615A (zh) * | 2012-12-14 | 2013-04-17 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
| US8935270B1 (en) * | 2010-05-13 | 2015-01-13 | Netlogic Microsystems, Inc. | Content search system including multiple deterministic finite automaton engines having shared memory resources |
-
2018
- 2018-03-21 CN CN201810233295.5A patent/CN108521406A/zh not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| US8935270B1 (en) * | 2010-05-13 | 2015-01-13 | Netlogic Microsystems, Inc. | Content search system including multiple deterministic finite automaton engines having shared memory resources |
| CN102882884A (zh) * | 2012-10-13 | 2013-01-16 | 山东电力集团公司电力科学研究院 | 信息化生产环境下基于蜜网的风险预警系统及方法 |
| CN103051615A (zh) * | 2012-12-14 | 2013-04-17 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
Non-Patent Citations (2)
| Title |
|---|
| 康英来: "基于漏洞传播蠕虫的检测技术应用研究及实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 贺卫红等: "分布式蠕虫检测与主动防御系统的研究与实现", 《计算机工程与设计》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113411356A (zh) * | 2021-08-23 | 2021-09-17 | 北京华云安信息技术有限公司 | 漏洞的检测方法、系统、设备和计算机可读存储介质 |
| CN113411356B (zh) * | 2021-08-23 | 2021-12-10 | 北京华云安信息技术有限公司 | 漏洞的检测方法、系统、设备和计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10567431B2 (en) | Emulating shellcode attacks | |
| US10021129B2 (en) | Systems and methods for malware detection and scanning | |
| US9356950B2 (en) | Evaluating URLS for malicious content | |
| US10395031B2 (en) | Systems and methods for malware detection and scanning | |
| US8204984B1 (en) | Systems and methods for detecting encrypted bot command and control communication channels | |
| US8793787B2 (en) | Detecting malicious network content using virtual environment components | |
| US9628498B1 (en) | System and method for bot detection | |
| US20150326588A1 (en) | System and method for directing malicous activity to a monitoring system | |
| US20120005743A1 (en) | Internal network management system, internal network management method, and program | |
| JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| WO2023116045A1 (zh) | 攻击成功识别方法及防护系统 | |
| CN110417578B (zh) | 一种异常ftp连接告警处理方法 | |
| CN108521406A (zh) | 一种基于蜜罐技术捕获网络蠕虫的方法 | |
| Bombardieri et al. | Honeypot-powered malware reverse engineering | |
| Machmeier | Honeypot implementation in a cloud environment | |
| Walla et al. | Malpity: Automatic identification and exploitation of tarpit vulnerabilities in malware | |
| CN114745142B (zh) | 一种异常流量处理方法、装置、计算机设备及存储介质 | |
| Czekster et al. | Requirements for designing mobile and flexible applications for online invasion detection and remote control | |
| CN114389863A (zh) | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 | |
| CN113709130A (zh) | 基于蜜罐系统的风险识别方法及装置 | |
| Hirata et al. | INTERCEPT+: SDN support for live migration-based honeypots | |
| Skrzewski | Monitoring malware activity on the lan network | |
| Junewon | Acquiring digital evidence from Botnet attacks: procedures and methods | |
| Lazar et al. | SECURITY ISSUES IN INTERNET OF THINGS BOTNETS: A HIGH INTERACTION HONEYPOT APPROACH | |
| CN115514559A (zh) | 一种iot僵尸网络检测处理方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20180911 |
|
| WW01 | Invention patent application withdrawn after publication |