BotNet病毒检测与预防的研究
- 格式:pdf
- 大小:298.70 KB
- 文档页数:5
2 蜜网技 术
蜜罐 的英 文单 词是 H nyo,也有 人将其 翻译成 陷 阱。蜜 罐是一 种 网络资 源 ,它 表 面看 起来 是 一种 实 际 oept
存在 的 主机 ,并十分 具有 被攻 击 的诱 惑 。但 其实 它是被 后 台检 测程 序控制 的诱 饵 。一旦有 例 如基 于 B te 的 o t N D o 攻 击 该系统 时 ,后 台检 测程序 便 会开始 工作 ,记 录攻 击 者 的各 种行 为 细 节 ,从 中发 现 其 攻击 的特 征 和 DS
该 蜜 网是 一个 多层 次的数据 控制机 制 ,路 由器 位于 直接 与 Ie t 连 的第 一层 ,它 是 整个 蜜 网数 据 的 n me相 t 唯一 接 口;位 于路 由器 下一层 的防火墙 ,是第二 层数据 控制设 备 ,与它处 于同级 的还有 内部 服务器 ,用 于控 制整 个 蜜 网的大规模 计算 ;内部 主机 ,用于对 数据过 滤和蜜 网环境进 行模 拟 ;在 防火墙 的下 一层 ,有 日志分 析 服务 器和蜜 罐 主机 ,这一层是 蜜 网中负载 比较大 的设备 。 其 中的蜜罐 主机 是 一 些 没 有 安 装 防 病 毒 软 件 或 者 没 有 及 时 升 级 的 初 级 操 作 系 统 ,如 Widw 0 0或 no s 0 2
统的 日志 ,这些 日志都 将存储 到远程 1志服 务器上 ,以便 以后 分析研 究 。 3
3 基 于蜜 网和 日志分 析的 D o 检 测 DS
3 1 部 署蜜 网 .
为 了跟 踪和 收集僵 尸 网络 的更 多特征信息 ,布置 蜜 网的拓扑结 构如 图 2 示 : 所
图 2 典 型 的 蜜 网拓 扑 结 构
造 成威 胁 ;结合 入侵检 测 系统 ,可 以对攻击者 的行 为进 行记 录 ,这 里经 常 采用 的是 Sot nr系统 ,因此 整个 蜜
罐系统的数据捕获就包括了防火墙 日志,入侵检测网络数据包和 日志,蜜罐本身 日 志及其上的击键信息 ;数 据报警通常借助一些监视工具来实现,例如 S a h wt 是一种 自动监视工具 ,它可以监视系统的各种 日 wt ,S a h c c
络 诱骗 、数据控 制 、数 据 捕获 、数 据报 警 、数 据分 析 和 日志 远程 存 储 等功 能模
块 。蜜罐通 过欺 骗空 间技术 、网络流量仿 真 、网络动态 配置 、组 织信息欺 骗和 多重地址 转换 等 网络诱 骗技 术
来引诱 入 侵者 ;通过 防火墙 技术来 进行数 据控制 ,以保证进 出蜜 罐系统 的数据对 网络 中真 实主机 或设 备不会
Widw p等在 打补 丁之前 的 系统 。这样 容易被僵 尸病毒 发现并 对其进 行攻击 。但 是 ,在路 由器下 一层 ,进 no s x
[ 中图分类号 ] P9 T 33 1 B te 与 D o o t N D S简 介
[ 文献标识码]A
[ 文章编号 ]1 8 7x 2l)2 06 — 5 0 —1 (010 — 07 0 0 8
僵尸 网络 ( te)是一 种被 攻击者 利用 多种传播 手段 控 制 的计 算 机 网络 群 ,其 主要 方 法 是 向互 联 的计 o B Nt 算机 群注 入 Bt 序 ( oo的缩 写 ,机 器人 ,即受 控制 的僵尸程 序 ) o程 RB t ,使得 控制 者 和被 感染 的计算 机 形成 一
应用 程序资 源 。 20 09年 1 月发行 的 e 1 ~Wek 线杂 志声称俄 罗斯 的傀儡 牧人 操纵 了 70 e在 0 0多台 主机进 行垃圾 邮件 和黑 客
行 为 ,如果这 种情 形继 续下 去 ,正 如猖獗 的犯 罪 以及 非法 的毒 品影 响社 会经 济前景 那样 ,这 场僵 尸 网络灾 祸
目的 ,为 研究 该僵尸 网络 提供 了非 常有 价 值的数 据。
局 域罔
图 I 典 型 的 蜜 网 系统 结 构
[ 收稿 日期 】21— 1 2 01 0 — 4 【 作者简介 ]贾雅娟 (99 , ,山西太原人 ,山西金融职业学院助教 ,硕士 ,从事计算机应用及 电子 商务研 究。 17 一) 女
第3 o卷 第 2 期
V0 . O No 2 13 .
长春 师范学 院学报 ( 自然 科学 版 )
Junl f hncu o a U i rt( a r c ne or aghnN r l n e i N t a Si c) aoC m v sy u l e
2 1 年 4月 01
Ap . r201 1
B t e 病 毒 检测 与 预 防 的研 究 o t N
贾雅 娟
( 山西金 融职 业学 院 ,山西 太原
[ 摘
00 0 ) 30 8
要 ]本文研究基于僵尸网络的 D o 特 征 ,分析 了僵尸网络病毒 Bte 的特 点与控制机 制 ,通 过 DS o t N
蜜网和 日志分析 方法检测 D o ,并 使用 C ado 对仿 真的僵尸 网络进行 分析 ,检测 出其 比较典 型 DS WSnbx 的行为特征。 [ 关键词 ]D o ;Bte;安全防御 DS o t N
志文 件 ,通 过在 日志文 件 中匹配事 先定 义的模 式 字 符 串 去的 系 统 的运 行 状 态 ,一 旦 匹配 成 功 ,就 通 过 E—
mi a ,系统 喇叭 或者其 他方式 进行报 警 ;通 过对捕 获数据 进行 分析 从 而 了解 攻击 者 的行 为 ;为 了保护 蜜罐 系 l
个 网络 。
Do DS是 Dsi t ei fev e( 布式 拒绝服务 攻 击 )的 缩 写 ,其 主 要 原理 是 利 用受 控 的 分 布式 主 irue Dna osri 分 tb d l c 机 ,对 同一个 服 务器或 主机 进行 攻击 ,占据被 攻击 服务器 的大部 分带 宽 ,甚 至是 全部 带宽 ,但 几乎不 占用其