一种基于蜜罐技术捕获网络蠕虫的方法技术

一种基于蜜罐技术捕获网络蠕虫的方法，涉及一种捕获网络病毒的方法，所述方法包括a.提取该蠕虫程序特征：启动带有某一漏洞的服务程序，并查看漏洞服务端口；利用netcat监听端口，创建一个开放的socket并捕获所有发往该socket的活动，进行监听；捕获蠕虫；根据病毒特征片段编写Snort入侵规则；进行入侵检测，创建端口监听器，然后以入侵检测方式运行Snort；观察snort捕获情况，并查看snort报警日志；利用蜜罐与网络蠕虫进行交互：蜜罐请求下载蠕虫病毒体；蜜罐主机创建4567/tcp监听器。本发明专利技术自制了一个蜜罐来捕获网络蠕虫病毒，解决计算机蠕虫病毒给网络世界带来的巨大危害。

A method of capturing network worms based on Honeypot Technology

A method of capturing network worms based on honeypot technology involves a method of capturing network viruses. The method includes A. extracting the worm program characteristics: starting a service program with a vulnerability and viewing the vulnerability service port; creating an open socket using netcat listening port and capturing all sent to the socket The activity of the kets is monitored; worms are captured; Snort intrusion rules are written according to the characteristic fragments of the virus; Snort Intrusion detection is performed, port listeners are created, and Snort is run in the way of intrusion detection; snort capture is observed and snort alarm logs are viewed; interaction between the honeypot and the network worms is conducted: honeypot requests download worms The worm virus body; the honeypot host creates the 4567/tcp listener. The invention makes a honeypot to capture the network worm virus and solves the huge harm brought by the computer worm virus to the network world.

【技术实现步骤摘要】
一种基于蜜罐技术捕获网络蠕虫的方法
本专利技术涉及一种捕获网络病毒的方法，特别是涉及一种基于蜜罐技术捕获网络蠕虫的方法。
技术介绍
自1998年莫氏放出第一个蠕虫病毒以来，计算机蠕虫病毒以其快速、多样化的传播方式给网络世界带来巨大灾害。特别是网络的迅速发展令蠕虫造成的危害日益严重，造成一个谈毒色变的网络世界。不同于一般的病毒，病毒是一段可执行代码,它具有独特的复制能力,可以把自身附着在各种类型的文件并在一定条件下激活,这一特点很像生物病毒。而宏病毒是一种新形态的病毒,它寄生在一些数据文档中以便在不同的操作系统中使用,已具备了跨平台传播的能力。蠕虫则完全不同,它是通过计算机网络连接进行传播,通常在计算机内存中复制自己的一段程序;蠕虫不需要宿主程序,它在结构、攻击内容以及检测方法上和普通病毒有着根本上的不同;蠕虫更接近于黑客工具,而不是病毒。蠕虫的工作原理一般是：首先，蠕虫的扫描功能模块负责探测存在漏洞的主机。随机选取某一段IP地址，然后对这一段上的主机扫描。这样，随着蠕虫的传播，新感染的主机也开始进行这种扫描，这些扫描程序不知道哪些地址已经被扫描过，它只是简单的随机扫描互联网。于是蠕虫传播的越广，网络上的扫描包就越多。即使扫描程序发出的探测包很小，积少成多，大量蠕虫程序的扫描引起的网络拥塞就非常严重了。其次，当蠕虫扫描到网络中存在的主机后，就开始利用自身的破坏功能获取主机的管理员权限。最后，利用原主机和新主机的交互将蠕虫程序复制到新主机并启动。
技术实现思路
本专利技术的目的在于提供一种基于蜜罐技术捕获网络蠕虫的方法，该方法通过使用一个端口监视程序对特定的端口进行监听并记录下所有连接到这些端口的活动，自制了一个蜜罐来捕获网络蠕虫病毒，解决计算机蠕虫病毒给网络世界带来的巨大危害。本专利技术的目的是通过以下技术方案实现的：一种基于蜜罐技术捕获网络蠕虫的方法，所述方法包括以下具体过程：a.提取该蠕虫程序特征：（1）启动带有某一漏洞的服务程序，并查看漏洞服务端口，以确认带有某一漏洞的服务程序运行正常；（2）利用netcat监听端口，创建一个开放的socket并捕获所有发往该socket的活动，对一个特定的端口进行监听；（3）利用Snort捕获蠕虫；（4）根据病毒特征片段编写Snort入侵规则；（5）进行入侵检测，创建端口（漏洞服务）监听器，然后以入侵检测方式运行Snort；（6）观察snort捕获情况，并查看snort报警日志；b.利用蜜罐与网络蠕虫进行交互：（1）蜜罐请求下载蠕虫病毒体；（2）蜜罐主机创建4567/tcp监听器。本专利技术的优点与效果是：蜜罐系统的构造思想是基于网络的开放性和资源的可监视性。一个处于正常工作状态的系统在网络上都有可能被黑客攻击，而且越是带有某种特定资源的系统越容易遭到攻击。对系统或网络进行特殊设计和一定的布置，就可能将入侵者成功地引入受控环境中，降低正常系统被攻击的危险，同时获得研究黑客相关技术的重要资料。资源的可监视性是指包括网络和主机系统在内的各种资源都处于控制之下，从而可以监视和控制所有对这些资源的访问。本专利技术通过使用一个端口监视程序对特定的端口进行监听并记录下所有连接到这些端口的活动，以实现数据捕获和数据控制。附图说明图1为蠕虫程序特征片段图；图2蠕虫感染过程示意图。具体实施方式下面结合实施例对本专利技术进行详细说明。1.特征提取方法蠕虫执行体会首先在网络中探测带有该漏洞服务的主机，若探测到满足需求的主机后，会将病毒体程序通过网络传输到具有该漏洞服务的主机，并将病毒体程序启动以及设置一些保护措施，如设置为开机自动运行。病毒体程序运行后，会继续探测漏洞并复制自身，并执行具有一定目的的工作。可以通过被感染的文件提取该蠕虫程序特征,其具体过程如下:（1）启动带有某一漏洞的服务程序，并查看漏洞服务端口，以确认带有某一漏洞的服务程序运行正常。（2）利用netcat监听端口使用netcat进行端口监听器创建的命令行如下：命令：nc-l-p80>http。该命令被分解为：nc=netcat，实际的应用程序；-l=listen，也就是说创建一个开放的socket并捕获所有发往该socket的活动；-p=对一个特定的端口进行监听；80=netcat将会侦听的特定端口；>=这个符号将netcat所捕获的全部内容都进行了重定向，并放在了一份文件中；http=这里发往端口80的所有连接将会被捕获和保存的文件的名字。这样，无论攻击者或者应用程序何时对蜜罐上的端口80发起TCP连接，该次连接都会被捕获，并且所有的载荷数据也会重定向到文件http。netcat向远程系统发起了一个完整的TCP连接，并将攻击者可能会发送的所有数据进行了重定向。（3）利用Snort捕获蠕虫输入命令：snort-i2-varp，其中-i参数用于指定snort监听网络接口，-v用于显示TCP/IP包头信息。如果受到蠕虫攻击，其文件http将会发生变化，利用UltraEdit以十六进制形式将其打开，并完成数据特征片段的提取，如图1。（4）根据病毒特征片段编写Snort入侵规则创建规则文件wang.rules，针对病毒特征片段编写Snort入侵规则，并设置报警日志。进入配置目录，配置Snort配置文件snort.conf。在文档最后添加如下内容：include..\rules\wang.rules（5）进行入侵检测首先创建端口（漏洞服务）监听器，然后以入侵检测方式运行Snort，命令如下：snort-i2-v-c配置目录\snort.conf。（6）观察snort捕获情况，并查看snort报警日志（执行目录\log\alert.ids）。2.利用蜜罐与网络蠕虫进行交互蠕虫感染过程，如图2所示。根据蠕虫感染过程，蜜罐模拟靶机，诱使蠕虫感染。蜜罐所要模拟靶机行为：一个是创建4567/tcp端口监听器；另一个是当有4567/tcp请求时蜜罐主动访问攻击源主机（已感染蠕虫X主机），并请求下载病毒体文件。蜜罐请求下载蠕虫病毒体将tftp客户请求命令保存在批处理文件getworm.bat中，具体操作如下：新建批处理文件getworm.bat，内容如下：C:
ftp-i攻击源IPGETWorm_body.exeD:\Worm_body.exe蜜罐主机创建4567/tcp监听器蜜罐主机创建一个针对4567/tcp端口的监听器，当其监听到4567/tcp请求时会触发下面的行为：通过tftp命令（目的服务端口69/udp）从蠕虫主机下载病毒体。可以通过下面的命令实现netcat程序的重定向：nc-l-p4567-egetworm.bat其中，-e表示程序重定向，当监听器被触发后，它会执行当前目录下的getworm.bat批处理文件。本文档来自技高网...

【技术保护点】
1.一种基于蜜罐技术捕获网络蠕虫的方法，其特征在于，所述方法包括以下具体过程：a.提取该蠕虫程序特征：（1）启动带有某一漏洞的服务程序，并查看漏洞服务端口，以确认带有某一漏洞的服务程序运行正常；（2）利用netcat监听端口，创建一个开放的socket并捕获所有发往该socket的活动，对一个特定的端口进行监听；（3）利用Snort捕获蠕虫；（4）根据病毒特征片段编写Snort入侵规则；（5）进行入侵检测，创建端口（漏洞服务）监听器，然后以入侵检测方式运行Snort；（6）观察snort捕获情况，并查看snort报警日志；b. 利用蜜罐与网络蠕虫进行交互：（1）蜜罐请求下载蠕虫病毒体；（2）蜜罐主机创建4567/tcp监听器。

【技术特征摘要】
1.一种基于蜜罐技术捕获网络蠕虫的方法，其特征在于，所述方法包括以下具体过程：a.提取该蠕虫程序特征：（1）启动带有某一漏洞的服务程序，并查看漏洞服务端口，以确认带有某一漏洞的服务程序运行正常；（2）利用netcat监听端口，创建一个开放的socket并捕获所有发往该socket的活动，对一个特定的端口进行监听；（...

【专利技术属性】
技术研发人员：王军，张佳伟，芦贺，康成明，
申请(专利权)人：沈阳化工大学，
类型：发明
国别省市：辽宁,21