A method of capturing network worms based on honeypot technology involves a method of capturing network viruses. The method includes A. extracting the worm program characteristics: starting a service program with a vulnerability and viewing the vulnerability service port; creating an open socket using netcat listening port and capturing all sent to the socket The activity of the kets is monitored; worms are captured; Snort intrusion rules are written according to the characteristic fragments of the virus; Snort Intrusion detection is performed, port listeners are created, and Snort is run in the way of intrusion detection; snort capture is observed and snort alarm logs are viewed; interaction between the honeypot and the network worms is conducted: honeypot requests download worms The worm virus body; the honeypot host creates the 4567/tcp listener. The invention makes a honeypot to capture the network worm virus and solves the huge harm brought by the computer worm virus to the network world.
【技术实现步骤摘要】
一种基于蜜罐技术捕获网络蠕虫的方法
本专利技术涉及一种捕获网络病毒的方法,特别是涉及一种基于蜜罐技术捕获网络蠕虫的方法。
技术介绍
自1998年莫氏放出第一个蠕虫病毒以来,计算机蠕虫病毒以其快速、多样化的传播方式给网络世界带来巨大灾害。特别是网络的迅速发展令蠕虫造成的危害日益严重,造成一个谈毒色变的网络世界。不同于一般的病毒,病毒是一段可执行代码,它具有独特的复制能力,可以把自身附着在各种类型的文件并在一定条件下激活,这一特点很像生物病毒。而宏病毒是一种新形态的病毒,它寄生在一些数据文档中以便在不同的操作系统中使用,已具备了跨平台传播的能力。蠕虫则完全不同,它是通过计算机网络连接进行传播,通常在计算机内存中复制自己的一段程序;蠕虫不需要宿主程序,它在结构、攻击内容以及检测方法上和普通病毒有着根本上的不同;蠕虫更接近于黑客工具,而不是病毒。蠕虫的工作原理一般是:首先,蠕虫的扫描功能模块负责探测存在漏洞的主机。随机选取某一段IP地址,然后对这一段上的主机扫描。这样,随着蠕虫的传播,新感染的主机也开始进行这种扫描,这些扫描程序不知道哪些地址已经被扫描过,它只是简单的随机扫描互联网。于是蠕虫传播的越广,网络上的扫描包就越多。即使扫描程序发出的探测包很小,积少成多,大量蠕虫程序的扫描引起的网络拥塞就非常严重了。其次,当蠕虫扫描到网络中存在的主机后,就开始利用自身的破坏功能获取主机的管理员权限。最后,利用原主机和新主机的交互将蠕虫程序复制到新主机并启动。
技术实现思路
本专利技术的目的在于提供一种基于蜜罐技术捕获网络蠕虫的方法,该方法通过使用一个端口监视程序对特定的端口进 ...
【技术保护点】
1.一种基于蜜罐技术捕获网络蠕虫的方法,其特征在于,所述方法包括以下具体过程:a.提取该蠕虫程序特征:(1)启动带有某一漏洞的服务程序,并查看漏洞服务端口,以确认带有某一漏洞的服务程序运行正常;(2)利用netcat监听端口,创建一个开放的socket并捕获所有发往该socket的活动,对一个特定的端口进行监听;(3)利用Snort捕获蠕虫;(4)根据病毒特征片段编写Snort入侵规则;(5)进行入侵检测,创建端口(漏洞服务)监听器,然后以入侵检测方式运行Snort;(6)观察snort捕获情况,并查看snort报警日志;b. 利用蜜罐与网络蠕虫进行交互:(1)蜜罐请求下载蠕虫病毒体;(2)蜜罐主机创建4567/tcp监听器。
【技术特征摘要】
1.一种基于蜜罐技术捕获网络蠕虫的方法,其特征在于,所述方法包括以下具体过程:a.提取该蠕虫程序特征:(1)启动带有某一漏洞的服务程序,并查看漏洞服务端口,以确认带有某一漏洞的服务程序运行正常;(2)利用netcat监听端口,创建一个开放的socket并捕获所有发往该socket的活动,对一个特定的端口进行监听;(...
【专利技术属性】
技术研发人员:王军,张佳伟,芦贺,康成明,
申请(专利权)人:沈阳化工大学,
类型:发明
国别省市:辽宁,21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。