陳翠云，梁華慶

（中國(guó)石油大學(xué)（北京）地球物理與信息工程學(xué)院，北京 102249）

基于蜜罐提升Snort檢測(cè)能力的設(shè)計(jì)

陳翠云，梁華慶

（中國(guó)石油大學(xué)（北京）地球物理與信息工程學(xué)院，北京 102249）

在應(yīng)對(duì)網(wǎng)絡(luò)攻擊過程中，入侵檢測(cè)系統(tǒng)Snort扮演了重要角色，如何提升Snort的防護(hù)水平至關(guān)重要。本文提出了一種利用低交互蜜罐系統(tǒng)捕獲網(wǎng)絡(luò)攻擊流量，提取攻擊特征，進(jìn)而主動(dòng)提升Snort檢測(cè)能力，實(shí)現(xiàn)快速發(fā)現(xiàn)安全威脅能力的方法，進(jìn)行了實(shí)驗(yàn)設(shè)計(jì)。實(shí)驗(yàn)結(jié)果表明，經(jīng)過該方法主動(dòng)升級(jí)Snort特征庫(kù)，能夠有效提高Snort的入侵檢測(cè)能力。關(guān)鍵詞：蜜罐技術(shù)；入侵檢測(cè)；滲透攻擊；特征提取

隨著計(jì)算機(jī)網(wǎng)絡(luò)的日益普及，互聯(lián)網(wǎng)給人們帶來了極大的生活便利，同時(shí)也產(chǎn)生了越來越多的網(wǎng)絡(luò)安全問題。近年來針對(duì)網(wǎng)絡(luò)安全問題，業(yè)界進(jìn)行了大量的討論和研究，如何第一時(shí)間發(fā)現(xiàn)網(wǎng)絡(luò)攻擊成為關(guān)注的焦點(diǎn)，其中入侵檢測(cè)系統(tǒng)成為了該環(huán)節(jié)重要一部分。Snort是一種優(yōu)秀的開源入侵檢測(cè)系統(tǒng)，具有擴(kuò)展方便，維護(hù)、部署簡(jiǎn)單等特點(diǎn)，受到業(yè)界的廣泛的關(guān)注，其他產(chǎn)品級(jí)的入侵檢測(cè)系統(tǒng)也都或多或少的參考了Snort的檢測(cè)思想。但是Snort檢測(cè)能力主要依賴于其規(guī)則庫(kù)，規(guī)則庫(kù)的質(zhì)量、數(shù)量以及更新速度決定了Snort的檢測(cè)能力［1］，因此如何快速、全面發(fā)現(xiàn)攻擊特征并且更新特征庫(kù)具有重要意義。傳統(tǒng)更新規(guī)則庫(kù)的方法往往是通過被動(dòng)分析真實(shí)發(fā)生的攻擊事件，從事件現(xiàn)場(chǎng)中提取攻擊特征，然后將特征轉(zhuǎn)化成規(guī)則來實(shí)現(xiàn)的。這種方式存在很多局限性，首先是以犧牲部分真實(shí)業(yè)務(wù)系統(tǒng)作為代價(jià)，其次可能因系統(tǒng)被嚴(yán)重破壞而無法提取到有效的規(guī)則。為了彌補(bǔ)這些不足，文中提出了利用低交互式蜜罐捕獲網(wǎng)絡(luò)攻擊，進(jìn)而提升Snort檢測(cè)能力的思路進(jìn)行了實(shí)驗(yàn)設(shè)計(jì)。實(shí)驗(yàn)設(shè)計(jì)是利用metasploit工具進(jìn)行滲透攻擊，低交互蜜罐系統(tǒng)捕獲攻擊，從捕獲到的攻擊數(shù)據(jù)中提取特征并轉(zhuǎn)化成Snort規(guī)則，進(jìn)而主動(dòng)提升Snort檢測(cè)能力。

1 蜜罐系統(tǒng)

1.1 蜜罐概念

蜜罐類似攻擊情報(bào)收集系統(tǒng)，所有進(jìn)出蜜罐的網(wǎng)絡(luò)活動(dòng)都將被記錄保存下來。蜜罐的價(jià)值就在于被掃描，攻擊和攻陷。蜜罐本身存在很多漏洞，就好比是網(wǎng)路管理員精心設(shè)置的“陷阱”，在攻擊者看來這是一臺(tái)“千瘡百洞”的機(jī)器，但是一切卻盡在管理員掌握之中。

蜜罐按照與攻擊者交互程度的高低分為低交互式蜜罐和高交互式蜜罐［2］。低交互蜜罐是通過程序模擬了一系列有漏洞的系統(tǒng)服務(wù)或應(yīng)用，其優(yōu)點(diǎn)是部署簡(jiǎn)單、風(fēng)險(xiǎn)較小且容易維護(hù)，缺點(diǎn)是與攻擊者的交互力度較低，無法捕獲完整的攻擊過程。高交互蜜罐系統(tǒng)一般是由在真實(shí)的主機(jī)上安裝存在有漏洞的系統(tǒng)或應(yīng)用組成，優(yōu)點(diǎn)是與攻擊者交互程度高，可以獲得較為詳細(xì)的攻擊信息，但是部署復(fù)雜并且風(fēng)險(xiǎn)較大，可能會(huì)被攻擊者當(dāng)作跳板機(jī)，從而攻擊其他機(jī)器。根據(jù)本文設(shè)計(jì)的需要采用低交互蜜罐系統(tǒng)。

1.2 Dionaea低交互蜜罐的介紹

目前低交互蜜罐產(chǎn)品比較多，文中采用的是dionaea低交互蜜罐系統(tǒng)［3］。Dionaea是HonetNet Project中的一種優(yōu)秀的低交互蜜罐系統(tǒng)，主要功能是針對(duì)常見的網(wǎng)絡(luò)攻擊進(jìn)行捕獲。Dionaea具有模塊化的結(jié)構(gòu)，使用python腳本模擬網(wǎng)絡(luò)協(xié)議棧和一些常用的應(yīng)用層服務(wù)協(xié)議，目前支持的協(xié)議類型和服務(wù)主要有SMB、http、tftp、ftp、MySQL、MSSQL、SIP等。通常情況下，所有進(jìn)出蜜罐的行為都意味著攻擊的發(fā)生。利用蜜罐捕獲攻擊數(shù)據(jù)，在攻擊者開始大范圍的攻擊之前，通過分析攻擊數(shù)據(jù)，進(jìn)而主動(dòng)提升檢測(cè)系統(tǒng)的檢測(cè)能力，阻斷惡意攻擊行為。

2 Snort入侵檢測(cè)系統(tǒng)

2.1 Snort簡(jiǎn)介

Snort是一種具有多平臺(tái)，實(shí)時(shí)流量分析，網(wǎng)絡(luò)IP數(shù)據(jù)包記錄等功能的網(wǎng)絡(luò)入侵檢測(cè)/防御系統(tǒng)。Snort有3種工作模式：嗅探器、數(shù)據(jù)包記錄器和網(wǎng)絡(luò)入侵檢測(cè)模式。其中嗅探器是指snort從網(wǎng)絡(luò)上讀取數(shù)據(jù)包，然后顯示在控制臺(tái)上，例如snort-v、snort-d等。數(shù)據(jù)包記錄器指將數(shù)據(jù)包記錄到硬盤上，例如snort-dev-l./log-h 192.168.254.1/24。網(wǎng)絡(luò)入侵檢測(cè)模式是最復(fù)雜的，本文當(dāng)中為了檢測(cè)分析蜜罐捕獲的數(shù)據(jù)包，而采用了這種工作模式。在這種檢測(cè)模式下，snort會(huì)對(duì)每個(gè)數(shù)據(jù)包和規(guī)則集進(jìn)行匹配［4］，匹配成功就采取相應(yīng)的動(dòng)作，并且會(huì)將分析結(jié)果記錄到snort數(shù)據(jù)庫(kù)中，其中snort數(shù)據(jù)庫(kù)包括data，detail，icmphdr，iphdr，tcphdr，udphdr等數(shù)據(jù)表。

2.2 Snort規(guī)則

Snort規(guī)則是snort能夠進(jìn)行入侵檢測(cè)最重要的一部分［5］，采用的是輕量級(jí)的規(guī)則描述語(yǔ)言，啟動(dòng)或者關(guān)閉snort規(guī)則都要在配置文件里面進(jìn)行配置。

Snort規(guī)則分為兩個(gè)邏輯部分：規(guī)則頭和規(guī)則選項(xiàng)。規(guī)則頭包括規(guī)則動(dòng)作、協(xié)議、IP地址、方向操作符以及端口信息。Snort中有5種規(guī)則動(dòng)作：Alert、Log、Pass、Activate、Dynamic，目前支持的規(guī)則協(xié)議有TCP、UDP、ICMP和IP。

規(guī)則選項(xiàng)是snort入侵檢測(cè)的核心，包括選項(xiàng)關(guān)鍵字和參數(shù)，其中關(guān)鍵字content經(jīng)常被使用。content的選項(xiàng)參數(shù)可以包括混合的文本和二進(jìn)制數(shù)據(jù)，例如：alerttcp192.168.254.1/ 24 any-＞192.168.254.143445（content:“|50 4C 44 66|/bin/sh”；msg:“SMB overflow！”；）。

文中的設(shè)計(jì)是首先判斷snort能否檢測(cè)到蜜罐捕獲的攻擊數(shù)據(jù)，然后根據(jù)攻擊流量的情況選擇是否增加新的規(guī)則。在實(shí)驗(yàn)當(dāng)中的網(wǎng)絡(luò)攻擊部分，文中選擇了優(yōu)秀的滲透攻擊工具metasploit，因?yàn)槠湓跐B透攻擊領(lǐng)域具有較廣泛的使用率，能夠最大程度的接近真實(shí)的攻擊情況，并且具有優(yōu)越的性能和快速更新能力，成為本文測(cè)試的首選工具。

3 Metaspolit簡(jiǎn)要介紹

Metaspolit是滲透測(cè)試與攻擊的必備工具［6］，功能豐富，其中使用MSF（Metasploit Frame Work）終端作為用戶接口，MSF終端是metasploit框架中功能最為靈活，最為豐富的工具之一。借助MSF終端可以發(fā)起滲透攻擊，創(chuàng)建監(jiān)聽器或者對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行自動(dòng)化攻擊。MSF終端啟動(dòng)非常方便，只需要在命令行中輸入msfconsole即可。

Metasploit包含數(shù)百個(gè)模塊，而且也在持續(xù)更新中［7］。在MSF終端中輸入show exploits會(huì)顯示metasploit中所有可行的滲透攻擊模塊，約為200個(gè)，隨著網(wǎng)絡(luò)安全漏洞的不斷增加，此模塊也會(huì)越來越多。Show options會(huì)顯示metasploit框架中各個(gè)模塊正確運(yùn)行所需要的一些設(shè)置，例如use windows/smb/ms08_067_netapi，show options顯示參數(shù)如表 1所示。

表1 show options顯示的參數(shù)Tab.1 The corresponding parameter of show options

同時(shí)為了更好地進(jìn)行漏洞滲透攻擊，metasploit經(jīng)常和一些漏洞掃描器結(jié)合使用。漏洞掃描器主要用來找出系統(tǒng)或應(yīng)用中存在安全漏洞的工具，在本文實(shí)驗(yàn)中采用nmap作為漏洞掃描工具。Nmap是一款進(jìn)行網(wǎng)絡(luò)掃描和主機(jī)檢測(cè)非常有用的工具，常常被攻擊者用來進(jìn)行攻擊前的信息收集，它適用于winodws、linux、mac等操作系統(tǒng)［8］，其功能包括檢測(cè)網(wǎng)絡(luò)上存活的主機(jī)（主機(jī)發(fā)現(xiàn)）、主機(jī)上開放的端口（端口發(fā)現(xiàn)或枚舉）以及檢測(cè)相應(yīng)端口（服務(wù)發(fā)現(xiàn)）的軟件和版本、操作系統(tǒng)等信息。

4 實(shí)驗(yàn)設(shè)計(jì)

4.1 組網(wǎng)以及環(huán)境部署

本文實(shí)驗(yàn)設(shè)計(jì)需要的硬件環(huán)境：

使用三臺(tái)安裝Ubuntu12.04系統(tǒng)的Vmware虛擬機(jī)A、B、C，其中A虛擬機(jī)安裝蜜罐系統(tǒng)捕獲攻擊數(shù)據(jù)，B虛擬機(jī)安裝攻擊工具 nmap、metsaploit，C虛擬機(jī)安裝入侵檢測(cè)系統(tǒng)snort。按照本文系統(tǒng)設(shè)計(jì)需求將網(wǎng)絡(luò)模式設(shè)置為橋接模式，虛擬機(jī)A的ip為192.168.254.143，B的ip為192.168.254.144，實(shí)現(xiàn)一個(gè)簡(jiǎn)單的局域網(wǎng)，如圖1所示。

圖1 實(shí)驗(yàn)環(huán)境Fig.1 Experimental environment

文中A機(jī)器的被攻擊環(huán)境依托dionaea蜜罐，在A機(jī)器安裝dionaea蜜罐系統(tǒng)，安裝完成后切換目錄到/opt/dionaea/ bin。使用./dionaea-D命令后臺(tái)運(yùn)行蜜罐系統(tǒng)，通過ps-ef| grepdionaea查看dionaea是否運(yùn)行，結(jié)果如圖2所示，dionaea蜜罐已經(jīng)成功啟動(dòng)。

另外為了更好的分析數(shù)據(jù)包，文中在蜜罐機(jī)器里使用tcpdump命令實(shí)時(shí)捕獲所有的網(wǎng)絡(luò)數(shù)據(jù)包。在B機(jī)器中安裝掃描工具nmap和metaspolit，在C機(jī)器中安裝入侵檢測(cè)系統(tǒng)snort，安裝過程這里不再贅述。

圖2 Dionaea蜜罐啟動(dòng)頁(yè)面Fig.2 The start page of dionaea honeypot

4.2 信息采集及模擬攻擊過程

利用nmap掃描已經(jīng)啟動(dòng)了蜜罐的機(jī)器A，結(jié)果如圖3所示。

圖3 變更端口指紋信息前的掃描結(jié)果Fig.3 The scanned result before altering port fingerprint information

從圖3中可以看出，A系統(tǒng)開放了很多常見的服務(wù)，這些服務(wù)大多為dionaea通過模擬實(shí)現(xiàn)的。在這些服務(wù)當(dāng)中，nmap識(shí)別出了部分系統(tǒng)服務(wù)為dionaea蜜罐模擬實(shí)現(xiàn)的（圖中標(biāo)注有“Dionaea honeypot”字樣的信息），在實(shí)際部署當(dāng)中會(huì)被攻擊者發(fā)現(xiàn)該系統(tǒng)為蜜罐系統(tǒng)，從而停止攻擊，因此需要將蜜罐特征盡量隱藏，dionaea提供了一種方法，通過修改配置文件/opt/dionaea/lib/dionaea/python/dionaea/smb/include/ smbfields.py和/opt/dionaea/lib/dionaea/python/dionaea/mssql/mssql.py，變更SMB的445端口指紋和MSSQL的1433端口指紋信息來實(shí)現(xiàn)特征隱藏，修改完成后再次利用掃描器進(jìn)行掃描，結(jié)果如圖4所示。

圖4 變更端口指紋信息后的掃描結(jié)果Fig.4 The scanned result after altering port fingerprint information

根據(jù)圖3和圖4對(duì)比來看，此時(shí)已經(jīng)隱藏了蜜罐的明顯字樣信息，接下來可以對(duì)蜜罐實(shí)施攻擊，由圖3可知A系統(tǒng)開放了smb，http，mysql等服務(wù)。本文以smb服務(wù)為例，利用namp對(duì)該服務(wù)進(jìn)行進(jìn)一步的探測(cè)，使用命令：

nmap-sS-sV-O-script=smb-check-vulns.nse192.168.254.143

發(fā)現(xiàn)漏洞信息如圖5所示。

圖5 Dionaea機(jī)器存在的漏洞Fig.5 The vulnerabilities of dionaea honeypot

從圖5中可以看到，nmap已經(jīng)識(shí)別出A系統(tǒng)存在ms08-067漏洞，下面使用metasploit對(duì)該漏洞進(jìn)行攻擊。

首先在MSF框架中搜索攻擊ms08-067的exploit，通過執(zhí)行命令 search ms08_067發(fā)現(xiàn)存在一個(gè)名為 exploit/ windows/smb/ms08_067_netapi的攻擊模塊，選擇蜜罐系統(tǒng)模擬的 windows xp sp2版本漏洞，并且分別設(shè)置 RHOST和LHOST 參 數(shù) 為 192.168.254.143 （蜜 罐 機(jī) 器 A）和192.168.254.144（攻擊者機(jī)器B），配置完成后通過命令show options查看配置是否正確，確認(rèn)配置正確后執(zhí)行命令exploit/ windows/smb/ms08_067_netapi進(jìn)行攻擊，攻擊執(zhí)行結(jié)果如圖6所示。

圖6 滲透攻擊結(jié)果Fig.6 The result of penetration attacks

4.3 蜜罐捕獲攻擊確認(rèn)

攻擊完成后登錄到蜜罐系統(tǒng)，通過dionaea的webportal系統(tǒng) （dionaeaFR）查看捕獲到的信息，執(zhí)行命令：python manage.py runserver 0.0.0.0:8000，在瀏覽器中輸入 http://localhost:8000可以進(jìn)入 web系統(tǒng)，在頁(yè)面中點(diǎn)擊左側(cè)的connection可以看到有3條數(shù)據(jù)，確認(rèn)為通過metasploit發(fā)起的攻擊，如圖7所示。

圖7 蜜罐捕獲的攻擊數(shù)據(jù)Fig.7 The attacking data captured by honeypot

4.4 攻擊數(shù)據(jù)包分析

用Snort對(duì)使用tcpdump命令捕獲到的數(shù)據(jù)包進(jìn)行本地回放檢測(cè)，發(fā)現(xiàn)snort并未告警，說明snort目前的規(guī)則并不能有效識(shí)別該攻擊，需要增加新的規(guī)則。其中snort檢測(cè)結(jié)果如圖8所示。

圖8 更新規(guī)則庫(kù)前Snort分析結(jié)果Fig.8 The analysed result before updating snort rules

使用wireshark打開蜜罐捕獲的數(shù)據(jù)包，通過分析定位到承載攻擊的smb協(xié)議，具體的協(xié)議字段信息如圖9所示。

從圖 9中可以看到，metasploit攻擊過程中調(diào)用了SRVSVC服務(wù)的NetPathCanonicalize操作，并且傳遞了超長(zhǎng)的參數(shù)。這些參數(shù)是進(jìn)行攻擊所使用的shellcode，因此可以從該調(diào)用的數(shù)據(jù)部分提取特征作為規(guī)則，為了降低誤報(bào)率和盡量不對(duì)檢測(cè)效率產(chǎn)生太大的影響，從攻擊代碼中提取多段數(shù)據(jù)結(jié)合起來作為特征（系統(tǒng)實(shí)際部署后需要自動(dòng)化提取攻擊特征，本文僅僅是論證利用蜜罐系統(tǒng)捕獲攻擊并提取特征從而提高snort檢測(cè)能力的思路，自動(dòng)化的特征提取方法本文不進(jìn)行深入的探討）。其中content內(nèi)容為截取了多段的十六進(jìn)制數(shù)據(jù)流，由于是針對(duì)于SMB協(xié)議的滲透攻擊，將目的端口設(shè)置為445，規(guī)則如下：

圖9 攻擊數(shù)據(jù)流信息Fig.9 The information of attacking data stream

alerttcp 192.168.254.1/24 any-＞192.168.254.143445 （content:"|5c 00 51 70 67 43 75 6d 4a 74|"；depth:10；content:”|9c e3 d1 5b d3 6c 59 4e|”；depth:8；content:”

|f2 a5 90 7c 09 89 6f 14|”；depth:8；msg:"SMB attack"；sid: 909091；）

規(guī)則編寫完成后重新加載，再次執(zhí)行snort命令，對(duì)之前捕獲的數(shù)據(jù)包進(jìn)檢測(cè)：

snort--pcap-single=”/var/tmp/pcap/pcap.pcap”-c snort.conf

可以看到snort已經(jīng)進(jìn)行報(bào)警，并記錄了數(shù)據(jù)。

圖10 更新規(guī)則庫(kù)后Snort分析結(jié)果Fig.1 0 The analysed result after updating snort rules

通過對(duì)比更新snort規(guī)則庫(kù)前后的檢測(cè)結(jié)果（圖8、圖10所示）可以看到利用蜜罐系統(tǒng)誘捕攻擊，從攻擊數(shù)據(jù)中提取規(guī)則，提升snort檢測(cè)能力的方法是可行的。由于蜜罐自身的特點(diǎn)，出入蜜罐系統(tǒng)的數(shù)據(jù)大部分為攻擊相關(guān)數(shù)據(jù)，數(shù)據(jù)較為“純凈”，所以從這些數(shù)據(jù)中提取特征可以在很大程度上提升snort規(guī)則更新速率。在實(shí)際運(yùn)用的過程中可以通過部署大量的蜜罐系統(tǒng)，實(shí)時(shí)收集并分析數(shù)據(jù)，自動(dòng)化提取特征，將規(guī)則推送到相關(guān)設(shè)備來持續(xù)提升檢測(cè)能力，從系統(tǒng)模式上實(shí)現(xiàn)一處攻擊，全球快速響應(yīng)的能力。

5 結(jié) 論

文中通過分析蜜罐捕獲的網(wǎng)絡(luò)攻擊，提取攻擊特征碼，進(jìn)而升級(jí)snort特征庫(kù)進(jìn)行檢測(cè)的實(shí)驗(yàn)，證明了利用蜜罐可以主動(dòng)發(fā)現(xiàn)威脅，提高snort檢測(cè)能力。本文提供了一種快速更新snort規(guī)則庫(kù)，提升snort的檢測(cè)能力的方法。蜜罐系統(tǒng)在研究網(wǎng)絡(luò)安全中具有很高的性價(jià)比，能夠協(xié)助提升snort快速發(fā)現(xiàn)安全威脅的能力，該設(shè)計(jì)對(duì)研究未知網(wǎng)絡(luò)威脅具有較好的參考價(jià)值。

［1］孫偉，周繼軍，許德武.Snort輕量級(jí)入侵檢測(cè)系統(tǒng)全攻略［M］.北京:北京郵電大學(xué)出版社，2009.

［2］諸葛建偉，唐勇，韓心慧，等.蜜罐技術(shù)研究與應(yīng)用進(jìn)展［J］.軟件學(xué)報(bào)，2013，24（4）:825-842.

［3］馬騰云.基于蜜罐技術(shù)的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)［D］.濟(jì)南:山東大學(xué)，2013.

［4］李海芳，王喜聰，陳俊杰，等.Snort下模式串匹配算法的研究與改進(jìn)［J］.太原理工大學(xué)學(xué)報(bào)，2013，41（3）:256-259.

［5］余文衛(wèi)，王永吉.基于Snort規(guī)則庫(kù)的沖突檢測(cè)［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2008，29（3）:576-579.

［6］嚴(yán)俊龍.基于Metasploit框架自動(dòng)化滲透測(cè)試研究［J］.信息網(wǎng)絡(luò)安全，2013（2）:53-56.

［7］諸葛建偉，王珩，孫松柏，等.Metasploit滲透測(cè)試指南［M］.北京:電子工業(yè)出版社，2012.

［8］鄒鐵錚，李淵，張博鋒，等.基于支持向量機(jī)的操作系統(tǒng)識(shí)別方法［J］.清華大學(xué)學(xué)報(bào)：自然科學(xué)版，2009，49（S2）: 2164-2168.

Design on enhancement of Snort detection capabilities based on honeypot technology

CHEN Cui-yun，LIANG Hua-qing
（College of Geophysics and Information Engineering，China University of Petroleum，Beijing 102249，China）

Snort acts as an important role in how to defend the internet attack，so the way to improve the defend level of Snort is very essential.The paper describes a method of using a low-interaction honeypot system to capture network attacks，then to extract features from the attacks，and toupgradesnortrules and at last enhancing the speed of Snort to quickly discover security threats.And the result of the experiment verifies that the method can upgrade the rules of snort and it’s effective to improve the detection capabilities.

honeypot technology；intrusion detection；penetration attacks；feature extraction

TN915.08

A

1674－6236（2016）04-0048-04

2015-03-28 稿件編號(hào)：201503403

陳翠云（1988—），女，山東聊城人，碩士研究生。研究方向：計(jì)算機(jī)工程與應(yīng)用。