基于Nepenthes的惡意代碼收集系統(tǒng).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，人們在享受網(wǎng)絡(luò)帶來的便利和愉悅的同時(shí)，也受到越來越多的安全威脅。對于因特網(wǎng)來說，安全威脅主要來自于惡意代碼的肆意傳播，因此，如何有效的捕獲這些惡意代碼，減少網(wǎng)絡(luò)負(fù)擔(dān)，提高網(wǎng)絡(luò)安全，為用戶提供一個(gè)舒適的網(wǎng)絡(luò)環(huán)境成為安全工作者不懈努力的目標(biāo)。
　　 通過對惡意代碼傳播途徑的研究，可以將其分類為以下幾種：通過磁盤或移動介質(zhì)進(jìn)行傳播；通過受感染的文件進(jìn)行傳播；通過網(wǎng)絡(luò)進(jìn)行傳播；通過不可移動的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播

2、。分析表明，利用網(wǎng)絡(luò)進(jìn)行傳播的惡意代碼比率遠(yuǎn)遠(yuǎn)高于其他三種方式，因此，布置功能強(qiáng)大的蜜罐系統(tǒng)捕獲惡意代碼漸漸成為遏制惡意代碼在網(wǎng)絡(luò)上傳播最有效的方法。
　　 研究對象選擇開源蜜罐系統(tǒng)Nepenthes，在深入分析Nepenthes源碼基礎(chǔ)上詳細(xì)描述了其結(jié)構(gòu)以及工作原理，隨后在實(shí)際網(wǎng)絡(luò)中部署該系統(tǒng)并進(jìn)行測試。研究發(fā)現(xiàn)Nepenthes所模擬的漏洞隨著惡意代碼的不斷更新已經(jīng)基本失去了作用，漏洞虛擬模塊的交互能力過低，導(dǎo)致能夠捕獲到惡

3、意代碼數(shù)量非常有限；Shellcode分析模塊對攻擊代碼處理不當(dāng)，導(dǎo)致有效攻擊被忽略；遠(yuǎn)程下載模塊對于可疑URL解析不夠準(zhǔn)確，丟棄了很多有效鏈接；虛擬文件系統(tǒng)過于單一，不能有效的引誘惡意代碼的攻擊。為此，一個(gè)新的惡意代碼收集系統(tǒng)以Nepenthes為基礎(chǔ)設(shè)計(jì)實(shí)現(xiàn)，對近年來比較流行的新漏洞進(jìn)行收集分析，使得漏洞虛擬模塊具有“交談”的能力，從而提供更高的交互性；用LD相似度算法對Exploit進(jìn)行匹配，提高交互過程的準(zhǔn)確度；根據(jù)URL編碼格