忻俊

摘要：隨著使用者的需求變化與 Web應(yīng)用技術(shù)的快速發(fā)展， Web應(yīng)用更為開放并更強(qiáng)調(diào)分享及互動，使得 Web應(yīng)用成為當(dāng)今網(wǎng)絡(luò)應(yīng)用的潮流，但也成為黑客新的攻擊目標(biāo)。黑客對網(wǎng)站植入惡意程序代碼，造成 Web事件威脅不斷衍生，Web已變成信息安全攻擊重要感染途徑之一。該文將介紹一種惡意網(wǎng)頁檢測方法 - Client Honeypot。Client Honeypot系利用 Client端主動與 Web Server產(chǎn)生互動以進(jìn)行探測及誘捕，有別于傳統(tǒng)的入侵檢測系統(tǒng)被動式檢測模式。該研究以 Open Source 工具 Honey C為基礎(chǔ)進(jìn)行研究改進(jìn)，實(shí)現(xiàn)對惡意網(wǎng)頁檢測的應(yīng)用。

關(guān)鍵詞： 客戶端蜜罐；惡意網(wǎng)頁

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）03-0069-03

Network Intrusion Detection System Based on Client Honeypot

XIN Jun

（Shanghai Jiguang Polytechnic College，Shanghai 201901， China）

Abstract： with the user's demand changes with the rapid development of Web application technology， Web application more open and more emphasis on sharing and interactive， making Web applications become the trends of network applications， but also become a new target of hackers. Hackers malicious code to your website to make the Web event threat derived from tradition， the Web has become a information security against one of the important infection. This article introduces a kind of malicious web pages detection method - Client Honeypot. Client Honeypot system using Client side active interactions with a Web Server to detect and trapping， passive detection is different from the traditional intrusion detection system model. This study is based on Open Source tools Honey C study improvement， for the application of detecting malicious web pages.

Key words： client Honeypot； malicious web pages

1 概述

隨著 Web-based應(yīng)用服務(wù)范疇多元化（如社交型網(wǎng)站：Facebook、Twitter），直接拉近與使用者間的距離與提升瀏覽網(wǎng)頁的便利性，但也成為黑客新的攻擊目標(biāo)。Web應(yīng)用服務(wù)平臺所面臨的信息安全問題越來越受到重視，如：竊取網(wǎng)站敏感資料等。依據(jù) Web sense安全實(shí)驗(yàn)室[11]提出 2010年八大威脅預(yù)警表示，隨 Web 2.0而衍生的攻擊將更趨成熟。此外，信息安全廠商賽門鐵克網(wǎng)絡(luò)安全威脅報告[10，12]第 15期調(diào)查指出網(wǎng)頁式攻擊依然盛行，尤其是針對 Web瀏覽器及 PDF相關(guān)應(yīng)用程序的弱點(diǎn)所進(jìn)行的攻擊。文中提到很值得注意的事： 2009年針對 PDF閱讀器的弱點(diǎn)所進(jìn)行的網(wǎng)頁式攻擊事件大幅的成長，占所有網(wǎng)頁式攻擊的 49%，相較于 2008年的 11%，其成長相當(dāng)顯著。由此可知，Web已成為現(xiàn)今信息安全威脅主要攻擊目標(biāo)，對企業(yè)及使用者造成信譽(yù)及個人隱私的極大傷害。

網(wǎng)絡(luò)安全問題已經(jīng)被大家所重視，網(wǎng)管人員常會使用入侵檢測系統(tǒng) （IDS， Intrusion detection system）或誘捕系統(tǒng)（Honeypot）來建構(gòu)網(wǎng)絡(luò)防護(hù)系統(tǒng)，而 Honeypot是設(shè)計來引誘擷取惡意活動的程序進(jìn)而產(chǎn)生警告信息，以提升防護(hù)能力。 IDS和 Honeypot本質(zhì)上是屬于被動式的檢測，往往等到有攻擊事件發(fā)生，才有進(jìn)一步的防護(hù)作為，這種的防護(hù)措施有其限制存在。上面所描述是偏向 Server端的防護(hù)，需要等待入侵者進(jìn)行攻擊才能發(fā)揮作用，因此 Lance Spizner （June，2004）[5]提出新的概念稱為 Client Honeypot，如圖1所示。 Client Honeypot與傳統(tǒng)的 Server Honeypot差別在于它是屬于主動式的檢測，被設(shè)計能主動檢測惡意主機(jī)的攻擊行為模式。有別于 Server端的被動防護(hù)，Client Honeypot能主動地檢測網(wǎng)絡(luò)上所提供的 Web服務(wù)是否含有可疑的惡意攻擊行為存在。

圖1 Client Honeypot架構(gòu)概念

2 研究架構(gòu)與方法

2.1 研究內(nèi)容介紹

本研究以 Client Honeypot為架構(gòu)進(jìn)行研發(fā)，并以 Honey C為基礎(chǔ)進(jìn)行研究。Honey Monkey、Capture-HPC屬于高互動性的 Client Honeypot，主要缺點(diǎn)是硬件成本高、執(zhí)行效率慢以及不易建置部署，而本研究采用 Honey C是開放原始碼，屬于低互動性的 Client Honeypot，優(yōu)點(diǎn)為低成本、執(zhí)行效率快、容易部署，其本身會仿真 Client端代替真實(shí)系統(tǒng)與目標(biāo)網(wǎng)站互動，發(fā)出 HTTP Request并接收 HTTP Response，并且自回傳 Response的資料中與 Snort rule Signature比對是否為惡意可疑行為。

Honey C為獨(dú)立跨平臺架構(gòu)，由 Ruby語言撰寫而成，延續(xù)低互動性 Client Honeypot概念為基礎(chǔ)，分別在三個模塊概念中加入不同的功能性的需求：

● Queuer：使用 Yahoo所提供的 Yahoo Search API進(jìn)行目標(biāo)網(wǎng)址搜尋。

● Visitor：模擬 Web瀏覽器（使用 Wget替代真實(shí)瀏覽器）行為向目標(biāo)主機(jī)進(jìn)行互動。

● Analysis engine：采用 Snort Rule為基礎(chǔ)進(jìn)行特征比對分析。

圖2 Honey C概念架構(gòu)

近年來黑客攻擊型態(tài)改變，攻擊對象從單純的 Server端轉(zhuǎn)變到 Server端及 Client端，在網(wǎng)絡(luò)應(yīng)用程序中以 Websites為重要感染途徑之一，除了自行架設(shè)惡意網(wǎng)站及釣魚網(wǎng)站，也會攻擊正常網(wǎng)站，在合法網(wǎng)頁中注入惡意腳本、IFRAME隱藏（框架掛馬）、讓網(wǎng)頁自動轉(zhuǎn)址到惡意網(wǎng)站或者是以 Drive-By Download（隱匿下載）方式下載惡意檔案，后者對于使用者而言很難去判別與正常網(wǎng)頁之間差別。依據(jù)趨勢科技在 2009年對未來的威脅與威脅技術(shù)的預(yù)測報告[16]中指出，網(wǎng)頁威脅將繼續(xù)危害網(wǎng)際網(wǎng)絡(luò)使用者，包含利用惡意 Scirpt來強(qiáng)迫下載手法將繼續(xù)運(yùn)用，讓使用者瀏覽到遭感染的網(wǎng)站就能讓惡意程序執(zhí)行，讓黑客可存取計算機(jī)或網(wǎng)絡(luò)上隱私資料。面對日與俱增 Web應(yīng)用程序攻擊威脅是現(xiàn)今大家所注意及處理的課題之一。

表1 HTML page extracted attributes

Honey C仿真 Web-based（Web Browser）環(huán)境，采用特征比對 Response網(wǎng)頁內(nèi)容，能快速分析結(jié)果，但缺點(diǎn)是誤報情形較高，本研究加強(qiáng)對網(wǎng)頁內(nèi)容的靜態(tài)分析[2]，對網(wǎng)頁原始碼檢測是否含有隱藏可疑語法腳本，并與 Google Safe Browsing[4]（本研究稱 iConan） URL黑名單結(jié)合判別。

HTML常會被黑客所誤用，嵌入惡意腳本行為如表1所示 [1]，像 IFRAME、 Meta等例子如下。

2.2 系統(tǒng)架構(gòu)的改良

本研究基于 Honey C功能加以延伸與改進(jìn)。本研究增加 Html卷標(biāo) Tag語法腳本自動連結(jié)隱藏判別，結(jié)合 iConan系統(tǒng)（Google Safe Browsing）惡意網(wǎng)址黑名單，進(jìn)行 Tag link判別，并修改原有操作模式（CMD.EXE），采用 Ruby on rails網(wǎng)頁應(yīng)用程序開發(fā)框架 MVC（Model-View-Controller）架構(gòu)撰寫，以 Web GUI接口方式將結(jié)果信息呈現(xiàn)。

本系統(tǒng)功能模塊主要分成五大功能模塊，分別為檢測模塊、Web GUI模塊、規(guī)則資料庫模塊、檢測結(jié)果模塊及 iConan功能模塊，以下為功能介紹：

2.2.1檢測模塊

此模塊功能在于接收目標(biāo)主機(jī) Response網(wǎng)頁內(nèi)容，第一階段主要針對所回傳內(nèi)容檢測網(wǎng)頁原始碼是否包含有可自動連結(jié)標(biāo)簽（Tag）去做 URL crawler動作，取出網(wǎng)頁的各鏈接（Links）卷標(biāo) URL，如 IFRAME、Src、Href等，根據(jù)這些 Tag鏈接爬行下去，取得 URL link后產(chǎn)生 URL Queue傳給 iConan模塊判斷 URL是否為黑名單，如果此 URL經(jīng)判斷為黑名單即將 URL Http request動作停止，此動作可縮短檢測時間。此外，系統(tǒng)判別網(wǎng)頁是否含有隱藏可疑語法腳本，包含在 URL后插入惡意腳本（可疑 URL特征行為）及 JavaScript自動轉(zhuǎn)址語法（URL無預(yù)警轉(zhuǎn)址動作）。在第一階段若沒有上述特性時，系統(tǒng)將進(jìn)入第二階段，進(jìn)行 Snort rule特征比對動作。

眾多黑客會利用自動連結(jié)標(biāo)簽來嵌入惡意網(wǎng)址鏈接，以及注入惡意腳本、進(jìn)行 URL無預(yù)警轉(zhuǎn)址動作或 URL無預(yù)警自動下載檔案等動作。利用檢測網(wǎng)頁原始碼、可疑 URL特征行為判別[13]及跟規(guī)則資料庫模塊連結(jié)進(jìn)行惡意特征（Snort rule set）結(jié)合判斷，可篩選出可疑的網(wǎng)頁。

2.2.2Web GUI模塊

Web GUI模塊修改原本操作模式使得操作變的更簡易，本研究采用 Ruby on rails網(wǎng)頁應(yīng)用程序開發(fā)框架 MVC（Model-View-Controller）架構(gòu)撰寫，提供網(wǎng)頁操作接口提供使用者輸入想要檢測的 URL，并將 URL傳送給檢測模塊進(jìn)行檢測動作并接收檢測結(jié)果。分析的結(jié)果，于網(wǎng)頁上以 Table欄位呈現(xiàn)，包括 localhost（URL路徑）、Rule（信息名稱）、Type（攻擊類型）及 Priority（優(yōu)先考慮事件）。 Priority欄位以數(shù)字圖形顏色呈現(xiàn)，共分成三種 Priority（1、2及 3）情況，數(shù)字越小代表此 URL的可疑度越高，能立即明白此 URL網(wǎng)頁的可疑度。

2.2.3規(guī)則資料庫模塊

規(guī)則資料庫依據(jù) Bleeding Edge Threats、Emerging Threats組織所提供 Snort rule，及依據(jù)官方 Snort針對網(wǎng)頁服務(wù)器的特征規(guī)則，使用眾多規(guī)則文件來提升對已知惡意網(wǎng)頁行為判斷精確度。Bleeding Edge Threats、Emerging Threats組織所提供 Snort rule專注在 IE exploit弱點(diǎn)的 Snort rule，供網(wǎng)絡(luò)使用者下戴自行使用。其中 Rules類型包含：scan.rules、malware.rules、 virus.rules、polcicy.rules、p2p.rules、dos.rules、inappropriate.rules、web.rules、 exploit.rules、attack response.rules、game.rules及 voip.rules。官方 Snort針對網(wǎng)頁服務(wù)器的特征規(guī)則包含： web-attack.rules、 web-cgi.rules、 web-frontage.rules、web-iis.rules、web-misc.rules及 web-php.rules。

2.2.4檢測結(jié)果模塊

此模塊提供檢測模塊儲存檢測的結(jié)果，并提供 Web GUI模塊連結(jié)功能取得檢測的結(jié)果，窗體欄位包括 Localhost、Rule、Type及 Priority。

2.2.5iConan功能模塊

此模塊接 Google Safe Browsing API取得 Google有安全疑慮 URL網(wǎng)址黑名單。此模塊負(fù)責(zé)接收檢測模塊所傳送 URL Queue，透過 Google所提供的 API進(jìn)行 URL比對，檢查是否與黑名單資料庫是否相符，依其判斷結(jié)果信息傳回檢測模塊，接續(xù)檢測流程動作。

2.3檢測范例應(yīng)用

本研究建置四個惡意網(wǎng)頁范例腳本，包含 Google Safe Browsing URL黑名單連結(jié)以及含有可疑 URL特征（URL后插入 Java Script語法）、IFRAME隱藏 （框架掛馬）以及 Phishing特征的范例，于本系統(tǒng)進(jìn)行檢測驗(yàn)證動作：

case1、case2及 case3基于檢測模塊第一階段自動連結(jié)隱藏卷標(biāo)語法判別，其檢測結(jié)果顯示為此網(wǎng)頁含有可疑連結(jié)特征信息警示。

Case4：Phishing特征本范例使用 JavaScript語法，偽裝成假網(wǎng)址列 URL圖片覆蓋至原始網(wǎng)址列上，讓使用者誤認(rèn)為連結(jié)至原本網(wǎng)站。在檢測模塊第一階段未檢測出含有可疑自動連結(jié)隱藏標(biāo)簽?zāi)_本，則進(jìn)入檢測模塊第二階段，進(jìn)行 Snort rule特征比對，產(chǎn)生相對應(yīng)可疑行為信息。

上述范例中經(jīng)與本系統(tǒng)檢測后，有效檢測出網(wǎng)頁含有可疑行為特征，并依不同的行為特征產(chǎn)生對應(yīng)的信息類型，讓使用者能快速辨別。

3 結(jié)論

Client Honeypot是一個新興的技術(shù)，它是屬于主動式的檢測，能主動檢測惡意主機(jī)的攻擊行為模式。本文中探討介紹 Client Honeypot概念，并修改低互動性 Client Honeypot-Honey C開放原始碼，強(qiáng)化 Honey C的網(wǎng)頁內(nèi)容靜態(tài)分析，對網(wǎng)頁內(nèi)容進(jìn)行語法判斷及惡意特征行為比對，檢測含有隱藏自動連結(jié)的惡意腳本并與 Google Safe Browsing黑名單比對，在第一階段對 URL鏈接及網(wǎng)頁原始碼進(jìn)行檢測，分析有無不正當(dāng)連結(jié)行為特征，第二階段則以特征比對動作分析惡意腳本。第二階段使用 Web相關(guān)的擴(kuò)充規(guī)則文件，來提升整體檢測率。本研究針對正常網(wǎng)頁及含有黑名單連結(jié)、可疑 URL特征、IFRAME隱藏及 Phishing腳本的惡意網(wǎng)頁進(jìn)行實(shí)測，可有效檢測、發(fā)掘潛藏可疑的惡意網(wǎng)頁。然而 Web應(yīng)用與攻擊型態(tài)瞬息萬變， Web應(yīng)用開發(fā)者、網(wǎng)絡(luò)管理者必須提高自我信息安全意識，并加強(qiáng)系統(tǒng)與網(wǎng)絡(luò)的信息安全防護(hù)，才能避免遭受到攻擊。

參考文獻(xiàn) ：

[1] Aikaterinaki Niki.DRIVE-BY DOWNLOAD ATTACKS： EFFECTS AND DETECTION METHODS[C]. IT Security Conference for the Next Generation， 2008：34.

[2] Seifert C， Welch I.Identification of Malicious Web Pages with Static Heuristics[C].IEEE ATNAC， 2008.

[3] Christian Seifert， Ramon Steenson， Thorsten Holz.Know Your Enemy： Malicious Web Servers[Z].The Honey net Project， 2007：3-4.

[4] Google Safe Browsing API[EB/OL].http：//code.google.com/apis/safebrowsing/.

[5] Lance Spitzner .Honeypot Catching the Insider Threat [EB/OL].（2004）.www.acsa-admin.org/2003/papers/spitzner.pdf .

[6] Niles Provos， Panayiotis Mavrommatis， Moheeb Abu Rajab，and Fabian Monrose.All Your iFRAMEs Point to Us[R].Google Technical Report provos，2008.

[7] Radek Hes， Dr Peter Komisarczuk， Ramon Steenson， Christian Seifert.The Capture-HPC client architecture[EB/OL].（2009）.http：//ecs.victoria.ac.nz/twiki/pub/Main/TechnicalReport Series/ECSTR09-11.pdf.

[8]Seifert， Honey C - The Low-Interaction Client Honeypot[EB/OL].（2006）. http：//Honey C.sourceforge.net/.

[9] Yi-Min Wang， Doug Beck， Xuxian Jiang，et al.Automated Web Partrol with Strider Honey Monkeys： Finding Web Site That Exploit Browser Vulnerabilities[EB/OL].（2005）. http：//research.microsoft.com/en-us/um/redmond/projects/strider/honeymonkey.

[10] 賽門鐵克（Symantec）.絡(luò)安全威脅研究報告第 15 期[EB/OL].http：//www4.symantec.com/Vrt/wl？tu_id=SUKX1271711282503126202.

[11] Web sense.2010 八大威脅預(yù)警[EB/OL].http：//www.websense.com/content/Regional/TCH/NewsRoom.aspx？ID=1900.

[12] 數(shù)位之墻[EB/OL].http：//www.digitalwall.com/scripts/displaypr.asp？UID=18342.