Decoy:基于主動技術(shù)的惡意代碼捕獲系統(tǒng)

由于現(xiàn)有的被動捕獲技術(shù)逐漸無法適應(yīng)網(wǎng)絡(luò)安全需要，本文提出一種基于主動技術(shù)的
惡意代碼捕獲方法，結(jié)合主動技術(shù)和高交互式蜜罐構(gòu)建了惡意代碼自動捕獲系統(tǒng)Decoy。
Decoy主動尋找夾帶惡意代碼的可疑目標(biāo)，啟動客戶端瀏覽器主動訪問，誘導(dǎo)惡意代碼實施攻擊，進(jìn)行實時監(jiān)控并加以捕獲。實驗證明，采用主動技術(shù)的捕獲器，主動性強(qiáng)，捕獲效率高。
隨著互聯(lián)網(wǎng)的廣泛應(yīng)用，網(wǎng)絡(luò)安全問題日益嚴(yán)峻，惡意代碼已經(jīng)成為互聯(lián)網(wǎng)最嚴(yán)重的安
全威脅之一，而網(wǎng)絡(luò)下載和瀏覽進(jìn)行傳播的惡意代碼成為惡意代碼主流。這類惡意代碼借助于客戶端應(yīng)用漏洞和被動觸發(fā)方式感染目標(biāo)系統(tǒng)，不具備主動傳播能力[1]。傳統(tǒng)惡意代碼捕獲系統(tǒng)例如Nepenthes惡意代碼捕獲器，單純使用蜜罐技術(shù)，通過模擬已知漏洞吸引惡意代碼，被動等待其入侵[2]。針對非主動傳播的惡意代碼，傳統(tǒng)捕獲系統(tǒng)無法有效地進(jìn)行捕獲。
同時，傳統(tǒng)捕獲系統(tǒng)一般需要部署在公網(wǎng)網(wǎng)絡(luò)出口，對部署環(huán)境的要求較高。
由于傳統(tǒng)的依靠被動捕獲的技術(shù)逐漸無法適應(yīng)網(wǎng)絡(luò)安全的需要，惡意代碼捕獲由被動技
術(shù)轉(zhuǎn)向主動技術(shù)。本文提出了一種基于主動技術(shù)的惡意代碼捕獲方法，并基于此思想，結(jié)合高交互式蜜罐實現(xiàn)了捕獲系統(tǒng)Decoy。除具有傳統(tǒng)捕獲器惡意代碼捕獲能力之外，Decoy還通過主動訪問夾帶惡意代碼的目標(biāo)，主動觸發(fā)無傳播能力的惡意代碼，利用行為特征監(jiān)控進(jìn)行實時捕獲，從而有效提高惡意代碼捕獲種類覆蓋率。Decoy僅需部署于局域網(wǎng)即可獲得較高的捕獲效率，具有較強(qiáng)的可用性。