网络防御多agent系统与智能决策研究室课件

《网络防御多agent系统与智能决策研究室课件》由会员分享，可在线阅读，更多相关《网络防御多agent系统与智能决策研究室课件（93页珍藏版）》请在装配图网上搜索。

1、网络攻防技术之网络防御技术苏兆品常采用的防御机制p防火墙p入侵检测系统p蜜网3.1 防火墙p什么是防火墙？n防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。n它是不同网络或网络安全域之间信息的唯一出入口。防火墙的功能p访问控制 p对网络存取和访问进行监控审计p防止内部信息的外泄p支持VPN功能 p支持网络地址转换p防火墙的基本特征p内部网络和外部网络之间的所有网络数据流都必须经过防火墙p只有符合安全策略的数据流才能通过防火墙p防火墙自身应具有非常强的抗攻击免疫力防火墙的局限性p防火墙不能防范不经过防火墙的攻击。如拨号访问、内部攻击等

2、。p防火墙不能解决来自内部网络的攻击和安全问题。p防火墙不能防止策略配置不当或错误配置引起的安全威胁。p防火墙不能防止利用标准网络协议中的缺陷进行的攻击。p防火墙不能防止利用服务器系统漏洞所进行的攻击。p防火墙不能防止受病毒感染的文件的传输。p防火墙不能防止数据驱动式的攻击。有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。p防火墙不能防止本身的安全漏洞的威胁。目前还没有厂商绝对保证防火墙不会存在安全漏洞。p防火墙不能防止可接触的人为或自然的破坏。防火墙的发展史软件防火墙软件防火墙软件防火墙软件防火墙硬件防火墙硬件防火墙硬件防火墙硬件防火墙按按按按形形形形

3、态态态态分分分分类类类类按按按按保保保保护护护护对对对对象象象象分分分分类类类类保护整个网络保护整个网络保护整个网络保护整个网络保护单台主机保护单台主机保护单台主机保护单台主机网络防火墙网络防火墙网络防火墙网络防火墙单机防火墙单机防火墙单机防火墙单机防火墙防火墙的分类单机防火墙单机防火墙网络防火墙网络防火墙产品形态产品形态软件软件硬件或者软件硬件或者软件安装点安装点单台独立的单台独立的 HostHost网络边界处网络边界处安全策略安全策略分散在各个安全点分散在各个安全点对整个网络有效对整个网络有效保护范围保护范围单台主机单台主机一个网段一个网段管理方式管理方式分散管理分散管理集中管理集中管理功

4、能功能功能单一功能单一功能复杂、多样功能复杂、多样管理人员管理人员普通计算机用户普通计算机用户专业网管人员专业网管人员安全措施安全措施单点安全措施单点安全措施全局安全措施全局安全措施结论结论单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能为内部网络提供强大的保护功能单机防火墙&网络防火墙1.1.仅获得仅获得FirewallFirewall软件，需要准备额外的软件，需要准备额外的OSOS平台平台2.2.安全性依赖低层的安全性依赖低层的OSOS3.3.网络适应性弱（主要以路由模式工作）网络适应性弱（主要以路由模

5、式工作）4.4.稳定性高稳定性高5.5.软件分发、升级比较方便软件分发、升级比较方便1.1.硬件硬件+软件，不用准备额外的软件，不用准备额外的OSOS平台平台2.2.安全性完全取决于专用的安全性完全取决于专用的OSOS3.3.网络适应性强（支持多种接入模式）网络适应性强（支持多种接入模式）4.4.稳定性较高稳定性较高5.5.升级、更新不太灵活升级、更新不太灵活硬件防火墙&软件防火墙防火墙实现技术原理1.简单包过滤防火墙2.动态包过滤(状态检测)防火墙3.应用代理防火墙4.包过滤与应用代理复合型防火墙简单包过滤防火墙（Packet filtering）p包过滤防火墙在网络层实现数据的转发，包过滤

6、模块一般检查网络层、传输层内容，包括下面几项：n 源、目的IP地址；n 源、目的端口号；n 协议类型；n TCP报头的标志位。应用层应用层应用层应用层TCP TCP 层层层层IP IP 层层层层网络接口层网络接口层网络接口层网络接口层TCPTCP 数据数据数据数据 IPIP 数据数据数据数据 TCPTCPTCPTCP 数据数据数据数据 IPIPETHETH 数据数据数据数据 TCPTCP 数据数据数据数据 IPIP应用层应用层应用层应用层TCP TCP 层层层层IP IP 层层层层网络接口层网络接口层网络接口层网络接口层TCPTCP 数据数据数据数据 IPIP 数据数据数据数据 TCPTCPT

7、CPTCP 数据数据数据数据 IPIPETHETH数据数据数据数据只检查报头只检查报头只检查报头只检查报头1010010010010100100000111001111011110111010010010010100100000111001111011110110010010010100100000111001111011110110010010010100100000111001111011110111.1.简单包过滤防火墙不检查简单包过滤防火墙不检查简单包过滤防火墙不检查简单包过滤防火墙不检查数据区数据区数据区数据区2.2.简单包过滤防火墙不建立简单包过滤防火墙不建立简单包过滤防火墙不建立

8、简单包过滤防火墙不建立连接状态表连接状态表连接状态表连接状态表3.3.前后报文无关前后报文无关前后报文无关前后报文无关4.4.应用层控制很弱应用层控制很弱应用层控制很弱应用层控制很弱p优点：n 保护整个网络；对用户透明；可用路由器，不需要其他设备。p缺点：n1.包过滤的一个重要的局限是它不能分辨好的和坏的用户，只能区分好的包和坏的包。n2.包过滤规则难配置。n3.新的协议的威胁。n4.IP欺骗特点动态包过滤(状态检测)防火墙应用层应用层应用层应用层TCP TCP 层层层层IP IP 层层层层网络接口层网络接口层网络接口层网络接口层TCPTCP 数据数据数据数据 IPIP 数据数据数据数据 TC

9、PTCPTCPTCP 数据数据数据数据 IPIPETHETH数据数据数据数据TCPTCP 数据数据数据数据 IPIP应用层应用层应用层应用层TCP TCP 层层层层IP IP 层层层层网络接口层网络接口层网络接口层网络接口层TCPTCP 数据数据数据数据 IPIP 数据数据数据数据 TCPTCPTCPTCP 数据数据数据数据 IPIPETHETH数据数据数据数据只检查报头只检查报头只检查报头只检查报头10100100100101001000001110011110111101110100100100101001000001110011110111101100100100101001000001

10、11001111011110110010010010100100000111001111011110111.1.不检查数据区不检查数据区不检查数据区不检查数据区2.2.建立连接状态表建立连接状态表建立连接状态表建立连接状态表3.3.前后报文相关前后报文相关前后报文相关前后报文相关4.4.应用层控制很弱应用层控制很弱应用层控制很弱应用层控制很弱建立连接状态表建立连接状态表建立连接状态表建立连接状态表动态包过滤防火墙的工作流程代理防火墙（Proxy Server）p代理防火墙的工作过程：优点1.代理易于配置。2.代理能生成各项记录。3.代理能灵活、完全地控制进出流量、内容。4.代理能过滤数据内容。

11、5.代理能为用户提供透明的加密机制。6.代理可以方便地与其他安全手段集成。缺点1.代理速度较路由器慢。2.代理对用户不透明。3.对于每项服务代理可能要求不同的服务器。nHTTP代理：它的端口一般为80、8080、3128等。nFTP代理：其端口一般为21、2121。nPOP3代理：其端口一般为110。nTelnet代理：能够代理通信机的telnet，用于远程控制，入侵时经常使用。其端口一般为23。4.代理服务不能保证免受所有协议弱点的限制。5.代理防火墙提供应用保护的协议范围是有限的。应用层应用层应用层应用层TCP TCP 层层层层IP IP 层层层层网络接口层网络接口层网络接口层网络接口层T

12、CPTCP 数据数据数据数据 IPIP 数据数据数据数据 TCPTCPTCPTCP 数据数据数据数据 IPIPETHETH 数据数据数据数据 TCPTCP 数据数据数据数据 IPIP应用层应用层应用层应用层TCP TCP 层层层层IP IP 层层层层网络接口层网络接口层网络接口层网络接口层TCPTCP 数据数据数据数据 IPIP 数据数据数据数据 TCPTCPTCPTCP 数据数据数据数据 IPIPETHETH 数据数据数据数据 检查整个报文内容检查整个报文内容检查整个报文内容检查整个报文内容101001001001010010000011100111101111011101001001001

13、0100100000111001111011110110010010010100100000111001111011110110010010010100100000111001111011110111.1.可以检查整个数据包内容可以检查整个数据包内容可以检查整个数据包内容可以检查整个数据包内容2.2.根据需要建立连接状态表根据需要建立连接状态表根据需要建立连接状态表根据需要建立连接状态表3.3.网络层保护强网络层保护强网络层保护强网络层保护强4.4.应用层控制细应用层控制细应用层控制细应用层控制细5.5.会话控制较弱会话控制较弱会话控制较弱会话控制较弱建立连接状态表建立连接状态表建立连接状态表

14、建立连接状态表复合型防火墙的工作原理综合安全性综合安全性综合安全性综合安全性网络层保护网络层保护网络层保护网络层保护应用层保护应用层保护应用层保护应用层保护应用层透明应用层透明应用层透明应用层透明整体性能整体性能整体性能整体性能处理对象处理对象处理对象处理对象简单包过滤防火墙简单包过滤防火墙简单包过滤防火墙简单包过滤防火墙状态检测包过滤防火墙状态检测包过滤防火墙状态检测包过滤防火墙状态检测包过滤防火墙应用代理防火墙应用代理防火墙应用代理防火墙应用代理防火墙复合型防火墙复合型防火墙复合型防火墙复合型防火墙单个包报头单个包报头单个包报头单个包报头单个包报头单个包报头单个包报头单个包报头单个包全部单

15、个包全部单个包全部单个包全部单个包全部单个包全部单个包全部单个包全部防火墙核心技术比较3.2 入侵检测系统p为什么需要IDSn单一防护产品的弱点p防御方法和防御策略的有限性p动态多变的网络环境p来自外部和内部的威胁n单纯的防火墙无法防范复杂多变的攻击n入侵很容易p入侵教程随处可见p各种工具唾手可得n入侵检测是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象n入侵检测系统：对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。什么是入侵检测系统？（Intrus

16、ion Detection System）IDS的作用IDS基本结构基本结构p（1）信息收集p（2）分析引擎p（3）响应部件（1）信息收集）信息收集p入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为p需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息n从一个源来的信息有可能看不出疑点,尽可能扩大检测范围n入侵检测的效果很大程度上依赖于收集信息的可靠性和正确性n要保证用来检测网络系统软件的完整性n特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息信息收集的来源信息收集的来源p系统或网络的日志文件n日志文件中记录了各种行为类

17、型，每种类型又包含不同的信息p例如：记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容p对用户活动来讲，不正常的或不期望的行为就是:重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等 p网络流量：p系统目录和文件的异常变化n重要信息的文件和私有数据文件经常是黑客修改或破坏的目标n目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号n入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件 p程序

18、执行中的异常行为（2）分析引擎）分析引擎 模式匹配 统计分析 完整性分析（事后分析）模式匹配模式匹配p模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为p一般来讲，一种攻击模式可以用两种方式来表示n一个过程（如执行一条指令）n一个输出（如获得权限）p该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）统计分析统计分析p统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性n如访问次数、操作失败次数和延时等p测量属性的平均值和偏差被

19、用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生完整性分析完整性分析p完整性分析主要关注某个文件或对象是否被更改n包括文件和目录的内容及属性n在发现被更改的、被安装木马的应用程序方面特别有效（3）响应部件）响应部件-响应动作p简单报警p切断连接p封锁用户p改变文件属性p最强烈反应：回击攻击者入侵检测系统和蜜罐技术苏兆品入侵检测系统的分类（入侵检测系统的分类（1）p按照分析方法（检测方法）n异常检测模型（Anomaly Detection):首先总结正常操作应该具有的特征，如CPU利用率、内存利用率和文件校验和等数值，当用户活动与正常行为有重大偏离时即被认为是入侵p

20、这类数值可以人为定义，也可以通过观察系统，并用统计的办法得出p-统计分析方法 入侵检测系统性能关键参数入侵检测系统性能关键参数p误报(false positive)：如果系统错误地将正常活动定义为入侵n错误拒绝p漏报(false negative)：如果系统未能检测出真正的入侵行为n错误接受n误用检测模型（Misuse Detection)：，又称基于标识的检测，收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 p模式匹配方法入侵检测系统的分类（入侵检测系统的分类（2）pp主机主机IDSIDS（HIDSHIDS）：是一种用于监控单

21、个主机：是一种用于监控单个主机上的活动的软件应用。监控方法包括验证操作系上的活动的软件应用。监控方法包括验证操作系统与应用调用及检查日志文件、文件系统信息与统与应用调用及检查日志文件、文件系统信息与网络连接。网络连接。p网络IDS（NIDS）：通常以非破坏方式使用。这种设备能够捕获LAN区域中的信息流并试着将实时信息流与已知的攻击签名进行对照。pp混合型的混合型的基于主机的IDS基于网络的IDS两类两类IDS监测软件特点监测软件特点p网络IDSn侦测速度快 n隐蔽性好 n视野更宽 n较少的监测器 n占资源少 p主机IDSn视野集中 n易于用户自定义n保护更加周密n对网络流量不敏感 IDS的设计

22、原理的设计原理IDS面临的挑战提高入侵检测系统的检测速度，以适应网络通信的要求减少入侵检测系统的漏报和误报，提高其安全性和准确度n当前IDS使用的主要检测技术仍然是模式匹配，模式库的组织简单、不及时、不完整，而且缺乏对未知攻击的检测能力；n随着网络规模的扩大以及异构平台和不同技术的采用，尤其是网络带宽的迅速增长，IDS的分析处理速度越来越难跟上网络流量，从而造成数据包丢失；n网络攻击方法越来越多，攻击技术及其技巧性日趋复杂，也加重了IDS的误报、漏报现象。提高入侵检测系统的互动性能，从而提高整个系统的安全性能无法避免DOS攻击IDS是失效开放（Fail Open）的机制，当IDS遭受拒绝服务攻

23、击时，这种失效开放的特性使得黑客可以实施攻击而不被发现。提高入侵检测系统的互动性能，从而提高整个系统的安全性能无法避免DOS攻击IDS是失效开放（Fail Open）的机制，当IDS遭受拒绝服务攻击时，这种失效开放的特性使得黑客可以实施攻击而不被发现。无法避免插入和规避攻击插入攻击和规避攻击是两种逃避IDS检测的攻击形式。插入攻击可通过定制一些错误的数据包到数据流中，使IDS误以为是攻击。意图是使IDS频繁告警（误警），但实际上并没有攻击，起到迷惑管理员的作用。规避攻击则相反，可使攻击躲过IDS的检测到达目的主机。规避攻击的意图则是真正要逃脱IDS的检测，对目标主机发起攻击。黑客经常改变攻击特

24、征来欺骗基于模式匹配的IDS。IDS产品p免费nSnort phttp:/www.snort.orgnSHADOWphttp:/www.nswc.navy.mil/ISSEC/CID/资源pIDS FAQnhttp:/ Mailinglistnhttp:/ Protection System，IPS）p倾向于提供主动性的防护，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。p通过直接嵌入到网络流量中而实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传

25、送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能够在IPS设备中被清除掉 作业p防火墙、IDS、IPS区别和联系3.3蜜罐和蜜网蜜罐和蜜网（Honeypots and Honeynets）p蜜罐技术p蜜网技术3.3.1 蜜罐技术p为什么需要蜜罐技术？p什么是蜜罐？有什么优势？pp虚拟蜜罐工具虚拟蜜罐工具HoneydHoneyd一为什么需要蜜罐技术？（3）p互联网安全状况n安全基础薄弱p操作系统/软件存在大量漏洞p安全意识弱、缺乏安全技术能力n任何主机都是攻击目标！pDDoS、跳板攻击需要大量僵尸主机p蠕虫、病毒的泛滥p并不再仅仅为了炫耀：垃圾邮件,网络钓鱼n攻

26、击者不需要太多技术p攻击工具的不断完善Metasploit：漏洞检测工具CC：http攻击p攻击脚本和工具可以很容易得到和使用p网络攻防的非对称博弈n工作量不对称p攻击方：夜深人静,攻其弱点p防守方：24*7,全面防护n信息不对称p攻击方：通过网络扫描、探测、踩点对攻击目标全面了解p防守方：对攻击方一无所知n后果不对称p攻击方：任务失败，极少受到损失p防守方：安全策略被破坏，利益受损p入侵检测也有局限性n入侵检测系统虽然在入侵行为的检测方面取得了很大的成功,但自身存在难以克服的局限:虚警、漏警。n安全模型/规则，未知网络攻击n数据整合/挖掘-如何从大量的数据中为攻击检测和确认提供有用的信息蜜罐

27、技术的提出p试图改变攻防博弈的非对称性n对攻击者的欺骗技术增加攻击代价、减少对实际系统的安全威胁n了解攻击者所使用的攻击工具和攻击方法n追踪攻击源、攻击行为审计取证pHoneypot:首次出现在Cliff Stoll的小说“The Cuckoos Egg”(1990)-杜鹃蛋pFred Cohen（计算机病毒之父）pDTK:Deception Tool Kit(1997)模拟器pA Framework for Deception(2001)二 什么是蜜罐？有什么优势？pHoneypot：A security resource whos value lies in being probed,at

28、tacked or compromisedp是一种网络诱骗系统，伪装成具有看似重要但却没有价值数据的有漏洞的系统，诱骗入侵者。p当攻击者忙着吃蜜的时候，收集攻击者的数据。-攻击的来源 -攻击者在做什么，在寻找什么 -攻击者在exploiting 什么 vulnerabilities。p注意：n没有业务上的用途，不存在区分正常流量和攻击的问题n蜜罐系统是具有吸引和诱骗价值的资源，它期待被检测、攻击和潜在的利用n其作用是引诱黑客扫描、攻击并最终攻陷从而获取攻击者的信息以及他们的攻击技术和手段。n所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷n用以监视、检测和分析攻击p Honeypot是是IDS

29、的补充的补充Honeypot的分类p交互性：攻击者在蜜罐中活动的交互性级别n低交互型虚拟蜜罐n中交互型虚拟蜜罐n高交互型物理蜜罐n虚拟机蜜罐虚拟硬件、真实操作系统/网络服务低交互度低交互度Honeypotp不运行真实操作系统的真实应用服务,而是模拟服务和操作系统，对外呈现真实应用服务的基本功能,攻击者于是与这些模拟服务进行预先设定好的例行交互。p交互信息的有限性:n只为外界攻击提供非常有限的应答或只是简单的监听网络的连接信息n对攻击没有回应，只产生一些简单的日志信息n黑客容易发现异常并停止攻击，这样也就失去了诱骗的初衷p容易部署，安全性最高:不易被黑客攻破而成为攻击其它内网主机的跳板p例:Ho

30、neyd中交互度的中交互度的Honeypotp不提供真实的操作系统应用服务与攻击者交互,但提供了更多复杂的诱骗进程,模拟了更多更复杂的特定服务p交互频率高：提供更加详细的日志和攻击手段。p网络安全技术要求高：n在无操作系统支持的基础上提供各种协议服务，而且要诱骗攻击者认为这是一个真正的服务，这就要求在技术上要非常的逼真与高效，要求实施者对网络协议与服务有深刻的认识，比较复杂的。n攻击者往往是对网络安全技术有深入了解的人，如果只是简单的或偶尔不正确的响应一些攻击者的请求，攻击者可能很快就会发现被攻击系统的陷阱，从而停止攻击p安全性较低：n中交互系统提供了较多的网络服务，有可能被攻击者利用成为跳板

31、，因此，在实施该系统的网络内，经常检查系统日志，并严格检查是否有安全漏洞已经被黑客利用。高交互度的高交互度的Honeypotp提供真实的操作系统环境，对攻击者的攻击方法进行详细的日志记录。p复杂度大大增加,面对攻击者的是真实操作系统的真实应用服务p收集攻击者信息的能力也大大增强：p风险高：n一旦攻击者掌握了对某个Honeypot的控制权,即拥有了被侵入机器完整可操作系统的控制权,从而会在被侵入系统内进一步扩大侵害。n真实的操作系统，就难免有攻击者可以通过蜜罐系统对其它内网主机进行攻击n因此，管理员应定期检查蜜罐主机的安全性和完整性，也可通过其它方法将蜜罐主机与受保护主机隔离，使攻击者即使攻破了

32、蜜罐系统也无法跳板攻击其它主机。虚拟机蜜罐p使用真实的网络拓扑，操作系统和应用服务p为攻击者提供足够的活动空间p能够捕获更为全面深入的攻击信息蜜罐技术优势p高度保真的小数据集n低误报率n低漏报率p能够捕获新的攻击方法及技术p并不是资源密集型p原理简单，贴近实际三虚拟蜜罐工具HoneydpA virtual honeypot frameworknHoneyd 1.0(Jan 22,2005)by Niels Provos,Google Inc.p支持同时模拟多个IP地址主机n经过测试，最多同时支持65535个IP地址n支持模拟任意的网络拓扑结构p通过服务模拟脚本可以模拟任意TCP/UDP网络服务

33、nIIS,Telnet,pop3p支持ICMPn对ping和traceroutes做出响应p通过代理机制支持对真实主机、网络服务的整合nadd windows tcp port 23 proxy“162.105.204.159 23”蜜罐使用未使用的IP地址1 设计思想p接收网络流量p模拟蜜罐系统n仅模拟网络协议栈层次，而不涉及操作系统各个层面n可以模拟任意的网络拓扑pHoneyd宿主主机的安全性n限制只能在网络层面与蜜罐进行交互p捕获网络连接和攻击企图n日志功能接收网络流量建立路由2 Honeyd体系框架p路由模块p中央数据包分发器n将输入的数据包分发到相应的协议处理器p协议处理器nServ

34、ice模拟脚本p个性化引擎p配置数据库n存储网络协议栈的个性化特征p日志功能路由模块pHoneyd支持创建任意的网络拓扑结构n对路由树的模拟p配置一个路由进入点p可配置链路时延和丢包率p模拟任意的路由路径n扩展p将物理主机融合入模拟的网络拓扑p通过GRE隧道模式支持分布式部署GRE：通用路由封装协议，规定了如何用一种网络协议去封装另一种网络协议的方法 个性化引擎p为什么需要个性化引擎?n不同的操作系统有不同的网络协议栈n攻击者通常会运行指纹识别工具，如Xprobe和Nmap获得目标系统的进一步信息n个性化引擎使得虚拟蜜罐看起来像真实的目标p每个由Honeyd产生的包都通过个性化引擎n引入操作系

35、统特定的指纹，让Nmap/Xprobe进行识别n使用Nmap指纹库作为TCP/UDP连接的参考n使用Xprobe指纹库作为ICMP包的参考日志功能pHoneyd的日志功能nHoneyd对任何协议创建网络连接日志，报告试图发起的、或完整的网络连接n在网络协议模拟实现中可以进行相关信息收集3 蜜罐的应用p反蠕虫p利用蜜罐检测僵尸网络 p利用蜜罐建立安全事件行为特征库p。3.3.2 蜜网技术p什么是蜜网？p什么是Gen3蜜网？一 什么是蜜网技术p实质上是一种研究型、高交互型的蜜罐技术p一个体系框架n体系框架中可包含多个蜜罐n构建一个高度可控的攻击诱骗和分析网络n同时提供核心的数据控制、数据捕获和数据

36、分析机制HoneyNet项目组项目组p非赢利性研究机构p目标nTo learn the tools,tactics,and motives of the blackhat community and share these lessons learnedp历史n1999 非正式的邮件列表nJune 2000 演变为蜜网项目组nJan.2002 发起蜜网研究联盟nDec.2002 10个活跃的联盟成员p创始人及主席nLance Spitzner(Sun Microsystems)nhttp:/project.honeynet.org发展pPhase I:1999-2001nGen I 蜜网技术:

37、概念验证pPhase II:2001-2003nGen II 蜜网技术:初步成熟的蜜网技术方案pPhase III:2003-2004nHoneyWall Eeyore:可引导的CDROM，集成数据控制和数据捕获工具pPhase IV:2004-2005n对分布式的蜜网捕获的数据进行收集和关联的集中式系统 kangapPhase V:2005-nGen 3 蜜网技术二 Gen 3 蜜网技术p布置核心技术p数据控制机制n防止蜜网被黑客/恶意软件利用攻击第三方p数据捕获机制n获取黑客攻击/恶意软件活动的行为数据p网络行为数据：网络连接、网络流p系统行为数据：进程、命令、打开文件、发起连接p数据分析

38、机制n理解捕获的黑客攻击/恶意软件活动的行为数据控制p关键在于必须在黑客毫不察觉的情况下,监视并控制所有来自蜜罐的数据流量。p蜜网系统一定要为攻击者提供足够自由来进行他们需要做的任何事情,但是并不允许他们运用己经被入侵的系统来攻击其他的系统,比如拒绝服务攻击、系统扫描和数据挖掘等。p蜜网允许攻击者从内部发出的连接越多,就可以使蜜网更隐蔽,更像真实的普通主机,获得的信息就越多,但是可能发生的风险越高。注意p数据控制有两个难点:n一是如何使其自动化。大多数情况下,在对一个黑客进行监控时不可能有足够的时间进行人工干预,当攻击者控制了系统或者发动了拒绝服务攻击时,为了减少危险,反应的时间必须足够短,这

39、就需要响应的自动化;n二是要保证不能让攻击者意识到自己的活动被控制,这是蜜网面临的最大问题,在不让攻击者产生怀疑的前提下控制数据流。p降低风险n连接数限制n网络入侵防护系统 数据捕获机制p体系结构网络行为数据系统行为数据网络行为数据系统行为数据p网络行为数据 HoneyWalln网络流数据:Argus工具，使用libpcap收集规范的网络通信数据,并对这些数据进行处理加工,从而创建一个导出数据源,Argus收集的数据可以描述数据的数量和每个流的持续时间n入侵检测报警:Snort工具，对符合入侵检测特征的攻击数据包发出相应的报警信息,从而标识网络流中存在的攻击事件。Snort结合数据包中捕获的数

40、据与Argus和p0f数据所添加的部分,提供了一个比第二代蜜网体系更全面的事件表示n操作系统信息:p0f工具，实现了被动操作系统指纹识别功能。它提供了评估操作系统的功能,能够根据监听到的网络流指纹特征来判断网络流双方操作系统的类型p系统行为数据 SebekHoneypotp进程、文件、命令、键击记录p以rootkit方式监控sys_socket,sys_open,sys_read系统调用p网络行为与系统行为数据之间的关联 sys_socket数据捕获机制图示Arguseth0eth1TcpdumpSebekHoneyWall蜜罐主机Sebek蜜罐主机hflowd系统行为数据eth2管理员对攻击

41、者隐蔽Snortp0fIPTablessebekdhflow DB网络连接报警OSpcap文件Walleye数据分析功能WalleyepWalleye工具提供的辅助分析功能是第三代蜜网技术最为突出的特征之一。pWalleye是基于Web方式的蜜网数据辅助分析接口。它被安装在蜜网网关上,提供了许多的网络连接视图和进程视图,并在单一的视图中结合了各种类型的被捕获数据,从而帮助安全分析人员能够快速理解蜜网中所发生的一切攻击事件。p提供了结合自动报警和辅助分析机制：n一旦攻击者攻陷蜜罐主机并向外发起连接,自动报警机制将会通过E-mail方式通知安全分析人员,并给出外出连接的目标IP、端口、发起时间等重要信息。n安全分析人员在得到报警后,可以参考外出连接的相关信息,并通过Walleye辅助分析接口对发上的攻击事件进行细致的分析,以了解攻击者的攻击方法和动机。中国蜜网项目组狩猎女神中国蜜网项目组狩猎女神phttp:/