網(wǎng)絡(luò)防御-多agent系統(tǒng)與智能決策研究室課件

1、網(wǎng)絡(luò)攻防技術(shù)之網(wǎng)絡(luò)防御技術(shù)蘇兆品常采用的防御機制防火墻入侵檢測系統(tǒng)蜜網(wǎng)3.1 防火墻什么是防火墻？防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實現(xiàn)網(wǎng)絡(luò)的安全保護，以防止發(fā)生不可預測的、潛在破壞性的侵入。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口 。防火墻的功能訪問控制 對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計防止內(nèi)部信息的外泄支持VPN功能 支持網(wǎng)絡(luò)地址轉(zhuǎn)換防火墻的基本特征內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻自身應具有非常強的抗攻擊免疫力防火墻的局限性防火墻不能防范不經(jīng)過防火墻的攻擊。如撥號訪問、內(nèi)部攻擊等。防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的

2、攻擊和安全問題。防火墻不能防止策略配置不當或錯誤配置引起的安全威脅。防火墻不能防止利用標準網(wǎng)絡(luò)協(xié)議中的缺陷進行的攻擊。防火墻不能防止利用服務(wù)器系統(tǒng)漏洞所進行的攻擊。防火墻不能防止受病毒感染的文件的傳輸。 防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。有些表面看來無害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機上并被執(zhí)行時，可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。防火墻不能防止本身的安全漏洞的威脅。目前還沒有廠商絕對保證防火墻不會存在安全漏洞。 防火墻不能防止可接觸的人為或自然的破壞。防火墻的發(fā)展史軟件防火墻硬件防火墻按形態(tài)分類按保護對象分類保護整個網(wǎng)絡(luò)保護單臺主機網(wǎng)絡(luò)防火墻單機防火墻防火墻的分類單機防火墻網(wǎng)絡(luò)防火墻產(chǎn)品形態(tài)軟件硬件或

3、者軟件安裝點單臺獨立的 Host網(wǎng)絡(luò)邊界處安全策略分散在各個安全點對整個網(wǎng)絡(luò)有效保護范圍單臺主機一個網(wǎng)段管理方式分散管理集中管理功能功能單一功能復雜、多樣管理人員普通計算機用戶專業(yè)網(wǎng)管人員安全措施單點安全措施全局安全措施結(jié)論單機防火墻是網(wǎng)絡(luò)防火墻的有益補充，但不能代替網(wǎng)絡(luò)防火墻為內(nèi)部網(wǎng)絡(luò)提供強大的保護功能單機防火墻&網(wǎng)絡(luò)防火墻僅獲得Firewall軟件，需要準備額外的OS平臺安全性依賴低層的OS網(wǎng)絡(luò)適應性弱（主要以路由模式工作）穩(wěn)定性高軟件分發(fā)、升級比較方便硬件+軟件，不用準備額外的OS平臺安全性完全取決于專用的OS網(wǎng)絡(luò)適應性強（支持多種接入模式）穩(wěn)定性較高升級、更新不太靈活硬件防火墻&軟件防

4、火墻防火墻實現(xiàn)技術(shù)原理簡單包過濾防火墻動態(tài)包過濾(狀態(tài)檢測) 防火墻應用代理防火墻包過濾與應用代理復合型防火墻簡單包過濾防火墻（Packet filtering）包過濾防火墻在網(wǎng)絡(luò)層實現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)，包過濾模塊一般檢查網(wǎng)絡(luò)層、傳輸層內(nèi)容，包括下面幾項： 源、目的IP地址； 源、目的端口號； 協(xié)議類型； TCP報頭的標志位。應用層TCP 層IP 層網(wǎng)絡(luò)接口層TCP 數(shù)據(jù) IP 數(shù)據(jù) TCPTCP 數(shù)據(jù) IPETH 數(shù)據(jù) TCP 數(shù)據(jù) IP應用層TCP 層IP 層網(wǎng)絡(luò)接口層TCP 數(shù)據(jù) IP 數(shù)據(jù) TCPTCP 數(shù)據(jù) IPETH數(shù)據(jù)只檢查報頭10100100100101001000001110011

5、1101111011001001001010010000011100111101111011簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)簡單包過濾防火墻不建立連接狀態(tài)表前后報文無關(guān)應用層控制很弱優(yōu)點： 保護整個網(wǎng)絡(luò)；對用戶透明；可用路由器，不需要其他設(shè)備。缺點：1.包過濾的一個重要的局限是它不能分辨好的和壞的用戶，只能區(qū)分好的包和壞的包。2.包過濾規(guī)則難配置。3.新的協(xié)議的威脅。4.IP欺騙特點動態(tài)包過濾 (狀態(tài)檢測) 防火墻應用層TCP 層IP 層網(wǎng)絡(luò)接口層TCP 數(shù)據(jù) IP 數(shù)據(jù) TCPTCP 數(shù)據(jù) IPETH數(shù)據(jù)TCP 數(shù)據(jù) IP應用層TCP 層IP 層網(wǎng)絡(luò)接口層TCP 數(shù)據(jù) IP 數(shù)據(jù) TCPTCP

6、數(shù)據(jù) IPETH數(shù)據(jù)只檢查報頭101001001001010010000011100111101111011001001001010010000011100111101111011不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報文相關(guān)應用層控制很弱建立連接狀態(tài)表動態(tài)包過濾防火墻的工作流程代理防火墻（Proxy Server） 代理防火墻的工作過程：優(yōu)點代理易于配置。 代理能生成各項記錄。代理能靈活、完全地控制進出流量、內(nèi)容。 代理能過濾數(shù)據(jù)內(nèi)容。代理能為用戶提供透明的加密機制。代理可以方便地與其他安全手段集成。 缺點代理速度較路由器慢。代理對用戶不透明。對于每項服務(wù)代理可能要求不同的服務(wù)器。HTTP代理：它的

7、端口一般為80、8080、3128等。FTP代理：其端口一般為21、2121。POP3代理：其端口一般為110。 Telnet代理：能夠代理通信機的telnet，用于遠程控制，入侵時經(jīng)常使用。其端口一般為23。代理服務(wù)不能保證免受所有協(xié)議弱點的限制。 代理防火墻提供應用保護的協(xié)議范圍是有限的 。應用層TCP 層IP 層網(wǎng)絡(luò)接口層TCP 數(shù)據(jù) IP 數(shù)據(jù) TCPTCP 數(shù)據(jù) IPETH 數(shù)據(jù) TCP 數(shù)據(jù) IP應用層TCP 層IP 層網(wǎng)絡(luò)接口層TCP 數(shù)據(jù) IP 數(shù)據(jù) TCPTCP 數(shù)據(jù) IPETH 數(shù)據(jù) 檢查整個報文內(nèi)容1010010010010100100000111001111011110

8、11001001001010010000011100111101111011可以檢查整個數(shù)據(jù)包內(nèi)容根據(jù)需要建立連接狀態(tài)表網(wǎng)絡(luò)層保護強應用層控制細會話控制較弱建立連接狀態(tài)表復合型防火墻的工作原理綜合安全性網(wǎng)絡(luò)層保護應用層保護應用層透明整體性能處理對象簡單包過濾防火墻狀態(tài)檢測包過濾防火墻應用代理防火墻復合型防火墻單個包報頭單個包報頭單個包全部單個包全部防火墻核心技術(shù)比較3.2 入侵檢測系統(tǒng)為什么需要IDS單一防護產(chǎn)品的弱點防御方法和防御策略的有限性動態(tài)多變的網(wǎng)絡(luò)環(huán)境來自外部和內(nèi)部的威脅單純的防火墻無法防范復雜多變的攻擊入侵很容易入侵教程隨處可見各種工具唾手可得入侵檢測是對入侵行為的發(fā)覺。它通過從計

9、算機網(wǎng)絡(luò)或計算機系統(tǒng)的關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象入侵檢測系統(tǒng)：對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機密性、完整性和可用性。什么是入侵檢測系統(tǒng)？（Intrusion Detection System）IDS的作用IDS基本結(jié)構(gòu)（1）信息收集（2）分析引擎（3）響應部件（1）信息收集入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息從一個源來的信息有可能看不出疑點,盡可能擴大檢測范圍入侵檢測的效果很大

10、程度上依賴于收集信息的可靠性和正確性要保證用來檢測網(wǎng)絡(luò)系統(tǒng)軟件的完整性特別是入侵檢測系統(tǒng)軟件本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息信息收集的來源系統(tǒng)或網(wǎng)絡(luò)的日志文件日志文件中記錄了各種行為類型，每種類型又包含不同的信息例如：記錄“用戶活動”類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權(quán)和認證信息等內(nèi)容對用戶活動來講，不正常的或不期望的行為就是:重復登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等 網(wǎng)絡(luò)流量：系統(tǒng)目錄和文件的異常變化重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況

11、下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號入侵者經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件 程序執(zhí)行中的異常行為（2）分析引擎 模式匹配 統(tǒng)計分析 完整性分析（事后分析）模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為一般來講，一種攻擊模式可以用兩種方式來表示一個過程（如執(zhí)行一條指令）一個輸出（如獲得權(quán)限）該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規(guī)的數(shù)學表達式來表示安全狀態(tài)的變化）統(tǒng)計分析統(tǒng)計分析方

12、法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性如訪問次數(shù)、操作失敗次數(shù)和延時等測量屬性的平均值和偏差被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生完整性分析完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓陌ㄎ募湍夸浀膬?nèi)容及屬性在發(fā)現(xiàn)被更改的、被安裝木馬的應用程序方面特別有效（3）響應部件-響應動作簡單報警切斷連接封鎖用戶改變文件屬性最強烈反應：回擊攻擊者入侵檢測系統(tǒng)和蜜罐技術(shù)蘇兆品入侵檢測系統(tǒng)的分類（1）按照分析方法（檢測方法）異常檢測模型（Anomaly Detection ):首先總結(jié)正常操作應該具有的特征，如C

13、PU利用率、內(nèi)存利用率和文件校驗和等數(shù)值，當用戶活動與正常行為有重大偏離時即被認為是入侵這類數(shù)值可以人為定義，也可以通過觀察系統(tǒng)，并用統(tǒng)計的辦法得出-統(tǒng)計分析方法 入侵檢測系統(tǒng)性能關(guān)鍵參數(shù)誤報(false positive)：如果系統(tǒng)錯誤地將正?；顒佣x為入侵錯誤拒絕漏報(false negative)：如果系統(tǒng)未能檢測出真正的入侵行為錯誤接受誤用檢測模型（Misuse Detection)：，又稱基于標識的檢測，收集非正常操作的行為特征，建立相關(guān)的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵 模式匹配方法入侵檢測系統(tǒng)的分類（2）主機IDS（HIDS） ：是一種

14、用于監(jiān)控單個主機上的活動的軟件應用。監(jiān)控方法包括驗證操作系統(tǒng)與應用調(diào)用及檢查日志文件、文件系統(tǒng)信息與網(wǎng)絡(luò)連接。網(wǎng)絡(luò)IDS（NIDS）：通常以非破壞方式使用。這種設(shè)備能夠捕獲LAN區(qū)域中的信息流并試著將實時信息流與已知的攻擊簽名進行對照?；旌闲偷幕谥鳈C的IDS基于網(wǎng)絡(luò)的IDS兩類IDS監(jiān)測軟件特點網(wǎng)絡(luò)IDS偵測速度快 隱蔽性好 視野更寬 較少的監(jiān)測器 占資源少 主機IDS視野集中 易于用戶自定義保護更加周密對網(wǎng)絡(luò)流量不敏感 IDS的設(shè)計原理IDS面臨的挑戰(zhàn)提高入侵檢測系統(tǒng)的檢測速度，以適應網(wǎng)絡(luò)通信的要求減少入侵檢測系統(tǒng)的漏報和誤報，提高其安全性和準確度當前IDS使用的主要檢測技術(shù)仍然是模式匹配

15、，模式庫的組織簡單、不及時、不完整，而且缺乏對未知攻擊的檢測能力；隨著網(wǎng)絡(luò)規(guī)模的擴大以及異構(gòu)平臺和不同技術(shù)的采用，尤其是網(wǎng)絡(luò)帶寬的迅速增長，IDS的分析處理速度越來越難跟上網(wǎng)絡(luò)流量，從而造成數(shù)據(jù)包丟失；網(wǎng)絡(luò)攻擊方法越來越多，攻擊技術(shù)及其技巧性日趨復雜，也加重了IDS的誤報、漏報現(xiàn)象。提高入侵檢測系統(tǒng)的互動性能，從而提高整個系統(tǒng)的安全性能無法避免DOS攻擊IDS是失效開放（Fail Open）的機制，當IDS遭受拒絕服務(wù)攻擊時，這種失效開放的特性使得黑客可以實施攻擊而不被發(fā)現(xiàn)。 提高入侵檢測系統(tǒng)的互動性能，從而提高整個系統(tǒng)的安全性能無法避免DOS攻擊IDS是失效開放（Fail Open）的機制，

16、當IDS遭受拒絕服務(wù)攻擊時，這種失效開放的特性使得黑客可以實施攻擊而不被發(fā)現(xiàn)。無法避免插入和規(guī)避攻擊插入攻擊和規(guī)避攻擊是兩種逃避IDS檢測的攻擊形式。插入攻擊可通過定制一些錯誤的數(shù)據(jù)包到數(shù)據(jù)流中，使IDS誤以為是攻擊。意圖是使IDS頻繁告警（誤警），但實際上并沒有攻擊，起到迷惑管理員的作用。規(guī)避攻擊則相反，可使攻擊躲過IDS的檢測到達目的主機。規(guī)避攻擊的意圖則是真正要逃脫IDS的檢測，對目標主機發(fā)起攻擊。黑客經(jīng)常改變攻擊特征來欺騙基于模式匹配的IDS。IDS產(chǎn)品免費Snort http:/SHADOWhttp:/ISSEC/CID/資源IDS FAQhttp:/pubs/Focus-IDS M

17、ailinglist/archive/96Yawlhttp:/OldHandhttp:/Sinbadhttp:/doc.html?board=IDS入侵防護系統(tǒng)（Intrution Protection System，IPS ）傾向于提供主動性的防護，其設(shè)計旨在預先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。 通過直接嵌入到網(wǎng)絡(luò)流量中而實現(xiàn)這一功能的，即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認其中不包含異?；顒踊蚩梢蓛?nèi)容后，再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包

18、，都能夠在IPS設(shè)備中被清除掉 作業(yè)防火墻、IDS、IPS區(qū)別和聯(lián)系3.3蜜罐和蜜網(wǎng)（Honeypots and Honeynets）蜜罐技術(shù)蜜網(wǎng)技術(shù)3.3.1 蜜罐技術(shù)為什么需要蜜罐技術(shù)？什么是蜜罐？有什么優(yōu)勢？虛擬蜜罐工具Honeyd一為什么需要蜜罐技術(shù)？（3）互聯(lián)網(wǎng)安全狀況安全基礎(chǔ)薄弱操作系統(tǒng)/軟件存在大量漏洞安全意識弱、缺乏安全技術(shù)能力任何主機都是攻擊目標！DDoS、跳板攻擊需要大量僵尸主機蠕蟲、病毒的泛濫并不再僅僅為了炫耀：垃圾郵件, 網(wǎng)絡(luò)釣魚攻擊者不需要太多技術(shù)攻擊工具的不斷完善Metasploit：漏洞檢測工具CC：http攻擊攻擊腳本和工具可以很容易得到和使用網(wǎng)絡(luò)攻防的非對稱博

19、弈工作量不對稱攻擊方：夜深人靜, 攻其弱點防守方：24*7, 全面防護信息不對稱攻擊方：通過網(wǎng)絡(luò)掃描、探測、踩點對攻擊目標全面了解防守方：對攻擊方一無所知后果不對稱攻擊方：任務(wù)失敗，極少受到損失防守方：安全策略被破壞，利益受損入侵檢測也有局限性入侵檢測系統(tǒng)雖然在入侵行為的檢測方面取得了很大的成功,但自身存在難以克服的局限:虛警、漏警。安全模型/規(guī)則，未知網(wǎng)絡(luò)攻擊數(shù)據(jù)整合/挖掘-如何從大量的數(shù)據(jù)中為攻擊檢測和確認提供有用的信息蜜罐技術(shù)的提出試圖改變攻防博弈的非對稱性對攻擊者的欺騙技術(shù)增加攻擊代價、減少對實際系統(tǒng)的安全威脅了解攻擊者所使用的攻擊工具和攻擊方法追蹤攻擊源、攻擊行為審計取證Honeyp

20、ot: 首次出現(xiàn)在Cliff Stoll的小說“The Cuckoos Egg”(1990)-杜鵑蛋Fred Cohen（計算機病毒之父）DTK: Deception Tool Kit (1997)模擬器A Framework for Deception (2001)二 什么是蜜罐？有什么優(yōu)勢？Honeypot ：A security resource whos value lies in being probed, attacked or compromised是一種網(wǎng)絡(luò)誘騙系統(tǒng)，偽裝成具有看似重要但卻沒有價值數(shù)據(jù)的有漏洞的系統(tǒng)，誘騙入侵者。當攻擊者忙著吃蜜的時候，收集攻擊者的數(shù)據(jù)。 -攻擊

21、的來源 -攻擊者在做什么，在尋找什么 -攻擊者在exploiting 什么 vulnerabilities。注意：沒有業(yè)務(wù)上的用途，不存在區(qū)分正常流量和攻擊的問題蜜罐系統(tǒng)是具有吸引和誘騙價值的資源，它期待被檢測、攻擊和潛在的利用其作用是引誘黑客掃描、攻擊并最終攻陷從而獲取攻擊者的信息以及他們的攻擊技術(shù)和手段。所有流入/流出蜜罐的流量都預示著掃描、攻擊及攻陷用以監(jiān)視、檢測和分析攻擊 Honeypot是IDS的補充Honeypot的分類交互性：攻擊者在蜜罐中活動的交互性級別低交互型虛擬蜜罐中交互型虛擬蜜罐高交互型物理蜜罐虛擬機蜜罐虛擬硬件、真實操作系統(tǒng)/網(wǎng)絡(luò)服務(wù)低交互度Honeypot不運行真實操

22、作系統(tǒng)的真實應用服務(wù), 而是模擬服務(wù)和操作系統(tǒng)，對外呈現(xiàn)真實應用服務(wù)的基本功能,攻擊者于是與這些模擬服務(wù)進行預先設(shè)定好的例行交互。交互信息的有限性: 只為外界攻擊提供非常有限的應答或只是簡單的監(jiān)聽網(wǎng)絡(luò)的連接信息對攻擊沒有回應，只產(chǎn)生一些簡單的日志信息黑客容易發(fā)現(xiàn)異常并停止攻擊，這樣也就失去了誘騙的初衷容易部署，安全性最高:不易被黑客攻破而成為攻擊其它內(nèi)網(wǎng)主機的跳板例: Honeyd中交互度的Honeypot不提供真實的操作系統(tǒng)應用服務(wù)與攻擊者交互,但提供了更多復雜的誘騙進程,模擬了更多更復雜的特定服務(wù)交互頻率高：提供更加詳細的日志和攻擊手段。網(wǎng)絡(luò)安全技術(shù)要求高：在無操作系統(tǒng)支持的基礎(chǔ)上提供各種

23、協(xié)議服務(wù)，而且要誘騙攻擊者認為這是一個真正的服務(wù)，這就要求在技術(shù)上要非常的逼真與高效，要求實施者對網(wǎng)絡(luò)協(xié)議與服務(wù)有深刻的認識，比較復雜的。攻擊者往往是對網(wǎng)絡(luò)安全技術(shù)有深入了解的人，如果只是簡單的或偶爾不正確的響應一些攻擊者的請求，攻擊者可能很快就會發(fā)現(xiàn)被攻擊系統(tǒng)的陷阱，從而停止攻擊安全性較低：中交互系統(tǒng)提供了較多的網(wǎng)絡(luò)服務(wù)，有可能被攻擊者利用成為跳板，因此，在實施該系統(tǒng)的網(wǎng)絡(luò)內(nèi)，經(jīng)常檢查系統(tǒng)日志，并嚴格檢查是否有安全漏洞已經(jīng)被黑客利用。高交互度的Honeypot提供真實的操作系統(tǒng)環(huán)境，對攻擊者的攻擊方法進行詳細的日志記錄。復雜度大大增加, 面對攻擊者的是真實操作系統(tǒng)的真實應用服務(wù)收集攻擊者信息

24、的能力也大大增強：風險高：一旦攻擊者掌握了對某個Honeypot的控制權(quán),即擁有了被侵入機器完整可操作系統(tǒng)的控制權(quán),從而會在被侵入系統(tǒng)內(nèi)進一步擴大侵害。真實的操作系統(tǒng)，就難免有攻擊者可以通過蜜罐系統(tǒng)對其它內(nèi)網(wǎng)主機進行攻擊因此，管理員應定期檢查蜜罐主機的安全性和完整性，也可通過其它方法將蜜罐主機與受保護主機隔離，使攻擊者即使攻破了蜜罐系統(tǒng)也無法跳板攻擊其它主機。虛擬機蜜罐使用真實的網(wǎng)絡(luò)拓撲，操作系統(tǒng)和應用服務(wù)為攻擊者提供足夠的活動空間能夠捕獲更為全面深入的攻擊信息蜜罐技術(shù)優(yōu)勢高度保真的小數(shù)據(jù)集低誤報率低漏報率能夠捕獲新的攻擊方法及技術(shù)并不是資源密集型原理簡單，貼近實際三虛擬蜜罐工具HoneydA

25、 virtual honeypot frameworkHoneyd 1.0 (Jan 22, 2005) by Niels Provos, Google Inc.支持同時模擬多個IP地址主機經(jīng)過測試，最多同時支持65535個IP地址支持模擬任意的網(wǎng)絡(luò)拓撲結(jié)構(gòu)通過服務(wù)模擬腳本可以模擬任意TCP/UDP網(wǎng)絡(luò)服務(wù)IIS, Telnet, pop3支持ICMP對ping和traceroutes做出響應通過代理機制支持對真實主機、網(wǎng)絡(luò)服務(wù)的整合add windows tcp port 23 proxy “59 23”蜜罐使用未使用的IP地址1 設(shè)計思想接收網(wǎng)絡(luò)流量模擬蜜罐系統(tǒng)僅模擬網(wǎng)絡(luò)協(xié)議棧層次，而不涉

26、及操作系統(tǒng)各個層面可以模擬任意的網(wǎng)絡(luò)拓撲Honeyd宿主主機的安全性限制只能在網(wǎng)絡(luò)層面與蜜罐進行交互捕獲網(wǎng)絡(luò)連接和攻擊企圖日志功能接收網(wǎng)絡(luò)流量建立路由2 Honeyd體系框架路由模塊中央數(shù)據(jù)包分發(fā)器將輸入的數(shù)據(jù)包分發(fā)到相應的協(xié)議處理器協(xié)議處理器Service模擬腳本個性化引擎配置數(shù)據(jù)庫存儲網(wǎng)絡(luò)協(xié)議棧的個性化特征日志功能路由模塊Honeyd支持創(chuàng)建任意的網(wǎng)絡(luò)拓撲結(jié)構(gòu)對路由樹的模擬配置一個路由進入點可配置鏈路時延和丟包率模擬任意的路由路徑擴展將物理主機融合入模擬的網(wǎng)絡(luò)拓撲通過GRE隧道模式支持分布式部署GRE：通用路由封裝協(xié)議，規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法 個性化引擎為什么需

27、要個性化引擎?不同的操作系統(tǒng)有不同的網(wǎng)絡(luò)協(xié)議棧攻擊者通常會運行指紋識別工具，如Xprobe和Nmap獲得目標系統(tǒng)的進一步信息個性化引擎使得虛擬蜜罐看起來像真實的目標每個由Honeyd產(chǎn)生的包都通過個性化引擎引入操作系統(tǒng)特定的指紋，讓Nmap/Xprobe進行識別使用Nmap指紋庫作為TCP/UDP連接的參考使用Xprobe指紋庫作為ICMP包的參考日志功能Honeyd的日志功能Honeyd對任何協(xié)議創(chuàng)建網(wǎng)絡(luò)連接日志，報告試圖發(fā)起的、或完整的網(wǎng)絡(luò)連接在網(wǎng)絡(luò)協(xié)議模擬實現(xiàn)中可以進行相關(guān)信息收集3 蜜罐的應用反蠕蟲利用蜜罐檢測僵尸網(wǎng)絡(luò) 利用蜜罐建立安全事件行為特征庫。 3.3.2 蜜網(wǎng)技術(shù)什么是蜜網(wǎng)？

28、什么是Gen3蜜網(wǎng)？一 什么是蜜網(wǎng)技術(shù)實質(zhì)上是一種研究型、高交互型的蜜罐技術(shù)一個體系框架體系框架中可包含多個蜜罐構(gòu)建一個高度可控的攻擊誘騙和分析網(wǎng)絡(luò)同時提供核心的數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析機制HoneyNet項目組非贏利性研究機構(gòu)目標To learn the tools, tactics, and motives of the blackhat community and share these lessons learned歷史1999 非正式的郵件列表June 2000 演變?yōu)槊劬W(wǎng)項目組Jan. 2002 發(fā)起蜜網(wǎng)研究聯(lián)盟Dec. 2002 10個活躍的聯(lián)盟成員創(chuàng)始人及主席Lance S

29、pitzner (Sun Microsystems)http:/發(fā)展Phase I: 1999-2001Gen I 蜜網(wǎng)技術(shù): 概念驗證Phase II: 2001-2003Gen II 蜜網(wǎng)技術(shù): 初步成熟的蜜網(wǎng)技術(shù)方案Phase III: 2003-2004HoneyWall Eeyore : 可引導的CDROM，集成數(shù)據(jù)控制和數(shù)據(jù)捕獲工具Phase IV: 2004-2005對分布式的蜜網(wǎng)捕獲的數(shù)據(jù)進行收集和關(guān)聯(lián)的集中式系統(tǒng) kangaPhase V: 2005-Gen 3 蜜網(wǎng)技術(shù)二 Gen 3 蜜網(wǎng)技術(shù)布置核心技術(shù)數(shù)據(jù)控制機制防止蜜網(wǎng)被黑客/惡意軟件利用攻擊第三方數(shù)據(jù)捕獲機制獲取黑客

30、攻擊/惡意軟件活動的行為數(shù)據(jù)網(wǎng)絡(luò)行為數(shù)據(jù)：網(wǎng)絡(luò)連接、網(wǎng)絡(luò)流系統(tǒng)行為數(shù)據(jù)：進程、命令、打開文件、發(fā)起連接數(shù)據(jù)分析機制理解捕獲的黑客攻擊/惡意軟件活動的行為數(shù)據(jù)控制關(guān)鍵在于必須在黑客毫不察覺的情況下,監(jiān)視并控制所有來自蜜罐的數(shù)據(jù)流量。蜜網(wǎng)系統(tǒng)一定要為攻擊者提供足夠自由來進行他們需要做的任何事情,但是并不允許他們運用己經(jīng)被入侵的系統(tǒng)來攻擊其他的系統(tǒng),比如拒絕服務(wù)攻擊、系統(tǒng)掃描和數(shù)據(jù)挖掘等。蜜網(wǎng)允許攻擊者從內(nèi)部發(fā)出的連接越多,就可以使蜜網(wǎng)更隱蔽,更像真實的普通主機,獲得的信息就越多,但是可能發(fā)生的風險越高。注意數(shù)據(jù)控制有兩個難點:一是如何使其自動化。大多數(shù)情況下,在對一個黑客進行監(jiān)控時不可能有足夠的時間進行人工干預,當攻擊者控制了系統(tǒng)或者發(fā)動了拒絕服務(wù)攻擊時,