第15章入侵检测系统和网络诱骗系统26

1、2021-8-13南京邮电大学信息安全系1 第第15章章 入侵检测系统和入侵检测系统和 网络诱骗系统网络诱骗系统 南京邮电大学信息安全系南京邮电大学信息安全系 网络信息安全网络信息安全教研组教研组 2021-8-13南京邮电大学信息安全系2 主要内容主要内容 1 网络诱骗系统概述网络诱骗系统概述 2 网络诱骗技术网络诱骗技术 3 蜜罐的分类蜜罐的分类 4 常见的网络诱骗工具及产品常见的网络诱骗工具及产品 5 蜜罐的优缺点蜜罐的优缺点 2.1 蜜罐主机技术蜜罐主机技术 2.2 陷阱网络技术陷阱网络技术 2.3 诱导技术诱导技术 2.4 欺骗信息设计技术欺骗信息设计技术 3.1 低交互度蜜罐低交互

2、度蜜罐 3.2 中交互度蜜罐中交互度蜜罐 3.3 高交互度蜜罐高交互度蜜罐 2021-8-13南京邮电大学信息安全系3 1 网络诱骗系统概述网络诱骗系统概述 “蜜罐蜜罐”（Honeypot）主动防御技术主动防御技术 对攻击者给予对攻击者给予“诱骗诱骗”反应，使其相信被攻击系反应，使其相信被攻击系 统安全性很差统安全性很差 作用：作用： 消耗攻击者拥有的资源消耗攻击者拥有的资源 增加攻击者的工作量增加攻击者的工作量 迷惑攻击者以延缓对真正目标的攻击迷惑攻击者以延缓对真正目标的攻击 掌握攻击者行为跟踪攻击者掌握攻击者行为跟踪攻击者 形成威慑攻击者的力量形成威慑攻击者的力量 2021-8-13南京邮

3、电大学信息安全系4 Honeypot的设计考虑的设计考虑 吸引并诱骗试图非法闯入他人计算机的人吸引并诱骗试图非法闯入他人计算机的人 用被攻击系统的特征吸引攻击者，同时分析各种用被攻击系统的特征吸引攻击者，同时分析各种 攻击行为攻击行为 开启通常被黑客窥探的危险端口来模拟漏洞系统开启通常被黑客窥探的危险端口来模拟漏洞系统 故意留下安全后门来吸引攻击者上钩，或者故意故意留下安全后门来吸引攻击者上钩，或者故意 放置虚假的敏感信息放置虚假的敏感信息 2021-8-13南京邮电大学信息安全系5 网络诱骗系统的特点网络诱骗系统的特点 1） Honeypot模拟易受攻击主机，本身未向外提供模拟易受攻击主机，

4、本身未向外提供 有价值服务，与其进行连接的行为均可疑。有价值服务，与其进行连接的行为均可疑。 2）Honeypot保护关键系统：它就像一台真实服务保护关键系统：它就像一台真实服务 器，易吸引黑客。器，易吸引黑客。 3）Honeypot是用来被探测、被攻击和最后被攻陷是用来被探测、被攻击和最后被攻陷 的，利用蜜罐可发现新型攻击。的，利用蜜罐可发现新型攻击。 4）Honeypot是其他安全策略所不可替代的一种主是其他安全策略所不可替代的一种主 动防御技术，可以与其他技术结合使用。动防御技术，可以与其他技术结合使用。 2021-8-13南京邮电大学信息安全系6 蜜罐配置图蜜罐配置图 IP地址不地址不

5、 公开，但公开，但 可访问；可访问； 不需设置不需设置 混杂模式混杂模式 网卡设置为网卡设置为stealth mode： 混杂模式混杂模式+没有没有IP地址；地址； 攻击者无法发现攻击者无法发现 2021-8-13南京邮电大学信息安全系7 实施蜜罐的注意点实施蜜罐的注意点（1） 1）将蜜罐与任何真实产品系统隔离，一般将它放）将蜜罐与任何真实产品系统隔离，一般将它放 在离在离Internet最近的位置（如最近的位置（如DMZ上）。上）。 2）蜜罐不公开自己的）蜜罐不公开自己的IP地址和端口，对蜜罐的所地址和端口，对蜜罐的所 有访问都可能是攻击。有访问都可能是攻击。 3）蜜罐所捕获数据的针对性强，

6、所以在一定程序）蜜罐所捕获数据的针对性强，所以在一定程序 上克服上克服IDS的不足：误报率高及漏报新的攻击。的不足：误报率高及漏报新的攻击。 2021-8-13南京邮电大学信息安全系8 实施蜜罐的注意点实施蜜罐的注意点（2） 4）将多种网络防御系统结合来防范网络攻击：）将多种网络防御系统结合来防范网络攻击： 自动路由转发自动路由转发 被防火墙拦截的访问请求被防火墙拦截的访问请求 蜜罐蜜罐 因为这种访问请求很可能是攻击包。因为这种访问请求很可能是攻击包。 5）蜜罐的日志记录系统应在物理上独立于蜜罐本身。）蜜罐的日志记录系统应在物理上独立于蜜罐本身。 6）允许蜜罐与外网主机自由通信，但应限制蜜罐对

7、）允许蜜罐与外网主机自由通信，但应限制蜜罐对 一台内网一台内网/外网主机同时发起的连接数。外网主机同时发起的连接数。 2021-8-13南京邮电大学信息安全系9 2 网络诱骗技术网络诱骗技术 2.1 蜜罐主机技术蜜罐主机技术 （1）空系统）空系统 运行真实操作系统及应用程序的标准机器运行真实操作系统及应用程序的标准机器 从中可找到真实系统的各种漏洞，没有刻意模从中可找到真实系统的各种漏洞，没有刻意模 拟某种环境或故意使系统不安全。拟某种环境或故意使系统不安全。 （2）镜像系统）镜像系统 空系统易被发现空系统易被发现建立提供网络服务的与真实建立提供网络服务的与真实 服务器基本一致的镜像系统，更能

8、欺骗攻击者。服务器基本一致的镜像系统，更能欺骗攻击者。 2021-8-13南京邮电大学信息安全系10 （3）虚拟系统）虚拟系统 在真实机器上运行仿真软件在真实机器上运行仿真软件VMware来实现硬件模来实现硬件模 拟，使得可以在硬件仿真平台上运行多个不同操拟，使得可以在硬件仿真平台上运行多个不同操 作系统作系统一台真实机器模拟出多台虚拟机。一台真实机器模拟出多台虚拟机。 VMware还支持网卡模拟：每个虚拟机拥有独立还支持网卡模拟：每个虚拟机拥有独立IP 地址，即一台真实机器可模拟出连接在网上的多地址，即一台真实机器可模拟出连接在网上的多 台主机，形成虚拟局域网。台主机，形成虚拟局域网。 这些

9、虚拟系统不但逼真，且成本较低，部署和维这些虚拟系统不但逼真，且成本较低，部署和维 护容易，资源利用率高。护容易，资源利用率高。 2021-8-13南京邮电大学信息安全系11 基于同一硬件平台的虚拟系统基于同一硬件平台的虚拟系统 不允许虚拟机操不允许虚拟机操 作系统访问宿主作系统访问宿主 机的文件系统机的文件系统 2021-8-13南京邮电大学信息安全系12 2.2 陷阱网络技术（陷阱网络技术（Honeynet） 由多个蜜罐、路由器、防火墙、由多个蜜罐、路由器、防火墙、IDS、审计系统组、审计系统组 成，为攻击者制造被攻击环境，供防御者研究攻成，为攻击者制造被攻击环境，供防御者研究攻 击行为。击

10、行为。 最新的陷阱网络技术最新的陷阱网络技术虚拟陷阱网络（虚拟陷阱网络（Virtual Honeynet），将陷阱网络所需功能集中到一个物），将陷阱网络所需功能集中到一个物 理设备中运行。理设备中运行。 功能：功能： 蜜罐系统、数据控制蜜罐系统、数据控制 数据捕获、数据记录数据捕获、数据记录 数据分析、数据管理数据分析、数据管理 2021-8-13南京邮电大学信息安全系13 第三代陷阱网络体系结构第三代陷阱网络体系结构 桥接网关桥接网关HoneyWall的的 eth0/eth1接口无接口无 IP/MAC地址，也不对地址，也不对 转发数据包路由和递转发数据包路由和递 减减TTL，很难被发现。，很

11、难被发现。 相对独立的日相对独立的日 志服务器使用志服务器使用 内部内部IP地址，地址， 防范严格防范严格 。 2021-8-13南京邮电大学信息安全系14 2.3 诱导技术诱导技术 （1）基于网络地址转换技术的诱导）基于网络地址转换技术的诱导 把攻击引向事先设定好的诱骗主机，优点是设置把攻击引向事先设定好的诱骗主机，优点是设置 简单、转换速度快且成功率高。简单、转换速度快且成功率高。 （2）基于代理技术的诱导）基于代理技术的诱导 欺骗系统设计得再逼真，真实目标还可能被攻击欺骗系统设计得再逼真，真实目标还可能被攻击 目标主机使用代理技术将攻击数据流转向蜜目标主机使用代理技术将攻击数据流转向蜜

12、罐，自己成为攻击者和蜜罐之间的桥梁。罐，自己成为攻击者和蜜罐之间的桥梁。 2021-8-13南京邮电大学信息安全系15 2.4 欺骗信息设计技术欺骗信息设计技术 （1）端口扫描欺骗信息设计）端口扫描欺骗信息设计 欺骗系统截获黑客发送的欺骗系统截获黑客发送的TCP扫描包，发回与实扫描包，发回与实 际情况相反的虚假数据包以欺骗攻击者，让他对际情况相反的虚假数据包以欺骗攻击者，让他对 端口状态判断失误。端口状态判断失误。 （2）主机操作系统欺骗信息设计）主机操作系统欺骗信息设计 1）修改系统提示信息）修改系统提示信息 2）用修改堆栈指纹库欺骗协议栈指纹鉴别技术）用修改堆栈指纹库欺骗协议栈指纹鉴别技术

13、 欺骗的成功率大大提高欺骗的成功率大大提高 2021-8-13南京邮电大学信息安全系16 （3）口令欺骗信息设计）口令欺骗信息设计 1）伪装口令产生器：构造的虚假口令会消耗攻击者）伪装口令产生器：构造的虚假口令会消耗攻击者 的计算能力并欺骗攻击者，减少被破解口令个数。的计算能力并欺骗攻击者，减少被破解口令个数。 即使攻击者破解出复杂口令，但它们是伪装的；即使攻击者破解出复杂口令，但它们是伪装的； 即使攻击者知道有伪装口令，但判断口令真伪也即使攻击者知道有伪装口令，但判断口令真伪也 降低了攻击效率。降低了攻击效率。 2）口令过滤器：避免用户选择伪装口令产生器产生）口令过滤器：避免用户选择伪装口令

14、产生器产生 的口令。的口令。 2021-8-13南京邮电大学信息安全系17 3 蜜罐的分类蜜罐的分类 目的目的特点特点缺点缺点评价评价 低交互低交互 蜜罐蜜罐 产品型产品型 检测和检测和 减轻威胁减轻威胁 模拟、监听不模拟、监听不 发送发送 获得信息获得信息 有限、易有限、易 被察觉被察觉 最安全、最安全、 风险最小风险最小 中交互中交互 蜜罐蜜罐 检测和检测和 分析分析 接近真实系统接近真实系统 与真实交互与真实交互 需经常检需经常检 测蜜罐的测蜜罐的 状态状态 中等安全、中等安全、 用得少用得少 高交互高交互 蜜罐蜜罐 研究型研究型 研究攻击研究攻击 手段找到手段找到 保护方法保护方法 真

15、实系统、真真实系统、真 实交互，不易实交互，不易 被察觉被察觉 被攻陷后被攻陷后 易成为黑易成为黑 客的跳板客的跳板 危险大、危险大、 使用价值大使用价值大 Honeynet Project 2021-8-13南京邮电大学信息安全系18 4 常见的网络诱骗工具及产品常见的网络诱骗工具及产品 1DTK “允许允许”黑客实施端口扫描、口令破解等攻击并记录。黑客实施端口扫描、口令破解等攻击并记录。 如果网络上很多主机安装如果网络上很多主机安装DTK，黑客将屡屡碰壁。，黑客将屡屡碰壁。 黑客习惯于在攻击之前先辨别目标系统的真伪。黑客习惯于在攻击之前先辨别目标系统的真伪。 黑客一看到开放黑客一看到开放T

16、CP 365端口的主机就会放弃。端口的主机就会放弃。 许多未安装许多未安装DTK的系统只需开放的系统只需开放TCP 365端口，端口， 黑客会以为是个黑客会以为是个“蜜罐蜜罐”而放弃攻击。而放弃攻击。 2021-8-13南京邮电大学信息安全系19 DTK的特点的特点 用用C语言和语言和Perl脚本语言实现脚本语言实现 监听监听HTTP、Telnet、FTP等端口，让攻击者错认等端口，让攻击者错认 为被攻击系统不安全，并记录所有攻击行为。为被攻击系统不安全，并记录所有攻击行为。 模拟常见系统漏洞，送出虚假口令文件，花费攻模拟常见系统漏洞，送出虚假口令文件，花费攻 击者大量时间。击者大量时间。 缺

17、点：对服务的模拟不逼真，无法欺骗有经验的缺点：对服务的模拟不逼真，无法欺骗有经验的 攻击者，仅限于对已知漏洞的模拟。攻击者，仅限于对已知漏洞的模拟。 2021-8-13南京邮电大学信息安全系20 2Spector 也是一种低交互度蜜罐，只模拟有限交互的服务。也是一种低交互度蜜罐，只模拟有限交互的服务。 不仅可模拟很多服务，而且可模拟不同操作系统不仅可模拟很多服务，而且可模拟不同操作系统 的漏洞，具有大量预警和日志功能。的漏洞，具有大量预警和日志功能。 易部署和维护，使用风险很低。易部署和维护，使用风险很低。 缺点：收集到的信息有限，易被发现。缺点：收集到的信息有限，易被发现。 应用层应用层 2

18、021-8-13南京邮电大学信息安全系21 3Honeyd 运行在运行在UNIX平台上的低交互度蜜罐平台上的低交互度蜜罐 不只对单个不只对单个IP地址监视，而是对网络监视。地址监视，而是对网络监视。 检测到对不存在系统的探测时，检测到对不存在系统的探测时，Honeyd会动态承会动态承 担受害系统的角色，与攻击者进行交互。担受害系统的角色，与攻击者进行交互。 可同时模拟上千台具有不同可同时模拟上千台具有不同IP地址的不同主机，地址的不同主机， 虚拟主机可配置运行数百个不同服务和操作系统。虚拟主机可配置运行数百个不同服务和操作系统。 应用层和应用层和TCP/IP层层 2021-8-13南京邮电大学

19、信息安全系22 4ManTrap 运行在运行在Solaris上的中等到高交互度蜜罐上的中等到高交互度蜜罐 没有模拟任何服务，而在一个操作系统上创建多没有模拟任何服务，而在一个操作系统上创建多 达四种虚拟操作系统（通常称为达四种虚拟操作系统（通常称为jail）。）。 数据控制和捕获能力强，可对数据控制和捕获能力强，可对DNS/Web服务器服务器/数数 据库等进行测试，交互性及功能和标准系统相同。据库等进行测试，交互性及功能和标准系统相同。 还可捕获还可捕获Rootkit、应用层攻击、黑客、应用层攻击、黑客IRC聊天对聊天对 话、未知攻击和新的漏洞，使用风险大。话、未知攻击和新的漏洞，使用风险大。

20、 2021-8-13南京邮电大学信息安全系23 5Honeynet 由多个具有不同操作系统的真实系统和多个攻击由多个具有不同操作系统的真实系统和多个攻击 检测应用组成的网络，是高交互度蜜罐的极限。检测应用组成的网络，是高交互度蜜罐的极限。 对所有平台的信息捕获能力最强，尤其是新的攻对所有平台的信息捕获能力最强，尤其是新的攻 击方式、攻击工具、攻击动机和攻击者通信方法。击方式、攻击工具、攻击动机和攻击者通信方法。 最难构建控制网络（用于控制和捕获往来于最难构建控制网络（用于控制和捕获往来于 Honeypot的所有活动）。的所有活动）。 是是最难部署和维护的网络诱骗系统。最难部署和维护的网络诱骗系统。 2021-8-13南京邮电大学信息安全系24 5 蜜罐的优缺点蜜罐的优缺点 蜜罐的优点：蜜罐的优点： （1）使用简单）使用简单 蜜罐起作用前提：如果有人连接就检测并记录它。蜜罐起作用前提：如果有人连接就检测并记录它。 （2）占用资源少）占用资源少 仅捕获进