第7讲 网络入侵检测

1、第7章 网络入侵检测 1、入侵 (Intrusion)入侵是指未经授权蓄意尝试访问信息、窜改信息，使系统不可靠或不能使用的行为。它企图破坏计算机资源的：n完整性(Integrity)n机密性（Confidentiality）n可用性（Availability）n可控性（Controliability）2、漏洞 入侵要利用漏洞，漏洞是指系统硬件、操作系统、软件、网络协议等在设计上、实现上出现的可以被攻击者利用的错误、缺陷和疏漏。 3、入侵者入侵者可以是一个手工发出命令的人，也可是一个基于入侵脚本或程序的自动发布命令的计算机。入侵者一般可以分为两类：内部的（一般指系统中的合法用户但违规或者越权操作

2、）和外部的（一般指系统中的非法用户）。 4、入侵系统的主要途径入侵者进入系统的主要途径有：n物理侵入物理侵入: 指一个入侵者对主机有物理进入权限。n本地侵入本地侵入: 这类侵入表现为入侵者已经拥有在系统用户的较低权限。n远程侵入远程侵入: 这类入侵指入侵者通过网络远程进入系统。5、攻击的一般步骤进行网络攻击是一件系统性很强的工作，其主要工作流程是：收集情报，远程攻击，清除日志，留下后门。二、入侵检测系统基本知识二、入侵检测系统基本知识1、入侵检测与入侵检测系统2、为什么需要IDS？3、IDS能做什么？4、入侵检测系统在系统安全中的地位5、IDS的两个指标6、IDS的特点7、入侵检测的发展历史1

3、、入侵检测与入侵检测系统（1）入侵检测，顾名思义，是指对入侵行为的发觉。它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测是一种主动保护自己的网络和系统免遭非法攻击的网络安全技术。1、入侵检测与入侵检测系统（2）入侵检测系统(Intrusion Detection System)，是完成入侵检测功能的软件、硬件及其组合。它试图检测、识别和隔离“入侵”企图或计算机的不恰当未授权使用。加载入侵检测技术的系统我们称之为入侵检测系统。一般情况下，我们并不严格的去区分入侵检测和入侵检测系统两个概念，而都称为I

4、DS或入侵检测技术。2、为什么需要IDS？入侵很容易n入侵教程随处可见n各种工具唾手可得防火墙不能保证绝对的安全n网络边界的设备n自身可以被攻破n对某些攻击保护很弱n不是所有的威胁来自防火墙外部n防火墙是锁，入侵检测系统是监视器3、 IDS功能监控、分析用户和系统活动监控、分析用户和系统活动n实现入侵检测任务的前提条件 发现入侵企图或异常现象发现入侵企图或异常现象n入侵检测系统的核心功能 n这主要包括两个方面，一是入侵检测系统对进出网络或主机的数据流进行监控，看是否存在对系统的入侵行为，另一个是评估系统关键资源和数据文件的完整性，看系统是否已经遭受了入侵。 记录、报警和响应记录、报警和响应n入

5、侵检测系统在检测到攻击后，应该采取相应的措施来阻止攻击或响应攻击。入侵检测系统作为一种主动防御策略，必然应该具备此功能。 审计系统的配置和弱点、评估关键系统和数据文件的完整性等审计系统的配置和弱点、评估关键系统和数据文件的完整性等监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机摄像机=探测引擎探测引擎形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路

6、（与防火墙联动）。5、IDS的两个指标漏报率n指攻击事件没有被IDS检测到误报率n把正常事件识别为攻击并报警n误报率与检出率成正比例关系6、IDS的特点（1）IDS的优点n提高信息安全构造的其他部分的完整性n提高系统的监控能力n从入口点到出口点跟踪用户的活动n识别和汇报数据文件的变化n侦测系统配置错误并纠正n识别特殊攻击类型，并向管理人员发出警报6、IDS的特点（2）IDS的缺点 nIDS系统本身还在迅速发展和变化，远未成熟n现有IDS系统错报率(或称为误报率偏高)严重干扰了检测结果n事件响应与恢复机制不完善nIDS与其他安全技术的协作性不够nIDS缺乏国际统一的标准三、入侵检测体系结构1、I

7、DS框架介绍2、CIDF模型3、Denning模型1、CIDF模型（1）CIDF根据IDS系统的通用需求以及现有IDS的系统结构，将IDS系统构成划分如下部分：n事件产生器(Event Generators)n事件分析器(Event analyzers)n响应单元(Response units)n事件数据库(Event databases)1、CIDF模型（2）1、CIDF模型事件产生器（1）事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。入侵检测的第一步采集内容n系统日志n应用程序日志n系统调用n网络数据n用户行为n其他IDS的信息1、CIDF模型事件产生器（2）注

8、意：入侵检测很大程度上依赖于收集信息的可靠性和正确性n要保证用来检测网络系统的软件的完整性，n特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息1、CIDF模型事件分析器事件分析器接收事件信息，对其进行分析，判断是否为入侵行为或异常现象，最后将判断的结果转变为告警信息。分析是核心n效率高低直接决定整个IDS性能分析方法：n模式匹配n统计分析n完整性分析（往往用于事后分析）1、CIDF模型响应单元响应单元则是对分析结果作出反应的功能单元，功能包括：n告警和事件报告n终止进程，强制用户退出n切断网络连接，修改防火墙设置 n灾难评估，自动恢复 n查找定位攻击者 1、CIDF

9、模型事件数据库事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。四、入侵检测系统的分类1、根据原始数据的来源2、根据检测技术进行分类 3、根据体系结构分类 4、根据响应方式分类 1、根据原始数据的来源主机IDS基于主机的入侵检测系统 n定义：安装在单个主机或服务器系统上，对针对主机或服务器系统的入侵行为进行检测和响应，对主机系统进行全面保护的系统。n主机入侵检测系统主要是对该主机的网络连接行为以及系统审计日志进行智能分析和判断。1、主机、主机IDS示意图（示意图（1）1、主机、主机IDS示意图（示意图（2）1、主机、主机IDS特点特点主机主机IDS特

10、点：特点：n性能价格比高性能价格比高n能够监测的网络和主机活动更加细腻能够监测的网络和主机活动更加细腻n视野集中视野集中n易于用户剪裁易于用户剪裁 n对网络流量不敏感：数据来源不完全源于网络对网络流量不敏感：数据来源不完全源于网络n适用于被加密的以及交换的环境适用于被加密的以及交换的环境n确定攻击是否成功确定攻击是否成功1、根据原始数据的来源网络IDS 基于网络的入侵检测系统 n网络入侵检测使用原始网络包作为数据源n通常利用一个运行在混杂模式下网络的适配器来实时监视并分析通过网络的所有通信业务。 1、网络、网络IDS示意图示意图1、网络、网络IDS关键问题关键问题关键问题关键问题n在共享网段上

11、对通信数据进行侦听采集数据在共享网段上对通信数据进行侦听采集数据 n主机资源消耗少主机资源消耗少 n提供对网络通用的保护提供对网络通用的保护n如何适应高速网络环境？如何适应高速网络环境？n非共享网络上如何采集数据？非共享网络上如何采集数据？1、网络、网络IDS优点优点网络IDS优点n侦测速度快n隐蔽性好 n视野更宽 n较少的监测器 n攻击者不易转移证据 n操作系统无关性 n占资源少 1、网络、网络IDS不足不足只检查它直接连接网段的通信，不能检测在不同网段的网络包在使用交换以太网的环境中就会出现监测范围的局限而安装多台网络入侵检测系统的传感器会使部署整个系统的成本大大增加。通常采用特征检测的方

12、法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。可能会将大量的数据传回分析系统中，在一些系统中监听特定的数据包会产生大量的分析数据流量处理加密的会话过程比较困难，目前通过加密通道的攻击尚不多，但随着IPV6的普及，这个问题会越来越突出。1、HIDS与NIDS的比较2、根据检测技术进行分类 按照分析方法检测原理异常检测（ Anomaly Detection ) ：根据异常行为和使用计算机资源的情况检测出来的入侵。n首先总结正常操作应该具有的特征（用户轮廓），试图用定量的方式加以描述，当用户活动与正常行为有重大偏离时即被认为是入侵误用检测（ Misuse De

13、tection ) ：利用已知系统和应用软件的弱点攻击模式来检测入侵。n收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵3、根据响应方式分类 主动响应 对被攻击系统实施控制和对攻击系统实施控制。 被动响应 只会发出告警通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动。 五、入侵检测的分析方式1、入侵检测的分析方式2、异常检测3、误用检测4、完整性分析 5、入侵检测的过程 1、入侵检测的分析方式、入侵检测的分析方式异常检测（Anomaly Detection） n统计模型n误报较多

14、误用检测（Misuse Detection）n维护一个入侵特征知识库（CVE）n准确性高完整性分析 2、异常检测（、异常检测（1）思想：任何正常人的行为有一定的规律思想：任何正常人的行为有一定的规律需要考虑的问题：需要考虑的问题：（1）选择哪些数据来表现用户的行为）选择哪些数据来表现用户的行为（2）通过以上数据如何有效地表示用户的行）通过以上数据如何有效地表示用户的行为，主要在于学习和检测方法的不同为，主要在于学习和检测方法的不同（3）考虑学习过程的时间长短、用户行为的）考虑学习过程的时间长短、用户行为的时效性等问题时效性等问题2、异常检测（、异常检测（2）前提：入侵是异常活动的子集用户轮廓（

15、Profile )：通常定义为各种行为参数及其阈值的集合，用于描述正常行为范围Below Threshold levelsExceed Threshold LevelsSystem AuditMetricsProfilerIntrusionNormal Activity异常检测模型异常检测模型2、异常检测（、异常检测（3）基本原理n正常行为的特征轮廓n检查系统的运行情况n是否偏离预设的门限？举例n多次错误登录、午夜登录过程：监控监控 量化量化 比较比较 判定判定 修正修正指标：漏报、误报率高2、异常检测（、异常检测（4）activity measuresprobable intrusionRe

16、latively high false positive rate - anomalies can just be new normal activities.2、异常检测（、异常检测（5）异常检测系统的效率取决于用户轮廓的完备性和监控的频率不需要对每种入侵行为进行定义，因此能有效检测未知的入侵系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源2、异常检测优缺点、异常检测优缺点优点n可以检测到未知的入侵 n可以检测冒用他人帐号的行为 n具有自适应，自学习功能 n不需要系统先验知识缺点n漏报、误报率高w入侵者可以逐渐改变自己的行为模式来逃避检测w合

17、法用户正常行为的突然改变也会造成误警 n统计算法的计算量庞大，效率很低 n统计点的选取和参考库的建立比较困难2、异常检测主要方法、异常检测主要方法基于统计的方法专家系统神经网络数据挖掘遗传算法、计算机免疫技术等等2、异常检测统计学（、异常检测统计学（1）通过对系统审计中的数据进行统计处理，并与描述主体正常行为的统计性特征轮廓进行比较，然后根据二者的偏差是否超过指定的门限来进一步判断、处理。 利用统计理论提取用户或系统正常行为的特征轮廓 ；2、异常检测统计学（、异常检测统计学（2） 统计学中特征轮廓由主体特征变量的频度、均值、方差、被监控行为的属性变量的统计概率分布以及偏差等统计量来描述。 典型

18、的系统主体特征有：系统的登录与注销时间、资源被占用的时间以及处理机、内存和外设的使用情况等 2、异常检测统计学（、异常检测统计学（3）优点:可应用成熟的概率统计理论缺点 1、由于用户行为的复杂性，要想准确地匹配一个用户的历史行为非常困难，容易造成系统误报和漏报； 2、难以确定门限值 。3、误用检测（、误用检测（1）思想：主要是通过某种方式预先定义入侵行为，思想：主要是通过某种方式预先定义入侵行为，然后监视系统，从中找出符合预先定义规则的然后监视系统，从中找出符合预先定义规则的入侵行为入侵行为误用信号需要对入侵的特征、环境、次序以及误用信号需要对入侵的特征、环境、次序以及完成入侵的事件相互间的关

19、系进行描述完成入侵的事件相互间的关系进行描述重要问题重要问题n（1）如何全面的描述攻击的特征）如何全面的描述攻击的特征n（2）如何排除干扰，减小误报）如何排除干扰，减小误报n（3）解决问题的方式）解决问题的方式System AuditMetricsPattern MatcherIntrusionNormal ActivityNo Signature MatchSignature Match误用检测模型误用检测模型1.1.前提：所有的入侵行为都前提：所有的入侵行为都有可被检测到的特征有可被检测到的特征 2.2.攻击特征库攻击特征库: : 当监测的用当监测的用户或系统行为与库中的记户或系统行为与库

20、中的记录相匹配时，系统就认为录相匹配时，系统就认为这种行为是入侵这种行为是入侵 3.3.过程过程 监控监控 特征提取特征提取 匹配匹配 判定判定 4.4.指标指标 误报低误报低 漏报漏报高高 3、误用检测过程（、误用检测过程（2）3、误用检测过程（、误用检测过程（3）Intrusion Patternsactivitiespattern matchingintrusionCant detect new attacksExample: if (src_ip = dst_ip) then “land attack”3、误用检测过程（、误用检测过程（4）如果入侵特征与正常的用户行为能匹配，则系统会发

21、生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报特点：采用模式匹配，误用模式能明显降低误报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力。3、误用检测过程优缺点、误用检测过程优缺点优点:n算法简单、系统开销小、准确率高、效率高缺点：n被动：只能检测出已知攻击 、新类型的攻击会对系统造成很大的威胁 n模式库的建立和维护难：模式库要不断更新知识依赖于：硬件平台、操作系统、系统中运行的应用程序3、误用检测主要方法、误用检测主要方法条件概率误用检测条件概率误用检测专家系统误用检测专家系统误用检测状态转换分析吴用检测状态转换分析吴用检测健盘监控误用检测健盘监控误用检测模型

22、推理误用检测模型推理误用检测3、误用检测专家系统（、误用检测专家系统（1）专家系统是误用检测技术中运用最多的一种方专家系统是误用检测技术中运用最多的一种方法法通过将安全专家的知识表示成通过将安全专家的知识表示成if-thenif-then结构的结构的规则（规则（ if if 部分：构成入侵所要求的条件；部分：构成入侵所要求的条件； then then 部分：发现入侵后采取的相应措施）形部分：发现入侵后采取的相应措施）形成专家知识库，然后运用推理算法检测入侵成专家知识库，然后运用推理算法检测入侵注意：需要解决的主要问题是全面性问题和效注意：需要解决的主要问题是全面性问题和效率问题。率问题。3、误

23、用检测专家系统（、误用检测专家系统（2）在具体实现中，专家系统主要面临：n全面性问题：难以科学地从各种入侵手段中抽象出全面的规则化知识；n效率问题：需处理的数据量过大商业产品一般不用专家系统5 5、IDSIDS部署（部署（1 1） 当实际使用 IDS 时，首先面临的问题是：决定在系统的什么位置部署检测和分析入侵行为用的嗅探器或检测引擎。对IDS的部署，唯一的要求是： IDS应当挂应当挂接在所有所关注流量都必须流经的链路上接在所有所关注流量都必须流经的链路上。HIDS ：通常直接将检测代理安装在受监控的主机系统上 NIDS ：检测引擎的部署稍微复杂（见下图）5 5、IDSIDS部署（部署（2 2

24、） 六、一个攻击检测实例1、Sendmail漏洞利用2、简单的匹配3、检查端口号4、深入决策树5、更加深入6、响应策略1、Sendmail漏洞利用老版本的Sendmail漏洞利用n$ telnet 25nWIZnshelln或者nDEBUGn# n直接获得rootshell2、简单的匹配检查每个packet是否包含：“WIZ”| “DEBUG”3、检查端口号缩小匹配范围 Port 25:“WIZ”| “DEBUG” 4、深入决策树只判断客户端发送部分 Port 25:Client-sends: “WIZ” |Client-sends: “DEBUG” 5、更加深入状态检测 + 引向异常的分支

25、Port 25:stateful client-sends: “WIZ” |stateful client-sends: “DEBUG”after stateful “DATA” client-sends line 1024 bytes means possible buffer overflow 6、响应策略弹出窗口报警E-mail通知切断TCP连接执行自定义程序与其他安全产品交互nFirewallnSNMP Trap七、Snort1、概述2、Snort规则3、Snort安装1、概述轻量级入侵检测系统：n可配置性n可移植性(结构性好，公开源代码)n可扩充性（基于规则）网络入侵检测系统n数据包

26、捕获（libpcap 等）n数据包分析误用入侵检测系统n特征模式进行匹配2、Snort规则（1）规则描述语言n规则是特征模式匹配的依据，描述语言易于扩展，功能也比较强大 n每条规则必须在一行中，其规则解释器无法对跨行的规则进行解析n逻辑上由规则头和规则选项组成。规则头包括：规则行为、协议、源/目的IP地址、子网掩码、方向以及源/目的端口。规则选项包含报警信息和异常包的信息(特征码)，使用这些特征码来决定是否采取规则规定的行动。 2、Snort规则（2）规则描述语言举例alert tcp any any - /24 111(content:|00 01 86 a5|;msg

27、:mountd access;) 从开头到最左边的括号属于规则头部分，括号内的部分属于规则选项。规则选项中冒号前面的词叫做选项关键词。注意对于每条规则来说规则选项不是必需的，它们是为了更加详细地定义应该收集或者报警的数据包。只有匹配所有选项的数据包，Snort才会执行其规则行为。2、Snort规则（3）规则头：哪些数据包、数据包的来源、什么类型的数据包，以及对匹配的数据包如何处理。规则行为（rule action）：nAlert：使用选定的报警方法产生报警信息，并且记录数据包；nLog：记录数据包；nPass：忽略数据包；nActivate：报警，接着打开其它的dynamic规则；nDynam

28、ic：保持空闲状态，直到被activate规则激活，作为一条log规则 2、Snort规则（4）协议（protocol）:n每条规则的第二项就是协议项。当前，snort能够分析的协议是：TCP、UDP和ICMP。将来，可能提供对ARP、ICRP、GRE、OSPF、RIP、IPX等协议的支持。 IP地址：n规则头下面的部分就是IP地址和端口信息。关键词any可以用来定义任意的IP地址。/CIDR的形式用于指明应用于IP地址的掩码。/24表示一个C类网络；/16表示一个B类网络；而/32表示一台特定的主机地址。2、Snort规则（5）端口号：n有几种方式来指定端口号，包括：any、静态端口号(st

29、atic port)定义、端口范围以及使用非操作定义。any表示任意合法的端口号。静态端口号表示单个的端口号，例如：111(portmapper)、23(telnet)、80(http)等。使用范围操作符:可以指定端口号范围。有几种方式来使用范围操作符:达到不同的目的，例如：log udp any any - /24 1:1024 记录来自任何端口，其目的端口号在1到1024之间的UDP数据包 2、Snort规则（6）方向操作符(direction operator)：n方向操作符-表示数据包的流向。它左边是数据包的源地址和源端口，右边是目的地址和端口。此外，还有一个双向

30、操作符,它使snort对这条规则中，两个IP地址/端口之间双向的数据传输进行记录/分析，例如telnet或者POP3对话。下面的规则表示对一个telnet对话的双向数据传输进行记录：log !/24 any /24 23 2、Snort规则（7）规则选项：规则选项构成了snort入侵检测引擎的核心，它们非常容易使用，同时又很强大和容易扩展。在每条snort规则中，选项之间使用分号进行分割。规则选项关键词和其参数之间使用冒号分割。下面是一些常用的规则选项关键词，其中对部分重要关键词进行详细解释： 2、Snort规则（8） msg：在报警和日志中打印的消

31、息；logto：把日志记录到一个用户指定的文件，而不是输出到标准的输出文件；ttl：测试IP包头的TTL域的值；tos：测试IP包头的TOS域的值； content：在包的净荷中搜索指定的样式；id：测试IP分组标志符(fragment ID)域是否是一个特定的值 ipoption /fragbits /dsize /flags /seq /3、Snort安装（1）实验环境任务一Windows环境下安装和配置snort步骤1-安装Apache_2.0.46：（1）将Apache安装在默认文件夹C:apache下，将配置文件httpd.conf中的Listen 8080，更改为Listen 50

32、080。（2）将apache设置为以Windows中的服务方式运行。步骤2-安装PHP：（1）将原安装包解压至C:php。（2）复制C:php下php4ts.dll至winntsystem32，phi.ini-dist至winntphp.ini。（3）添加gb图形库支持，在php.ini中添加extension=php_gd2.dllj。（4）添加Apache对PHP的支持。（5）在Windows中启动Apache Web服务。（6）新建test.php测试文件内容为；测试PHP是否成功安装。任务一（续） 步骤3-安装snort 步骤4-安装配置Mysql数据库（1）安装Mysql到默认文件夹

33、C:mysql，并使mysql在Windows中以服务形式运行。（2）启动mysql服务。（3）以root用户登录Mysql数据库，采用Create命令，建立Snort运行必须的snort数据库和snort_archive数据库。（4）退出Mysql后，使用mysql命令在snort数据库和snort_archive数据库中建立snort运行必须的数据表。（5）再次以root用户登录Mysql数据库，在本地数据库中建立acid（密码为acidtest）和snort（密码为snorttest）两个用户，以备后用。（6）为新建用户在snort和snort_archive数据库中分配权限。任务一（续

34、）步骤5-安装adodb步骤6-安装配置数据控制台acid（1）解压缩acid软件包至C: apacheapache2htdocsacid目录下。（2）修改acid目录下的acid_conf.php配置文件。（3）察看:50080/acid/acid_db_setup.php网页，按照系统提示建立数据库。步骤7-安装jpgrapg库任务一（续）步骤8-安装winpcap步骤9-配置并启动snort（1）指定snort.conf配置文件中classification.config、reference.config两个文件的绝对路径。（2）在文件中添加语句指定默认数据

35、库，用户名，主机名，密码，数据库用户等等。（3）输入命令启动snort。（4）打开:50080/acid/acid_main.php网页，进入acid分析控制台主界面，检查配置是否正确。任务二：Windows下Snort的使用步骤1-完善配置文件：（1）打开snort.conf配置文件。（2）设置snort内、外网检测范围。（3）设置监测包含的规则。步骤2-使用控制台察看检测结果（1）启动snort并打开acid的检测控制台主界面。（2）单击右侧图示中TCP后的数字“80%”，将显示所有检测到的TCP协议日志详细情况。（3）选择控制条中的home返回控制台主界面，

36、察看流量分类和分析记录（4）选择last 24 hours:alerts unique，可以看到24h内特殊的流量的分类记录和分析。任务二：Windows下Snort的使用（续）步骤3-配置snort规则：（1）添加实现对内网的UDP协议相关流量进行检测，并报警。（2）重启snort和acid 检测控制台，使规则生效。（3）在另外一台计算机使用UDP FLOOD工具对本机进行UDP-FLOOD攻击，查看UDP协议流量的日志记录。实验结果举例（1）实验结果举例（2）实验结果举例（3）实验结果举例（4）八、八、网络卫士入侵检测系统控制台 部分窗口打开平铺的效果 策略编辑器 策略编辑器编辑具体事件事

37、件属性入侵事件-详细日志 响应/报警 九、蜜罐技术简介1、蜜罐技术背景2、蜜罐概念、理念和价值3、蜜罐与其他网络安全技术4、蜜罐技术法律问题5、蜜罐网络资源1、蜜罐技术背景（1）网络攻防的非对称博弈n工作量不对称w攻击方：夜深人静, 攻其弱点w防守方：24*7, 全面防护n信息不对称w攻击方：通过网络扫描、探测、踩点对攻击目标全面了解w防守方：对攻击方一无所知n后果不对称w攻击方：任务失败，极少受到损失w防守方：安全策略被破坏，利益受损1、蜜罐技术背景（2）蜜罐技术的提出:试图改变攻防博弈的非对称性n对攻击者的欺骗技术增加攻击代价、减少对实际系统的安全威胁n了解攻击者所使用的攻击工具和攻击方法

38、n追踪攻击源、攻击行为审计取证2、蜜罐概念、理念和价值（1）概念nHoneypot是一种资源，它的价值是被攻击或攻是一种资源，它的价值是被攻击或攻陷。陷。 n对攻击者的欺骗技术用以监视、检测和分析攻击n没有业务上的用途，不存在区分正常流量和攻击的问题n所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷网络中的蜜罐（示意图）2、蜜罐概念、理念和价值（2）蜜罐工作理念n主动防御（改变了其他技术的被动方式），蜜罐好比情报收集系统，蜜罐的核心价值在于对这些攻击活动进行监视、检测和分析。n蜜罐并非一种安全解决方案，这是因为蜜罐并不会“修理”任何错误。2、蜜罐概念、理念和价值（3）蜜罐主要的价值n第一时间捕

39、获流行的扫描型蠕虫，例如第一时间截获冲击波、震荡波以及他们的变种都在某种程度上依赖于蜜罐体制。n蜜罐具有统计意义，能够对流行情况节点压力进行比较准确的判断和分析。 2、蜜罐概念、理念和价值（4）蜜罐技术的优势n高度保真的小数据集w低误报率w低漏报率n能够捕获新的攻击方法及技术n原理简单，贴近实际3、蜜罐与其他网络安全技术数据收集：n数据收集是网络攻击的基础，蜜罐技术离不开数据收集 防火墙：n防火墙是蜜罐必要的组成部分，用于实施必要的阻断策略IDS：n必要组成，配合数据分析4、蜜罐技术法律问题（1）蜜罐能够帮助一个组织发展它的事件响应能力蜜罐的攻陷可能导致危害4、蜜罐技术法律问题（2）蜜罐的最初

40、设计目标是为起诉攻击者提蜜罐的最初设计目标是为起诉攻击者提供证据收集的手段供证据收集的手段n但是有的国家法律规定，蜜罐收集的证据不但是有的国家法律规定，蜜罐收集的证据不能作为起诉证据，安全专家指出该提议存在能作为起诉证据，安全专家指出该提议存在漏洞，因为根据这项方案漏洞，因为根据这项方案IT部门正当保护他部门正当保护他们系统的安全的某些软件和技术也是违法的。们系统的安全的某些软件和技术也是违法的。可能会涉及到对隐私权的侵犯可能会涉及到对隐私权的侵犯5、蜜罐网络资源蜜罐工具情况蜜罐工具情况nFred Cohen 所开发的所开发的DTK（欺骗工具包）（欺骗工具包） nNiels Provos 开发

41、的开发的Honeyd等是免费开等是免费开源工具源工具 nKFSensor、Specter 、SmokeDetector、NetFacade、Mantrap等是商业蜜罐产品等是商业蜜罐产品 蜜罐研究组织蜜罐研究组织nFlorida HoneyNet Project，nPaladion Networks Honeynet Project-India，http:/ Systematics Lab Honeynet Project，http:/www.epmhs.gr/honeynetnMexico Honeynet Project，http:

42、/.mx/honeynet.htmlnNetForensics Honeynet，http:/ Pacific UniversityHoneynet，/bmccarty/honeynet.htmlnBrazilian Honetnet Project，http:/www.lac.inpe.br/security/honeynet/nIrish honeynet Project，http:/www.honeynet.ie/nHoneynet Project at the University of Texas at Austin，http:/honeynet.

43、/nNorwegian Honeynet Project，http:/www.honeynet.no/nUK Honeynet Project， .uk/nWest Point Honeynet project，/honeynet/nPakistan Honeynet Project ，.pk/nHoneynet Project，/十、蜜罐技术发展历程1、蜜罐、蜜网和蜜场2、蜜罐技术原理及发展3、蜜罐

44、技术的分类3、蜜网技术原理及发展4、相关技术最新发展1、蜜罐、蜜网和蜜场蜜罐 (Honeypot)n物理蜜罐n虚拟蜜罐工具: DTK, Honeydn专用蜜罐工具: mwcollect, nepenthes蜜网 (Honeynet)nThe Honeynet ProjectnGen 1 / Gen 2 / Gen 3 HoneynetnResearch Purpose蜜场 (Honeyfarm)n蜜罐技术如何有效地对一个大型网络提供防护功能？n外/内部安全威胁的发现、重定向、跟踪2、蜜罐技术原理及发展90年代初98年左右n“蜜罐”还仅仅限于一种思想n这一阶段的蜜罐实质上是一些真正被黑客所攻击的

45、主机和系统。98 年开始00年n蜜罐技术开始吸引了一些安全研究人员的注意n并开发出一些专门用于欺骗黑客的开源工具n这一阶段的蜜罐可以称为是虚拟蜜罐00年后n安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐，融入了更强大的数据捕获、数据分析和数据控制的工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。3、蜜罐技术的分类部署目的蜜罐技术分类，根据部署目的n产品型蜜罐n目的在于为一个组织的网络提供安全保护n容易部署，减少风险n例: DTK、Honeydn研究型蜜罐w专门用于对黑客攻击的捕获和分析w需要研究人员投入大量的

46、时间和精力/ 部署复杂3、蜜罐技术的分类交互性蜜罐技术分类，根据交互性（攻击者在蜜罐中活动的交互性级别）n低交互型虚拟蜜罐w模拟服务和操作系统w只能捕获少量信息 / 容易部署，减少风险w例: Honeydn高交互型物理蜜罐w提供真实的操作系统和服务，而不是模拟w可以捕获更丰富的信息 / 部署复杂，高安全风险w例: 蜜网3、根据交互性分类虚拟系统虚拟系统是制在一台真实的物理机上运行一些仿真软件，通过仿真软件对计算机硬件进行模拟，使得在仿真平台上可以运行多个不同的操作系统，这样一台真实的机器就变成了多台主机（称为虚拟机）。n通常将真实的机器上安装的操作系统称为宿主操作系统，仿真软件在宿主操作系统上

47、安装，在仿真平台上安装的操作系统称为客户操作系统。nVmware是典型的仿真软件，它在宿主操作系统和客户操作系统之间建立了一个虚拟的硬件仿真平台，客户操作系统可以基于相同的硬件平台模拟多台虚拟主机Vmware的仿真平台示意图Vmware的功能模块 3、蜜罐技术的分类（3）蜜罐技术分类，根据工作方式n牺牲型蜜罐w牺牲型蜜罐提供的是真实的攻击目标w容易建立w不提供全套的行为规范或控制设备n外观型蜜罐w呈现目标主机的虚假映像的系统w外观型蜜罐安装和配置简单，可以模仿大量不同的目标主机。w提供潜在威胁的基本信息4、蜜网技术原理及发展（1）蜜网概念n实质上是一种研究型、高交互型的蜜罐技术n一个体系框架w

48、包括一个或多个蜜罐w多层次的数据控制机制高度可控w全面的数据捕获机制w辅助研究人员对攻击数据进行深入分析4、蜜网技术原理及发展（2）蜜网技术核心需求n数据控制机制w防止蜜网被黑客/恶意软件利用攻击第三方n数据捕获机制w获取黑客攻击/恶意软件活动的行为数据n网络行为数据网络连接、网络流n系统行为数据进程、命令、打开文件、发起连接n数据分析机制w理解捕获的黑客攻击/恶意软件活动的行为4、蜜网的体系框架十一、蜜罐配置模式1、诱骗服务2、弱化系统 3、强化系统 4、用户模式服务器1、诱骗服务诱骗服务(Deception Service)n诱骗服务是指在特定IP服务端口上侦听并像其他应用程序那样应答各种

49、网络请求。 w例如 DTKn需要精心设计和配置n诱骗服务只能收集有限的信息n有一定风险2、弱化系统弱化系统(Weakened System) n弱化系统是一个配置有已知攻击弱点的操作系统，这样使攻击者更加容易进入系统，系统可以收集有效的攻击数据。n提供的是攻击者试图入侵的实际服务n“高维护低收益高维护低收益”3、强化系统强化系统(Hardened System)n强化系统同弱化系统一样，提供一个真实的环境，是对弱化系统的改进n能在最短的时间内收集最多的有效数据n需要系统管理员具有更高的专业技术4、用户模式服务器用户模式服务器(User Mode Server) n用户模式服务器实际上是一个用户

50、进程，它运行在主机上，并且模拟成一个真实的服务器n这种模式的成功与否取决于攻击者的进入程这种模式的成功与否取决于攻击者的进入程度和受骗程度。度和受骗程度。n系统管理员对用户主机有绝对的控制权n不适用于所有的操作系统十二、蜜罐实现与应用1、Honeyd介绍2、配置Honeyd3、基于VMWare的蜜网设计1、Honeyd介绍（1）Honeypot是一个相对新的安全技术，其价值就在被检测、攻击，以致攻击者的行为能够被发现、分析和研究。它的概念很简单： Honeypot 没有任何产品没有任何产品性目的，没有授权任何人对它访问，所以任何性目的，没有授权任何人对它访问，所以任何对对Honeypot的访问

51、都有可能是检测、扫描甚的访问都有可能是检测、扫描甚至是攻击。至是攻击。1、Honeyd介绍（2）概述nA virtual honeypot frameworkwHoneyd 1.0 (Jan 22, 2005) by Niels Provos, Google Inc.n支持同时模拟多个IP地址主机w经过测试，最多同时支持65535个IP地址w支持模拟任意的网络拓扑结构n通过服务模拟脚本可以模拟任意TCP/UDP网络服务wIIS, Telnet, pop3n支持ICMPw对ping和traceroutes做出响应n通过代理机制支持对真实主机、网络服务的整合wadd windows tcp port 23 proxy “59 23”1、Honey