第15章入侵检测系统和网络诱骗系统26课件

主要内容1网络诱骗系统概述

2网络诱骗技术

3蜜罐的分类

4常见的网络诱骗工具及产品5蜜罐的优缺点

2.1蜜罐主机技术

2.2陷阱网络技术2.3诱导技术

2.4欺骗信息设计技术3.1低交互度蜜罐3.2中交互度蜜罐3.3高交互度蜜罐

12/14/20221南京邮电大学信息安全系主要内容1网络诱骗系统概述2.1蜜罐主机技术3.1网络诱骗系统概述

•“蜜罐”（Honeypot）——主动防御技术•对攻击者给予“诱骗”反应，使其相信被攻击系统安全性很差作用：消耗攻击者拥有的资源增加攻击者的工作量迷惑攻击者以延缓对真正目标的攻击掌握攻击者行为跟踪攻击者形成威慑攻击者的力量12/14/20222南京邮电大学信息安全系1网络诱骗系统概述•“蜜罐”（Honeypot）——Honeypot的设计考虑•吸引并诱骗试图非法闯入他人计算机的人•用被攻击系统的特征吸引攻击者，同时分析各种攻击行为•开启通常被黑客窥探的危险端口来模拟漏洞系统

•故意留下安全后门来吸引攻击者上钩，或者故意放置虚假的敏感信息12/14/20223南京邮电大学信息安全系Honeypot的设计考虑•吸引并诱骗试图非法闯入他人计算网络诱骗系统的特点

1）Honeypot模拟易受攻击主机，本身未向外提供有价值服务，与其进行连接的行为均可疑。2）Honeypot保护关键系统：它就像一台真实服务器，易吸引黑客。3）Honeypot是用来被探测、被攻击和最后被攻陷的，利用蜜罐可发现新型攻击。4）Honeypot是其他安全策略所不可替代的一种主动防御技术，可以与其他技术结合使用。12/14/20224南京邮电大学信息安全系网络诱骗系统的特点1）Honeypot模拟易受攻击主机，蜜罐配置图

IP地址不公开，但可访问；不需设置混杂模式网卡设置为stealthmode：混杂模式+没有IP地址；——攻击者无法发现12/14/20225南京邮电大学信息安全系蜜罐配置图IP地址不公开，但可访问；不需设置混杂模式网卡设实施蜜罐的注意点（1）1）将蜜罐与任何真实产品系统隔离，一般将它放在离Internet最近的位置（如DMZ上）。2）蜜罐不公开自己的IP地址和端口，对蜜罐的所有访问都可能是攻击。3）蜜罐所捕获数据的针对性强，所以在一定程序上克服IDS的不足：误报率高及漏报新的攻击。12/14/20226南京邮电大学信息安全系实施蜜罐的注意点（1）1）将蜜罐与任何真实产品系统隔离，一般实施蜜罐的注意点（2）4）将多种网络防御系统结合来防范网络攻击：自动路由转发被防火墙拦截的访问请求蜜罐因为这种访问请求很可能是攻击包。5）蜜罐的日志记录系统应在物理上独立于蜜罐本身。6）允许蜜罐与外网主机自由通信，但应限制蜜罐对一台内网/外网主机同时发起的连接数。12/14/20227南京邮电大学信息安全系实施蜜罐的注意点（2）4）将多种网络防御系统结合来防范网络攻2网络诱骗技术2.1蜜罐主机技术（1）空系统运行真实操作系统及应用程序的标准机器——从中可找到真实系统的各种漏洞，没有刻意模拟某种环境或故意使系统不安全。（2）镜像系统空系统易被发现——建立提供网络服务的与真实服务器基本一致的镜像系统，更能欺骗攻击者。12/14/20228南京邮电大学信息安全系2网络诱骗技术2.1蜜罐主机技术12/12/2022（3）虚拟系统

•在真实机器上运行仿真软件VMware来实现硬件模拟，使得可以在硬件仿真平台上运行多个不同操作系统——一台真实机器模拟出多台虚拟机。•VMware还支持网卡模拟：每个虚拟机拥有独立IP地址，即一台真实机器可模拟出连接在网上的多台主机，形成虚拟局域网。这些虚拟系统不但逼真，且成本较低，部署和维护容易，资源利用率高。

12/14/20229南京邮电大学信息安全系（3）虚拟系统•在真实机器上运行仿真软件VMware来实基于同一硬件平台的虚拟系统

不允许虚拟机操作系统访问宿主机的文件系统12/14/202210南京邮电大学信息安全系基于同一硬件平台的虚拟系统不允许虚拟机操12/12/2022.2陷阱网络技术（Honeynet）

由多个蜜罐、路由器、防火墙、IDS、审计系统组成，为攻击者制造被攻击环境，供防御者研究攻击行为。最新的陷阱网络技术——虚拟陷阱网络（VirtualHoneynet），将陷阱网络所需功能集中到一个物理设备中运行。

功能：蜜罐系统、数据控制数据捕获、数据记录数据分析、数据管理12/14/202211南京邮电大学信息安全系2.2陷阱网络技术（Honeynet）由多个蜜罐、路由第三代陷阱网络体系结构

桥接网关HoneyWall的eth0/eth1接口无IP/MAC地址，也不对转发数据包路由和递减TTL，很难被发现。

相对独立的日志服务器使用内部IP地址，防范严格。12/14/202212南京邮电大学信息安全系第三代陷阱网络体系结构桥接网关HoneyWall的eth02.3诱导技术

（1）基于网络地址转换技术的诱导把攻击引向事先设定好的诱骗主机，优点是设置简单、转换速度快且成功率高。（2）基于代理技术的诱导欺骗系统设计得再逼真，真实目标还可能被攻击——目标主机使用代理技术将攻击数据流转向蜜罐，自己成为攻击者和蜜罐之间的桥梁。

12/14/202213南京邮电大学信息安全系2.3诱导技术（1）基于网络地址转换技术的诱导12/12.4欺骗信息设计技术

（1）端口扫描欺骗信息设计欺骗系统截获黑客发送的TCP扫描包，发回与实际情况相反的虚假数据包以欺骗攻击者，让他对端口状态判断失误。（2）主机操作系统欺骗信息设计1）修改系统提示信息2）用修改堆栈指纹库欺骗协议栈指纹鉴别技术——欺骗的成功率大大提高12/14/202214南京邮电大学信息安全系2.4欺骗信息设计技术（1）端口扫描欺骗信息设计12/（3）口令欺骗信息设计

1）伪装口令产生器：构造的虚假口令会消耗攻击者的计算能力并欺骗攻击者，减少被破解口令个数。•即使攻击者破解出复杂口令，但它们是伪装的；•即使攻击者知道有伪装口令，但判断口令真伪也降低了攻击效率。2）口令过滤器：避免用户选择伪装口令产生器产生的口令。

12/14/202215南京邮电大学信息安全系（3）口令欺骗信息设计1）伪装口令产生器：构造的虚假口令会3蜜罐的分类

目的特点缺点评价低交互蜜罐产品型检测和减轻威胁模拟、监听不发送获得信息有限、易被察觉最安全、风险最小中交互蜜罐检测和分析接近真实系统与真实交互需经常检测蜜罐的状态中等安全、用得少高交互蜜罐研究型研究攻击手段找到保护方法真实系统、真实交互，不易被察觉被攻陷后易成为黑客的跳板危险大、使用价值大HoneynetProject

12/14/202216南京邮电大学信息安全系3蜜罐的分类目的特点缺点评价低交互蜜罐检测和模拟、监听4常见的网络诱骗工具及产品

1．DTK“允许”黑客实施端口扫描、口令破解等攻击并记录。•如果网络上很多主机安装DTK，黑客将屡屡碰壁。•黑客习惯于在攻击之前先辨别目标系统的真伪。•黑客一看到开放TCP365端口的主机就会放弃。•许多未安装DTK的系统只需开放TCP365端口，黑客会以为是个“蜜罐”而放弃攻击。12/14/202217南京邮电大学信息安全系4常见的网络诱骗工具及产品1．DTK12/12/202DTK的特点•用C语言和Perl脚本语言实现•监听HTTP、Telnet、FTP等端口，让攻击者错认为被攻击系统不安全，并记录所有攻击行为。•模拟常见系统漏洞，送出虚假口令文件，花费攻击者大量时间。•缺点：对服务的模拟不逼真，无法欺骗有经验的攻击者，仅限于对已知漏洞的模拟。

12/14/202218南京邮电大学信息安全系DTK的特点•用C语言和Perl脚本语言实现12/12/22．Spector

•也是一种低交互度蜜罐，只模拟有限交互的服务。•不仅可模拟很多服务，而且可模拟不同操作系统的漏洞，具有大量预警和日志功能。•易部署和维护，使用风险很低。•缺点：收集到的信息有限，易被发现。

应用层12/14/202219南京邮电大学信息安全系2．Spector•也是一种低交互度蜜罐，只模拟有限交互3．Honeyd

•运行在UNIX平台上的低交互度蜜罐•不只对单个IP地址监视，而是对网络监视。•检测到对不存在系统的探测时，Honeyd会动态承担受害系统的角色，与攻击者进行交互。•可同时模拟上千台具有不同IP地址的不同主机，虚拟主机可配置运行数百个不同服务和操作系统。应用层和TCP/IP层12/14/202220南京邮电大学信息安全系3．Honeyd•运行在UNIX平台上的低交互度蜜罐应用4．ManTrap•运行在Solaris上的中等到高交互度蜜罐•没有模拟任何服务，而在一个操作系统上创建多达四种虚拟操作系统（通常称为jail）。•数据控制和捕获能力强，可对DNS/Web服务器/数据库等进行测试，交互性及功能和标准系统相同。•还可捕获Rootkit、应用层攻击、黑客IRC聊天对话、未知攻击和新的漏洞，使用风险大。12/14/202221南京邮电大学信息安全系4．ManTrap•运行在Solaris上的中等到高交互度5．Honeynet•由多个具有不同操作系统的真实系统和多个攻击检测应用组成的网络，是高交互度蜜罐的极限。•对所有平台的信息捕获能力最强，尤其是新的攻击方式、攻击工具、攻击动机和攻击者通信方法。•最难构建控制网络（用于控制和捕获往来于Honeypot的所有活动）。•是最难部署和维护的网络诱骗系统。12/14/202222南京邮电大学信息安全系5．Honeynet•由多个具有不同操作系统的真实系统和多5蜜罐的优缺点蜜罐的优点：（1）使用简单蜜罐起作用前提：如果有人连接就检测并记录它。（2）占用资源少仅捕获进入蜜罐的数据，不会出现资源耗尽；很多蜜罐都是模拟服务，不会成为攻击者的跳板。（3）数据价值高简化了检测过程，用户能快速找到所需的确切信息，这些数据具有很高研究价值。

12/14/202223南京邮电大学信息安全系5蜜罐的优缺点蜜罐的优点：12/12/202223南京邮蜜罐的缺点

（1）数据收集面狭窄蜜罐的最大缺点是仅可检测到对它进行攻击的行为，对黑客攻击其他系统的行为一无所知。（2）指纹识别指纹识别是指蜜罐具备一些预定的特征和行为，因而能被攻击者识别出其真实身份。（3）给使用者带来风险具有真实操作系统特性的蜜罐容易成为攻击跳板。12/14/202224南京邮电大学信息安全系蜜罐的缺点（1）数据收集面狭窄12/12/202224南京蜜罐的发展趋势•增加蜜罐可以模拟的黑客感兴趣的服务类型•增加可以使用蜜罐的操作系统类型•尽量降低风险的情况下，提高蜜罐的交互程度•降低高交互型蜜罐引入的安全风险•蜜罐还要记录攻击者在攻陷机器后的所作所为12/14/202225南京邮电大学信息安全系蜜罐的发展趋势•增加蜜罐可以模拟的黑客感兴趣的服务类型12第15章入侵检测系统和网络诱骗系统26课件第15章入侵检测系统和网络诱骗系统26课件主要内容1网络诱骗系统概述

2网络诱骗技术

3蜜罐的分类

4常见的网络诱骗工具及产品5蜜罐的优缺点

2.1蜜罐主机技术

2.2陷阱网络技术2.3诱导技术

2.4欺骗信息设计技术3.1低交互度蜜罐3.2中交互度蜜罐3.3高交互度蜜罐

12/14/202228南京邮电大学信息安全系主要内容1网络诱骗系统概述2.1蜜罐主机技术3.1网络诱骗系统概述

•“蜜罐”（Honeypot）——主动防御技术•对攻击者给予“诱骗”反应，使其相信被攻击系统安全性很差作用：消耗攻击者拥有的资源增加攻击者的工作量迷惑攻击者以延缓对真正目标的攻击掌握攻击者行为跟踪攻击者形成威慑攻击者的力量12/14/202229南京邮电大学信息安全系1网络诱骗系统概述•“蜜罐”（Honeypot）——Honeypot的设计考虑•吸引并诱骗试图非法闯入他人计算机的人•用被攻击系统的特征吸引攻击者，同时分析各种攻击行为•开启通常被黑客窥探的危险端口来模拟漏洞系统

•故意留下安全后门来吸引攻击者上钩，或者故意放置虚假的敏感信息12/14/202230南京邮电大学信息安全系Honeypot的设计考虑•吸引并诱骗试图非法闯入他人计算网络诱骗系统的特点

1）Honeypot模拟易受攻击主机，本身未向外提供有价值服务，与其进行连接的行为均可疑。2）Honeypot保护关键系统：它就像一台真实服务器，易吸引黑客。3）Honeypot是用来被探测、被攻击和最后被攻陷的，利用蜜罐可发现新型攻击。4）Honeypot是其他安全策略所不可替代的一种主动防御技术，可以与其他技术结合使用。12/14/202231南京邮电大学信息安全系网络诱骗系统的特点1）Honeypot模拟易受攻击主机，蜜罐配置图

IP地址不公开，但可访问；不需设置混杂模式网卡设置为stealthmode：混杂模式+没有IP地址；——攻击者无法发现12/14/202232南京邮电大学信息安全系蜜罐配置图IP地址不公开，但可访问；不需设置混杂模式网卡设实施蜜罐的注意点（1）1）将蜜罐与任何真实产品系统隔离，一般将它放在离Internet最近的位置（如DMZ上）。2）蜜罐不公开自己的IP地址和端口，对蜜罐的所有访问都可能是攻击。3）蜜罐所捕获数据的针对性强，所以在一定程序上克服IDS的不足：误报率高及漏报新的攻击。12/14/202233南京邮电大学信息安全系实施蜜罐的注意点（1）1）将蜜罐与任何真实产品系统隔离，一般实施蜜罐的注意点（2）4）将多种网络防御系统结合来防范网络攻击：自动路由转发被防火墙拦截的访问请求蜜罐因为这种访问请求很可能是攻击包。5）蜜罐的日志记录系统应在物理上独立于蜜罐本身。6）允许蜜罐与外网主机自由通信，但应限制蜜罐对一台内网/外网主机同时发起的连接数。12/14/202234南京邮电大学信息安全系实施蜜罐的注意点（2）4）将多种网络防御系统结合来防范网络攻2网络诱骗技术2.1蜜罐主机技术（1）空系统运行真实操作系统及应用程序的标准机器——从中可找到真实系统的各种漏洞，没有刻意模拟某种环境或故意使系统不安全。（2）镜像系统空系统易被发现——建立提供网络服务的与真实服务器基本一致的镜像系统，更能欺骗攻击者。12/14/202235南京邮电大学信息安全系2网络诱骗技术2.1蜜罐主机技术12/12/2022（3）虚拟系统

•在真实机器上运行仿真软件VMware来实现硬件模拟，使得可以在硬件仿真平台上运行多个不同操作系统——一台真实机器模拟出多台虚拟机。•VMware还支持网卡模拟：每个虚拟机拥有独立IP地址，即一台真实机器可模拟出连接在网上的多台主机，形成虚拟局域网。这些虚拟系统不但逼真，且成本较低，部署和维护容易，资源利用率高。

12/14/202236南京邮电大学信息安全系（3）虚拟系统•在真实机器上运行仿真软件VMware来实基于同一硬件平台的虚拟系统

不允许虚拟机操作系统访问宿主机的文件系统12/14/202237南京邮电大学信息安全系基于同一硬件平台的虚拟系统不允许虚拟机操12/12/2022.2陷阱网络技术（Honeynet）

由多个蜜罐、路由器、防火墙、IDS、审计系统组成，为攻击者制造被攻击环境，供防御者研究攻击行为。最新的陷阱网络技术——虚拟陷阱网络（VirtualHoneynet），将陷阱网络所需功能集中到一个物理设备中运行。

功能：蜜罐系统、数据控制数据捕获、数据记录数据分析、数据管理12/14/202238南京邮电大学信息安全系2.2陷阱网络技术（Honeynet）由多个蜜罐、路由第三代陷阱网络体系结构

桥接网关HoneyWall的eth0/eth1接口无IP/MAC地址，也不对转发数据包路由和递减TTL，很难被发现。

相对独立的日志服务器使用内部IP地址，防范严格。12/14/202239南京邮电大学信息安全系第三代陷阱网络体系结构桥接网关HoneyWall的eth02.3诱导技术

（1）基于网络地址转换技术的诱导把攻击引向事先设定好的诱骗主机，优点是设置简单、转换速度快且成功率高。（2）基于代理技术的诱导欺骗系统设计得再逼真，真实目标还可能被攻击——目标主机使用代理技术将攻击数据流转向蜜罐，自己成为攻击者和蜜罐之间的桥梁。

12/14/202240南京邮电大学信息安全系2.3诱导技术（1）基于网络地址转换技术的诱导12/12.4欺骗信息设计技术

（1）端口扫描欺骗信息设计欺骗系统截获黑客发送的TCP扫描包，发回与实际情况相反的虚假数据包以欺骗攻击者，让他对端口状态判断失误。（2）主机操作系统欺骗信息设计1）修改系统提示信息2）用修改堆栈指纹库欺骗协议栈指纹鉴别技术——欺骗的成功率大大提高12/14/202241南京邮电大学信息安全系2.4欺骗信息设计技术（1）端口扫描欺骗信息设计12/（3）口令欺骗信息设计

1）伪装口令产生器：构造的虚假口令会消耗攻击者的计算能力并欺骗攻击者，减少被破解口令个数。•即使攻击者破解出复杂口令，但它们是伪装的；•即使攻击者知道有伪装口令，但判断口令真伪也降低了攻击效率。2）口令过滤器：避免用户选择伪装口令产生器产生的口令。

12/14/202242南京邮电大学信息安全系（3）口令欺骗信息设计1）伪装口令产生器：构造的虚假口令会3蜜罐的分类

目的特点缺点评价低交互蜜罐产品型检测和减轻威胁模拟、监听不发送获得信息有限、易被察觉最安全、风险最小中交互蜜罐检测和分析接近真实系统与真实交互需经常检测蜜罐的状态中等安全、用得少高交互蜜罐研究型研究攻击手段找到保护方法真实系统、真实交互，不易被察觉被攻陷后易成为黑客的跳板危险大、使用价值大HoneynetProject

12/14/202243南京邮电大学信息安全系3蜜罐的分类目的特点缺点评价低交互蜜罐检测和模拟、监听4常见的网络诱骗工具及产品

1．DTK“允许”黑客实施端口扫描、口令破解等攻击并记录。•如果网络上很多主机安装DTK，黑客将屡屡碰壁。•黑客习惯于在攻击之前先辨别目标系统的真伪。•黑客一看到开放TCP365端口的主机就会放弃。•许多未安装DTK的系统只需开放TCP365端口，黑客会以为是个“蜜罐”而放弃攻击。12/14/202244南京邮电大学信息安全系4常见的网络诱骗工具及产品1．DTK12/12/202DTK的特点•用C语言和Perl脚本语言实现•监听HTTP、Telnet、FTP等端口，让攻击者错认为被攻击系统不安全，并记录所有攻击行为。•模拟常见系统漏洞，送出虚假口令文件，花费攻击者大量时间。•缺点：对服务的模拟不逼真，无法欺骗有经验的攻击者，仅限于对已知漏洞的模拟。

12/14/202245南京邮电大学信息安全系DTK的特点•用C语言和Perl脚本语言实现12/12/22．Spector

•也是一种低交互度蜜罐，只模拟有限交互的服务。•不仅可模拟很多服务，而且可模拟不同操作系统的漏洞，具有大量预警和日志功能。•易部署和维护，使用风险很低。•缺点：收集到的信息有限，易被发现。

应用层12/14/202246南京邮电大学信息安全系2．Spector•也是一种低交互度蜜罐，只模拟有限交互3．Honeyd

•运行在UNIX平台上的低交互度蜜罐•不只对单个IP地址监视，而是对网络监视。•检测到对不存在系统的探测时，Honeyd会动态承担受害系统的角色，与攻击者进行交互。•可同时模拟上千台具有不同IP地址的不同主机，虚拟主机可配置运行数百个不同服务和操作系统。应用层和TCP/IP层12/14/202247南京邮电大学信息安全系3．Honeyd•运行在UNIX平台上的低交互度蜜罐应用4．ManTrap•运行在Solaris上的中等到高交互度蜜罐•没有模拟任何服务，而在一个操