第7講網(wǎng)絡(luò)入侵檢測(cè)

1、第7章 網(wǎng)絡(luò)入侵檢測(cè) 1、入侵 (Intrusion)入侵是指未經(jīng)授權(quán)蓄意嘗試訪問(wèn)信息、竄改信息，使系統(tǒng)不可靠或不能使用的行為。它企圖破壞計(jì)算機(jī)資源的：n完整性(Integrity)n機(jī)密性（Confidentiality）n可用性（Availability）n可控性（Controliability）2、漏洞 入侵要利用漏洞，漏洞是指系統(tǒng)硬件、操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議等在設(shè)計(jì)上、實(shí)現(xiàn)上出現(xiàn)的可以被攻擊者利用的錯(cuò)誤、缺陷和疏漏。 3、入侵者入侵者可以是一個(gè)手工發(fā)出命令的人，也可是一個(gè)基于入侵腳本或程序的自動(dòng)發(fā)布命令的計(jì)算機(jī)。入侵者一般可以分為兩類(lèi)：內(nèi)部的（一般指系統(tǒng)中的合法用戶(hù)但違規(guī)或者越權(quán)操作

2、）和外部的（一般指系統(tǒng)中的非法用戶(hù)）。 4、入侵系統(tǒng)的主要途徑入侵者進(jìn)入系統(tǒng)的主要途徑有：n物理侵入物理侵入: 指一個(gè)入侵者對(duì)主機(jī)有物理進(jìn)入權(quán)限。n本地侵入本地侵入: 這類(lèi)侵入表現(xiàn)為入侵者已經(jīng)擁有在系統(tǒng)用戶(hù)的較低權(quán)限。n遠(yuǎn)程侵入遠(yuǎn)程侵入: 這類(lèi)入侵指入侵者通過(guò)網(wǎng)絡(luò)遠(yuǎn)程進(jìn)入系統(tǒng)。5、攻擊的一般步驟進(jìn)行網(wǎng)絡(luò)攻擊是一件系統(tǒng)性很強(qiáng)的工作，其主要工作流程是：收集情報(bào)，遠(yuǎn)程攻擊，清除日志，留下后門(mén)。二、入侵檢測(cè)系統(tǒng)基本知識(shí)二、入侵檢測(cè)系統(tǒng)基本知識(shí)1、入侵檢測(cè)與入侵檢測(cè)系統(tǒng)2、為什么需要IDS？3、IDS能做什么？4、入侵檢測(cè)系統(tǒng)在系統(tǒng)安全中的地位5、IDS的兩個(gè)指標(biāo)6、IDS的特點(diǎn)7、入侵檢測(cè)的發(fā)展歷史1

3、、入侵檢測(cè)與入侵檢測(cè)系統(tǒng)（1）入侵檢測(cè)，顧名思義，是指對(duì)入侵行為的發(fā)覺(jué)。它通過(guò)在計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)收集到的信息進(jìn)行分析，從而判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)是一種主動(dòng)保護(hù)自己的網(wǎng)絡(luò)和系統(tǒng)免遭非法攻擊的網(wǎng)絡(luò)安全技術(shù)。1、入侵檢測(cè)與入侵檢測(cè)系統(tǒng)（2）入侵檢測(cè)系統(tǒng)(Intrusion Detection System)，是完成入侵檢測(cè)功能的軟件、硬件及其組合。它試圖檢測(cè)、識(shí)別和隔離“入侵”企圖或計(jì)算機(jī)的不恰當(dāng)未授權(quán)使用。加載入侵檢測(cè)技術(shù)的系統(tǒng)我們稱(chēng)之為入侵檢測(cè)系統(tǒng)。一般情況下，我們并不嚴(yán)格的去區(qū)分入侵檢測(cè)和入侵檢測(cè)系統(tǒng)兩個(gè)概念，而都稱(chēng)為I

4、DS或入侵檢測(cè)技術(shù)。2、為什么需要IDS？入侵很容易n入侵教程隨處可見(jiàn)n各種工具唾手可得防火墻不能保證絕對(duì)的安全n網(wǎng)絡(luò)邊界的設(shè)備n自身可以被攻破n對(duì)某些攻擊保護(hù)很弱n不是所有的威脅來(lái)自防火墻外部n防火墻是鎖，入侵檢測(cè)系統(tǒng)是監(jiān)視器3、 IDS功能監(jiān)控、分析用戶(hù)和系統(tǒng)活動(dòng)監(jiān)控、分析用戶(hù)和系統(tǒng)活動(dòng)n實(shí)現(xiàn)入侵檢測(cè)任務(wù)的前提條件 發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象n入侵檢測(cè)系統(tǒng)的核心功能 n這主要包括兩個(gè)方面，一是入侵檢測(cè)系統(tǒng)對(duì)進(jìn)出網(wǎng)絡(luò)或主機(jī)的數(shù)據(jù)流進(jìn)行監(jiān)控，看是否存在對(duì)系統(tǒng)的入侵行為，另一個(gè)是評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性，看系統(tǒng)是否已經(jīng)遭受了入侵。 記錄、報(bào)警和響應(yīng)記錄、報(bào)警和響應(yīng)n入

5、侵檢測(cè)系統(tǒng)在檢測(cè)到攻擊后，應(yīng)該采取相應(yīng)的措施來(lái)阻止攻擊或響應(yīng)攻擊。入侵檢測(cè)系統(tǒng)作為一種主動(dòng)防御策略，必然應(yīng)該具備此功能。 審計(jì)系統(tǒng)的配置和弱點(diǎn)、評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性等審計(jì)系統(tǒng)的配置和弱點(diǎn)、評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性等監(jiān)控室監(jiān)控室=控制中心控制中心后門(mén)后門(mén)保安保安=防火墻防火墻攝像機(jī)攝像機(jī)=探測(cè)引擎探測(cè)引擎形象地說(shuō)，它就是網(wǎng)絡(luò)攝象機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝象機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝象機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝象機(jī)，還包括保安員的攝象機(jī)，能夠?qū)θ肭中袨樽詣?dòng)地進(jìn)行反擊：阻斷連接、關(guān)閉道路

6、（與防火墻聯(lián)動(dòng)）。5、IDS的兩個(gè)指標(biāo)漏報(bào)率n指攻擊事件沒(méi)有被IDS檢測(cè)到誤報(bào)率n把正常事件識(shí)別為攻擊并報(bào)警n誤報(bào)率與檢出率成正比例關(guān)系6、IDS的特點(diǎn)（1）IDS的優(yōu)點(diǎn)n提高信息安全構(gòu)造的其他部分的完整性n提高系統(tǒng)的監(jiān)控能力n從入口點(diǎn)到出口點(diǎn)跟蹤用戶(hù)的活動(dòng)n識(shí)別和匯報(bào)數(shù)據(jù)文件的變化n偵測(cè)系統(tǒng)配置錯(cuò)誤并糾正n識(shí)別特殊攻擊類(lèi)型，并向管理人員發(fā)出警報(bào)6、IDS的特點(diǎn)（2）IDS的缺點(diǎn) nIDS系統(tǒng)本身還在迅速發(fā)展和變化，遠(yuǎn)未成熟n現(xiàn)有IDS系統(tǒng)錯(cuò)報(bào)率(或稱(chēng)為誤報(bào)率偏高)嚴(yán)重干擾了檢測(cè)結(jié)果n事件響應(yīng)與恢復(fù)機(jī)制不完善nIDS與其他安全技術(shù)的協(xié)作性不夠nIDS缺乏國(guó)際統(tǒng)一的標(biāo)準(zhǔn)三、入侵檢測(cè)體系結(jié)構(gòu)1、I

7、DS框架介紹2、CIDF模型3、Denning模型1、CIDF模型（1）CIDF根據(jù)IDS系統(tǒng)的通用需求以及現(xiàn)有IDS的系統(tǒng)結(jié)構(gòu)，將IDS系統(tǒng)構(gòu)成劃分如下部分：n事件產(chǎn)生器(Event Generators)n事件分析器(Event analyzers)n響應(yīng)單元(Response units)n事件數(shù)據(jù)庫(kù)(Event databases)1、CIDF模型（2）1、CIDF模型事件產(chǎn)生器（1）事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。入侵檢測(cè)的第一步采集內(nèi)容n系統(tǒng)日志n應(yīng)用程序日志n系統(tǒng)調(diào)用n網(wǎng)絡(luò)數(shù)據(jù)n用戶(hù)行為n其他IDS的信息1、CIDF模型事件產(chǎn)生器（2）注

8、意：入侵檢測(cè)很大程度上依賴(lài)于收集信息的可靠性和正確性n要保證用來(lái)檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，n特別是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息1、CIDF模型事件分析器事件分析器接收事件信息，對(duì)其進(jìn)行分析，判斷是否為入侵行為或異?，F(xiàn)象，最后將判斷的結(jié)果轉(zhuǎn)變?yōu)楦婢畔ⅰ７治鍪呛诵膎效率高低直接決定整個(gè)IDS性能分析方法：n模式匹配n統(tǒng)計(jì)分析n完整性分析（往往用于事后分析）1、CIDF模型響應(yīng)單元響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出反應(yīng)的功能單元，功能包括：n告警和事件報(bào)告n終止進(jìn)程，強(qiáng)制用戶(hù)退出n切斷網(wǎng)絡(luò)連接，修改防火墻設(shè)置 n災(zāi)難評(píng)估，自動(dòng)恢復(fù) n查找定位攻擊者 1、CIDF

9、模型事件數(shù)據(jù)庫(kù)事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱(chēng)，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。四、入侵檢測(cè)系統(tǒng)的分類(lèi)1、根據(jù)原始數(shù)據(jù)的來(lái)源2、根據(jù)檢測(cè)技術(shù)進(jìn)行分類(lèi) 3、根據(jù)體系結(jié)構(gòu)分類(lèi) 4、根據(jù)響應(yīng)方式分類(lèi) 1、根據(jù)原始數(shù)據(jù)的來(lái)源主機(jī)IDS基于主機(jī)的入侵檢測(cè)系統(tǒng) n定義：安裝在單個(gè)主機(jī)或服務(wù)器系統(tǒng)上，對(duì)針對(duì)主機(jī)或服務(wù)器系統(tǒng)的入侵行為進(jìn)行檢測(cè)和響應(yīng)，對(duì)主機(jī)系統(tǒng)進(jìn)行全面保護(hù)的系統(tǒng)。n主機(jī)入侵檢測(cè)系統(tǒng)主要是對(duì)該主機(jī)的網(wǎng)絡(luò)連接行為以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。1、主機(jī)、主機(jī)IDS示意圖（示意圖（1）1、主機(jī)、主機(jī)IDS示意圖（示意圖（2）1、主機(jī)、主機(jī)IDS特點(diǎn)特點(diǎn)主機(jī)主機(jī)IDS特

10、點(diǎn)：特點(diǎn)：n性能價(jià)格比高性能價(jià)格比高n能夠監(jiān)測(cè)的網(wǎng)絡(luò)和主機(jī)活動(dòng)更加細(xì)膩能夠監(jiān)測(cè)的網(wǎng)絡(luò)和主機(jī)活動(dòng)更加細(xì)膩n視野集中視野集中n易于用戶(hù)剪裁易于用戶(hù)剪裁 n對(duì)網(wǎng)絡(luò)流量不敏感：數(shù)據(jù)來(lái)源不完全源于網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)流量不敏感：數(shù)據(jù)來(lái)源不完全源于網(wǎng)絡(luò)n適用于被加密的以及交換的環(huán)境適用于被加密的以及交換的環(huán)境n確定攻擊是否成功確定攻擊是否成功1、根據(jù)原始數(shù)據(jù)的來(lái)源網(wǎng)絡(luò)IDS 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) n網(wǎng)絡(luò)入侵檢測(cè)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源n通常利用一個(gè)運(yùn)行在混雜模式下網(wǎng)絡(luò)的適配器來(lái)實(shí)時(shí)監(jiān)視并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)。 1、網(wǎng)絡(luò)、網(wǎng)絡(luò)IDS示意圖示意圖1、網(wǎng)絡(luò)、網(wǎng)絡(luò)IDS關(guān)鍵問(wèn)題關(guān)鍵問(wèn)題關(guān)鍵問(wèn)題關(guān)鍵問(wèn)題n在共享網(wǎng)段上

11、對(duì)通信數(shù)據(jù)進(jìn)行偵聽(tīng)采集數(shù)據(jù)在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽(tīng)采集數(shù)據(jù) n主機(jī)資源消耗少主機(jī)資源消耗少 n提供對(duì)網(wǎng)絡(luò)通用的保護(hù)提供對(duì)網(wǎng)絡(luò)通用的保護(hù)n如何適應(yīng)高速網(wǎng)絡(luò)環(huán)境？如何適應(yīng)高速網(wǎng)絡(luò)環(huán)境？n非共享網(wǎng)絡(luò)上如何采集數(shù)據(jù)？非共享網(wǎng)絡(luò)上如何采集數(shù)據(jù)？1、網(wǎng)絡(luò)、網(wǎng)絡(luò)IDS優(yōu)點(diǎn)優(yōu)點(diǎn)網(wǎng)絡(luò)IDS優(yōu)點(diǎn)n偵測(cè)速度快n隱蔽性好 n視野更寬 n較少的監(jiān)測(cè)器 n攻擊者不易轉(zhuǎn)移證據(jù) n操作系統(tǒng)無(wú)關(guān)性 n占資源少 1、網(wǎng)絡(luò)、網(wǎng)絡(luò)IDS不足不足只檢查它直接連接網(wǎng)段的通信，不能檢測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包在使用交換以太網(wǎng)的環(huán)境中就會(huì)出現(xiàn)監(jiān)測(cè)范圍的局限而安裝多臺(tái)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的傳感器會(huì)使部署整個(gè)系統(tǒng)的成本大大增加。通常采用特征檢測(cè)的方

12、法，它可以檢測(cè)出普通的一些攻擊，而很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè)?？赡軙?huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中，在一些系統(tǒng)中監(jiān)聽(tīng)特定的數(shù)據(jù)包會(huì)產(chǎn)生大量的分析數(shù)據(jù)流量處理加密的會(huì)話過(guò)程比較困難，目前通過(guò)加密通道的攻擊尚不多，但隨著IPV6的普及，這個(gè)問(wèn)題會(huì)越來(lái)越突出。1、HIDS與NIDS的比較2、根據(jù)檢測(cè)技術(shù)進(jìn)行分類(lèi) 按照分析方法檢測(cè)原理異常檢測(cè)（ Anomaly Detection ) ：根據(jù)異常行為和使用計(jì)算機(jī)資源的情況檢測(cè)出來(lái)的入侵。n首先總結(jié)正常操作應(yīng)該具有的特征（用戶(hù)輪廓），試圖用定量的方式加以描述，當(dāng)用戶(hù)活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵誤用檢測(cè)（ Misuse De

13、tection ) ：利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模式來(lái)檢測(cè)入侵。n收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶(hù)或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵3、根據(jù)響應(yīng)方式分類(lèi) 主動(dòng)響應(yīng) 對(duì)被攻擊系統(tǒng)實(shí)施控制和對(duì)攻擊系統(tǒng)實(shí)施控制。 被動(dòng)響應(yīng) 只會(huì)發(fā)出告警通知，將發(fā)生的不正常情況報(bào)告給管理員，本身并不試圖降低所造成的破壞，更不會(huì)主動(dòng)地對(duì)攻擊者采取反擊行動(dòng)。 五、入侵檢測(cè)的分析方式1、入侵檢測(cè)的分析方式2、異常檢測(cè)3、誤用檢測(cè)4、完整性分析 5、入侵檢測(cè)的過(guò)程 1、入侵檢測(cè)的分析方式、入侵檢測(cè)的分析方式異常檢測(cè)（Anomaly Detection） n統(tǒng)計(jì)模型n誤報(bào)較多

14、誤用檢測(cè)（Misuse Detection）n維護(hù)一個(gè)入侵特征知識(shí)庫(kù)（CVE）n準(zhǔn)確性高完整性分析 2、異常檢測(cè)（、異常檢測(cè)（1）思想：任何正常人的行為有一定的規(guī)律思想：任何正常人的行為有一定的規(guī)律需要考慮的問(wèn)題：需要考慮的問(wèn)題：（1）選擇哪些數(shù)據(jù)來(lái)表現(xiàn)用戶(hù)的行為）選擇哪些數(shù)據(jù)來(lái)表現(xiàn)用戶(hù)的行為（2）通過(guò)以上數(shù)據(jù)如何有效地表示用戶(hù)的行）通過(guò)以上數(shù)據(jù)如何有效地表示用戶(hù)的行為，主要在于學(xué)習(xí)和檢測(cè)方法的不同為，主要在于學(xué)習(xí)和檢測(cè)方法的不同（3）考慮學(xué)習(xí)過(guò)程的時(shí)間長(zhǎng)短、用戶(hù)行為的）考慮學(xué)習(xí)過(guò)程的時(shí)間長(zhǎng)短、用戶(hù)行為的時(shí)效性等問(wèn)題時(shí)效性等問(wèn)題2、異常檢測(cè)（、異常檢測(cè)（2）前提：入侵是異?；顒?dòng)的子集用戶(hù)輪廓（

15、Profile )：通常定義為各種行為參數(shù)及其閾值的集合，用于描述正常行為范圍Below Threshold levelsExceed Threshold LevelsSystem AuditMetricsProfilerIntrusionNormal Activity異常檢測(cè)模型異常檢測(cè)模型2、異常檢測(cè)（、異常檢測(cè)（3）基本原理n正常行為的特征輪廓n檢查系統(tǒng)的運(yùn)行情況n是否偏離預(yù)設(shè)的門(mén)限？舉例n多次錯(cuò)誤登錄、午夜登錄過(guò)程：監(jiān)控監(jiān)控 量化量化 比較比較 判定判定 修正修正指標(biāo)：漏報(bào)、誤報(bào)率高2、異常檢測(cè)（、異常檢測(cè)（4）activity measuresprobable intrusionRe

16、latively high false positive rate - anomalies can just be new normal activities.2、異常檢測(cè)（、異常檢測(cè)（5）異常檢測(cè)系統(tǒng)的效率取決于用戶(hù)輪廓的完備性和監(jiān)控的頻率不需要對(duì)每種入侵行為進(jìn)行定義，因此能有效檢測(cè)未知的入侵系統(tǒng)能針對(duì)用戶(hù)行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測(cè)模型的逐步精確，異常檢測(cè)會(huì)消耗更多的系統(tǒng)資源2、異常檢測(cè)優(yōu)缺點(diǎn)、異常檢測(cè)優(yōu)缺點(diǎn)優(yōu)點(diǎn)n可以檢測(cè)到未知的入侵 n可以檢測(cè)冒用他人帳號(hào)的行為 n具有自適應(yīng)，自學(xué)習(xí)功能 n不需要系統(tǒng)先驗(yàn)知識(shí)缺點(diǎn)n漏報(bào)、誤報(bào)率高w入侵者可以逐漸改變自己的行為模式來(lái)逃避檢測(cè)w合

17、法用戶(hù)正常行為的突然改變也會(huì)造成誤警 n統(tǒng)計(jì)算法的計(jì)算量龐大，效率很低 n統(tǒng)計(jì)點(diǎn)的選取和參考庫(kù)的建立比較困難2、異常檢測(cè)主要方法、異常檢測(cè)主要方法基于統(tǒng)計(jì)的方法專(zhuān)家系統(tǒng)神經(jīng)網(wǎng)絡(luò)數(shù)據(jù)挖掘遺傳算法、計(jì)算機(jī)免疫技術(shù)等等2、異常檢測(cè)統(tǒng)計(jì)學(xué)（、異常檢測(cè)統(tǒng)計(jì)學(xué)（1）通過(guò)對(duì)系統(tǒng)審計(jì)中的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)處理，并與描述主體正常行為的統(tǒng)計(jì)性特征輪廓進(jìn)行比較，然后根據(jù)二者的偏差是否超過(guò)指定的門(mén)限來(lái)進(jìn)一步判斷、處理。 利用統(tǒng)計(jì)理論提取用戶(hù)或系統(tǒng)正常行為的特征輪廓 ；2、異常檢測(cè)統(tǒng)計(jì)學(xué)（、異常檢測(cè)統(tǒng)計(jì)學(xué)（2） 統(tǒng)計(jì)學(xué)中特征輪廓由主體特征變量的頻度、均值、方差、被監(jiān)控行為的屬性變量的統(tǒng)計(jì)概率分布以及偏差等統(tǒng)計(jì)量來(lái)描述。 典型

18、的系統(tǒng)主體特征有：系統(tǒng)的登錄與注銷(xiāo)時(shí)間、資源被占用的時(shí)間以及處理機(jī)、內(nèi)存和外設(shè)的使用情況等 2、異常檢測(cè)統(tǒng)計(jì)學(xué)（、異常檢測(cè)統(tǒng)計(jì)學(xué)（3）優(yōu)點(diǎn):可應(yīng)用成熟的概率統(tǒng)計(jì)理論缺點(diǎn) 1、由于用戶(hù)行為的復(fù)雜性，要想準(zhǔn)確地匹配一個(gè)用戶(hù)的歷史行為非常困難，容易造成系統(tǒng)誤報(bào)和漏報(bào)； 2、難以確定門(mén)限值 。3、誤用檢測(cè)（、誤用檢測(cè)（1）思想：主要是通過(guò)某種方式預(yù)先定義入侵行為，思想：主要是通過(guò)某種方式預(yù)先定義入侵行為，然后監(jiān)視系統(tǒng)，從中找出符合預(yù)先定義規(guī)則的然后監(jiān)視系統(tǒng)，從中找出符合預(yù)先定義規(guī)則的入侵行為入侵行為誤用信號(hào)需要對(duì)入侵的特征、環(huán)境、次序以及誤用信號(hào)需要對(duì)入侵的特征、環(huán)境、次序以及完成入侵的事件相互間的關(guān)

19、系進(jìn)行描述完成入侵的事件相互間的關(guān)系進(jìn)行描述重要問(wèn)題重要問(wèn)題n（1）如何全面的描述攻擊的特征）如何全面的描述攻擊的特征n（2）如何排除干擾，減小誤報(bào)）如何排除干擾，減小誤報(bào)n（3）解決問(wèn)題的方式）解決問(wèn)題的方式System AuditMetricsPattern MatcherIntrusionNormal ActivityNo Signature MatchSignature Match誤用檢測(cè)模型誤用檢測(cè)模型1.1.前提：所有的入侵行為都前提：所有的入侵行為都有可被檢測(cè)到的特征有可被檢測(cè)到的特征 2.2.攻擊特征庫(kù)攻擊特征庫(kù): : 當(dāng)監(jiān)測(cè)的用當(dāng)監(jiān)測(cè)的用戶(hù)或系統(tǒng)行為與庫(kù)中的記戶(hù)或系統(tǒng)行為與庫(kù)

20、中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵這種行為是入侵 3.3.過(guò)程過(guò)程 監(jiān)控監(jiān)控 特征提取特征提取 匹配匹配 判定判定 4.4.指標(biāo)指標(biāo) 誤報(bào)低誤報(bào)低 漏報(bào)漏報(bào)高高 3、誤用檢測(cè)過(guò)程（、誤用檢測(cè)過(guò)程（2）3、誤用檢測(cè)過(guò)程（、誤用檢測(cè)過(guò)程（3）Intrusion Patternsactivitiespattern matchingintrusionCant detect new attacksExample: if (src_ip = dst_ip) then “l(fā)and attack”3、誤用檢測(cè)過(guò)程（、誤用檢測(cè)過(guò)程（4）如果入侵特征與正常的用戶(hù)行為能匹配，則系統(tǒng)會(huì)發(fā)

21、生誤報(bào)；如果沒(méi)有特征能與某種新的攻擊行為匹配，則系統(tǒng)會(huì)發(fā)生漏報(bào)特點(diǎn)：采用模式匹配，誤用模式能明顯降低誤報(bào)率，但漏報(bào)率隨之增加。攻擊特征的細(xì)微變化，會(huì)使得誤用檢測(cè)無(wú)能為力。3、誤用檢測(cè)過(guò)程優(yōu)缺點(diǎn)、誤用檢測(cè)過(guò)程優(yōu)缺點(diǎn)優(yōu)點(diǎn):n算法簡(jiǎn)單、系統(tǒng)開(kāi)銷(xiāo)小、準(zhǔn)確率高、效率高缺點(diǎn)：n被動(dòng)：只能檢測(cè)出已知攻擊 、新類(lèi)型的攻擊會(huì)對(duì)系統(tǒng)造成很大的威脅 n模式庫(kù)的建立和維護(hù)難：模式庫(kù)要不斷更新知識(shí)依賴(lài)于：硬件平臺(tái)、操作系統(tǒng)、系統(tǒng)中運(yùn)行的應(yīng)用程序3、誤用檢測(cè)主要方法、誤用檢測(cè)主要方法條件概率誤用檢測(cè)條件概率誤用檢測(cè)專(zhuān)家系統(tǒng)誤用檢測(cè)專(zhuān)家系統(tǒng)誤用檢測(cè)狀態(tài)轉(zhuǎn)換分析吳用檢測(cè)狀態(tài)轉(zhuǎn)換分析吳用檢測(cè)健盤(pán)監(jiān)控誤用檢測(cè)健盤(pán)監(jiān)控誤用檢測(cè)模型

22、推理誤用檢測(cè)模型推理誤用檢測(cè)3、誤用檢測(cè)專(zhuān)家系統(tǒng)（、誤用檢測(cè)專(zhuān)家系統(tǒng)（1）專(zhuān)家系統(tǒng)是誤用檢測(cè)技術(shù)中運(yùn)用最多的一種方專(zhuān)家系統(tǒng)是誤用檢測(cè)技術(shù)中運(yùn)用最多的一種方法法通過(guò)將安全專(zhuān)家的知識(shí)表示成通過(guò)將安全專(zhuān)家的知識(shí)表示成if-thenif-then結(jié)構(gòu)的結(jié)構(gòu)的規(guī)則（規(guī)則（ if if 部分：構(gòu)成入侵所要求的條件；部分：構(gòu)成入侵所要求的條件； then then 部分：發(fā)現(xiàn)入侵后采取的相應(yīng)措施）形部分：發(fā)現(xiàn)入侵后采取的相應(yīng)措施）形成專(zhuān)家知識(shí)庫(kù)，然后運(yùn)用推理算法檢測(cè)入侵成專(zhuān)家知識(shí)庫(kù)，然后運(yùn)用推理算法檢測(cè)入侵注意：需要解決的主要問(wèn)題是全面性問(wèn)題和效注意：需要解決的主要問(wèn)題是全面性問(wèn)題和效率問(wèn)題。率問(wèn)題。3、誤

23、用檢測(cè)專(zhuān)家系統(tǒng)（、誤用檢測(cè)專(zhuān)家系統(tǒng)（2）在具體實(shí)現(xiàn)中，專(zhuān)家系統(tǒng)主要面臨：n全面性問(wèn)題：難以科學(xué)地從各種入侵手段中抽象出全面的規(guī)則化知識(shí)；n效率問(wèn)題：需處理的數(shù)據(jù)量過(guò)大商業(yè)產(chǎn)品一般不用專(zhuān)家系統(tǒng)5 5、IDSIDS部署（部署（1 1） 當(dāng)實(shí)際使用 IDS 時(shí)，首先面臨的問(wèn)題是：決定在系統(tǒng)的什么位置部署檢測(cè)和分析入侵行為用的嗅探器或檢測(cè)引擎。對(duì)IDS的部署，唯一的要求是： IDS應(yīng)當(dāng)掛應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。HIDS ：通常直接將檢測(cè)代理安裝在受監(jiān)控的主機(jī)系統(tǒng)上 NIDS ：檢測(cè)引擎的部署稍微復(fù)雜（見(jiàn)下圖）5 5、IDSIDS部署（部署（2 2

24、） 六、一個(gè)攻擊檢測(cè)實(shí)例1、Sendmail漏洞利用2、簡(jiǎn)單的匹配3、檢查端口號(hào)4、深入決策樹(shù)5、更加深入6、響應(yīng)策略1、Sendmail漏洞利用老版本的Sendmail漏洞利用n$ telnet 25nWIZnshelln或者nDEBUGn# n直接獲得rootshell2、簡(jiǎn)單的匹配檢查每個(gè)packet是否包含：“WIZ”| “DEBUG”3、檢查端口號(hào)縮小匹配范圍 Port 25:“WIZ”| “DEBUG” 4、深入決策樹(shù)只判斷客戶(hù)端發(fā)送部分 Port 25:Client-sends: “WIZ” |Client-sends: “DEBUG” 5、更加深入狀態(tài)檢測(cè) + 引向異常的分支

25、Port 25:stateful client-sends: “WIZ” |stateful client-sends: “DEBUG”after stateful “DATA” client-sends line 1024 bytes means possible buffer overflow 6、響應(yīng)策略彈出窗口報(bào)警E-mail通知切斷TCP連接執(zhí)行自定義程序與其他安全產(chǎn)品交互nFirewallnSNMP Trap七、Snort1、概述2、Snort規(guī)則3、Snort安裝1、概述輕量級(jí)入侵檢測(cè)系統(tǒng)：n可配置性n可移植性(結(jié)構(gòu)性好，公開(kāi)源代碼)n可擴(kuò)充性（基于規(guī)則）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)n數(shù)據(jù)包

26、捕獲（libpcap 等）n數(shù)據(jù)包分析誤用入侵檢測(cè)系統(tǒng)n特征模式進(jìn)行匹配2、Snort規(guī)則（1）規(guī)則描述語(yǔ)言n規(guī)則是特征模式匹配的依據(jù)，描述語(yǔ)言易于擴(kuò)展，功能也比較強(qiáng)大 n每條規(guī)則必須在一行中，其規(guī)則解釋器無(wú)法對(duì)跨行的規(guī)則進(jìn)行解析n邏輯上由規(guī)則頭和規(guī)則選項(xiàng)組成。規(guī)則頭包括：規(guī)則行為、協(xié)議、源/目的IP地址、子網(wǎng)掩碼、方向以及源/目的端口。規(guī)則選項(xiàng)包含報(bào)警信息和異常包的信息(特征碼)，使用這些特征碼來(lái)決定是否采取規(guī)則規(guī)定的行動(dòng)。 2、Snort規(guī)則（2）規(guī)則描述語(yǔ)言舉例alert tcp any any - /24 111(content:|00 01 86 a5|;msg

27、:mountd access;) 從開(kāi)頭到最左邊的括號(hào)屬于規(guī)則頭部分，括號(hào)內(nèi)的部分屬于規(guī)則選項(xiàng)。規(guī)則選項(xiàng)中冒號(hào)前面的詞叫做選項(xiàng)關(guān)鍵詞。注意對(duì)于每條規(guī)則來(lái)說(shuō)規(guī)則選項(xiàng)不是必需的，它們是為了更加詳細(xì)地定義應(yīng)該收集或者報(bào)警的數(shù)據(jù)包。只有匹配所有選項(xiàng)的數(shù)據(jù)包，Snort才會(huì)執(zhí)行其規(guī)則行為。2、Snort規(guī)則（3）規(guī)則頭：哪些數(shù)據(jù)包、數(shù)據(jù)包的來(lái)源、什么類(lèi)型的數(shù)據(jù)包，以及對(duì)匹配的數(shù)據(jù)包如何處理。規(guī)則行為（rule action）：nAlert：使用選定的報(bào)警方法產(chǎn)生報(bào)警信息，并且記錄數(shù)據(jù)包；nLog：記錄數(shù)據(jù)包；nPass：忽略數(shù)據(jù)包；nActivate：報(bào)警，接著打開(kāi)其它的dynamic規(guī)則；nDynam

28、ic：保持空閑狀態(tài)，直到被activate規(guī)則激活，作為一條log規(guī)則 2、Snort規(guī)則（4）協(xié)議（protocol）:n每條規(guī)則的第二項(xiàng)就是協(xié)議項(xiàng)。當(dāng)前，snort能夠分析的協(xié)議是：TCP、UDP和ICMP。將來(lái)，可能提供對(duì)ARP、ICRP、GRE、OSPF、RIP、IPX等協(xié)議的支持。 IP地址：n規(guī)則頭下面的部分就是IP地址和端口信息。關(guān)鍵詞any可以用來(lái)定義任意的IP地址。/CIDR的形式用于指明應(yīng)用于IP地址的掩碼。/24表示一個(gè)C類(lèi)網(wǎng)絡(luò)；/16表示一個(gè)B類(lèi)網(wǎng)絡(luò)；而/32表示一臺(tái)特定的主機(jī)地址。2、Snort規(guī)則（5）端口號(hào)：n有幾種方式來(lái)指定端口號(hào)，包括：any、靜態(tài)端口號(hào)(st

29、atic port)定義、端口范圍以及使用非操作定義。any表示任意合法的端口號(hào)。靜態(tài)端口號(hào)表示單個(gè)的端口號(hào)，例如：111(portmapper)、23(telnet)、80(http)等。使用范圍操作符:可以指定端口號(hào)范圍。有幾種方式來(lái)使用范圍操作符:達(dá)到不同的目的，例如：log udp any any - /24 1:1024 記錄來(lái)自任何端口，其目的端口號(hào)在1到1024之間的UDP數(shù)據(jù)包 2、Snort規(guī)則（6）方向操作符(direction operator)：n方向操作符-表示數(shù)據(jù)包的流向。它左邊是數(shù)據(jù)包的源地址和源端口，右邊是目的地址和端口。此外，還有一個(gè)雙向

30、操作符,它使snort對(duì)這條規(guī)則中，兩個(gè)IP地址/端口之間雙向的數(shù)據(jù)傳輸進(jìn)行記錄/分析，例如telnet或者POP3對(duì)話。下面的規(guī)則表示對(duì)一個(gè)telnet對(duì)話的雙向數(shù)據(jù)傳輸進(jìn)行記錄：log !/24 any /24 23 2、Snort規(guī)則（7）規(guī)則選項(xiàng)：規(guī)則選項(xiàng)構(gòu)成了snort入侵檢測(cè)引擎的核心，它們非常容易使用，同時(shí)又很強(qiáng)大和容易擴(kuò)展。在每條snort規(guī)則中，選項(xiàng)之間使用分號(hào)進(jìn)行分割。規(guī)則選項(xiàng)關(guān)鍵詞和其參數(shù)之間使用冒號(hào)分割。下面是一些常用的規(guī)則選項(xiàng)關(guān)鍵詞，其中對(duì)部分重要關(guān)鍵詞進(jìn)行詳細(xì)解釋?zhuān)?2、Snort規(guī)則（8） msg：在報(bào)警和日志中打印的消

31、息；logto：把日志記錄到一個(gè)用戶(hù)指定的文件，而不是輸出到標(biāo)準(zhǔn)的輸出文件；ttl：測(cè)試IP包頭的TTL域的值；tos：測(cè)試IP包頭的TOS域的值； content：在包的凈荷中搜索指定的樣式；id：測(cè)試IP分組標(biāo)志符(fragment ID)域是否是一個(gè)特定的值 ipoption /fragbits /dsize /flags /seq /3、Snort安裝（1）實(shí)驗(yàn)環(huán)境任務(wù)一Windows環(huán)境下安裝和配置snort步驟1-安裝Apache_2.0.46：（1）將Apache安裝在默認(rèn)文件夾C:apache下，將配置文件httpd.conf中的Listen 8080，更改為L(zhǎng)isten 50

32、080。（2）將apache設(shè)置為以Windows中的服務(wù)方式運(yùn)行。步驟2-安裝PHP：（1）將原安裝包解壓至C:php。（2）復(fù)制C:php下php4ts.dll至winntsystem32，phi.ini-dist至winntphp.ini。（3）添加gb圖形庫(kù)支持，在php.ini中添加extension=php_gd2.dllj。（4）添加Apache對(duì)PHP的支持。（5）在Windows中啟動(dòng)Apache Web服務(wù)。（6）新建test.php測(cè)試文件內(nèi)容為；測(cè)試PHP是否成功安裝。任務(wù)一（續(xù)） 步驟3-安裝snort 步驟4-安裝配置Mysql數(shù)據(jù)庫(kù)（1）安裝Mysql到默認(rèn)文件夾

33、C:mysql，并使mysql在Windows中以服務(wù)形式運(yùn)行。（2）啟動(dòng)mysql服務(wù)。（3）以root用戶(hù)登錄Mysql數(shù)據(jù)庫(kù)，采用Create命令，建立Snort運(yùn)行必須的snort數(shù)據(jù)庫(kù)和snort_archive數(shù)據(jù)庫(kù)。（4）退出Mysql后，使用mysql命令在snort數(shù)據(jù)庫(kù)和snort_archive數(shù)據(jù)庫(kù)中建立snort運(yùn)行必須的數(shù)據(jù)表。（5）再次以root用戶(hù)登錄Mysql數(shù)據(jù)庫(kù)，在本地?cái)?shù)據(jù)庫(kù)中建立acid（密碼為acidtest）和snort（密碼為snorttest）兩個(gè)用戶(hù)，以備后用。（6）為新建用戶(hù)在snort和snort_archive數(shù)據(jù)庫(kù)中分配權(quán)限。任務(wù)一（續(xù)

34、）步驟5-安裝adodb步驟6-安裝配置數(shù)據(jù)控制臺(tái)acid（1）解壓縮acid軟件包至C: apacheapache2htdocsacid目錄下。（2）修改acid目錄下的acid_conf.php配置文件。（3）察看:50080/acid/acid_db_setup.php網(wǎng)頁(yè)，按照系統(tǒng)提示建立數(shù)據(jù)庫(kù)。步驟7-安裝jpgrapg庫(kù)任務(wù)一（續(xù)）步驟8-安裝winpcap步驟9-配置并啟動(dòng)snort（1）指定snort.conf配置文件中classification.config、reference.config兩個(gè)文件的絕對(duì)路徑。（2）在文件中添加語(yǔ)句指定默認(rèn)數(shù)據(jù)

35、庫(kù)，用戶(hù)名，主機(jī)名，密碼，數(shù)據(jù)庫(kù)用戶(hù)等等。（3）輸入命令啟動(dòng)snort。（4）打開(kāi):50080/acid/acid_main.php網(wǎng)頁(yè)，進(jìn)入acid分析控制臺(tái)主界面，檢查配置是否正確。任務(wù)二：Windows下Snort的使用步驟1-完善配置文件：（1）打開(kāi)snort.conf配置文件。（2）設(shè)置snort內(nèi)、外網(wǎng)檢測(cè)范圍。（3）設(shè)置監(jiān)測(cè)包含的規(guī)則。步驟2-使用控制臺(tái)察看檢測(cè)結(jié)果（1）啟動(dòng)snort并打開(kāi)acid的檢測(cè)控制臺(tái)主界面。（2）單擊右側(cè)圖示中TCP后的數(shù)字“80%”，將顯示所有檢測(cè)到的TCP協(xié)議日志詳細(xì)情況。（3）選擇控制條中的home返回控制臺(tái)主界面，

36、察看流量分類(lèi)和分析記錄（4）選擇last 24 hours:alerts unique，可以看到24h內(nèi)特殊的流量的分類(lèi)記錄和分析。任務(wù)二：Windows下Snort的使用（續(xù)）步驟3-配置snort規(guī)則：（1）添加實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)的UDP協(xié)議相關(guān)流量進(jìn)行檢測(cè)，并報(bào)警。（2）重啟snort和acid 檢測(cè)控制臺(tái)，使規(guī)則生效。（3）在另外一臺(tái)計(jì)算機(jī)使用UDP FLOOD工具對(duì)本機(jī)進(jìn)行UDP-FLOOD攻擊，查看UDP協(xié)議流量的日志記錄。實(shí)驗(yàn)結(jié)果舉例（1）實(shí)驗(yàn)結(jié)果舉例（2）實(shí)驗(yàn)結(jié)果舉例（3）實(shí)驗(yàn)結(jié)果舉例（4）八、八、網(wǎng)絡(luò)衛(wèi)士入侵檢測(cè)系統(tǒng)控制臺(tái) 部分窗口打開(kāi)平鋪的效果 策略編輯器 策略編輯器編輯具體事件事

37、件屬性入侵事件-詳細(xì)日志 響應(yīng)/報(bào)警 九、蜜罐技術(shù)簡(jiǎn)介1、蜜罐技術(shù)背景2、蜜罐概念、理念和價(jià)值3、蜜罐與其他網(wǎng)絡(luò)安全技術(shù)4、蜜罐技術(shù)法律問(wèn)題5、蜜罐網(wǎng)絡(luò)資源1、蜜罐技術(shù)背景（1）網(wǎng)絡(luò)攻防的非對(duì)稱(chēng)博弈n工作量不對(duì)稱(chēng)w攻擊方：夜深人靜, 攻其弱點(diǎn)w防守方：24*7, 全面防護(hù)n信息不對(duì)稱(chēng)w攻擊方：通過(guò)網(wǎng)絡(luò)掃描、探測(cè)、踩點(diǎn)對(duì)攻擊目標(biāo)全面了解w防守方：對(duì)攻擊方一無(wú)所知n后果不對(duì)稱(chēng)w攻擊方：任務(wù)失敗，極少受到損失w防守方：安全策略被破壞，利益受損1、蜜罐技術(shù)背景（2）蜜罐技術(shù)的提出:試圖改變攻防博弈的非對(duì)稱(chēng)性n對(duì)攻擊者的欺騙技術(shù)增加攻擊代價(jià)、減少對(duì)實(shí)際系統(tǒng)的安全威脅n了解攻擊者所使用的攻擊工具和攻擊方法

38、n追蹤攻擊源、攻擊行為審計(jì)取證2、蜜罐概念、理念和價(jià)值（1）概念nHoneypot是一種資源，它的價(jià)值是被攻擊或攻是一種資源，它的價(jià)值是被攻擊或攻陷。陷。 n對(duì)攻擊者的欺騙技術(shù)用以監(jiān)視、檢測(cè)和分析攻擊n沒(méi)有業(yè)務(wù)上的用途，不存在區(qū)分正常流量和攻擊的問(wèn)題n所有流入/流出蜜罐的流量都預(yù)示著掃描、攻擊及攻陷網(wǎng)絡(luò)中的蜜罐（示意圖）2、蜜罐概念、理念和價(jià)值（2）蜜罐工作理念n主動(dòng)防御（改變了其他技術(shù)的被動(dòng)方式），蜜罐好比情報(bào)收集系統(tǒng)，蜜罐的核心價(jià)值在于對(duì)這些攻擊活動(dòng)進(jìn)行監(jiān)視、檢測(cè)和分析。n蜜罐并非一種安全解決方案，這是因?yàn)槊酃薏⒉粫?huì)“修理”任何錯(cuò)誤。2、蜜罐概念、理念和價(jià)值（3）蜜罐主要的價(jià)值n第一時(shí)間捕

39、獲流行的掃描型蠕蟲(chóng)，例如第一時(shí)間截獲沖擊波、震蕩波以及他們的變種都在某種程度上依賴(lài)于蜜罐體制。n蜜罐具有統(tǒng)計(jì)意義，能夠?qū)α餍星闆r節(jié)點(diǎn)壓力進(jìn)行比較準(zhǔn)確的判斷和分析。 2、蜜罐概念、理念和價(jià)值（4）蜜罐技術(shù)的優(yōu)勢(shì)n高度保真的小數(shù)據(jù)集w低誤報(bào)率w低漏報(bào)率n能夠捕獲新的攻擊方法及技術(shù)n原理簡(jiǎn)單，貼近實(shí)際3、蜜罐與其他網(wǎng)絡(luò)安全技術(shù)數(shù)據(jù)收集：n數(shù)據(jù)收集是網(wǎng)絡(luò)攻擊的基礎(chǔ)，蜜罐技術(shù)離不開(kāi)數(shù)據(jù)收集 防火墻：n防火墻是蜜罐必要的組成部分，用于實(shí)施必要的阻斷策略IDS：n必要組成，配合數(shù)據(jù)分析4、蜜罐技術(shù)法律問(wèn)題（1）蜜罐能夠幫助一個(gè)組織發(fā)展它的事件響應(yīng)能力蜜罐的攻陷可能導(dǎo)致危害4、蜜罐技術(shù)法律問(wèn)題（2）蜜罐的最初

40、設(shè)計(jì)目標(biāo)是為起訴攻擊者提蜜罐的最初設(shè)計(jì)目標(biāo)是為起訴攻擊者提供證據(jù)收集的手段供證據(jù)收集的手段n但是有的國(guó)家法律規(guī)定，蜜罐收集的證據(jù)不但是有的國(guó)家法律規(guī)定，蜜罐收集的證據(jù)不能作為起訴證據(jù)，安全專(zhuān)家指出該提議存在能作為起訴證據(jù)，安全專(zhuān)家指出該提議存在漏洞，因?yàn)楦鶕?jù)這項(xiàng)方案漏洞，因?yàn)楦鶕?jù)這項(xiàng)方案IT部門(mén)正當(dāng)保護(hù)他部門(mén)正當(dāng)保護(hù)他們系統(tǒng)的安全的某些軟件和技術(shù)也是違法的。們系統(tǒng)的安全的某些軟件和技術(shù)也是違法的?？赡軙?huì)涉及到對(duì)隱私權(quán)的侵犯可能會(huì)涉及到對(duì)隱私權(quán)的侵犯5、蜜罐網(wǎng)絡(luò)資源蜜罐工具情況蜜罐工具情況nFred Cohen 所開(kāi)發(fā)的所開(kāi)發(fā)的DTK（欺騙工具包）（欺騙工具包） nNiels Provos 開(kāi)發(fā)

41、的開(kāi)發(fā)的Honeyd等是免費(fèi)開(kāi)等是免費(fèi)開(kāi)源工具源工具 nKFSensor、Specter 、SmokeDetector、NetFacade、Mantrap等是商業(yè)蜜罐產(chǎn)品等是商業(yè)蜜罐產(chǎn)品 蜜罐研究組織蜜罐研究組織nFlorida HoneyNet Project，nPaladion Networks Honeynet Project-India，http:/ Systematics Lab Honeynet Project，http:/www.epmhs.gr/honeynetnMexico Honeynet Project，http:

42、/.mx/honeynet.htmlnNetForensics Honeynet，http:/ Pacific UniversityHoneynet，/bmccarty/honeynet.htmlnBrazilian Honetnet Project，http:/www.lac.inpe.br/security/honeynet/nIrish honeynet Project，http:/www.honeynet.ie/nHoneynet Project at the University of Texas at Austin，http:/honeynet.

43、/nNorwegian Honeynet Project，http:/www.honeynet.no/nUK Honeynet Project， .uk/nWest Point Honeynet project，/honeynet/nPakistan Honeynet Project ，.pk/nHoneynet Project，/十、蜜罐技術(shù)發(fā)展歷程1、蜜罐、蜜網(wǎng)和蜜場(chǎng)2、蜜罐技術(shù)原理及發(fā)展3、蜜罐

44、技術(shù)的分類(lèi)3、蜜網(wǎng)技術(shù)原理及發(fā)展4、相關(guān)技術(shù)最新發(fā)展1、蜜罐、蜜網(wǎng)和蜜場(chǎng)蜜罐 (Honeypot)n物理蜜罐n虛擬蜜罐工具: DTK, Honeydn專(zhuān)用蜜罐工具: mwcollect, nepenthes蜜網(wǎng) (Honeynet)nThe Honeynet ProjectnGen 1 / Gen 2 / Gen 3 HoneynetnResearch Purpose蜜場(chǎng) (Honeyfarm)n蜜罐技術(shù)如何有效地對(duì)一個(gè)大型網(wǎng)絡(luò)提供防護(hù)功能？n外/內(nèi)部安全威脅的發(fā)現(xiàn)、重定向、跟蹤2、蜜罐技術(shù)原理及發(fā)展90年代初98年左右n“蜜罐”還僅僅限于一種思想n這一階段的蜜罐實(shí)質(zhì)上是一些真正被黑客所攻擊的

45、主機(jī)和系統(tǒng)。98 年開(kāi)始00年n蜜罐技術(shù)開(kāi)始吸引了一些安全研究人員的注意n并開(kāi)發(fā)出一些專(zhuān)門(mén)用于欺騙黑客的開(kāi)源工具n這一階段的蜜罐可以稱(chēng)為是虛擬蜜罐00年后n安全研究人員更傾向于使用真實(shí)的主機(jī)、操作系統(tǒng)和應(yīng)用程序搭建蜜罐，融入了更強(qiáng)大的數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)控制的工具，并且將蜜罐納入到一個(gè)完整的蜜網(wǎng)體系中，使得研究人員能夠更方便地追蹤侵入到蜜網(wǎng)中的黑客并對(duì)他們的攻擊行為進(jìn)行分析。3、蜜罐技術(shù)的分類(lèi)部署目的蜜罐技術(shù)分類(lèi)，根據(jù)部署目的n產(chǎn)品型蜜罐n目的在于為一個(gè)組織的網(wǎng)絡(luò)提供安全保護(hù)n容易部署，減少風(fēng)險(xiǎn)n例: DTK、Honeydn研究型蜜罐w專(zhuān)門(mén)用于對(duì)黑客攻擊的捕獲和分析w需要研究人員投入大量的

46、時(shí)間和精力/ 部署復(fù)雜3、蜜罐技術(shù)的分類(lèi)交互性蜜罐技術(shù)分類(lèi)，根據(jù)交互性（攻擊者在蜜罐中活動(dòng)的交互性級(jí)別）n低交互型虛擬蜜罐w模擬服務(wù)和操作系統(tǒng)w只能捕獲少量信息 / 容易部署，減少風(fēng)險(xiǎn)w例: Honeydn高交互型物理蜜罐w提供真實(shí)的操作系統(tǒng)和服務(wù)，而不是模擬w可以捕獲更豐富的信息 / 部署復(fù)雜，高安全風(fēng)險(xiǎn)w例: 蜜網(wǎng)3、根據(jù)交互性分類(lèi)虛擬系統(tǒng)虛擬系統(tǒng)是制在一臺(tái)真實(shí)的物理機(jī)上運(yùn)行一些仿真軟件，通過(guò)仿真軟件對(duì)計(jì)算機(jī)硬件進(jìn)行模擬，使得在仿真平臺(tái)上可以運(yùn)行多個(gè)不同的操作系統(tǒng)，這樣一臺(tái)真實(shí)的機(jī)器就變成了多臺(tái)主機(jī)（稱(chēng)為虛擬機(jī)）。n通常將真實(shí)的機(jī)器上安裝的操作系統(tǒng)稱(chēng)為宿主操作系統(tǒng)，仿真軟件在宿主操作系統(tǒng)上

47、安裝，在仿真平臺(tái)上安裝的操作系統(tǒng)稱(chēng)為客戶(hù)操作系統(tǒng)。nVmware是典型的仿真軟件，它在宿主操作系統(tǒng)和客戶(hù)操作系統(tǒng)之間建立了一個(gè)虛擬的硬件仿真平臺(tái)，客戶(hù)操作系統(tǒng)可以基于相同的硬件平臺(tái)模擬多臺(tái)虛擬主機(jī)Vmware的仿真平臺(tái)示意圖Vmware的功能模塊 3、蜜罐技術(shù)的分類(lèi)（3）蜜罐技術(shù)分類(lèi)，根據(jù)工作方式n犧牲型蜜罐w犧牲型蜜罐提供的是真實(shí)的攻擊目標(biāo)w容易建立w不提供全套的行為規(guī)范或控制設(shè)備n外觀型蜜罐w呈現(xiàn)目標(biāo)主機(jī)的虛假映像的系統(tǒng)w外觀型蜜罐安裝和配置簡(jiǎn)單，可以模仿大量不同的目標(biāo)主機(jī)。w提供潛在威脅的基本信息4、蜜網(wǎng)技術(shù)原理及發(fā)展（1）蜜網(wǎng)概念n實(shí)質(zhì)上是一種研究型、高交互型的蜜罐技術(shù)n一個(gè)體系框架w

48、包括一個(gè)或多個(gè)蜜罐w多層次的數(shù)據(jù)控制機(jī)制高度可控w全面的數(shù)據(jù)捕獲機(jī)制w輔助研究人員對(duì)攻擊數(shù)據(jù)進(jìn)行深入分析4、蜜網(wǎng)技術(shù)原理及發(fā)展（2）蜜網(wǎng)技術(shù)核心需求n數(shù)據(jù)控制機(jī)制w防止蜜網(wǎng)被黑客/惡意軟件利用攻擊第三方n數(shù)據(jù)捕獲機(jī)制w獲取黑客攻擊/惡意軟件活動(dòng)的行為數(shù)據(jù)n網(wǎng)絡(luò)行為數(shù)據(jù)網(wǎng)絡(luò)連接、網(wǎng)絡(luò)流n系統(tǒng)行為數(shù)據(jù)進(jìn)程、命令、打開(kāi)文件、發(fā)起連接n數(shù)據(jù)分析機(jī)制w理解捕獲的黑客攻擊/惡意軟件活動(dòng)的行為4、蜜網(wǎng)的體系框架十一、蜜罐配置模式1、誘騙服務(wù)2、弱化系統(tǒng) 3、強(qiáng)化系統(tǒng) 4、用戶(hù)模式服務(wù)器1、誘騙服務(wù)誘騙服務(wù)(Deception Service)n誘騙服務(wù)是指在特定IP服務(wù)端口上偵聽(tīng)并像其他應(yīng)用程序那樣應(yīng)答各種

49、網(wǎng)絡(luò)請(qǐng)求。 w例如 DTKn需要精心設(shè)計(jì)和配置n誘騙服務(wù)只能收集有限的信息n有一定風(fēng)險(xiǎn)2、弱化系統(tǒng)弱化系統(tǒng)(Weakened System) n弱化系統(tǒng)是一個(gè)配置有已知攻擊弱點(diǎn)的操作系統(tǒng)，這樣使攻擊者更加容易進(jìn)入系統(tǒng)，系統(tǒng)可以收集有效的攻擊數(shù)據(jù)。n提供的是攻擊者試圖入侵的實(shí)際服務(wù)n“高維護(hù)低收益高維護(hù)低收益”3、強(qiáng)化系統(tǒng)強(qiáng)化系統(tǒng)(Hardened System)n強(qiáng)化系統(tǒng)同弱化系統(tǒng)一樣，提供一個(gè)真實(shí)的環(huán)境，是對(duì)弱化系統(tǒng)的改進(jìn)n能在最短的時(shí)間內(nèi)收集最多的有效數(shù)據(jù)n需要系統(tǒng)管理員具有更高的專(zhuān)業(yè)技術(shù)4、用戶(hù)模式服務(wù)器用戶(hù)模式服務(wù)器(User Mode Server) n用戶(hù)模式服務(wù)器實(shí)際上是一個(gè)用戶(hù)

50、進(jìn)程，它運(yùn)行在主機(jī)上，并且模擬成一個(gè)真實(shí)的服務(wù)器n這種模式的成功與否取決于攻擊者的進(jìn)入程這種模式的成功與否取決于攻擊者的進(jìn)入程度和受騙程度。度和受騙程度。n系統(tǒng)管理員對(duì)用戶(hù)主機(jī)有絕對(duì)的控制權(quán)n不適用于所有的操作系統(tǒng)十二、蜜罐實(shí)現(xiàn)與應(yīng)用1、Honeyd介紹2、配置Honeyd3、基于VMWare的蜜網(wǎng)設(shè)計(jì)1、Honeyd介紹（1）Honeypot是一個(gè)相對(duì)新的安全技術(shù)，其價(jià)值就在被檢測(cè)、攻擊，以致攻擊者的行為能夠被發(fā)現(xiàn)、分析和研究。它的概念很簡(jiǎn)單： Honeypot 沒(méi)有任何產(chǎn)品沒(méi)有任何產(chǎn)品性目的，沒(méi)有授權(quán)任何人對(duì)它訪問(wèn)，所以任何性目的，沒(méi)有授權(quán)任何人對(duì)它訪問(wèn)，所以任何對(duì)對(duì)Honeypot的訪問(wèn)

51、都有可能是檢測(cè)、掃描甚的訪問(wèn)都有可能是檢測(cè)、掃描甚至是攻擊。至是攻擊。1、Honeyd介紹（2）概述nA virtual honeypot frameworkwHoneyd 1.0 (Jan 22, 2005) by Niels Provos, Google Inc.n支持同時(shí)模擬多個(gè)IP地址主機(jī)w經(jīng)過(guò)測(cè)試，最多同時(shí)支持65535個(gè)IP地址w支持模擬任意的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)n通過(guò)服務(wù)模擬腳本可以模擬任意TCP/UDP網(wǎng)絡(luò)服務(wù)wIIS, Telnet, pop3n支持ICMPw對(duì)ping和traceroutes做出響應(yīng)n通過(guò)代理機(jī)制支持對(duì)真實(shí)主機(jī)、網(wǎng)絡(luò)服務(wù)的整合wadd windows tcp port 23 proxy “59 23”1、Honey