第15章-入侵检测系统和网络诱骗系统26共27页课件.ppt

上传人(卖家):三亚风情 文档编号:2860341 上传时间:2022-06-05 格式:PPT 页数:27 大小:687KB
下载 相关 举报
第15章-入侵检测系统和网络诱骗系统26共27页课件.ppt_第1页
第1页 / 共27页
第15章-入侵检测系统和网络诱骗系统26共27页课件.ppt_第2页
第2页 / 共27页
第15章-入侵检测系统和网络诱骗系统26共27页课件.ppt_第3页
第3页 / 共27页
第15章-入侵检测系统和网络诱骗系统26共27页课件.ppt_第4页
第4页 / 共27页
第15章-入侵检测系统和网络诱骗系统26共27页课件.ppt_第5页
第5页 / 共27页
点击查看更多>>
资源描述

1、6/5/2022南京邮电大学信息安全系1主要内容主要内容1 网络诱骗系统概述网络诱骗系统概述 2 网络诱骗技术网络诱骗技术 3 蜜罐的分类蜜罐的分类 4 常见的网络诱骗工具及产品常见的网络诱骗工具及产品5 蜜罐的优缺点蜜罐的优缺点 2.1 蜜罐主机技术蜜罐主机技术 2.2 陷阱网络技术陷阱网络技术2.3 诱导技术诱导技术 2.4 欺骗信息设计技术欺骗信息设计技术3.1 低交互度蜜罐低交互度蜜罐3.2 中交互度蜜罐中交互度蜜罐3.3 高交互度蜜罐高交互度蜜罐 6/5/2022南京邮电大学信息安全系21 网络诱骗系统概述网络诱骗系统概述 “蜜罐蜜罐”(Honeypot)主动防御技术主动防御技术 对

2、攻击者给予对攻击者给予“诱骗诱骗”反应,使其相信被攻击系反应,使其相信被攻击系统安全性很差统安全性很差作用:作用: 消耗攻击者拥有的资源消耗攻击者拥有的资源 增加攻击者的工作量增加攻击者的工作量 迷惑攻击者以延缓对真正目标的攻击迷惑攻击者以延缓对真正目标的攻击 掌握攻击者行为跟踪攻击者掌握攻击者行为跟踪攻击者 形成威慑攻击者的力量形成威慑攻击者的力量6/5/2022南京邮电大学信息安全系3Honeypot的设计考虑的设计考虑 吸引并诱骗试图非法闯入他人计算机的人吸引并诱骗试图非法闯入他人计算机的人 用被攻击系统的特征吸引攻击者,同时分析各种用被攻击系统的特征吸引攻击者,同时分析各种攻击行为攻击

3、行为 开启通常被黑客窥探的危险端口来模拟漏洞系统开启通常被黑客窥探的危险端口来模拟漏洞系统 故意留下安全后门来吸引攻击者上钩,或者故意故意留下安全后门来吸引攻击者上钩,或者故意放置虚假的敏感信息放置虚假的敏感信息6/5/2022南京邮电大学信息安全系4网络诱骗系统的特点网络诱骗系统的特点 1) Honeypot模拟易受攻击主机,本身未向外提供模拟易受攻击主机,本身未向外提供有价值服务,与其进行连接的行为均可疑。有价值服务,与其进行连接的行为均可疑。2)Honeypot保护关键系统:它就像一台真实服务保护关键系统:它就像一台真实服务器,易吸引黑客。器,易吸引黑客。3)Honeypot是用来被探测

4、、被攻击和最后被攻陷是用来被探测、被攻击和最后被攻陷的,利用蜜罐可发现新型攻击。的,利用蜜罐可发现新型攻击。4)Honeypot是其他安全策略所不可替代的一种主是其他安全策略所不可替代的一种主动防御技术,可以与其他技术结合使用。动防御技术,可以与其他技术结合使用。6/5/2022南京邮电大学信息安全系5蜜罐配置图蜜罐配置图 IP地址不地址不公开,但公开,但可访问;可访问;不需设置不需设置混杂模式混杂模式网卡设置为网卡设置为stealth mode:混杂模式混杂模式+没有没有IP地址;地址;攻击者无法发现攻击者无法发现6/5/2022南京邮电大学信息安全系6实施蜜罐的注意点实施蜜罐的注意点(1)

5、1)将蜜罐与任何真实产品系统隔离,一般将它放)将蜜罐与任何真实产品系统隔离,一般将它放在离在离Internet最近的位置(如最近的位置(如DMZ上)。上)。2)蜜罐不公开自己的)蜜罐不公开自己的IP地址和端口,对蜜罐的所地址和端口,对蜜罐的所有访问都可能是攻击。有访问都可能是攻击。3)蜜罐所捕获数据的针对性强,所以在一定程序)蜜罐所捕获数据的针对性强,所以在一定程序上克服上克服IDS的不足:误报率高及漏报新的攻击。的不足:误报率高及漏报新的攻击。6/5/2022南京邮电大学信息安全系7实施蜜罐的注意点实施蜜罐的注意点(2)4)将多种网络防御系统结合来防范网络攻击:)将多种网络防御系统结合来防范

6、网络攻击: 自动路由转发自动路由转发 被防火墙拦截的访问请求被防火墙拦截的访问请求 蜜罐蜜罐 因为这种访问请求很可能是攻击包。因为这种访问请求很可能是攻击包。5)蜜罐的日志记录系统应在物理上独立于蜜罐本身。)蜜罐的日志记录系统应在物理上独立于蜜罐本身。6)允许蜜罐与外网主机自由通信,但应限制蜜罐对)允许蜜罐与外网主机自由通信,但应限制蜜罐对一台内网一台内网/外网主机同时发起的连接数。外网主机同时发起的连接数。6/5/2022南京邮电大学信息安全系82 网络诱骗技术网络诱骗技术2.1 蜜罐主机技术蜜罐主机技术(1)空系统)空系统 运行真实操作系统及应用程序的标准机器运行真实操作系统及应用程序的标

7、准机器 从中可找到真实系统的各种漏洞,没有刻意模从中可找到真实系统的各种漏洞,没有刻意模拟某种环境或故意使系统不安全。拟某种环境或故意使系统不安全。(2)镜像系统)镜像系统 空系统易被发现空系统易被发现建立提供网络服务的与真实建立提供网络服务的与真实服务器基本一致的镜像系统,更能欺骗攻击者。服务器基本一致的镜像系统,更能欺骗攻击者。6/5/2022南京邮电大学信息安全系9(3)虚拟系统)虚拟系统 在真实机器上运行仿真软件在真实机器上运行仿真软件VMware来实现硬件模来实现硬件模拟,使得可以在硬件仿真平台上运行多个不同操拟,使得可以在硬件仿真平台上运行多个不同操作系统作系统一台真实机器模拟出多

8、台虚拟机。一台真实机器模拟出多台虚拟机。 VMware还支持网卡模拟:每个虚拟机拥有独立还支持网卡模拟:每个虚拟机拥有独立IP地址,即一台真实机器可模拟出连接在网上的多地址,即一台真实机器可模拟出连接在网上的多台主机,形成虚拟局域网。台主机,形成虚拟局域网。 这些虚拟系统不但逼真,且成本较低,部署和维这些虚拟系统不但逼真,且成本较低,部署和维护容易,资源利用率高。护容易,资源利用率高。 6/5/2022南京邮电大学信息安全系10基于同一硬件平台的虚拟系统基于同一硬件平台的虚拟系统 不允许虚拟机操不允许虚拟机操作系统访问宿主作系统访问宿主机的文件系统机的文件系统6/5/2022南京邮电大学信息安

9、全系112.2 陷阱网络技术(陷阱网络技术(Honeynet) 由多个蜜罐、路由器、防火墙、由多个蜜罐、路由器、防火墙、IDS、审计系统组、审计系统组成,为攻击者制造被攻击环境,供防御者研究攻成,为攻击者制造被攻击环境,供防御者研究攻击行为。击行为。最新的陷阱网络技术最新的陷阱网络技术虚拟陷阱网络(虚拟陷阱网络(Virtual Honeynet),将陷阱网络所需功能集中到一个物),将陷阱网络所需功能集中到一个物理设备中运行。理设备中运行。 功能:功能:蜜罐系统、数据控制蜜罐系统、数据控制数据捕获、数据记录数据捕获、数据记录数据分析、数据管理数据分析、数据管理6/5/2022南京邮电大学信息安全

10、系12第三代陷阱网络体系结构第三代陷阱网络体系结构 桥接网关桥接网关HoneyWall的的eth0/eth1接口无接口无IP/MAC地址,也不对地址,也不对转发数据包路由和递转发数据包路由和递减减TTL,很难被发现。,很难被发现。 相对独立的日相对独立的日志服务器使用志服务器使用内部内部IP地址,地址,防范严格防范严格 。6/5/2022南京邮电大学信息安全系132.3 诱导技术诱导技术 (1)基于网络地址转换技术的诱导)基于网络地址转换技术的诱导 把攻击引向事先设定好的诱骗主机,优点是设置把攻击引向事先设定好的诱骗主机,优点是设置简单、转换速度快且成功率高。简单、转换速度快且成功率高。(2)

11、基于代理技术的诱导)基于代理技术的诱导 欺骗系统设计得再逼真,真实目标还可能被攻击欺骗系统设计得再逼真,真实目标还可能被攻击 目标主机使用代理技术将攻击数据流转向蜜目标主机使用代理技术将攻击数据流转向蜜 罐,自己成为攻击者和蜜罐之间的桥梁。罐,自己成为攻击者和蜜罐之间的桥梁。 6/5/2022南京邮电大学信息安全系142.4 欺骗信息设计技术欺骗信息设计技术 (1)端口扫描欺骗信息设计)端口扫描欺骗信息设计 欺骗系统截获黑客发送的欺骗系统截获黑客发送的TCP扫描包,发回与实扫描包,发回与实际情况相反的虚假数据包以欺骗攻击者,让他对际情况相反的虚假数据包以欺骗攻击者,让他对端口状态判断失误。端口

12、状态判断失误。 (2)主机操作系统欺骗信息设计)主机操作系统欺骗信息设计1)修改系统提示信息)修改系统提示信息2)用修改堆栈指纹库欺骗协议栈指纹鉴别技术)用修改堆栈指纹库欺骗协议栈指纹鉴别技术 欺骗的成功率大大提高欺骗的成功率大大提高6/5/2022南京邮电大学信息安全系15(3)口令欺骗信息设计)口令欺骗信息设计 1)伪装口令产生器:构造的虚假口令会消耗攻击者)伪装口令产生器:构造的虚假口令会消耗攻击者的计算能力并欺骗攻击者,减少被破解口令个数。的计算能力并欺骗攻击者,减少被破解口令个数。 即使攻击者破解出复杂口令,但它们是伪装的;即使攻击者破解出复杂口令,但它们是伪装的; 即使攻击者知道有

13、伪装口令,但判断口令真伪也即使攻击者知道有伪装口令,但判断口令真伪也降低了攻击效率。降低了攻击效率。2)口令过滤器:避免用户选择伪装口令产生器产生)口令过滤器:避免用户选择伪装口令产生器产生的口令。的口令。 6/5/2022南京邮电大学信息安全系163 蜜罐的分类蜜罐的分类 目的目的特点特点缺点缺点评价评价低交互低交互蜜罐蜜罐产品型产品型检测和检测和减轻威胁减轻威胁模拟、监听不模拟、监听不发送发送获得信息获得信息有限、易有限、易被察觉被察觉最安全、最安全、风险最小风险最小中交互中交互蜜罐蜜罐检测和检测和分析分析接近真实系统接近真实系统与真实交互与真实交互需经常检需经常检测蜜罐的测蜜罐的状态状态

14、中等安全、中等安全、用得少用得少高交互高交互蜜罐蜜罐研究型研究型研究攻击研究攻击手段找到手段找到保护方法保护方法真实系统、真真实系统、真实交互,不易实交互,不易被察觉被察觉被攻陷后被攻陷后易成为黑易成为黑客的跳板客的跳板危险大、危险大、使用价值大使用价值大Honeynet Project 6/5/2022南京邮电大学信息安全系174 常见的网络诱骗工具及产品常见的网络诱骗工具及产品 1DTK“允许允许”黑客实施端口扫描、口令破解等攻击并记录。黑客实施端口扫描、口令破解等攻击并记录。 如果网络上很多主机安装如果网络上很多主机安装DTK,黑客将屡屡碰壁。,黑客将屡屡碰壁。 黑客习惯于在攻击之前先辨

15、别目标系统的真伪。黑客习惯于在攻击之前先辨别目标系统的真伪。 黑客一看到开放黑客一看到开放TCP 365端口的主机就会放弃。端口的主机就会放弃。 许多未安装许多未安装DTK的系统只需开放的系统只需开放TCP 365端口,端口, 黑客会以为是个黑客会以为是个“蜜罐蜜罐”而放弃攻击。而放弃攻击。6/5/2022南京邮电大学信息安全系18DTK的特点的特点 用用C语言和语言和Perl脚本语言实现脚本语言实现 监听监听HTTP、Telnet、FTP等端口,让攻击者错认等端口,让攻击者错认为被攻击系统不安全,并记录所有攻击行为。为被攻击系统不安全,并记录所有攻击行为。 模拟常见系统漏洞,送出虚假口令文件

16、,花费攻模拟常见系统漏洞,送出虚假口令文件,花费攻击者大量时间。击者大量时间。 缺点:对服务的模拟不逼真,无法欺骗有经验的缺点:对服务的模拟不逼真,无法欺骗有经验的攻击者,仅限于对已知漏洞的模拟。攻击者,仅限于对已知漏洞的模拟。 6/5/2022南京邮电大学信息安全系192Spector 也是一种低交互度蜜罐,只模拟有限交互的服务。也是一种低交互度蜜罐,只模拟有限交互的服务。 不仅可模拟很多服务,而且可模拟不同操作系统不仅可模拟很多服务,而且可模拟不同操作系统的漏洞,具有大量预警和日志功能。的漏洞,具有大量预警和日志功能。 易部署和维护,使用风险很低。易部署和维护,使用风险很低。 缺点:收集到

17、的信息有限,易被发现。缺点:收集到的信息有限,易被发现。 应用层应用层6/5/2022南京邮电大学信息安全系203Honeyd 运行在运行在UNIX平台上的低交互度蜜罐平台上的低交互度蜜罐 不只对单个不只对单个IP地址监视,而是对网络监视。地址监视,而是对网络监视。 检测到对不存在系统的探测时,检测到对不存在系统的探测时,Honeyd会动态承会动态承担受害系统的角色,与攻击者进行交互。担受害系统的角色,与攻击者进行交互。 可同时模拟上千台具有不同可同时模拟上千台具有不同IP地址的不同主机,地址的不同主机,虚拟主机可配置运行数百个不同服务和操作系统。虚拟主机可配置运行数百个不同服务和操作系统。应

18、用层和应用层和TCP/IP层层6/5/2022南京邮电大学信息安全系214ManTrap 运行在运行在Solaris上的中等到高交互度蜜罐上的中等到高交互度蜜罐 没有模拟任何服务,而在一个操作系统上创建多没有模拟任何服务,而在一个操作系统上创建多达四种虚拟操作系统(通常称为达四种虚拟操作系统(通常称为jail)。)。 数据控制和捕获能力强,可对数据控制和捕获能力强,可对DNS/Web服务器服务器/数数据库等进行测试,交互性及功能和标准系统相同。据库等进行测试,交互性及功能和标准系统相同。 还可捕获还可捕获Rootkit、应用层攻击、黑客、应用层攻击、黑客IRC聊天对聊天对话、未知攻击和新的漏洞

19、,使用风险大。话、未知攻击和新的漏洞,使用风险大。6/5/2022南京邮电大学信息安全系225Honeynet 由多个具有不同操作系统的真实系统和多个攻击由多个具有不同操作系统的真实系统和多个攻击检测应用组成的网络,是高交互度蜜罐的极限。检测应用组成的网络,是高交互度蜜罐的极限。 对所有平台的信息捕获能力最强,尤其是新的攻对所有平台的信息捕获能力最强,尤其是新的攻击方式、攻击工具、攻击动机和攻击者通信方法。击方式、攻击工具、攻击动机和攻击者通信方法。 最难构建控制网络(用于控制和捕获往来于最难构建控制网络(用于控制和捕获往来于Honeypot的所有活动)。的所有活动)。 是是最难部署和维护的网

20、络诱骗系统。最难部署和维护的网络诱骗系统。6/5/2022南京邮电大学信息安全系235 蜜罐的优缺点蜜罐的优缺点蜜罐的优点:蜜罐的优点:(1)使用简单)使用简单 蜜罐起作用前提:如果有人连接就检测并记录它。蜜罐起作用前提:如果有人连接就检测并记录它。(2)占用资源少)占用资源少 仅捕获进入蜜罐的数据,不会出现资源耗尽;很仅捕获进入蜜罐的数据,不会出现资源耗尽;很多蜜罐都是模拟服务,不会成为攻击者的跳板。多蜜罐都是模拟服务,不会成为攻击者的跳板。(3)数据价值高)数据价值高 简化了检测过程,用户能快速找到所需的确切信简化了检测过程,用户能快速找到所需的确切信息,这些数据具有很高研究价值。息,这些

21、数据具有很高研究价值。 6/5/2022南京邮电大学信息安全系24蜜罐的缺点蜜罐的缺点 (1)数据收集面狭窄)数据收集面狭窄 蜜罐的最大缺点是仅可检测到对它进行攻击的行蜜罐的最大缺点是仅可检测到对它进行攻击的行为,对黑客攻击其他系统的行为一无所知。为,对黑客攻击其他系统的行为一无所知。(2)指纹识别)指纹识别 指纹识别是指蜜罐具备一些预定的特征和行为,指纹识别是指蜜罐具备一些预定的特征和行为,因而能被攻击者识别出其真实身份。因而能被攻击者识别出其真实身份。(3)给使用者带来风险)给使用者带来风险 具有真实操作系统特性的蜜罐容易成为攻击跳板。具有真实操作系统特性的蜜罐容易成为攻击跳板。6/5/2022南京邮电大学信息安全系25蜜罐的发展趋势蜜罐的发展趋势 增加蜜罐可以模拟的黑客感兴趣的服务类型增加蜜罐可以模拟的黑客感兴趣的服务类型 增加可以使用蜜罐的操作系统类型增加可以使用蜜罐的操作系统类型 尽量降低风险的情况下,提高蜜罐的交互程度尽量降低风险的情况下,提高蜜罐的交互程度 降低高交互型蜜罐引入的安全风险降低高交互型蜜罐引入的安全风险 蜜罐还要记录攻击者在攻陷机器后的所作所为蜜罐还要记录攻击者在攻陷机器后的所作所为

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 办公、行业 > 各类PPT课件(模板)
版权提示 | 免责声明

1,本文(第15章-入侵检测系统和网络诱骗系统26共27页课件.ppt)为本站会员(三亚风情)主动上传,163文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。
2,用户下载本文档,所消耗的文币(积分)将全额增加到上传者的账号。
3, 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(发送邮件至3464097650@qq.com或直接QQ联系客服),我们立即给予删除!


侵权处理QQ:3464097650--上传资料QQ:3464097650

【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。


163文库-Www.163Wenku.Com |网站地图|