技术培训-蜜罐与蜜网技术介绍
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
蜜罐与蜜网技术的应用举例
• 僵尸网络(Botnet)、网络钓鱼(Phishing)
狩猎女神项目组
The Artemis Project
3
项目组简介
项目组目前研究工作
蜜网维护及攻击案例分析
• 结合第三代蜜网技术、honeyd虚拟蜜罐工具、mwcollect / nepenthes 恶意软件自动捕获工具
“A security resource who’s value lies in being probed, attacked or compromised”
对攻击者的欺骗技术 没有业务上的用途,不存在区分正常流量和攻击
的问题 所有流入/流出蜜罐的流量都预示着扫描、攻击及
攻陷 用以监视、检测和分析攻击
支持ICMP
• 对ping和traceroutes做出响应
通过代理机制支持对真实主机、网络服务的整合
• add windows tcp port 23 proxy “162.105.204.159 23”
Honeyd监控未使用IP地址
Honeyd设计上的考虑
接收网络流量 模拟蜜罐系统
• 仅模拟网络协议栈层次,而不涉及操作系统各 个层面
Fred Cohen
• DTK: Deception Tool Kit (1997) • A Framework for Deception (2001)
蜜罐技术概述
蜜罐技术的提出 蜜罐技术基本概念、分类及优势 虚拟蜜罐工具-Honeyd 蜜罐技术发展历程,当前研究热点
12
蜜罐技术的概念
• 操作系统/软件存在大量漏洞 • 安全意识弱、缺乏安全技术能力
任何主机都是攻击目标!
• DDoS、跳板攻击需要大量僵尸主机 • 蠕虫、病毒的泛滥 • 并不再仅仅为了炫耀:Spamming, Phishing
攻击者不需要太多技术
• 攻击工具的不断完善
Metasploit: 40+ Exploits
络攻防知识建模,恶意软件分析及防范技术 • 博士论文方向:基于数据融合框架的网络攻击关联分
析技术研究 • 2004年微软学者,2005年IBM Ph.D. Fellowship • Email: zhugejianwei@icst.pku.edu.cn
提问规则
讲座共分为三节 每节中间休息10分钟
• 仅限对讲解内容相关的问题 • 对问题不感兴趣的可自由活动
讲座结束后留充分时间问答
• 欢迎任何问题 • 欢迎加入HoneynetCN邮件组讨论
蜜罐技术概述
蜜罐技术的提出 蜜罐技术基本概念、分类及优势 虚拟蜜罐工具-Honeyd 蜜罐技术发展历程,当前研究热点
8
互联网安全状况
安全基础薄弱
• 可以模拟任意的网络拓扑
Honeyd宿主主机的安全性
• 限制只能在网络层面与蜜罐进行交互
捕获网络连接和攻击企图
• 日志功能
接收网络流量
Honeyd模拟的蜜罐系 统接收相应网络流量三 种方式
• 为Honeyd模拟的虚拟主 机建立路由
蜜网数据分析与可视化研究
• 网络环境感知工具N-Eye (Open Source) • 攻击数据统计分析与可视化工具 • 基于数据融合框架的网络攻击关联分析技术研究
演讲者介绍
诸葛建伟
• 北京大学计算机科学技术研究所博士研究生 • 狩猎女神项目组发起人及技术负责人 • 研究方向:蜜罐与蜜网技术,入侵检测/关联分析,网
蜜罐技术优势
高度保真的小数据集
• 低误报率 • 低漏报率
能够捕获新的攻击方法及技术 并不是资源密集型 原理简单,贴近实际
蜜罐技术概述
蜜罐技术的提出 蜜罐技术基本概念、分类及优势 虚拟蜜罐工具-Honeyd 蜜罐技术发展历程,当前研究热点
16
Honeyd
A virtual honeypot framework
• Honeyd 1.0 (Jan 22, 2005) by Niels Provos, Google Inc.
支持同时模拟多个IP地址主机
• 经过测试,最多同时支持65535个IP地址 • 支持模拟任意的网络拓扑结构
通过服务模拟脚本可以模拟任意TCP/UDP网络服务
• IIS, Telnet, pop3…
• 攻击方:任务失败,极少受到损失 • 防守方:安全策略被破坏,利益受损
蜜罐技术的提出
试图改变攻防博弈的非对称性
• 对攻击者的欺骗技术-增加攻击代价、减少对 实际系统的安全威胁
• 了解攻击者所使用的攻击工具和攻击方法 • 追踪攻击源、攻击行为审计取证 Honeypot: 首次出现在Cliff Stoll的小说“The Cuckoo’s Egg”(1990)
• 攻击脚本和工具可以很容易得到和使用
0-day exploits: packetstorm
网络攻防的非对称博弈
工作量不对称
• 攻击方:夜深人静, 攻其弱点 • 防守方:24*7, 全面防护
信息不对称
• 攻击方:通过网络扫描、探测、踩点对攻击目标全面 了解
• 防守方:对攻击方一无所知
后果不对称
蜜罐的分类
交互性:攻击者在蜜罐中活动的交互性级别 低交互型-虚拟蜜罐
• 模拟服务和操作系统 • 只能捕获少量信息 / 容易部署,减少风险 • 例: Honeyd
高交互型-物理蜜罐
• 提供真实的操作系统和服务,而不是模拟 • 可以捕获更丰富的信息 / 部署复杂,高安全风险 • 例: 蜜网
虚拟机蜜罐-虚拟硬件、真实操作系统/网络服务
蜜罐与蜜网技术
Introduction to Honeypot and Honeynet
狩猎女神项目组 The Artemis Project
1
内容概要
狩猎女神项目组 蜜罐技术简介
• 提出、发展历程、概念、Honeyd、发展趋势
Gen Hale Waihona Puke Baidu蜜网技术
• 蜜网基本原理、发展历程、框架、技术细节、 部署实例
• “利用蜜网技术深入剖析互联网安全威胁”-2005年全国计算机 大会
• Gen 2/Gen 3虚拟蜜网部署与测试技术报告 • “最新蜜罐与蜜网技术及应用”-《电脑安全专家》2005年7月刊
非常话题专栏4篇文章
恶意软件的捕获与分析
• 重点针对僵尸网络 • “僵尸网络的发现与跟踪”-NetSec 2005
• 僵尸网络(Botnet)、网络钓鱼(Phishing)
狩猎女神项目组
The Artemis Project
3
项目组简介
项目组目前研究工作
蜜网维护及攻击案例分析
• 结合第三代蜜网技术、honeyd虚拟蜜罐工具、mwcollect / nepenthes 恶意软件自动捕获工具
“A security resource who’s value lies in being probed, attacked or compromised”
对攻击者的欺骗技术 没有业务上的用途,不存在区分正常流量和攻击
的问题 所有流入/流出蜜罐的流量都预示着扫描、攻击及
攻陷 用以监视、检测和分析攻击
支持ICMP
• 对ping和traceroutes做出响应
通过代理机制支持对真实主机、网络服务的整合
• add windows tcp port 23 proxy “162.105.204.159 23”
Honeyd监控未使用IP地址
Honeyd设计上的考虑
接收网络流量 模拟蜜罐系统
• 仅模拟网络协议栈层次,而不涉及操作系统各 个层面
Fred Cohen
• DTK: Deception Tool Kit (1997) • A Framework for Deception (2001)
蜜罐技术概述
蜜罐技术的提出 蜜罐技术基本概念、分类及优势 虚拟蜜罐工具-Honeyd 蜜罐技术发展历程,当前研究热点
12
蜜罐技术的概念
• 操作系统/软件存在大量漏洞 • 安全意识弱、缺乏安全技术能力
任何主机都是攻击目标!
• DDoS、跳板攻击需要大量僵尸主机 • 蠕虫、病毒的泛滥 • 并不再仅仅为了炫耀:Spamming, Phishing
攻击者不需要太多技术
• 攻击工具的不断完善
Metasploit: 40+ Exploits
络攻防知识建模,恶意软件分析及防范技术 • 博士论文方向:基于数据融合框架的网络攻击关联分
析技术研究 • 2004年微软学者,2005年IBM Ph.D. Fellowship • Email: zhugejianwei@icst.pku.edu.cn
提问规则
讲座共分为三节 每节中间休息10分钟
• 仅限对讲解内容相关的问题 • 对问题不感兴趣的可自由活动
讲座结束后留充分时间问答
• 欢迎任何问题 • 欢迎加入HoneynetCN邮件组讨论
蜜罐技术概述
蜜罐技术的提出 蜜罐技术基本概念、分类及优势 虚拟蜜罐工具-Honeyd 蜜罐技术发展历程,当前研究热点
8
互联网安全状况
安全基础薄弱
• 可以模拟任意的网络拓扑
Honeyd宿主主机的安全性
• 限制只能在网络层面与蜜罐进行交互
捕获网络连接和攻击企图
• 日志功能
接收网络流量
Honeyd模拟的蜜罐系 统接收相应网络流量三 种方式
• 为Honeyd模拟的虚拟主 机建立路由
蜜网数据分析与可视化研究
• 网络环境感知工具N-Eye (Open Source) • 攻击数据统计分析与可视化工具 • 基于数据融合框架的网络攻击关联分析技术研究
演讲者介绍
诸葛建伟
• 北京大学计算机科学技术研究所博士研究生 • 狩猎女神项目组发起人及技术负责人 • 研究方向:蜜罐与蜜网技术,入侵检测/关联分析,网
蜜罐技术优势
高度保真的小数据集
• 低误报率 • 低漏报率
能够捕获新的攻击方法及技术 并不是资源密集型 原理简单,贴近实际
蜜罐技术概述
蜜罐技术的提出 蜜罐技术基本概念、分类及优势 虚拟蜜罐工具-Honeyd 蜜罐技术发展历程,当前研究热点
16
Honeyd
A virtual honeypot framework
• Honeyd 1.0 (Jan 22, 2005) by Niels Provos, Google Inc.
支持同时模拟多个IP地址主机
• 经过测试,最多同时支持65535个IP地址 • 支持模拟任意的网络拓扑结构
通过服务模拟脚本可以模拟任意TCP/UDP网络服务
• IIS, Telnet, pop3…
• 攻击方:任务失败,极少受到损失 • 防守方:安全策略被破坏,利益受损
蜜罐技术的提出
试图改变攻防博弈的非对称性
• 对攻击者的欺骗技术-增加攻击代价、减少对 实际系统的安全威胁
• 了解攻击者所使用的攻击工具和攻击方法 • 追踪攻击源、攻击行为审计取证 Honeypot: 首次出现在Cliff Stoll的小说“The Cuckoo’s Egg”(1990)
• 攻击脚本和工具可以很容易得到和使用
0-day exploits: packetstorm
网络攻防的非对称博弈
工作量不对称
• 攻击方:夜深人静, 攻其弱点 • 防守方:24*7, 全面防护
信息不对称
• 攻击方:通过网络扫描、探测、踩点对攻击目标全面 了解
• 防守方:对攻击方一无所知
后果不对称
蜜罐的分类
交互性:攻击者在蜜罐中活动的交互性级别 低交互型-虚拟蜜罐
• 模拟服务和操作系统 • 只能捕获少量信息 / 容易部署,减少风险 • 例: Honeyd
高交互型-物理蜜罐
• 提供真实的操作系统和服务,而不是模拟 • 可以捕获更丰富的信息 / 部署复杂,高安全风险 • 例: 蜜网
虚拟机蜜罐-虚拟硬件、真实操作系统/网络服务
蜜罐与蜜网技术
Introduction to Honeypot and Honeynet
狩猎女神项目组 The Artemis Project
1
内容概要
狩猎女神项目组 蜜罐技术简介
• 提出、发展历程、概念、Honeyd、发展趋势
Gen Hale Waihona Puke Baidu蜜网技术
• 蜜网基本原理、发展历程、框架、技术细节、 部署实例
• “利用蜜网技术深入剖析互联网安全威胁”-2005年全国计算机 大会
• Gen 2/Gen 3虚拟蜜网部署与测试技术报告 • “最新蜜罐与蜜网技术及应用”-《电脑安全专家》2005年7月刊
非常话题专栏4篇文章
恶意软件的捕获与分析
• 重点针对僵尸网络 • “僵尸网络的发现与跟踪”-NetSec 2005