新蜜罐技术研究整理ppt.ppt

信息安全理论与实践 岳丽 2013/12/03 内容提要 蜜罐技术 蜜罐概念 蜜罐技术发展历史 蜜罐分类 蜜罐作用 蜜罐存在的问题 相关技术介绍 入侵检测系统 数据挖掘技术 入侵检测中的数据挖掘 新蜜罐技术 什么是蜜罐？ 蜜网项目组给出了蜜罐的权威定义 “A security resource who’s value lies in being probed ,attacked or compromised” 蜜罐并无其他实际作用，所以流入\流出蜜罐的网络流量都可以预示了扫描，攻击和 攻陷 蜜罐的核心价值就在于对攻击活动进行 监视、检测和分析 真实被黑客所攻击的主机和系统(1990~) 仅限于一种构想，通常由网络管理人员应用，通过欺骗黑客达到追踪目的 虚拟蜜罐工具(1998~) 一些安全研究人员开发出一些专门用于欺骗黑客的开源工具(eg:DTK,Honeyd)能够模拟成虚拟os和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客 被监控的真实系统(2000~) 融入了更强大的数据捕获、数据分析、数据控制工具 将蜜罐纳入一个完整的蜜网体系中 部署目标 产品型 研究型 交互性：攻击者在蜜罐中活动的交互性级别 低交互型 高交互型 迷惑入侵者，保护服务器 抵御入侵者，加固服务器 诱捕网络犯罪 视野局限 安全风险 一个蜜罐一旦遭受了攻击，就可以被用于攻击、渗透，甚至危害其他的系统或组织 实现蜜罐价值的关键所在 如何提高蜜罐系统的欺骗性和数据捕获能力达到高性能 如何实现蜜罐自身的安全保证低风险 入侵检测系统 入侵检测系统(IDS)的概念 依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性 数据挖掘 数据挖掘的定义 数据挖掘就是从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中，提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识的过程 数据挖掘的功能 数据挖掘通过预测未来趋势及行为，做出前摄的、基于知识的决策。它的目标是从数据库中发现隐含的、有意义的知识 入侵检测中的数据挖掘 随着网络规模的扩大,网络安全专家所面临并需要检查的可疑行为数目也是急剧增加，入侵检测中采用人工分析的解决方案让人感到无力应付 由于开发过程中人为因素及难免的随意性，当前IDS的可扩展性和自适应性还非常有限 入侵检测中的数据挖掘 提出问题： (1)能否找到一种可有效减轻系统分析员日常负担的方法？ (2)该方法能否帮助我们发现那些被监测器与系统分析员遗漏的入侵？ 以数据为中心的观点看，入侵检测本身就是一个数据分析过程，同时在许多相关领域，数据挖掘已经取得了成功的应用，因此，数据挖掘在入侵检测领域的应用成为一个自然的话题 入侵检测中的数据挖掘 数据挖掘研究在入侵检测中的作用 (1)将混杂在警告信号中的正常行为数据剔除，使得分析人员能专注于真正的攻击行为数据 (2)鉴别误警信号生成器以及不正常工作的监测器的特征 (3)找到包含真正攻击行为异常数据 (4)识别复杂的时序模式 采用数据挖掘的方法，从历史数据中自动生成规则将比原始的对入侵行为进行手工编码的方法具有灵活性和自适应性 新蜜罐技术 结合入侵检测技术、数据挖掘和传统蜜罐技术的一种新型设计方案 原理图 IDS检测 网络流量控制 蜜罐环境 应用环境 数据挖掘 分析 网络数据 反馈信息 入侵 新蜜罐技术 该蜜罐系统的设计出发点是利用真实的网络资源为诱饵，吸引网络攻击者的入侵行为。当入侵行为发生时，攻击者将被引入一个虚拟的蜜罐环境被监视控制 整个系统是一个高交互度研究型蜜罐系统，它不仅在功能和性能上远远超出其他传统蜜罐，而且在结合IDS技术应用的同时还提供了IDS有利的数据挖掘环境，为训练IDS检测能力提供了强大的辅助作用 新蜜罐技术 网络拓扑图 蜜网网关 IDS 集线器 蜜罐 中心数据库 数据挖掘中心 应用服务器 非法/合法访问者 新蜜罐技术 系统组成描述 该系统主要由蜜网网关、IDS、数据挖掘中心、蜜罐、中心数据库组成 蜜网网关：它是一个网络控制设备，主要功能 (1)完成内部IP的NAT转换 (2)阻止内部向外的非法连接 (3)阻止由蜜网网关内部的主机向外的连接 (4)允许由外部向内部的所有连接 (5)对应用服务器的非工作端口数据包连接采用重定向功能