东北电力大学研究生中期检查PPT课件.ppt

基于蜜网的主动防御模型设计 硕士研究生中期答辩 本文内容构成 1 研究内容简介 2 课题研究工作进展 3 尚需解决的问题 4 下一步研究内容和工作计划 5 本课题的创新点 6 参考文献 2 1 研究内容简介 传统的网络安全防御技术主要是被动防范的 即在攻击发生后采取被动措施消极防御 并不能积极主动的防患于未然 如 防火墙 不能防止内网攻击 不能防护黑客发起旁路攻击 入侵检测 不能检测未知攻击 漏报 误报率比较高 蜜罐 搜集信息窄 给系统带来被攻陷的风险 本课题的研究工作主要针对上述的问题而展开 旨在从整体上提高网络安全主动积极防御能力 3 1 研究内容简介 续 本选题对以下几点内容进行深入研究 1 设计了一种主动防御模型模型采取多种网络安全防护措施 将其进行有机的组合 旨在 扬长避短 从而最大程度上吸引黑客的目光 同时系统和黑客进行交互 将他们所使用的工具和手段展现在我们面前 4 1 研究内容简介 续 2 提出一种动态端口重定向的方法传统的蜜网系统是采用系统的漏洞来诱骗黑客的 如果非蜜罐主机存在未知的漏洞 被黑客利用 这样蜜罐就失去价值 因此本课题采用端口重定向技术 在攻击者对服务器进行扫描时 将攻击者重定向到指定的蜜罐中 从而对攻击者所使用的工具和方法加以捕获 改变传统蜜网系统 守株待兔 的不足 5 1 研究内容简介 续 3 数据捕获的实现随着反蜜罐技术的发展 如果用于数据捕获的开源软件被黑客发现 他们就不会对系统做任何动作 这样蜜罐的部署就失去意义 本课题从系统的底层 全面捕获异常 并迅速定位攻击源 分别从进程关联内存 进程关联CPU 进程关联端口等方面进行数据捕获 4 模拟实验验证 6 2 课题研究工作进展 续 2 1 主动防御模型的设计 1 防火墙的配置2 IDS的配置3 蜜罐的配置 已完成 2 1 2 2 2 3 端口动态重定向的设计 数据捕获的实现 已完成 部分完成 模拟实验验证 1 进程关联内存2 进程关联CPU3 进程关联端口 7 2 课题研究工作进展 已完成工作 1 提出了一种基于蜜网的主动防御模型所谓的 主动防御 是对传统蜜网的改进 采用重定向技术 在攻击者对服务器进行扫描时 将攻击者重定向到指定的蜜罐中 从而对攻击者所使用的工具和方法加以捕获 图1主动防御模型 8 2 课题研究工作进展 已完成工作 1 提出了一种基于密网的主动防御模型模型的搭建采用Linux 2 4 版本 担当桥接的功能 防火墙采用iptables管理程序 记录网络中的数据包 将规则以外的目的地址和端口重定向的目的地址定位到密网系统中 入侵检测系统采用开源软件Snort 利用软件的告警信息 将数据源的目的地址重定向到蜜网系统中 在蜜网系统中 每个蜜罐分别部署数据捕获软件 进行数据捕获 将捕获的信息定时的发送到远程日志服务器中来进行备份 9 2 课题研究工作进展 续 2 提出了一种动态重定向方法在每台工作主机端口划分出开启的端口和关闭的端口 开启的端口又分为使用重定向的端口和不使用重定向的端口 不使用重定向的端口用来提供比较重要的服务 如WEB服务 FTP服务 STMP服务 使用重定向的端口提供敏感服务如TELNET FINGER NETBOIS 配置只用来允许特定的IP区间进行访问 任何其它IP区间针对该主机重定向端口的扫描流和攻击流都会被重定向到相应的蜜罐中 攻击者得到信息其实都是蜜罐提供的虚假信息 具体的实现过程 是在iptables防火墙的shell脚本中完成的 已完成工作 10 2 课题研究工作进展 续 类似WEB服务开启 1 允许外网建立连接 2 允许外网数据传输 3 允许本机服务应答对于不属于上述网段的数据流进行重定向到蜜罐 4 路由决定前首先要改变数据包的目的ip地址和端口 5 路由决定后要改变数据包的源ip地址和端口 已完成工作 11 2 课题研究工作进展 续 3 数据捕获模块的实现 已完成工作 模型的数据捕获分三层来实现 第一层的数据捕获由防火墙来完成 主要是对出入系统的数据包的通过情况进行记录 第二层数据捕获由入侵检测系统 IDS 来完成 IDS抓取网络上传输的网络包 第三层的数据捕获在蜜罐系统中完成 蜜罐系统模拟真实系统环境与未知攻击进行交互 实现蜜罐系统的主机信息捕获 12 2 课题研究工作进展 续 3 1进程关联内存的捕获 已完成工作 图2进程关联内存程序流程 13 2 课题研究工作进展 续 3 1进程关联内存的捕获 已完成工作 14 2 课题研究工作进展 续 3 2进程关联CPU的捕获 已完成工作 图3进程关联CPU程序流程 15 2 课题研究工作进展 续 已完成工作 3 3进程关联端口的捕获 图4进程关联端口程序流程 16 2 课题研究工作进展 续 已完成工作 3 3进程关联端口的捕获 17 2 课题研究工作进展 续 已完成工作 4 模拟实验下面是模拟黑客发起的DOS攻击 对全局进行测试 在蜜罐系统中捕获的实例图如下 18 3 尚需解决的问题 利用显式扫描和隐蔽扫描都很容易被发现进行重定向 但利用finger进行扫描 返回信息却返回蜜罐的IP地址信息 因为蜜罐对于此类响应 会把自己的IP地址封装在响应包中 发给工作主机 另外本课题下一步工作是对数据捕获机制的进一步完善 19 4 下一步研究内容和工作安排 20 5 本课题的创新点 提出了基于蜜网的主动防御模型 变被动防御为主动防御 并在该模型基础上提出了端口重定向机制 将攻击流有效的定位到指定的蜜罐中 从总体上提高了密网的主动防御能力 在迅速定位攻击源同时又能让黑客感觉不到它的存在 21 6 参考文献 1 SpitznerL Honeypots TrackingHackers M America Addirson WesleyReadings2004 2 SpitznerL Honeypot Definitionsandvalueofhoneypots EB OL 2003 http www tracking 22 6 参考文献 续 8 RaulSiles Sebek3 trackingtheattackers partone Z OL 2006 01 26 23 6 参考文献 续 18 胡亮 金刚 于漫 任斐 任维武 基于异常检测的入侵检测技术 吉林大学学报 理学版 2009 11 19 薛治平 基于动态跟踪的主动防御系统研究与实现 上海交通大学硕士论文 2008 20 薛强网络入侵检测系统NIDS的新技术研究天津大学博士学位论文2004 21 宋富强 蒋外文 刘涛蜜罐技术在入侵检测系统中的应用研究安全技术2007 12 22 胡文 黄皓 蜜罐重定向机制的设计与实现 信息安全 2006 6 23 陆腾飞 陈志杰 诸葛建伟 韩心慧 邹维面向蜜场环境的网络攻击流重定向机制的研究与实现 南京邮电大学学报 自然科学版 2009 6 24 于晓雁 谭建明 沈晓鹏入侵诱骗技术在网络安全中的应用研究学术研究2005 7 25 夏春和 吴震 赵勇 王海泉入侵诱骗模型的研究与建立计算机应用研究2002 26 蒋建春 马恒泰 任党恩 卿斯汉网络安全入侵检测 研究综述软件学报2000 11 27 陆霞 张永平N