东北电力大学研究生中期检查.ppt
《东北电力大学研究生中期检查.ppt》由会员分享,可在线阅读,更多相关《东北电力大学研究生中期检查.ppt(25页珍藏版)》请在冰豆网上搜索。
基于蜜网的主动防御模型设计,硕士研究生中期答辩,本文内容构成:
1.研究内容简介,2.课题研究工作进展,3.尚需解决的问题,4.下一步研究内容和工作计划,5.本课题的创新点,6.参考文献,1.研究内容简介,传统的网络安全防御技术主要是被动防范的,即在攻击发生后采取被动措施消极防御,并不能积极主动的防患于未然。
如:
防火墙,不能防止内网攻击、不能防护黑客发起旁路攻击。
入侵检测,不能检测未知攻击、漏报、误报率比较高。
蜜罐,搜集信息窄、给系统带来被攻陷的风险。
本课题的研究工作主要针对上述的问题而展开,旨在从整体上提高网络安全主动积极防御能力。
1.研究内容简介(续),本选题对以下几点内容进行深入研究:
(1)设计了一种主动防御模型模型采取多种网络安全防护措施,将其进行有机的组合,旨在“扬长避短”从而最大程度上吸引黑客的目光,同时系统和黑客进行交互,将他们所使用的工具和手段展现在我们面前。
1.研究内容简介(续),
(2)提出一种动态端口重定向的方法传统的蜜网系统是采用系统的漏洞来诱骗黑客的,如果非蜜罐主机存在未知的漏洞,被黑客利用,这样蜜罐就失去价值。
因此本课题采用端口重定向技术,在攻击者对服务器进行扫描时,将攻击者重定向到指定的蜜罐中,从而对攻击者所使用的工具和方法加以捕获。
改变传统蜜网系统“守株待兔”的不足。
1.研究内容简介(续),(3)数据捕获的实现随着反蜜罐技术的发展,如果用于数据捕获的开源软件被黑客发现,他们就不会对系统做任何动作,这样蜜罐的部署就失去意义。
本课题从系统的底层,全面捕获异常,并迅速定位攻击源;分别从进程关联内存、进程关联CPU、进程关联端口等方面进行数据捕获。
(4)模拟实验验证,2、课题研究工作进展(续),2.1,主动防御模型的设计,1、防火墙的配置2、IDS的配置3、蜜罐的配置,已完成,2.1,2.2,2.3,端口动态重定向的设计,数据捕获的实现,已完成,部分完成,模拟实验验证,1、进程关联内存2、进程关联CPU3、进程关联端口,2、课题研究工作进展,已完成工作:
1.提出了一种基于蜜网的主动防御模型所谓的“主动防御”是对传统蜜网的改进,采用重定向技术,在攻击者对服务器进行扫描时,将攻击者重定向到指定的蜜罐中,从而对攻击者所使用的工具和方法加以捕获。
图1主动防御模型,2、课题研究工作进展,已完成工作:
1.提出了一种基于密网的主动防御模型模型的搭建采用Linux(2.4)版本,担当桥接的功能。
防火墙采用iptables管理程序,记录网络中的数据包,将规则以外的目的地址和端口重定向的目的地址定位到密网系统中,入侵检测系统采用开源软件Snort,利用软件的告警信息,将数据源的目的地址重定向到蜜网系统中。
在蜜网系统中,每个蜜罐分别部署数据捕获软件,进行数据捕获。
将捕获的信息定时的发送到远程日志服务器中来进行备份。
2、课题研究工作进展(续),2.提出了一种动态重定向方法在每台工作主机端口划分出开启的端口和关闭的端口,开启的端口又分为使用重定向的端口和不使用重定向的端口,不使用重定向的端口用来提供比较重要的服务,如WEB服务,FTP服务,STMP服务;使用重定向的端口提供敏感服务如TELNET,FINGER,NETBOIS,配置只用来允许特定的IP区间进行访问,任何其它IP区间针对该主机重定向端口的扫描流和攻击流都会被重定向到相应的蜜罐中,攻击者得到信息其实都是蜜罐提供的虚假信息。
具体的实现过程,是在iptables防火墙的shell脚本中完成的。
已完成工作:
2、课题研究工作进展(续),类似WEB服务开启:
(1)允许外网建立连接
(2)允许外网数据传输(3)允许本机服务应答对于不属于上述网段的数据流进行重定向到蜜罐:
(4)路由决定前首先要改变数据包的目的ip地址和端口(5)路由决定后要改变数据包的源ip地址和端口,已完成工作:
2、课题研究工作进展(续),3.数据捕获模块的实现,已完成工作:
模型的数据捕获分三层来实现,第一层的数据捕获由防火墙来完成,主要是对出入系统的数据包的通过情况进行记录;第二层数据捕获由入侵检测系统(IDS)来完成,IDS抓取网络上传输的网络包;第三层的数据捕获在蜜罐系统中完成,蜜罐系统模拟真实系统环境与未知攻击进行交互,实现蜜罐系统的主机信息捕获。
2、课题研究工作进展(续),3.1进程关联内存的捕获,已完成工作:
图2进程关联内存程序流程,2、课题研究工作进展(续),3.1进程关联内存的捕获,已完成工作:
2、课题研究工作进展(续),3.2进程关联CPU的捕获,已完成工作:
图3进程关联CPU程序流程,2、课题研究工作进展(续),已完成工作:
3.3进程关联端口的捕获,图4进程关联端口程序流程,2、课题研究工作进展(续),已完成工作:
3.3进程关联端口的捕获,2、课题研究工作进展(续),已完成工作:
(4)模拟实验下面是模拟黑客发起的DOS攻击,对全局进行测试,在蜜罐系统中捕获的实例图如下:
3、尚需解决的问题,利用显式扫描和隐蔽扫描都很容易被发现进行重定向,但利用finger进行扫描,返回信息却返回蜜罐的IP地址信息,因为蜜罐对于此类响应,会把自己的IP地址封装在响应包中,发给工作主机,另外本课题下一步工作是对数据捕获机制的进一步完善。
4、下一步研究内容和工作安排,5、本课题的创新点,提出了基于蜜网的主动防御模型,变被动防御为主动防御。
并在该模型基础上提出了端口重定向机制,将攻击流有效的定位到指定的蜜罐中,从总体上提高了密网的主动防御能力,在迅速定位攻击源同时又能让黑客感觉不到它的存在。
6、参考文献,1SpitznerL.Honeypots:
TrackingHackersM.America:
Addirson-WesleyReadings2004.2SpitznerL.Honeypot-DefinitionsandvalueofhoneypotsEB/OL.2003.http:
/www.tracking-SuehringS.LinuxFirewalls:
linux防火墙M.何泾沙译.北京:
机械工业出版社,2004:
41-46,50-51.4RichardLaBella,GenIIDataControlforHoneynets:
UnderstandingandBuildingSnort-InlineDataControl,February,2003.http:
/AngelEduardoAvila.AnalyzingintrusionsofahybridvirtualhoneynetD.TheUniversityofTexasatElPaso,2005.6TheHoneynetProject.KnowYourEnemy:
HoneywallCDROMRoo,3rdGenerationTechnologyZ/OL.(2005-08-17).http:
/www.honeynet.org/papers/cdrom/roo/index.html.7EdwardBalas,CamiloViecco.TowardsaThirdGenerationDataCaptureArchitectureforHoneynetsC.IEEEWorkshoponInformationAssuranceandSecurity,2005-06.,6、参考文献(续),8RaulSiles.Sebek3:
trackingtheattackers,partoneZ/OL.(2006-01-26).http:
/snort.httP:
/www.snort.org/does,2009.510sebek.httP:
/www.honeynetorg/Projet/sebek/,2008.711DavidKlugHoneyPotsandIntrusionDetectionEB/OLURL:
http:
/www.sans.org/infosecFAQ/honeypots.htm,2000-09-13.12LorasEB/OLURL:
http:
/www.sans.org/newlook/resources/IDFAQ/honeypot3.htm【13翟继强蜜罐系统Hnoyepots的研究与分析哈尔滨理工大学硕士学位论文2009【14】邹文虚拟蜜罐在网络安全中的应用研究湖南大学硕士学位论文2008【15】杨翠屏基于VMware的虚拟密网技术的研究与实现哈尔滨理工大学硕士学位论文2009【16】官凌青蜜罐Honeyd的扩展设计与实现西安电子科技大学硕士学位论文2007【17】杨宏宇,朱丹,谢丰,谢丽霞入侵异常检测研究综述电子科技大学学报2009.9,6、参考文献(续),【18】胡亮,金刚,于漫,任斐,任维武,基于异常检测的入侵检测技术,吉林大学学报(理学版)2009.11【19】薛治平,基于动态跟踪的主动防御系统研究与实现,上海交通大学硕士论文,2008【20】薛强网络入侵检测系统NIDS的新技术研究天津大学博士学位论文2004【21】宋富强,蒋外文,刘涛蜜罐技术在入侵检测系统中的应用研究安全技术2007.12【22】胡文,黄皓,蜜罐重定向机制的设计与实现,信息安全,2006.6【23】陆腾飞,陈志杰,诸葛建伟,韩心慧,邹维面向蜜场环境的网络攻击流重定向机制的研究与实现,南京邮电大学学报(自然科学版)2009.6【24】于晓雁,谭建明,沈晓鹏入侵诱骗技术在网络安全中的应用研究学术研究2005.7【25】夏春和,吴震,赵勇,王海泉入侵诱骗模型的研究与建立计算机应用研究2002【26】蒋建春,马恒泰,任党恩,卿斯汉网络安全入侵检测:
研究综述软件学报2000.11【27】陆霞,张永平NIDS在蜜罐系统中的应用,网络通讯与安全2006.5【28】张峰,基于决策树的网络安全主动防御模型研究,电子科技大学博士论文,2004【29】许显月,张凤斌基于两级重定向机制的密网研究和设计,计算机技术与发展,2009.5【30】吴馨,黄皓基于欺骗的网络主动防御技术研究计算机应用研究,2006,
升级会员 