蜜罐与蜜网技术IntroductiontoHoneypotandHoneynet诸葛建伟狩猎女神项目组TheArtemisProject内容概要狩猎女神项目组蜜罐技术简介•提出、发展历程、概念、Honeyd、发展趋势Gen3蜜网技术•蜜网基本原理、发展历程、框架、技术细节、部署实例蜜罐与蜜网技术的应用举例•僵尸网络(Botnet)、网络钓鱼(Phishing)狩猎女神项目组TheArtemisProject项目组简介蜜罐和蜜网技术研究组•北京大学计算机研究所信息安全工程研究中心HoneynetResearchAlliance中国唯一团队-ChineseHoneynetProject项目组网站:•Statusreport,学术论文,杂志文章,技术报告,技术讲座•KnowYourEnemyWhitePapers中文版项目组邮件列表:artemis@icst.pku.edu.cnHoneynetCN邮件组:groups.yahoo.com/group/honeynetcn项目组目前研究工作蜜网维护及攻击案例分析•结合第三代蜜网技术、honeyd虚拟蜜罐工具、mwcollect/nepenthes恶意软件自动捕获工具•“利用蜜网技术深入剖析互联网安全威胁”-2005年全国计算机大会•Gen2/Gen3虚拟蜜网部署与测试技术报告•“最新蜜罐与蜜网技术及应用”-《电脑安全专家》2005年7月刊非常话题专栏4篇文章恶意软件的捕获与分析•重点针对僵尸网络•“僵尸网络的发现与跟踪”-NetSec2005蜜网数据分析与可视化研究•网络环境感知工具N-Eye(OpenSource)•攻击数据统计分析与可视化工具•基于数据融合框架的网络攻击关联分析技术研究演讲者介绍诸葛建伟•北京大学计算机科学技术研究所博士研究生•狩猎女神项目组发起人及技术负责人•研究方向:蜜罐与蜜网技术,入侵检测/关联分析,网络攻防知识建模,恶意软件分析及防范技术•博士论文方向:基于数据融合框架的网络攻击关联分析技术研究•2004年微软学者,2005年IBMPh.D.Fellowship•Email:zhugejianwei@icst.pku.edu.cn提问规则讲座共分为三节每节中间休息10分钟•仅限对讲解内容相关的问题•对问题不感兴趣的可自由活动讲座结束后留充分时间问答•欢迎任何问题•欢迎加入HoneynetCN邮件组讨论蜜罐技术概述蜜罐技术的提出蜜罐技术基本概念、分类及优势虚拟蜜罐工具-Honeyd蜜罐技术发展历程,当前研究热点互联网安全状况安全基础薄弱•操作系统/软件存在大量漏洞•安全意识弱、缺乏安全技术能力任何主机都是攻击目标!•DDoS、跳板攻击需要大量僵尸主机•蠕虫、病毒的泛滥•并不再仅仅为了炫耀:Spamming,Phishing攻击者不需要太多技术•攻击工具的不断完善Metasploit:40+Exploits•攻击脚本和工具可以很容易得到和使用0-dayexploits:packetstorm网络攻防的非对称博弈工作量不对称•攻击方:夜深人静,攻其弱点•防守方:24*7,全面防护信息不对称•攻击方:通过网络扫描、探测、踩点对攻击目标全面了解•防守方:对攻击方一无所知后果不对称•攻击方:任务失败,极少受到损失•防守方:安全策略被破坏,利益受损蜜罐技术的提出试图改变攻防博弈的非对称性•对攻击者的欺骗技术-增加攻击代价、减少对实际系统的安全威胁•了解攻击者所使用的攻击工具和攻击方法•追踪攻击源、攻击行为审计取证Honeypot:首次出现在CliffStoll的小说“TheCuckoo’sEgg”(1990)FredCohen•DTK:DeceptionToolKit(1997)•AFrameworkforDeception(2001)蜜罐技术概述蜜罐技术的提出蜜罐技术基本概念、分类及优势虚拟蜜罐工具-Honeyd蜜罐技术发展历程,当前研究热点蜜罐技术的概念“Asecurityresourcewho’svalueliesinbeingprobed,attackedorcompromised”对攻击者的欺骗技术没有业务上的用途,不存在区分正常流量和攻击的问题所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷用以监视、检测和分析攻击蜜罐的分类交互性:攻击者在蜜罐中活动的交互性级别低交互型-虚拟蜜罐•模拟服务和操作系统•只能捕获少量信息/容易部署,减少风险•例:Honeyd高交互型-物理蜜罐•提供真实的操作系统和服务,而不是模拟•可以捕获更丰富的信息/部署复杂,高安全风险•例:蜜网虚拟机蜜罐-虚拟硬件、真实操作系统/网络服务蜜罐技术优势高度保真的小数据集•低误报率•低漏报率能够捕获新的攻击方法及技术并不是资源密集型原理简单,贴近实际蜜罐技术概述蜜罐技术的提出蜜罐技术基本概念、分类及优势虚拟蜜罐工具-Honeyd蜜罐技术发展历程,当前研究热点HoneydAvirtualhoneypotframework•Honeyd1.0(Jan22,2005)byNielsProvos,GoogleInc.支持同时模拟多个IP地址主机•经过测试,最多同时支持65535个IP地址•支持模拟任意的网络拓扑结构通过服务模拟脚本可以模拟任意TCP/UDP网络服务•IIS,Telnet,pop3…支持ICMP•对ping和traceroutes做出响应通过代理机制支持对真实主机、网络服务的整合•addwindowstcpport23proxy“162.105.204.15923”Honeyd监控未使用IP地址Honeyd设计上的考虑接收网络流量模拟蜜罐系统•仅模拟网络协议栈层次,而不涉及操作系统各个层面•可以模拟任意的网络拓扑Honeyd宿主主机的安全性•限制只能在网络层面与蜜罐进行交互捕获网络连接和攻击企图•日志功能接收网络流量Honeyd模拟的蜜罐系统接收相应网络流量三种方式•为Honeyd模拟的虚拟主机建立路由•ARP代理•支持网络隧道模式(GRE)Honeyd体系框架路由模块中央数据包分发器•将输入的数据包分发到相应的协议处理器协议处理器•Service模拟脚本个性化引擎配置数据库•存储网络协议栈的个性化特征路由模块Honeyd支持创建任意的网络拓扑结构•对路由树的模拟配置一个路由进入点可配置链路时延和丢包率模拟任意的路由路径•扩展将物理主机融合入模拟的网络拓扑通过GRE隧道模式支持分布式部署FTP服务模拟脚本case$incmd_nocaseinQUIT*)echo-e221Goodbye.\rexit0;;SYST*)echo-e215UNIXType:L8\r;;HELP*)echo-e214-Thefollowingcommandsarerecognized(*='sunimplemented).\recho-eUSERPORTSTORMSAM*RNTONLSTMKDCDUP\recho-ePASSPASVAPPEMRSQ*ABORSITEXMKDXCUP\recho-eACCT*TYPEMLFL*MRCP*DELESYSTRMDSTOU\recho-eSMNT*STRUMAIL*ALLOCWDSTATXRMDSIZE\recho-eREIN*MODEMSND*RESTXCWDHELPPWDMDTM\recho-eQUITRETRMSOM*RNFRLISTNOOPXPWD\recho-e214Directcommentstoftp@$domain.\r;;USER*)个性化引擎为什么需要个性化引擎?•不同的操作系统有不同的网络协议栈行为•攻击者通常会运行指纹识别工具,如Xprobe和Nmap获得目标系统的进一步信息•个性化引擎使得虚拟蜜罐看起来像真实的目标每个由Honeyd产生的包都通过个性化引擎•引入操作系统特定的指纹,让Nmap/Xprobe进行识别•使用Nmap指纹库作为TCP/UDP连接的参考•使用Xprobe指纹库作为ICMP包的参考日志功能Honeyd的日志功能•Honeyd对任何协议创建网络连接日志,报告试图发起的、或完整的网络连接•在网络协议模拟实现中可以进行相关信息收集Feb1223:06:33Connectiontoclosedport:udp(210.35.128.1:1978-172.16.85.101:1978)Feb1223:23:40Connectionrequest:tcp(66.136.92.78:3269-172.16.85.102:25)Feb1223:23:40Connectionestablished:tcp(66.136.92.78:3269-172.16.85.102:25)-shscripts/smtp.shFeb1223:24:14Connectiondroppedwithreset:tcp(66.136.92.78:3269-172.16.85.102:25)Feb1223:34:53Killingattemptedconnection:tcp(216.237.78.227:3297-172.16.85.102:80)WedFeb1223:23:40UTC2003:SMTPstartedfromPortEHLOrelay.verizon.netHoneyd的应用反蠕虫•SnipeBlaster:adddefaulttcpport4444/bin/shscripts/strikeback.sh$ipsrcHoneycomb–SIGCOMMpaper•自动生成NIDS检测特征巴西蜜罐联盟-安全监测蜜罐技术概述蜜罐技术的提出蜜罐技术基本概念、分类及优势虚拟蜜罐工具-Honeyd蜜罐技术发展历程,当前研究热点蜜罐技术的发展历程蜜罐(Honeypot)•物理蜜罐•虚拟蜜罐工具:DTK,Honeyd•专用蜜罐工具:mwcollect,nepenthes蜜网(Honeynet)•TheHoneynetProject•Gen1/Gen2/Gen3Honeynet•ResearchPurpose蜜场(Honeyfarm)•蜜罐技术如何有效地对一个大型网络提供防护功能?•外/内部安全威胁的发现、重定向、跟踪蜜场蜜罐技术研究热点虚拟蜜罐工具•AHoneypotframework-Honeyd•针对不同互联网安全威胁恶意软件:mwcollect,nepenthes蜜网体系框架•数据分析与可视化-关联分析•维护过程:过程规范、工具/脚本支持蜜场•重定向机制:网关重定向(Bait-n-Switch),接入网重定向•蜜罐的伪装性问题:主动式蜜罐技术客户端蜜罐-捕获并分析针对客户端的安全威胁•僵尸网络:Drone,HoneyBot•针对浏览器的安全威胁(恶意网站,spyware):Honeyclient,HoneyMonkey休息、提问时间10分钟Gen3蜜网技术蜜网技术的基本原理和发展历程Gen3蜜网技术框架及核心需求Gen3蜜网技术细节数据控制机制数据捕获机制数据分析机制Gen3蜜网部署实例讲解什么是蜜网技术?实质上是一种研究型、高交互型的蜜罐技术一个体系框架•包括一个或多个蜜罐•多层次的数据控制机制-高度可控•全面的数据捕获机制•辅助研究人员对攻击数据进行深入分析虚拟蜜网在一台机器上部署蜜网的解决方案•VMware&UserModeLinux优势•减少部署成本•更容易管理劣势•虚拟机的指纹-虚拟硬件的配置信息蜜网项目组非赢利性研究机构目标•Tolearnthetools,tactics,andmotivesoftheblackhatcommunityandsharetheselessonslearned历史•1999–非正式的邮件列表•June2000–演变为蜜网项目组•Jan.2002–发起