新蜜罐技術(shù)研究-PPT課件_第1頁
新蜜罐技術(shù)研究-PPT課件_第2頁
新蜜罐技術(shù)研究-PPT課件_第3頁
新蜜罐技術(shù)研究-PPT課件_第4頁
新蜜罐技術(shù)研究-PPT課件_第5頁
已閱讀5頁,還剩19頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、新蜜罐技術(shù)研究 岳麗 2019/12/03內(nèi)容提要蜜罐技術(shù)蜜罐概念蜜罐技術(shù)發(fā)展歷史蜜罐分類蜜罐作用蜜罐存在的問題相關(guān)技術(shù)介紹入侵檢測系統(tǒng)數(shù)據(jù)挖掘技術(shù)入侵檢測中的數(shù)據(jù)挖掘新蜜罐技術(shù)蜜罐概念什么是蜜罐?蜜罐概念蜜網(wǎng)項(xiàng)目組給出了蜜罐的權(quán)威定義 “A security resource whos value liesin being probed ,attacked or compromised”蜜罐并無其他實(shí)際作用,所以流入流出蜜罐的網(wǎng)絡(luò)流量都可以預(yù)示了掃描,攻擊和 攻陷蜜罐的核心價值就在于對攻擊活動進(jìn)行 監(jiān)視、檢測和分析蜜罐技術(shù)的發(fā)展歷史真實(shí)被黑客所攻擊的主機(jī)和系統(tǒng)(1990) 僅限于一種構(gòu)想,通

2、常由網(wǎng)絡(luò)管理人員應(yīng)用,通過欺騙黑客達(dá)到追蹤目的虛擬蜜罐工具(2019) 一些安全研究人員開發(fā)出一些專門用于欺騙黑客的開源工具(eg:DTK,Honeyd)能夠模擬成虛擬os和網(wǎng)絡(luò)服務(wù),并對黑客的攻擊行為做出回應(yīng),從而欺騙黑客蜜罐技術(shù)的發(fā)展歷史被監(jiān)控的真實(shí)系統(tǒng)(2000) 融入了更強(qiáng)大的數(shù)據(jù)捕獲、數(shù)據(jù)分析、數(shù)據(jù)控制工具 將蜜罐納入一個完整的蜜網(wǎng)體系中 蜜罐的分類部署目標(biāo) 產(chǎn)品型 研究型交互性:攻擊者在蜜罐中活動的交互性級別 低交互型 高交互型 蜜罐的作用迷惑入侵者,保護(hù)服務(wù)器抵御入侵者,加固服務(wù)器誘捕網(wǎng)絡(luò)犯罪 蜜罐存在的問題視野局限安全風(fēng)險 一個蜜罐一旦遭受了攻擊,就可以被用于攻擊、滲透,甚至危

3、害其他的系統(tǒng)或組織實(shí)現(xiàn)蜜罐價值的關(guān)鍵所在如何提高蜜罐系統(tǒng)的欺騙性和數(shù)據(jù)捕獲能力達(dá)到高性能如何實(shí)現(xiàn)蜜罐自身的安全保證低風(fēng)險入侵檢測系統(tǒng)入侵檢測系統(tǒng)(IDS)的概念 依照一定的安全策略,對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視,盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性數(shù)據(jù)挖掘數(shù)據(jù)挖掘的定義 數(shù)據(jù)挖掘就是從大量的、不完全的、有噪聲的、模糊的、隨機(jī)的實(shí)際應(yīng)用數(shù)據(jù)中,提取隱含在其中的、人們事先不知道的、但又是潛在有用的信息和知識的過程數(shù)據(jù)挖掘的功能 數(shù)據(jù)挖掘通過預(yù)測未來趨勢及行為,做出前攝的、基于知識的決策。它的目標(biāo)是從數(shù)據(jù)庫中發(fā)現(xiàn)隱含的、有意義的知識入侵檢測中的數(shù)

4、據(jù)挖掘隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大,網(wǎng)絡(luò)安全專家所面臨并需要檢查的可疑行為數(shù)目也是急劇增加,入侵檢測中采用人工分析的解決方案讓人感到無力應(yīng)付由于開發(fā)過程中人為因素及難免的隨意性,當(dāng)前IDS的可擴(kuò)展性和自適應(yīng)性還非常有限入侵檢測中的數(shù)據(jù)挖掘提出問題:(1)能否找到一種可有效減輕系統(tǒng)分析員日常負(fù)擔(dān)的方法?(2)該方法能否幫助我們發(fā)現(xiàn)那些被監(jiān)測器與系統(tǒng)分析員遺漏的入侵?以數(shù)據(jù)為中心的觀點(diǎn)看,入侵檢測本身就是一個數(shù)據(jù)分析過程,同時在許多相關(guān)領(lǐng)域,數(shù)據(jù)挖掘已經(jīng)取得了成功的應(yīng)用,因此,數(shù)據(jù)挖掘在入侵檢測領(lǐng)域的應(yīng)用成為一個自然的話題入侵檢測中的數(shù)據(jù)挖掘數(shù)據(jù)挖掘研究在入侵檢測中的作用(1)將混雜在警告信號中的正常行為數(shù)

5、據(jù)剔除,使得分析人員能專注于真正的攻擊行為數(shù)據(jù)(2)鑒別誤警信號生成器以及不正常工作的監(jiān)測器的特征(3)找到包含真正攻擊行為異常數(shù)據(jù)(4)識別復(fù)雜的時序模式采用數(shù)據(jù)挖掘的方法,從歷史數(shù)據(jù)中自動生成規(guī)則將比原始的對入侵行為進(jìn)行手工編碼的方法具有靈活性和自適應(yīng)性新蜜罐技術(shù)結(jié)合入侵檢測技術(shù)、數(shù)據(jù)挖掘和傳統(tǒng)蜜罐技術(shù)的一種新型設(shè)計方案原理圖IDS檢測網(wǎng)絡(luò)流量控制蜜罐環(huán)境應(yīng)用環(huán)境數(shù)據(jù)挖掘分析網(wǎng)絡(luò)數(shù)據(jù)反饋信息入侵新蜜罐技術(shù)該蜜罐系統(tǒng)的設(shè)計出發(fā)點(diǎn)是利用真實(shí)的網(wǎng)絡(luò)資源為誘餌,吸引網(wǎng)絡(luò)攻擊者的入侵行為。當(dāng)入侵行為發(fā)生時,攻擊者將被引入一個虛擬的蜜罐環(huán)境被監(jiān)視控制整個系統(tǒng)是一個高交互度研究型蜜罐系統(tǒng),它不僅在功能和

6、性能上遠(yuǎn)遠(yuǎn)超出其他傳統(tǒng)蜜罐,而且在結(jié)合IDS技術(shù)應(yīng)用的同時還提供了IDS有利的數(shù)據(jù)挖掘環(huán)境,為訓(xùn)練IDS檢測能力提供了強(qiáng)大的輔助作用新蜜罐技術(shù)網(wǎng)絡(luò)拓?fù)鋱D 蜜網(wǎng)網(wǎng)關(guān)IDS集線器蜜罐中心數(shù)據(jù)庫數(shù)據(jù)挖掘中心應(yīng)用服務(wù)器非法/合法訪問者新蜜罐技術(shù)系統(tǒng)組成描述 該系統(tǒng)主要由蜜網(wǎng)網(wǎng)關(guān)、IDS、數(shù)據(jù)挖掘中心、蜜罐、中心數(shù)據(jù)庫組成蜜網(wǎng)網(wǎng)關(guān):它是一個網(wǎng)絡(luò)控制設(shè)備,主要功能(1)完成內(nèi)部IP的NAT轉(zhuǎn)換(2)阻止內(nèi)部向外的非法連接(3)阻止由蜜網(wǎng)網(wǎng)關(guān)內(nèi)部的主機(jī)向外的連接(4)允許由外部向內(nèi)部的所有連接(5)對應(yīng)用服務(wù)器的非工作端口數(shù)據(jù)包連接采用重定向功能,將連接應(yīng)用服務(wù)器的非工作端口的數(shù)據(jù)包重定向到蜜罐主機(jī)新蜜罐技

7、術(shù) (6)結(jié)合IDS聯(lián)動,將IDS檢測到的對應(yīng)用服務(wù)器的攻擊數(shù)據(jù)包重定向到蜜罐主機(jī)IDS:本系統(tǒng)中采用共享信息庫模式,主要功能(1)入侵預(yù)警并修改網(wǎng)關(guān)控制規(guī)則(2)入侵預(yù)警到數(shù)據(jù)挖掘中心數(shù)據(jù)挖掘中心:對蜜網(wǎng)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)和蜜罐的監(jiān)視數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘,發(fā)現(xiàn)可疑和有用的數(shù)據(jù)信息,并反饋到IDS事件信息庫新蜜罐技術(shù)蜜罐:它是一個高交互度蜜罐,該蜜罐由真實(shí)或虛擬的OS構(gòu)成,在這些蜜罐的操作系統(tǒng)或應(yīng)用服務(wù)中故意保存漏洞,等待攻擊者上當(dāng)中心數(shù)據(jù)庫:這里的數(shù)據(jù)庫包括對非法入侵?jǐn)?shù)據(jù)的記錄,攻擊數(shù)據(jù)挖掘結(jié)果,IDS事件信息庫新蜜罐技術(shù)系統(tǒng)模塊關(guān)系圖應(yīng)用服務(wù)器網(wǎng)關(guān)網(wǎng)絡(luò)控制網(wǎng)絡(luò)接口入侵檢測模塊IDS事件信息庫數(shù)據(jù)挖掘模塊中心數(shù)據(jù)庫陷阱系統(tǒng)網(wǎng)控制策略和絡(luò)IDS檢測后的合法訪問數(shù)據(jù)交互網(wǎng)絡(luò)數(shù)據(jù)訪問蜜罐系統(tǒng)IDS旁路偵聽檢測IDS特征庫模式匹配IDS修改網(wǎng)關(guān)控制策略經(jīng)網(wǎng)關(guān)重定向的入侵?jǐn)?shù)據(jù)交互入侵?jǐn)?shù)據(jù)交互的旁路偵聽陷阱系統(tǒng)的監(jiān)視數(shù)據(jù)發(fā)送到中心數(shù)據(jù)庫數(shù)據(jù)挖掘模塊在中心數(shù)據(jù)庫進(jìn)行數(shù)據(jù)挖掘數(shù)據(jù)挖掘中心更新IDS特征庫入侵檢測引擎的預(yù)警通知數(shù)據(jù)挖掘模塊新蜜罐技術(shù)新蜜罐系統(tǒng)優(yōu)勢 它成功的將蜜罐技術(shù)、入侵檢測技術(shù)、數(shù)據(jù)挖掘技術(shù)相結(jié)合形成一種

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論