网络爬虫 - 网络爬虫.ppt

北京大学计算机科学技术研究所蜜罐与蜜网技术介绍诸葛建伟诸葛建伟狩猎女神项目狩猎女神项目/The Artemis Project /The Artemis Project 2005-4-27 presented ERT 2005-4-27 presented ERT 北京大学计算机科学技术研究所 2 2 北京大学计算机科学技术研究所内容??蜜罐技术的提出蜜罐技术的提出??蜜罐技术蜜罐技术??蜜罐概念蜜罐概念??实例工具: 实例工具: DTK, DTK, honeyd honeyd ??蜜网技术蜜网技术??蜜网概念、蜜网项目组蜜网概念、蜜网项目组??实例工具: 实例工具: Gen II Gen II 蜜网蜜网??蜜罐蜜罐/ /蜜网技术的应用蜜网技术的应用??新概念和新方向新概念和新方向??狩猎女神项目狩猎女神项目北京大学计算机科学技术研究所蜜罐技术的提出要解决什么问题? 要解决什么问题? 4 4 北京大学计算机科学技术研究所互联网安全状况??安全基础薄弱安全基础薄弱??操作系统操作系统/ /软件存在大量漏洞软件存在大量漏洞??安全意识弱、安全加强安全意识弱、安全加强 rarely done rarely done ??任何主机都是攻击目标! 任何主机都是攻击目标! ?? DDoS DDoS 、跳板攻击需要大量傀儡主机、跳板攻击需要大量傀儡主机??蠕虫、病毒的泛滥蠕虫、病毒的泛滥??并不再仅仅为了炫耀并不再仅仅为了炫耀 5 5 北京大学计算机科学技术研究所互联网安全状况(2) ??攻击者不需要太多技术攻击者不需要太多技术??攻击工具的不断完善攻击工具的不断完善??更多的目标: 更多的目标: Linux Linux 、、 Windows Windows ??更容易使用,工具整合更容易使用,工具整合–– Metasploit Metasploit : 30+ Exploits : 30+ Exploits ??更强力更强力??攻击脚本和工具可以很容易得到和使用攻击脚本和工具可以很容易得到和使用?? 0-day exploits: 0-day exploits: packetstorm packetstorm ??团队协作团队协作 6 6 北京大学计算机科学技术研究所网络攻防的不对称博弈??工作量不对称工作量不对称??攻击方:夜深人静攻击方:夜深人静, , 攻其弱点攻其弱点??防守方: 防守方: 24 24 * *7 7* * 365, 365, 全面防护全面防护??信息不对称信息不对称??攻击方:通过网络扫描、探测、踩点对攻击目标攻击方:通过网络扫描、探测、踩点对攻击目标全面了解全面了解??防守方:对攻击方一无所知防守方:对攻击方一无所知??后果不对称后果不对称??攻击方:任务失败,极少受到损失攻击方:任务失败,极少受到损失??防守方:安全策略被破坏,利益受损防守方:安全策略被破坏,利益受损 7 7 北京大学计算机科学技术研究所蜜罐技术的提出??扭转工作量不对称扭转工作量不对称??增加攻击代价-假目标增加攻击代价-假目标??扭转信息不对称-了解你的敌人! 扭转信息不对称-了解你的敌人! ??他们是谁? 他们是谁? ??他们使用什么工具?如何操作? 他们使用什么工具?如何操作? ??为什么攻击你? 为什么攻击你? ??扭转后果不对称扭转后果不对称??防守方不受影响损失防守方不受影响损失??计算机取证-对攻击方的威慑计算机取证-对攻击方的威慑北京大学计算机科学技术研究所蜜罐技术什么是蜜罐? 什么是蜜罐? 蜜罐的发展历史蜜罐的发展历史 Fred Cohen Fred Cohen –– DTK DTK Honeyd Honeyd 9 9 北京大学计算机科学技术研究所蜜罐的概念?? Honeypot Honeypot : : 首次出现在首次出现在 Cliff Stoll Cliff Stoll 的的小说小说““ The Cuckoo The Cuckoo ’’ s Egg s Egg ””(1990) (1990) ??蜜网项目组给出如下定义: 蜜网项目组给出如下定义: ??““ A security resource who A security resource who ’’ s value lies s value lies in being probed, attacked or in being probed, attacked or promised ””??没有业务上的用途,因此所有流入没有业务上的用途,因此所有流入/ /流出蜜流出蜜罐的流量都预示着扫描、攻击及攻陷罐的流量都预示着扫描、攻击及攻陷??用以监视、检测和分析攻击用以监视、检测和分析攻击 10 10 北京大学计算机科学技术研究所蜜罐技术的