智能分布式攻击与防御
智能分布式攻击与防御
智能分布式攻击与防御
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
智 能 分 布 式 攻 击 与 防 御<br />
作 者 :_ _tone___<br />
日 期 :_2003-12__
智 能 分 布 式 攻 击 与 防 御<br />
Tone<br />
2003.12.23<br />
Copyright © Tone 2003
主 要 内 容<br />
• 目 前 分 布 式 攻 击 介 绍<br />
‣ 类 型<br />
‣ 缺 点<br />
• 智 能 型 分 布 式 攻 击<br />
‣ 体 系 结 构<br />
‣ 特 点<br />
‣ 小 结
主 要 内 容<br />
• 智 能 型 分 布 式 防 御<br />
‣ 体 系 结 构<br />
‣ 异 常 行 为 判 定<br />
‣ 特 点<br />
‣ 实 现 关 键
目 前 分 布 式 攻 击 类 型<br />
• 弱 C/S 模 式 型<br />
客 户 端 通 过 Ftp、Web、Mail 等 方 式 和<br />
控 制 端 联 系 。<br />
• 强 C/S 模 式 型<br />
Tfn、Tfn2K、Trinoo。
目 前 分 布 式 攻 击 类 型<br />
• 随 机 扩 散 型<br />
SQL Slammer、 冲 击 波 病 毒 等<br />
• 弱 C/S 模 式 型 + 随 机 扩 散 型<br />
在 具 备 弱 C/S 模 型 的 基 础 上 , 自 身 具 备<br />
传 播 机 制 , 增 加 了 一 定 程 度 的 随 机 扩 散 的<br />
功 能 。
目 前 分 布 式 攻 击 缺 点<br />
• 可 控 性 差<br />
随 机 扩 散 型<br />
• 传 播 机 制 单 一<br />
被 动 传 播 、 主 动 传 播 , 传 播 条 件 受 限<br />
• 隐 藏 性 差<br />
可 使 用 第 三 方 工 具 如 Regmon、Filemon、<br />
Fport 等 发 现 并 清 除
智 能 型 分 布 式 攻 击<br />
‣ 体 系 结 构<br />
‣ 特 点<br />
‣ 小 结
智 能 分 布 式 攻 击 体 系 结 构
智 能 型 分 布 式 攻 击 特 点<br />
• 可 控 性 强<br />
• 隐 蔽 性 强<br />
• 可 更 新 性<br />
• 智 能 性<br />
• 通 信 安 全 保 密 性
可 控 性<br />
• 传 播 可 控 性<br />
总 控 制 端 可 以 控 制 传 播 的 范 围 、 层 次 、 传 播<br />
目 标 等 参 数 。<br />
• 攻 击 可 控 性<br />
可 以 控 制 攻 击 的 开 始 时 间 、 停 止 时 间 、 攻 击<br />
类 型 、 攻 击 目 标 范 围 、 攻 击 目 标 特 征 和 攻 击 进 行<br />
地 层 次 等 参 数 。<br />
• 攻 击 效 果 可 知 性<br />
客 户 端 及 时 返 回 攻 击 效 果 至 上 层 , 并 逐 层 传<br />
递 。
隐 蔽 性<br />
• Linux 基 于 用 户 空 间 隐 藏<br />
名 字 欺 骗 、 文 件 替 换<br />
• Windows 基 于 用 户 空 间 隐 藏<br />
‣ 改 变 文 件 属 性 , 名 字 欺 骗<br />
相 当 一 部 分 病 毒 , 木 马 采 用 该 手 段 ,<br />
仍 具 备 较 大 的 迷 惑 性<br />
‣ 基 于 用 户 空 间 的 API Hook
基 于 用 户 空 间 的 API Hook<br />
• 文 件 隐 藏<br />
替 换 Kernel32.dll 中 的 CreateFileA/W、<br />
DeleteFileA/W、FindFirstFileA/W、FindNextFileA/W 等<br />
函 数 。<br />
• 注 册 表 隐 藏<br />
替 换 Advapi32.dll 中 的 RegOpenKeyExA/W、<br />
RegEnumValueA/W、RegEnumKeyExA/W、<br />
RegQueryInfoKeyA/W 等 函 数 。<br />
• 进 程 隐 藏<br />
替 换 ntdll.dll 中 的 ZwQuerySystemInformation 函 数 。
隐 蔽 性<br />
• Linux 基 于 内 核 空 间 的 隐 藏<br />
LKM; 注 意 自 身 的 隐 藏 ; 避 免 输 出 符 号<br />
• Windows 基 于 内 核 空 间 的 隐 藏<br />
ntrootkit, 修 改 服 务 描 述 表<br />
进 一 步 研 究<br />
• 内 核 空 间 隐 藏 和 用 户 空 间 隐 藏 相 结 合
可 更 新 性<br />
• 主 动 更 新<br />
子 结 点 发 送 更 新 请 求 至 父 结 点 或 者 同 层 结 点<br />
• 被 动 更 新<br />
父 结 点 强 制 更 新 子 结 点 , 并 依 次 向 下 更 新<br />
• 智 能 更 新<br />
子 结 点 通 过 自 学 习 进 行 更 新
智 能 性<br />
• 传 播 智 能 性<br />
根 据 不 同 的 传 播 环 境 选 择 不 同 的 传 播 方 式<br />
• 攻 击 智 能 性<br />
同 层 结 点 或 子 父 结 点 互 相 协 调 , 生 成 最 佳 攻<br />
击 方 式<br />
• 未 来 移 动 设 备 智 能 性<br />
手 机 、PDA、3G、 家 电 、 汽 车 等 终 端
智 能 型 分 布 式 攻 击 特 点<br />
• 通 信 安 全 保 密 性<br />
通 信 过 程 安 全 、 保 密 ; 具 有 较 好 的 隐<br />
藏 性 , 可 采 用 数 字 水 印 的 思 想<br />
• 小 结<br />
过 程<br />
理 想 结 果 : 可 智 能 完 成 一 体 化 的 攻 击
智 能 型 分 布 式 防 御<br />
‣ 体 系 结 构<br />
‣ 异 常 行 为 判 定<br />
‣ 特 点<br />
‣ 实 现 关 键
智 能 型 分 布 式 防 御 体 系 结 构
异 常 行 为 判 定<br />
• 异 常 网 络 行 为 判 定<br />
数 据 包 特 征 值 匹 配 和 攻 击 模 式 匹 配 结 合<br />
• 异 常 主 机 行 为 判 定<br />
挖 掘 主 机 特 征 , 正 常 行 为 模 式<br />
特 征 匹 配 和 异 常 主 机 行 为 匹 配 相 协 调<br />
• 异 常 “ 网 络 + 主 机 ” 行 为 判 定<br />
提 高 准 确 度
智 能 型 分 布 式 防 御 特 点<br />
• 尽 量 在 底 层 解 决 问 题<br />
无 法 处 理 时 , 逐 级 上 传 至 父 节 点 进 行 处<br />
理 ; 处 理 完 毕 后 子 节 点 更 新 处 理 方 式 并 反<br />
馈 处 理 结 果<br />
• 可 控 性<br />
父 节 点 可 指 定 子 节 点 的 处 理 方 式 及 添<br />
加 、 删 除 等
智 能 型 分 布 式 防 御 特 点<br />
• 智 能 性<br />
‣ 能 够 学 习 本 机 正 常 行 为 , 自 动 进 行 正 常 行 为 建<br />
模 。<br />
‣ 对 异 常 的 行 为 具 有 学 习 记 忆 功 能 。<br />
‣ 可 根 据 父 节 点 反 馈 的 信 息 智 能 更 新 异 常 行 为 判 定<br />
模 式 。<br />
‣ 针 对 攻 击 的 协 同 防 御 。<br />
• 可 更 新 性<br />
同 智 能 型 分 布 式 攻 击
实 现 关 键<br />
• 高 效 可 靠 的 检 测 算 法<br />
‣ 计 算 机 免 疫 技 术<br />
‣ 神 经 网 络 技 术<br />
‣ 遗 传 算 法<br />
‣ 综 合 应 用 数 据 挖 掘 、 模 型 推 理 、 关 联 技 术 、 人 工<br />
智 能 等 技 术<br />
• 可 移 动 代 理 技 术<br />
各 节 点 智 能 迁 移
Thanks !
Change language