Transcript Dionaea - 清华大学网络与信息安全实验室

Consesi项目
安全评估与监测服务
诸葛建伟
安全评估类服务
• 评估对象
– 高校的关键服务器和网络
• 评估服务项目
– 网络层
• 示范服务：IP源地址欺骗过滤测量服务
– 系统层
• 示范服务：基于SCAP的关键服务器远程安全评估服务
– 应用层
• 示范服务：网站安全扫描和挂马检测服务
网络层安全评估示范服务
－IP源地址欺骗过滤测量服务
• IP源地址欺骗过滤测量服务
– 实验室自主实现（江健、郑明、郭军权）
– 测量目标
• 第一阶段：测量两点间是否过滤源地址欺骗包，过滤何种
• 第二阶段：测量两点路由路径中的过滤点及过滤规则
• 系统组成
– 平台服务：IP源地址欺骗过滤测量客户端服务ip_spoof_tester
– 平台服务：IP源地址欺骗过滤测量监听端服务ip_spoof_monitor
– 命令行应用程序：IP源地址欺骗过滤测量工具ip_spoof_test
/ip_spoof_trace
– Web应用程序：单点的IP源地址欺骗过滤测量程序
ip_spoof_test_webui
– Web应用程序：全局的IP源地址欺骗过滤测量程序
ip_spoof_test_global
IP源地址欺骗过滤测量服务系统结构
IP源地址欺骗过滤测量平台服务
• ip_spoof_tester，提供两个服务接口
– spooftester
• 完成第一阶段目标，确定是否过滤及过滤何种欺骗包
• 构造不同前缀源地址欺骗包，向申请到的目标地址
ip_spoof_monitor服务监听端口进行发送
– tracefilter
• 完成第二阶段目标，确定路由路径中的过滤点和过滤规则
• 构造TTL递增1，以申请到的第三方ip_spoof_monitor地址作为欺骗
源地址，发送欺骗包
• ip_spoof_monitor，提供两个服务接口
– spoofmonitor，可并行服务接口，通过端口号区分不同实例
• 接收spooftester发来的欺骗包，并向其汇报接收结果
– Tracemonitor，可并行服务接口
• 接收路由路径中的路由器发来(欺骗源地址)的ICMP超时报文
• 向tracefilter汇报接收结果
IP源地址欺骗过滤测量命令行程序
• ip_spoof_test关键命令行参数(第一阶段测量)
– 测量源地址，查询目录确认源地址上有可用的
ip_spoof_test服务
– 测量目标地址，查询目录确认目的地址上有可用的
ip_spoof_monitor服务
• ip_spoof_trace关键命令行参数(第二阶段测量)
– 测量源地址，查询目录确认源地址上有可用的
ip_spoof_test服务
– 测量目标地址，第二阶段无需与测量目标进行交互
– 欺骗源地址，查询目录以确认欺骗源地址上有可用的
ip_spoof_test服务－tracemonitor服务接口
系统层安全评估示范服务
－基于SCAP的关键服务器远程安全评估服务
• SCAP
– 目前主流应用是需授权的安全配置核查
– 细致的安全配置核查与评估需授权或主机Agent程
序协助
– 远程安全评估功能限于：漏洞与补丁扫描
• 计划联合绿盟合作研究及推进
– 绿盟极光漏洞扫描与安全评估系统
– 已联系绿盟战略官赵粮，但尚无反馈，另联系了绿
盟技术人员
• 安排王珩进行了SCAP协议与FDCC计划调研
应用层安全评估示范服务
－网站安全扫描和挂马检测服务
• 网站安全扫描和挂马检测服务
– 潜在合作对象：北大ERCIS、知道创宇；第三方集成：Google
– 评估对象：高校网络中关键网站列表(由用户通过Web应用端提交)
– 评估服务项目：网站安全漏洞扫描，网站挂马检测
• 系统组成
– 网站安全扫描服务
• 平台服务：网站安全漏洞扫描服务web_vulnerability_scanner
• 命令行应用程序：网站安全漏洞扫描web_vulneraility_scan
• Web应用程序：网站安全漏洞扫描Web应用端web_vulnerability_scan_webui
– 网站挂马检测服务
• 平台服务：网站挂马检测服务web_malware_detector
• 命令行应用程序：网站挂马检测web_malware_detect
• Web应用程序：网站挂马检测Web应用端web_malware_detect_webui
网站挂马检测服务系统结构
网站挂马检测平台服务
• 网站挂马检测平台服务(web_malware_detector)，提供两
个服务接口
• 网站挂马检测任务注册服务接口：
(web_malware_detector_register)
– 功能：注册网站挂马检测任务
– 参数：用户ID，待检测网站根域名列表，待检测网站域名列表，检测结果
联系方式(联系人名称、联系人邮件地址、手机号可选)，新注册/修改
– 返回结果：注册处理状态(同步模式返回提交结果，异步模式返回处理结
果)
• 网站挂马检测结果数据接口(web_malware_detector_result)
– 功能：查询网站挂马检测结果
– 参数：查询模式(通过用户ID批量查询/单网站查询)，
用户ID/网站域名，查询时间周期 (当天/当周/从给定日期以来)
– 返回结果：查询网站(列表)在查询时间周期中被挂马网站情况，以及检测
结果情况（网站域名、最近检测时间、最近检测状态、检测页面数量/挂
马页面数量…）
安全协同监测与响应类服务
• 监测对象
– 针对高校关键服务器和网络的渗透攻击与恶意代码
• 安全协同监测与响应类服务项目
– 数据采集环节
• 示范服务：Dionaea渗透攻击与恶意代码采集服务
• 示范服务：SSH Deny-host威胁主机数据采集服务
– 数据分析环节
• 示范服务：CERNET安全威胁数据汇总与分析中心
– Dionaea渗透攻击、恶意代码数据
– SSH Deny-host威胁主机数据
– 事件报告与安全响应环节
• 示范服务：高校安全事件报告与应急响应支持服务
安全协同监测与响应服务系统结构
Dionaea渗透攻击与恶意代码采集工具
• Dionaea (捕蝇草)项目
– http://dionaea.carnivore.it/
– The Honeynet Project Giraffe Chapter
– 开源的低交互式服务器端蜜罐
• Dionaea (捕蝇草)技术原理与特性
– 模拟网络协议栈和一些常用应用层服务
• SMB/http/https/ftp/tftp/MSSQL/VoIP(Python)
– 捕获恶意代码的Exploit/Shellcode/Download
• 模拟各个服务中存在的已知安全漏洞(Python)
• 基于libemu指令启发式搜索和模拟执行识别与分析Shellcode
• 通过提取到的URL下载恶意代码样本：ftp/tftp/http
– 提交采集日志与样本：log/sqlite/xmpp->pg_backend
Dionaea渗透攻击与恶意代码采集服务
• 部署形式
– 服务器中的虚拟机(Ubuntu)
– 无线路由器(openwrt编译链接)
• 服务封装
– 由Agent(服务代理)进行服务注册与封装
– 启动/关闭服务、配置服务XMPP远程提交位置
等
SSH Deny-host威胁主机数据采集服务
• 维护deny-host威胁主机数据文件
• 提供HTTP接口，获取给定时间周期内的更
新数据
CERNET安全威胁数据汇总与分析中心
• 安全威胁数据的汇总
– XMPP Backend  SQL Database
• 调用各类安全威胁数据分析服务
– 基于硬件虚拟化的恶意代码自动行为分析服务
– …
• 向用户分发订阅的关注安全威胁数据
• Threat Data Format/API
• 参考项目
– WOMBAT FP7 Project
– Security Event System
– MITRE: Make Security Measurable