《智能分布式攻击与防御》由会员分享,可在线阅读,更多相关《智能分布式攻击与防御(24页珍藏版)》请在金锄头文库上搜索。
1、智能分布式攻击与防御Stillwatersrundeep.流静水深流静水深,人静心深人静心深Wherethereislife,thereishope。有生命必有希望。有生命必有希望智能分布式攻击与防御Tone2003.12.23Copyright Tone 2003主要内容目前分布式攻击介绍 类型 缺点智能型分布式攻击 体系结构 特点小结主要内容智能型分布式防御体系结构异常行为判定特点实现关键目前分布式攻击类型弱C/S模式型 客户端通过Ftp、Web、Mail等方式和控制端联系。强C/S模式型 Tfn、Tfn2K、Trinoo。 目前分布式攻击类型随机扩散型 SQL Slammer、冲击波病毒
2、等弱C/S模式型+随机扩散型 在具备弱C/S模型的基础上,自身具备传播机制,增加了一定程度的随机扩散的功能。 目前分布式攻击缺点可控性差 随机扩散型传播机制单一 被动传播、主动传播,传播条件受限隐藏性差 可使用第三方工具如Regmon、Filemon、Fport等发现并清除智能型分布式攻击 体系结构 特点小结智能分布式攻击体系结构智能型分布式攻击特点可控性强隐蔽性强可更新性智能性通信安全保密性可控性传播可控性 总控制端可以控制传播的范围、层次、传播目标等参数。 攻击可控性 可以控制攻击的开始时间、停止时间、攻击类型、攻击目标范围、攻击目标特征和攻击进行地层次等参数。攻击效果可知性 客户端及时返
3、回攻击效果至上层,并逐层传递。隐蔽性Linux基于用户空间隐藏 名字欺骗、文件替换Windows基于用户空间隐藏 改变文件属性,名字欺骗 相当一部分病毒,木马采用该手段,仍具备较大的迷惑性 基于用户空间的API Hook基于用户空间的API Hook文件隐藏 替换Kernel32.dll中的CreateFileA/W、DeleteFileA/W、FindFirstFileA/W、FindNextFileA/W等函数。注册表隐藏 替换Advapi32.dll中的RegOpenKeyExA/W、RegEnumValueA/W、RegEnumKeyExA/W、RegQueryInfoKeyA/W等函
4、数。进程隐藏 替换ntdll.dll中的ZwQuerySystemInformation函数。 隐蔽性Linux基于内核空间的隐藏 LKM;注意自身的隐藏;避免输出符号Windows基于内核空间的隐藏 ntrootkit,修改服务描述表 进一步研究 内核空间隐藏和用户空间隐藏相结合可更新性主动更新 子结点发送更新请求至父结点或者同层结点被动更新 父结点强制更新子结点,并依次向下更新智能更新 子结点通过自学习进行更新智能性传播智能性 根据不同的传播环境选择不同的传播方式攻击智能性 同层结点或子父结点互相协调,生成最佳攻击方式未来移动设备智能性 手机、PDA、3G、家电、汽车等终端智能型分布式攻击
5、特点通信安全保密性 通信过程安全、保密;具有较好的隐藏性,可采用数字水印的思想小结 理想结果:可智能完成一体化的攻击过程智能型分布式防御体系结构异常行为判定特点实现关键智能型分布式防御体系结构异常行为判定异常网络行为判定 数据包特征值匹配和攻击模式匹配结合异常主机行为判定 挖掘主机特征,正常行为模式 特征匹配和异常主机行为匹配相协调异常“网络+主机”行为判定 提高准确度智能型分布式防御特点尽量在底层解决问题 无法处理时,逐级上传至父节点进行处理;处理完毕后子节点更新处理方式并反馈处理结果可控性 父节点可指定子节点的处理方式及添加、删除等智能型分布式防御特点智能性能够学习本机正常行为,自动进行正常行为建模。对异常的行为具有学习记忆功能。可根据父节点反馈的信息智能更新异常行为判定模式。针对攻击的协同防御。 可更新性 同智能型分布式攻击实现关键高效可靠的检测算法计算机免疫技术神经网络技术遗传算法 综合应用数据挖掘、模型推理、关联技术、人工智能等技术可移动代理技术 各节点智能迁移Thanks !
