入侵检测系统结合蜜罐技术的研究和设计.pdfVIP

维普资讯 本栏目责任编辑：冯蕾 网络通讯及安全 入侵检测系统结合蜜罐技术的研究与设计 阮忠 (桂林电子科技大学 计算机与控制学院，广西 桂林 541004) 摘要：分析了目前的入侵检测系统本身存在着缺陷，比如特征检测中规则库不完备。介绍了蛮罐系统安全上所具有的优势。设计出入 侵检测系统与蜜罐相结合的Honey—IDS技术，有效提高网络的安全。 关键词 ：网络安全 ；IDS；Honeypot 中图分类号：TP393 文献标识码 ：A 文章编号：1009-3044(2008)o4-10635-02 TheResearchandDesignforIntrusionDetectionSystem CombinedHoneypotTechnology RUAN Zhong (ComputerandControlDepartment，GuilinInstituteofElecrtonicTechnology，Guilin541004，China) Abstract：InthispapertheshortcominghtecurrentlnutsionDecectionSystem aleanalyzed．Suchastheruledatabaseofcharacteristicde— tectionisnotperfect．W hileHoneypothashteadvanatgesonsystem security，combineIDSnadHoneypot，Honey—IDSsidesign toim- provehtenetworksecuriyt efl~ciendy． Keywords：newtorksecuriyt；IDS；Honeypot 随着计算机及网络系统中存储的重要信息越来越多，以及在网上进行的商务活动量的剧增。系统的安全问题显得 日益突出，我 们需要尽可能找到更好的措施 以保护系统免受入侵者的攻击，入侵检测技术也就应运而生。目前，入侵检测技术已是网络安全中一 项非常重要的技术，是继 “防火墙”、“数据加密”等传统安全保护措施之后的新一代安全保障技术。入侵检测技术作为一种积极主动 的防御技术。在一定程度上能为系统的安全提供有力的保护。 现在。很多的科学研究机构 、公司企业都致力于入侵检测系统 IDS(IntmsionDetectionSystem)~ 论研究和产品开发。检测的手 段主要是运用神经网络、遗传算法、模糊技术、免疫原理等方法来识别人侵特征。入侵检测还可以利用具有 自学习能力的专家系统。 实现特征库的不断升级、扩展，增强 IDS对新攻击的识别能力．从而提高IDS的安全防范能力。 l入侵检测系统的缺点 通常IDS要从受监听的大量流量 中发现异常，特征库的更新 、升级非常重要 。漏报 、误报异常流量是一个IDS经常会 出现的问 题。判断一个 IDS的好坏有两个指标 ：一是对攻击检测的准确性 ，二是对攻击检测的及时性，经过多年 的发展，虽然IDS技术方面已 经有了很大的提高，但是还有很多问题要解决。 1．1误报(FalsePositives) 所有的网络入侵检测系统都有一个最大的缺点，即产生虚假的报警信息。例如，一个带有演示某个攻击实例的HTML网页会被 IDS认为是攻击行为，因为实例代码匹配了某条规则。在诸如此类的情况下。网络入侵检测系统一般都会产生大量的报警信息，要对 这些海量的报警信息进行分析以取得有价值的信息既耗费资源又浪费时间，而且需要专业人士进行分析。 1．2漏报(FalseNegatives) 正如IDS会经常产生虚假的报警信息一样。它们也可能漏报。尤其是对新出现的攻击。攻击者有可能开发出新的工具或者方 法绕过 IDS。这样网络对新的攻击工具或者方法就没有任何免疫力。 1,3更新(Update1 IDS除了会产生大量的虚假报警信息之外。还存在及时更新规则库的问题。一旦有新的攻击出现，就要定义相应的规则，否则 IDS就会漏报这种攻击。更新规则的过程永无止境 ，如同新攻击层 出不穷一样 。 收稿 日期 ：2008-01-04 作者简介 ：阮忠(1973-)，男，广西宜州人 ，硕士，讲师，研究方 向：计算机 网络安全。 维普资讯 · 网络通讯及安全 ······