Honeypot扫描检测系统的设计与实现.pdfVIP

第 32 卷第 1 期 Vol.32 油 1 计算机工程 Computer Engineering 2006 年 1 月 January 2006 ·安全技术· 文章编号I 100伽一.3428(2006)01-017←-03 文献标识码I A 中回分羹号I TP309 Honeypot 扫描检测系统的设计与实现 尹春梅，李明楚，马剑波 (天津大学电信学院计算机系，天津 30∞72) 摘要:针对原有安全策略的被动局面和入侵检测系统的弱点，设计并实现了 honeypot 扫描检测系统，将主动防御的 honeypot 技术和被 动防御的入侵检测相结合，设计了检测慢扫描的二维链表结构，引入了事件机制，并对己有的扫描检测方法进行了分析和改进，成为一种 新的方法应用于现在的系统中。测试结果表明，该系统具有扫描预警，检测慢扫描和未知攻击的能力，误报率和漏报率都很低。 关键词: Honeypot; 墙口扫描;入侵检测系统;慢扫描 Design and Implementation of Honeypot Scan Detection System YIN Chunmei, LI Mingchu, MA Jianbo (Department of Computer Science and Technology, School of Electronic Information Engineering, Tianjin University, Tianjin 300072) [Abstract) Computer security has been focused on passive defense stra也gies and intrusion detection system has its own security vulnerability. This paper designs and implements honeypot scan detection system, combines 由巳 active defense honeypot with passive defense intrusion detection, introduces a new 2-dimension link structure for slow scan and new event mechanism in the system, and solves some weaknesses in known techniques.τbe tests on this system in a typical network environment show 由at the system can provide early warning about scan, detecting slow scan and some new, attacks and has very low false positives and false negatives [Key words) Honeypot; Port-scan; Intrusion detection system; Slow scan 网络的出现改变了人们的生活方式，比如信息大爆炸， 新的电子商务的出现，黑客与信息安全相伴而生。扫描探测、 侵入驻留、种植木马、消除痕迹，往往是黑客入侵的 4 步曲， 而有针对性的大规模的端口扫描往往是入侵者发动进攻的前 奏。目前，由于秘密扫描、分片扫描和慢扫描等新的扫描技 术的应用，因此扫描的检测更加困难。如果能够尽早并且准 确地检测到黑客的恶意扫描行为，那么就可以从容应对黑客 的入侵。 防火墙和入侵检测系统(Intrusion Detection System, IDS) 一直作为保护网络安全的重要工具，体现了以往信息安全被 动防御的策略和技术。随着新的技术和网络应用的出现，作 为一个有价值的网络安全系统， IDS 也暴露出自身的弱点。 数据量过载，较高的误报率和漏报率，对于加密的数据和通 过 IPv4 隧道发送的 IPv6 的报文无法检测，对未知攻击方式 的防护放果也不理想，都是 IDS 面临的主要问题。 honeypot ， 作为网络欺骗技术的→种，可以迅速地检测到入侵者的攻击 并获得其进攻技术和意图，而且可以影响入侵者的意志及消 耗入侵者的资源[IJ。通过将 honeypot 散布在网络的正常系统 和资源中，增大了入侵者遭遇欺骗的可能性。 1 技术原理 1.1 IDS 入侵检测是一种识别网络中异常行为的技术。 IDS 是检 测入侵行为的系统，它通过对网络中或计算机系统中的若干 关键点收集信息并对其进行分析，从中发现网络或系统中是 否有违反安全