入侵检测系统中的蜜罐技术应用.docVIP

入侵检测系统中的蜜罐技术应用 　　摘要: 蜜罐作为一种主动的安全防御技术被引入网络安全领域。它的价值体现在它希望被攻击和威胁以获得攻击者更多的信息和攻击技术。同时通过吸引攻击者的攻击而保护真正的系统。 　　关键词:蜜罐;入侵检测;防火墙 　　中图分类号:TP393文献标识码:A 文章编号:1009-3044(2009)25-7125-02 　　The Honeypot Technology Application In Intrusion Detection System 　　CHEN Hao1, WU Qi-ming2 　　(1.Shenzhen Polytechnic Computer Center,Shenzhen 518055,China;2.Department of Computer and Information Science,Hechi University,Yizhou,Guangxi 546300,China) 　　Abstract: A honeypot as a kind of active security protecting technology is introduced to thearea of the network security. Its value manifests that it is intended to be attacked andcompromised to gain more information about the attacker and his attack techniques. Itcan also be used to attract and divert an attacker from the real targets. 　　Key words:honeypot; IDS; firewall 　　信息系统安全技术在不断提高,安全模型也在不断发展。过去主要是被动的防护,现在则增加入侵检测和响应,以及主动安全防御措施。传统意义上的信息安全机制,一般都属于被动防御,如防火墙、入侵检测系统、加密等。它们的策略是考虑系统可能出现哪些问题,然后针对问题进行分析解决,以此来保护我们的信息资源。然而,随着攻击技术的不断发展,现有防护技术对新的攻击技术往往不能识别,总是处于被动地位。因此一些研究机构提出了欺骗性安全防御技术,为安全防御措施增加了主动性。这些欺骗性安全防御技术主要通过设置与真实的系统相似的欺骗性目标,使攻击者相信信息系统存在可利用的安全脆弱性,并具有一些有价值的、可攻击和窃取的资源,从而将攻击者引向这些资源,使其偏离正确目标。同时,它又能够显著地增加攻击者的工作量、入侵复杂度以及不确定性,从而使攻击者不知道其进攻是否奏效或成功,影响其攻击其他系统。 　　1 蜜罐 　　1.1 蜜罐的定义 　　Lance Spitzner 对蜜罐的定义是:“蜜罐是一个资源,它的价值在于它会受到攻击或威胁。这意味着一个蜜罐希望受到探测、攻击和潜在地被利用。蜜罐并不修正任何问题,它们仅为我们提供额外的、有价值的信息。”因此上说无论我们将什么指定为一个蜜罐,直接的目标就是使该系统被探查、被攻击和被潜在地利用。从实现上看,蜜罐是一类工具:它只模拟其它系统或应用、创建一个被禁锢环境、或是标准的被拼成的系统。无论如何建立和使用蜜罐,它的价值首先就体现在它打算被攻击。 　　因此,蜜罐技术的核心思想比较简单:它是一个故意要被威胁(期待黑客闯入)的系统,进出蜜罐的所有流量都是可疑的,因此都可以被认为是攻击流量而得到进一步的检测和分析。 　　1.2 蜜罐的作用 　　蜜罐有两种类型:产品型蜜罐和研究型蜜罐。 　　1.2.1 产品型蜜罐 　　产品型蜜罐用于增加一个组织机构所处环境的安全性并降低其风险。可以从安全的三个领域进行分析,看它是如何增加系统的安全性的。这三个领域是:预防、检测和响应。而其主要作用是检测。对于预防来讲,蜜罐所起的作用不大,因为蜜罐不能阻止敌人进入。蜜罐对攻击者可以起到一定的欺骗和威慑作用。欺骗概念是使攻击者浪费时间和资源去攻击蜜罐,而不去攻击真正的生产性(production)系统。蜜罐大大地提高了检测的能力。一般来讲,检测攻击经常是一件极其困难的事情,会被正常的生产性活动所淹没,如果有数千兆的系统日志,很难从中检测到什么时候系统已经被攻击和使用了。检测常见的问题就是:误报、漏报和数据聚集。误报是系统错误地警报了可疑或恶意行为,系统认为是一个攻击或漏洞利用企图而实际上是有效的生产性数据流量。大多数蜜罐无真实的生产性流量,所以几乎不会产生误报。漏报出现在 IDS 系统没有正确地检测到有效的攻击。蜜罐能够消除漏报,因为实施新的漏洞利用并不容易