基于蜜罐技术的入侵检测系统研究.DOCVIP

第九章 入侵检测系统引言随着网络技术的迅速发展和互联网的广泛应用，网络的安全问题日趋严重。因此，网络安全技术已成为计算机技术中一个重要的研究领域[1]。防火墙技术作为目前最为成熟的网络安全技术之一，得到了广泛的应用。但是，防火墙是一种被动防御技术，它对于已知的事件和攻击类型比较有效，而对未知及新兴的攻击行为不能做出有效地响应。入侵检测具有发现入侵的能力，是一种主动防御技术。通过对系统、应用程序的日志及网络数据流量的分析，入侵检测系统能够完成防火墙无法完成的安全功能，被认为是防火墙之后的第二道安全屏障。传统的入侵检测系统在提高系统和网络的安全性的同时，也存在着其固有的缺陷，如误报率和漏报率较高，对于未知的攻击行为缺乏有效的检测能力[2]。在入侵检测系统中引入蜜罐技术可以很好的解决以上问题。蜜罐是一种主动防御技术，通过构建模拟的系统，达到欺骗攻击者、增加攻击代价、减少对实际系统安全威胁的目的，同时可了解攻击者所使用的攻击工具和攻击方法，用于增强安全防范措施[3]。本文提出了一种基于蜜罐技术的入侵检测模型，将蜜罐技术和入侵检测技术结合，充分利用蜜罐可用于检测的特点 ，对入侵行为具有较好的检测能力。9．1 入侵检测原理1入侵检测系统入侵检测系统（Intrusion Detection System,IDS）是根据入侵行为与正常访问行为的差别来识别入侵行为的。它一旦发现入侵，立即报警和记录日志，并实施安全控制操作，以保护数据的保密性、完整性和不可否认性。作为网络安全防护体系的重要组成部分，入侵检测系统提供了对内部攻击、外部攻击和误操作的实时检测。它采取了动态安全防护技术，对通信流量不做任何限制。2 入侵检测原理 根据识别采用的原理不同，可以分为异常检测和误用检测两种[3]。 1）异常检测 异常检测（Anomaly Detection）的前提是认为入侵是异常活动的子集。异常检测系统通过运行在系统或应用层的监控程序监控用户的行为，通过将当前主体的活动情况和用户轮廓进行比较。用户轮廓通常定义为各种行为参数及其阈值的集合，用于描述正常行为范围。当前用户活动与正常行为有重大偏离时即被认为是入侵。这种方法可以检测未知的攻击类型，但误报率较高；在新程序和技术不断涌现的情况下，如何定义行为参数及其阈值很困难。2）误用检测误用检测（Misuse Detection）的前提是所有的入侵行为都有可被检测到的特征。误用检测系统提供攻击规则（特征）库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。这种方法误报率和错报率较高，而且只能对已知攻击类型进行监测，对新的或经过伪装的攻击行为无能为力；规则库的更新将永无止境。9．2 蜜罐技术1 蜜罐概述1）蜜罐的定义：蜜罐（Honeypot）是一种安全资源，它的价值就在于被探测、被攻击或被攻陷。可见，Honeypot可以是带有欺骗、诱捕性质的网络、主机和服务。除了欺骗攻击者，Honeypot没有其他正常的业务用途，因此任何访问Honeypot的行为都是可疑的。2）蜜罐分类[4]根据交互程度可将蜜罐分为：低交互（Low-interaction）蜜罐和高交互（High-interaction）蜜罐。低交互蜜罐通过模拟操作系统和服务来实现其功能，黑客只能在仿真服务指定的范围内动作，仅允许少量的交互。该种方法结构简单，容易部署，风险程度低。高交互蜜罐通常必须由真实的操作系统来构建，提供给黑客真实的系统和服务。高交互蜜罐一般位于受控环境中，可防止攻击者使用蜜罐主机发起对外攻击。该种蜜罐可以获得大量的有用信息，通过真实的系统，可以学习黑客运行的全部动作；还可以获取未知的攻击行为。2 蜜罐技术原理1）诱骗技术诱骗技术在蜜罐技术体系中是最为关键的技术和难题。目前的诱骗技术主要有：模拟服务端口，模拟系统漏洞和应用程序，IP地址空间欺骗，流量仿真，网络动态配置，蜜罐主机等。2）数据收集技术[3]数据收集是为了捕获攻击者的行为，其使用的技术和工具安装获取信息位置可分为：基于主机的数据收集和基于网络的数据收集。在Honeypot所在的主机上几乎可以捕获攻击者行为的所有数据，如连接情况、远程命令、系统日志信息和系统调用序列等；在网络上捕获Honeypot的数据，风险小、难以被发现。可以收集到防火墙日志、入侵检测系统日志和蜜罐主机系统日志等。3）数据控制技术数据控制技术用于控制攻击者的行为，蜜罐系统允许所有进入的访问，但是它对外出的访问进行严格控制。通常有两层数据控制，连接控制和路由控制。分别由防火墙和路由器来完成。4）数据分析技术数据分析技术是将蜜罐捕获的各种数据分析成为有意义、易于理解的信息。目前的分析工具主要有：Swatch工具和Walleye工具。3 蜜网技术 蜜网（Honeynet）是一种高交