Honeypot技术在网络入侵检测系统中应用.docVIP

Honeypot技术在网络入侵检测系统中应用 　　摘 要：入侵检测是近几年发展起来的新型网络安全策略，它实现了网络系统安全的动态检测和监控，但是它具有漏报、误报和无法检测新型攻击的缺点，蜜罐的引入使得这种情况得到改善。介绍了Honeypot技术的原理和分类，并提出了一种可行的设计方案，通过Honeypot和入侵检测系统的结合应用来增强入侵检测系统的性能。 　　关键词：蜜罐技术；网络安全；入侵检测系统；蜜网 　　中图分类号：TP309??2文献标识码：B文章编号：1004373X(2008)1908004 　　 　　Application of Honeypot Technology in Network Intrusion Detection System 　　WANG Yang 　　(Huanghuai University,Zhumadian,463000,China) 　　Abstract：In recent years,intrusion detection technology is regarded as one of the new strategy for network security.Dynamic protection and detection in computer network are realized,but it has some defects in leaving out and ignoring alarms,making mistaken alarms and being unable to detect the new type of attacks,which are greatly improved by the use of Honeypot.The paper interprets network intrusion detection system and expounds the principle and classification of Honeypot,furthermore,it puts forward a feasible programme,in order to strengthen the function of intrusion detection system by the means of combining Honeypot with it. 　　Keywords：honeypot technology;network security;intrusion detection system;honeynet 　　 　　1 引 言 　　 　　入侵检测系统(Intrusion Detection System,IDS)是近几年发展起来的新一代动态网络安全防范技术，是一种主动防御技术。它对计算机网络系统的活动情况进行监视并及时发现并报告异常现象，它是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，入侵监测系统能够识别出任何不希望有的活动，这种活动可能来自于网络外部和内部。入侵监测系统的应用，能使在入侵攻击对网络系统发生危害前，监测到入侵攻击，并利用报警与防护系统响应攻击，从而减少入侵攻击所造成的损失。但是入侵检测系统在使用中存在着难以检测新类型黑客攻击方法以及漏报和误报的问题。蜜罐(Honeypot)技术使这些问题得到改善，通过观察和记录黑客在蜜罐上的活动，人们可以了解黑客的动向、黑客使用的攻击方法等有用信息。如果将蜜罐采集的信息与IDS采集的信息联系起来，则有可能减少IDS的漏报和误报，并能用于进一步改进IDS的设计，增强IDS的检测能力。 　　 　　2 蜜罐技术的原理和蜜罐的分类 　　 　　2.1 蜜罐技术的原理 　　蜜罐是一个在网络上引诱黑客或蠕虫攻击的，带有漏洞的真实或虚拟的系统。蜜罐会引诱一些攻击者非法访问， 蜜罐上的监控器和事件日志器监测这些未经授权的访问并收集攻击者活动的相关信息，它的目的是将攻击者从关键系统引开，同时收集攻击者的活动信息，并且吸引攻击者在系统上停留足够长的时间以供管理员进行响应。利用蜜罐的这种能力，一方面可以为IDS提供附加数据；另一方面，当IDS发现有攻击者时，可以把攻击者引入蜜罐，防止攻击者造成危害，并收集攻击者的信息。 　　蜜罐技术主要是利用网络欺骗诱导攻击者，使得可能存在的安全弱点有了很好的伪装场所，真实服务与诱骗服务几乎融为一体，使入侵者难以区分。诱骗服务相对于真实服务更容易被发现，通过诱惑使入侵者上当，延长入侵时间，使得真正的网络服务被探测到的可能性大大减少，并且通过网络探测，迅速地检测到入侵者的进攻企图，及时修补系统可能存