基于虚拟蜜罐入侵特征码生成.docVIP

基于虚拟蜜罐入侵特征码生成 　　摘要：目前许多入侵检测系统基于被动防御，需要及时更新入侵检测规则库，否则将对最新的攻击产生漏报现象。而虚拟蜜罐系统基于主动防御，利用虚拟蜜罐软件Honeyd的插件Honeycomb可以为入侵检测系统自动生成攻击特征码，从而降低入侵检测系统的漏报几率。 　　关键词：入侵检测系统；虚拟蜜罐；Honeyd；Honeycomb 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)22-716-02 　　The Creation of Intrusion Detection Signatures Based on the Virtual Honeypots 　　TANG Xin-yu,CHEN hao 　　(School of Computer and Communication,Hunan University,Changsha 410082,China) 　　Abstract:Many instrusion detection system(IDS) are based on the passive defense currently, thus needs to renew the instrusion detection signatures in time.Otherwise, it will fail to report the latest attack. Virtual Honeypots are based on the active defense, which requires such Honeyd plug-in software namedHoneycomb to create aggressivecondition code for the IDS, dropping the rate of failing report. 　　Key words: Instrusion detection system;Virtual honeypots;Honeyd;Honeycomb 　　1 引言 　　随着计算机技术的发展及互联网的普及，在人们的日常生活中，计算机起着越来越重要的作用，但随之而来的网络安全问题也日益突出。针对这些问题，目前使用了多种网络安全技术，其中入侵检测技术就是应用较广泛的一种。 　　入侵检测系统采用拒绝型防御策略，属于被动防御技术。其最为关键的就是如何定义可疑行为，基于规则是最为常见的方法。基于规则的入侵检测都有一个庞大的规则库，而更新规则库是一个被动的行为，当有某种新的攻击出现，就要定义相应的规则，否则入侵检测系统就会漏报这种攻击。显然被动更新规则难以及时应对新的攻击，一种基于主动防御的蜜罐技术应运而生。 　　2 蜜罐技术 　　蜜罐（Honeypot）的定义存在着多种解释。蜜罐技术的奠基者Lance Spitzner对蜜罐如下定义：蜜罐是一种资源，它的价值在于被攻击或攻陷，这就意味着蜜罐希望被探测、攻击甚至攻破，蜜罐并非用来解决某个问题的，而主要是用于收集有关攻击的一些有价值信息。通过一个精心设置的蜜罐系统来引诱黑客，并对黑客进行跟踪，借以观测记录入侵者如何攻击系统。通常在蜜罐中放置一些入侵者希望得到的敏感信息，当然这些信息都是虚假信息，或是故意留下一些安全漏洞。入侵者与蜜罐的交互时间越长，他们所使用的技术和方法就暴露的越多，所收集的信息也就越多。这些信息可以被用来了解他们使用的攻击工具和方法，发现系统的未知漏洞以及相应的攻击，这样就可以更好地保护系统和网络安全。 　　2.1 蜜罐的作用 　　蜜罐和传统的网络安全技术不是完全没有联系，蜜罐需要防火墙和入侵检测系统的主要功能，具有以下作用和意义。 　　1)简单、实效。将一个不加修饰的系统暴露在入侵者面前，再通过各种手段收集入侵者的信息，监视他们的活动，就构成了一个简单的蜜罐。 　　2)主动防御。传统的防御手段都是被动的，它们只限于对已知攻击的响应。而对于各种新攻击，传统的被动防御手段起到的只能是亡羊补牢的作用，只能在系统遭到破坏或造成了不可挽回的损失后才发现并认识新的攻击，因此主动权掌握在攻击者手中。蜜罐正好可以改变这种局面，它能够诱惑或欺骗攻击者，让他们优先攻击蜜罐而不是实际的工作系统。从捕获的数据中能够学习攻击者的工具、方法和动机，了解他们入侵一个系统后会做什么，这样就能更好地理解面临的威胁，而且赢得了研究对策的时间。 　　3)蜜罐是很好的入侵者追踪环境。一般来说，对入侵的响应有两种选择：一是切断入侵者与系统或网络的连接并恢复系统；二是继续开放系统，跟踪并收集更多关于入侵者的信息。对于实际工作网络通常选择第一种，因为继续开放系统将会面临系统被严重破