入侵检测与蜜网及防火墙联动技术.docVIP

入侵检测与蜜网及防火墙联动技术 　　［摘要］基于数据挖掘的入侵检测系统与防火墙和蜜罐协作，各个系统之间的联动和信息共享，以及侧重点不同的任务配合，能够缩短处理时间，提高系统运行效率，发现未知的入侵和攻击手段。 　　［关键词］入侵检测；数据挖掘；防火墙；蜜网 　　【中图分类号】TP393 【文献标识码】A 【文章编号】 　　 　　 互联网作为一个社会公共环境，其所面对的安全威胁越来越严重。通过对基于数据挖掘的入侵检测联动技术的分析与研究，利用入侵检测系统与防火墙、蜜网等系统之间的联动和信息共享，能够提高网络安全防护系统运行效率，保障网络安全的运行。 　　 　　 一、网络安全现状 　　 　　 我国公共互联网快速发展，网络安全问题日益突出，信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节；网络安全事件不断增加，其中涉及国内政府机构和重要信息系统部门的网页篡改类事件、涉及国内外商业机构的网络仿冒类事件和针对互联网企业的拒绝服务攻击类事件的影响非常严重，僵尸网络和木马严重威胁网络用户的信息安全，攻击者谋求非法利益的目的更加明确，行为更加嚣张，形成大量的黑客地下产业链。 　　 普通网络用户的安全防护意识薄弱，在自己的系统崩溃后才会觉察到安全问题，以2006年底开始爆发的蠕虫“熊猫烧香”为例，它会感染计算机系统中后缀名为exe、com、pif、src、html、asp等文件,它还会终止一些计算机系统中安装的防病毒软件和防火墙的进程。中毒后所有被感染文件图标变成一只熊猫举着三支香的样子，会删除扩展名为.gho的文件使用户的系统备份文件丢失。预防病毒或木马，既需要个人学习网络安全防范知识，也需要信息安全防护新技术。 　　 　　 二、入侵检测技术 　　 　　 网络用户通常使用防火墙和杀毒软件作为网络安全工具，但对于服务器端，不能仅仅利用防火墙有效保护自己免受攻击，防火墙是一种网络隔离控制技术，阻止对信息、资源的非法访问，但防火墙是种被动防卫技术，由于它假设了网络的边界和服务，对内部的非法访问难以有效地控制；用户通常会关心杀毒软件是否升级，以抵御新病毒的侵袭，尽管杀毒软件不断升级，仍然只能查杀已知病毒和木马，对新病毒的防范始终滞后于病毒出现。 　　 入侵检测（Intrusion Detection , ID）技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。所以它能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。 　　“蜜网项目组”（The Honeynet Project）的创始人 Lance Spitzner给出了对蜜罐的权威定义[1]：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，一台合格的蜜罐应该拥有这些功能:发现攻击、产生警告、准确的记录能力、欺骗、协助调查；另外一个功能由管理员去完成，那就是在必要时候根据蜜罐收集的证据来起诉入侵者。 　　 蜜罐最新发展成果之一就是出现了蜜网（Honeynet），又称诱捕网络，是蜜罐技术的进一步发展，它构成了一个黑客诱捕网络体系架构，可以包含一个或多个蜜罐，同时保证网络的高度可控性，提供多种工具对攻击信息进行采集和分析。虚拟计算机网络可在使用虚拟计算机系统的单一机器之上运行，通过虚拟系统在单一主机系统上运行几台虚拟计算机（通常是4到10台），虚拟蜜网大大降低了成本、机器占用空间以及管理蜜罐的难度。安全形势日益严峻的主要原因之一是新的恶意代码层出不穷，CNCERT/CC 通过分布式蜜网捕获的恶意代码进行样本分析，可以掌握目前我国互联网上主动式恶意代码的传播和利用情况。自从蜜网运行以来，每日平均捕获样本3069次，平均每天捕获恶意代码新样本为96个[2]。 　　 　　 三、入侵检测联动技术 　　 　　 我国现有IDS产品的误报和漏报，与IDS检测机制的缺乏有关。只有综合运用多种检测机制，才可能显著有效地改善这种状况。IDS同时需要引入数据挖掘技术、专家分析系统等技术以提高信息分析能力。入侵检测系统最重要的发展趋势是数据挖掘的应用，当前数据挖掘在入侵检测安全审计中的应用远远落后于在Web 信息挖掘和商业信息挖掘等方面的应用，主要原因在于体系结构设计和安全策略制定的不合理，本人在此提出有针对性的数据挖掘模式以改进现有的设计，对系统提供更有效的安全保障。 　　 入侵检测系统可以通过嵌入防火墙的Agent子系统和防火墙联动。Agent源于分布式人工智能中的“代理”一词,一般