一种基于蜜罐技术的侵检测模型的设计.docVIP

一种基于蜜罐技术的入侵检测模型的设计 摘 要：基于对当前入侵检测系统的研究，分析当前系统存在的不足，将蜜罐技术引入到IDS当中，将访问重定向到诱骗环境中，解决传统的入侵检测误报和漏报的问题，并且提高IDS产品的防御能力。 关键词：蜜罐，入侵检测 一、引言 随着计算机网络的普及，网络安全问题开始受到了越来越多人的重视。在计算机技术的发展过程中，网络安全也面临着前所未有的挑战。最初，人们想到的就是如何加强对网络的防护，防火墙和防病毒软件就是这一时期的产品。随着网络攻击手段的不断增加，入侵检测技术开始得到了大规模的应用，但是传统的入侵检测技术还存在有诸多不足，本文就是在分析当前传统入侵检测技术的基础上，引入蜜罐技术，从而变被动为主动，提高入侵检测系统的效率。 二、传统入侵检测系统的模型及不足 入侵检测系统是对敌对攻击在适当的时间内进行检测并做出响应的一种工具。它通过收集和分析计算机网络和计算机系统中若干关键点的信息，检查网络或系统中是否存在被攻击的迹象。入侵检测系统按检测数据来源和系统结构分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。常用的检测方法有基于特征树入侵检测方法、基于数据挖掘的入侵检测方法、基于神经网络的入侵检测方法等。 目前的入侵检测系统大部分都是独立开发的，不同系统之间缺乏互操作性和互用性，这对入侵检测系统的发展造成了障碍，需要建立一个标准来规范 IDS的开发与应用。美国国防高级研究计划局和互联网工程任务组的入侵检测工作组发起制定了一系列建议草案 ,从体系结构、API、通信机制、语言格式等方面规范了 IDS的标准，提出公共入侵检测框架 CIDF，它将入侵检测系统分为以下几个单元组件：事件（事件是指入侵检测系统需要分析的数据，它可以是网络的数据包或者从系统日志等审计记录途径得到的信息）产生器、事件分析器、响应单元、事件数据库。入侵检测的一般过程如下图所示： 数据 数 据 采 集 数据 预处理 数据检测 检测结果 响应处理 安全策略 图1 入侵检测的一般过程示意图 对于传统IDS 而言，不管采用什么样的检测方法，总是存在先天性的不足，主要表现在检测速度较低，不能适应高速网络的要求；漏报率和误报率较高。例如特征检测法是根据已知的入侵方式形成相应的事件模式，当被审计的事件与已知的入侵事件模式相匹配时，认为发生了入侵。该方法检测的准确率较高，应用较多，但对于无先验知识的入侵行为无能为力。因此可能出现较多的漏报，从而给用户造成很大的损失。 三、蜜罐技术简介 所谓蜜罐其实是一种安全资源，其价值在于被扫描、攻击和攻陷。蜜罐系统是一个包含漏洞的诱骗系统, 它通过模拟一个或多个易受攻击的主机, 给攻击者提供一个容易攻击的目标, 从而得到相关信息以便检测到攻击。蜜罐的另一个用途是拖延攻击者对真正目标的攻击, 让攻击者在蜜罐上浪费时间。简单点说：蜜罐就是诱捕攻击者的一个陷阱。所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。 将蜜罐技术（Honeypot）引入到IDS 当中可以使IDS 的功能更加完善。Honeypot 是一个相对新的安全技术，其价值就在被检测、攻击，以致攻击者的行为能够被发现、分析和研究。Honeypot仅仅收集那些对它进行访问的数据，这就使得Honeypot 收集信息更容易，相对于IDS中成千上万的报警信息而言，分析起来也更为方便。Honeypot 能显著减少误报率。因为蜜罐是网络安全专家精心设计的陷阱，所以通向蜜罐的流量都是高度可疑的，这种特性使得它可以作为入侵检测系统的数据来源，降低误报率。 四、基于蜜罐技术的入侵检测模型的设计 入侵检测系统是一种被动的网络检测技术，它一般在网络入侵行为发生时（实时入侵检测）或者入侵行为发生后（事后入侵检测）才能起到作用。而蜜罐技术是基于主动防御理论提出的，在某些情况下, 蜜罐收集用于跟踪攻击者的有用信息。由于通向蜜罐的流量都是高度可疑的，同时系统也可以把可疑流量导入蜜罐, 把蜜罐作为暂时的访问替身。将蜜罐技术与入侵检测系统相结合，可以有效地降低系统的误报率和漏报率。该模型设计如图2所示： 数 数 据 采集系统 网络数据流 入侵检测分析系统 响应系统 蜜罐系统 日志服务系统 总控制系统 网 络 管 理 员 图2 改进的入侵检测系统模型 在这个模型中，主要系统的作用分别为： 1．数据采集系统：没有数据流进(或数据被采集)，IDS就完全无用武之地。该系统就是收集被定义的所有事件，然后一股脑地传到其它组件里。在Windows环境下，目前比较基本的做法是使用Winpcap和WinDump。Winpcap是一套免费的， 基于Windows的网络接口API，把网卡设置为“混杂”模式，然后循环处理网络捕获的数据包。