小研一种与入侵诱骗技术相结合的网络防护机制.pdfVIP

小研一种与入侵诱骗技术相结合的网络防护机制 作者:某某君 日期：2010 年 6 月 25 日 【摘要】： 　　近几年来，计算机技术和网络技术已深入到社会的各个领域，给人们的学习、 工作和生活带来了极大的方便。与此相伴的是，网络安全问题却变得日益严重。传 统的安全技术已经不能适应动态变化的、多维的网络空间。近年来，入侵检测系统 和以 Honeypot 为代表的入侵诱骗技术发展迅速，初步改变了以往网络防护中的被 动局面。本文结合入侵检测和入侵诱骗技术相结合的优势，并在此基础上引入入侵 响应机制，使三者有机结合，形成一个完整的防御系统。 【关键词】：入侵诱骗系统；Honeypot ；入侵检测系统；入侵响应系统 　一、入侵诱骗系统 　　 入侵诱骗系统是基于 “Honeypot”理论[1]，该理论研究如何设计、建立一个 跟实际系统类似的 “欺骗网络”。该系统对外呈现出许多脆弱性，并很容易被访 问，从而吸引入侵者对其进行攻击。其 重点是诱骗、吸引、继而监视入侵者，并防止在实际运行的系统中 出现这样的攻击。 　　通常的入侵检测系统能够实时地检测网络的信息，防止入侵者的恶意攻击，但 是由于其在攻击未发生与发生时使用的是同样的数据采集机制，不能有效地平衡网 络负载，因此为了节省不必要的系统资源浪费，在遭受攻击时又能强化入侵检测系 统的功能，必须引入一种可根据网络安全状态，动态调整实时监控的技术。入侵诱 骗系统就是一个分析、学习工具，是专门设计用来引诱入侵者的系统。它位于内部 网内，模拟内部网的日常活动，进行常规工作，把入侵者的注意力吸引到自己身 上，从而达到保护内部网其它主机的作用。 1、Honeypot 的优点 （1） 轻巧灵活。资源占用率少，不会出现资源耗尽的情况。 （2）使用简单。相对其他安全工具来说，Honeypot 不涉及复杂的计算，它 所需要做的工作就是只要有人试图访问 Honeypot，就把他的行为记录下来。 （3） 数据价值高。Honeypot 虽然收集的数据量不多，但这些数据都是具有 很高价值的，因为任何对它的访问都是可疑的。 　2、Honeypot 的缺点 （1）能力较弱。Honeypot 仅仅可以检测到对它进行的攻击，如果没有人攻击 它，它就变得毫无用处。一旦攻击者绕开了 Honeypot，Honeypot 将无能为力。 （2）风险性与交互性矛盾。不同级别的 Honeypot 会给所处的网络环境带来不同 的风险，Honeypot 越简单，风险性越小，但交互性就降低了。设计 Honeypot 系统时，要根据实际网络环境的需要，充分考虑风险性和交互性的适配问题。 （3）自身安全系数不高。Honeypot 一旦被攻击者攻破，攻击者就会以此为跳板 攻击网络中的其他系统，造成更大的危害。Honeypot 不能单独使用，必须要与其 他安全工具结合才行。 　　3、 入侵检测系统 　　入侵检测系统是一个能够对网络或计算机系统的活动进行实时检测的系统。它能 够实时地检测网络的信息，发现并报告网络或系统中存在的可疑迹象，防止入侵者 的恶意攻击，为网络安全管理人员及时采取对策提供有价值的信息。入侵检测技术 大体上可以分为异常检测和滥用检测两类。 　　3.1 异常检测 　　异常入侵检测系统首先尽可能地收集与安全相关的信息，通过分析，从中提取 用户的行为模式，构建用户行为模式库。检测过程中一旦发现用户行为有异，就认 为当前的用户行为非法，从而采取进一步的行动。 　　优点：无需获取攻击特征。适用于已知攻击和未知攻击的检测。 　　缺点：阈值不易确定，攻击者可以通过渐进方式改变用户的模型，检测错误率 高，无法识别攻击类型，故无法采取有针对性的响应措施。 　　3.2 滥用检测 　　滥用入侵检测是将那些预先定义好的入侵模式与观察到的情况进行模式匹配来 进行检测。滥用检测误检率低，但只能检测已知的攻击。这种模式依靠攻击特征来 判断入侵行为，从而要求攻击特征库是最新的。然而，特征库的更新需要安全管理 人员总结新出现的攻击方式特征，有明显的时间滞后。在目前的网络攻击爆发频 繁、蔓延迅速的环境下会有大量的入侵攻击难以检测。 　　优点：与异常检测相比，滥用检测准确率高，能够识别攻击类型，可采取有针 对性的措施。 　　缺点：滥用检测不能检测未知攻