入侵检测系统中蜜罐的设计与应用.pdfVIP

维普资讯 福 建 电 脑 2005年第 5期 入侵检测系统中蜜罐的设计与应用 汪 洋 (黄淮学院 计算机科学系．河南驻马店463000) 摘【 要】 入侵检测技术是新一代动态安全防范技术，但是它具有漏报、误报和无法检测新型攻击的缺点。蜜罐的引 入使得这种情况得到改善。文章介绍了入侵检测系统及蜜罐的原理和分类，并提出了一种可行的设计方案，通过蜜罐和入 侵检测系统的结合应用来增强入侵检测系统的性能。 【关键字1 入侵检测系统；蜜罐；防火墙；蜜网 入侵检测系统 (IntursionDetectionSys~m，IDS)是近几年发 块等。 展起来的新一代动态安全防范技术，它通过对计算机网络或系 2 蜜罐技术的原理和蜜罐的分类 统中若干特征数据的收集，并对其进行分析，从而发现是否有违 2．1蜜罐技术的原理 反安全策略的行为和被攻击的迹象。入侵检测系统对网络和系 蜜罐是一个在网络上引诱黑客或蠕虫攻击的，带有漏洞的 统的活动情况进行监视，及时发现并报告异常现象 ，但是入侵检 真实或虚拟的系统。蜜罐会引诱一些攻击者非法访问，蜜罐上 测系统在使用中存在着难 以检测新类型黑客攻击方法以及漏报 的监控器和事件 日志器监测这些未经授权的访问并收集攻击者 和误报的问题。蜜罐(Honeypot)技术使这些问题得到改善。通过 活动的相关信息。它的目的是将攻击者从关键系统引开，同时收 观察和记录黑客在蜜罐上的活动 ，人们可以了解黑客的动向、黑 集攻击者的活动信息，并且吸引攻击者在系统上停留足够长的 客使用的攻击方法等有用信息。如果将蜜罐采集的信息与IDS 时问以供管理员进行响应。利用蜜罐的这种能力，一方面可以为 采集的信息联系起来 ，则有可能减少IDS的漏报和误报 ，并能用 IDS提供附加数据，另一方面，当IDS发现有攻击者时，可以把攻 于进一步改进 IDS的设计。增强 IDS的检测能力。 击者引入蜜罐，防止攻击者造成危害，并收集攻击者的信息。 1入侵检测系统简介 蜜罐技术主要是利用网络欺骗诱导攻击者，使得可能存在 入侵监测系统是一种主动防御技术，它是为保证计算机系 的安全弱点有了很好的伪装场所 ，真实服务与诱骗服务几乎融 统的安全而设计与配置的一种能够及时发现并报告系统中未授 为一体，使人侵者难以区分。诱骗服务相对于真实服务更容易被 权或异常现象的技术，是一种用于监测计算机网络中违反安全 发现，通过诱惑使入侵者上当，延长入侵时问，使得真正的网络 策略行为的技术。入侵监测系统能够识别出任何不希望有的活 服务被探测到的可能性大大减少，并且通过网络探测，迅速的检 动 ，这种活动可能来 自于网络外部和内部。入侵监测系统的应 测到入侵者的进攻企图，及时修补系统可能存在的安全漏洞，并 用 ，能使在入侵攻击对系统发生危害前，监测到入侵攻击 ，并利 获知敌方的进攻技术和意图，通过与入侵者周旋 ，消耗掉入侵者 用报警与防护系统响应攻击，从而减少入侵攻击所造成的损失。 的资源，搜集到电子证据，进一步做好计算机取证工作。如图 1 从总体来说 ，入侵检测系统可以分为两个部分：收集系统和网络 蜜罐技术的原理。 中的信息然后对收集到的数据进行分析，并采取相应措施。 入侵检测通过对入侵行为的过程与特征进行研究．使安全 系统对入侵时间和人侵过程做出实时响应。入侵检测系统的入 侵分析方法通常采用如下两项技术：一是异常检测技术。它对系 统的正常行为建模，特征库中没有描述的行为被怀疑为攻击。假 定所有入侵行为都是与正常行为不同的．如果建立系统正常行 图1蜜罐技术的原理 为轨迹，那么理论上可以把所有与正常轨迹不同的系统状态视 2-2蜜罐的分类 为可疑企图，比如，通过流量统计分析将异常时间的异常网络流 从技术实现的角度来说。蜜罐可以分为系统级蜜罐和应用 量视为可疑。异常检测技术的局限是并非所有的人侵都表现为 级蜜罐。 异常，而且系统的轨迹难于计算和更新。二是误用检测技术。它 系统级蜜罐采用真实的网络和主机环境 ，