基于IDS和DM的Honeypot系統(tǒng)的設(shè)計

潘立武

(鄭州大學 西亞斯國際學院，鄭州 451150)

基于IDS和DM的Honeypot系統(tǒng)的設(shè)計

潘立武

(鄭州大學 西亞斯國際學院，鄭州 451150)

對一個具體的可實現(xiàn)蜜罐數(shù)據(jù)反饋和聯(lián)動的IDS模型進行了研究，同時將數(shù)據(jù)挖掘技術(shù)引入蜜罐系統(tǒng)，優(yōu)化和加強了蜜罐的數(shù)據(jù)價值并為IDS系統(tǒng)提供了有效的反饋數(shù)據(jù)?；贗DS和數(shù)據(jù)挖掘技術(shù)的新型蜜罐系統(tǒng)不僅有效地加強了蜜罐的誘騙功能，大大提高了蜜罐系統(tǒng)對目標資源的保護和對攻擊數(shù)據(jù)的分析能力，而且也有效地提高了IDS的性能。

honeypot;IDS(intrusion detection systems);DM(data mining)

1 相關(guān)技術(shù)

伴隨著Internet的普及與發(fā)展，黑客入侵變得越來越頻繁，已經(jīng)對網(wǎng)絡(luò)安全構(gòu)成了嚴重的威脅，而當前的大多數(shù)系統(tǒng)都是被動地采用一些防御技術(shù)，如入侵檢測和防火墻技術(shù)等。在入侵檢測常規(guī)情況下，難以檢測新類型黑客攻擊方法，極可能出現(xiàn)漏報和誤報的問題;防火墻在保障網(wǎng)絡(luò)安全方面，對病毒、訪問限制、后門威脅和對于內(nèi)部的黑客攻擊等無法起到相應(yīng)的作用，Honeypot(蜜罐)技術(shù)使這些問題有望得到進一步的解決。通過觀察和記錄黑客在Honeypot上的活動，人們可以了解黑客的動向、黑客使用的攻擊方法等有用信息。將Honeypot與IDS結(jié)合起來，則有可能減少IDS的漏報和誤報，并能用于進一步改進IDS的設(shè)計，增強IDS的檢測能力。

蜜罐(Honeypot)是一個專門讓黑客攻擊的系統(tǒng)，由于它專門設(shè)計來被掃描、攻擊和攻陷，然后對這些攻擊活動進行監(jiān)視、檢測和分析，以獲取黑客的信息，從而在與黑客的斗爭中獲得了最大的主動權(quán)，因而，其擁有很高的價值。作為一種網(wǎng)絡(luò)安全解決方案，它的實現(xiàn)則主要依賴于低層網(wǎng)絡(luò)技術(shù)的支持和運用，其中，蜜罐的主要技術(shù)有網(wǎng)絡(luò)欺騙、數(shù)據(jù)控制和數(shù)據(jù)捕獲等。

為保證計算機系統(tǒng)的安全，入侵檢測技術(shù)(IDS)是能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象，是一種用于檢測計算機網(wǎng)絡(luò)中具有與安全策略相違背行為的技術(shù)。入侵檢測系統(tǒng)能夠識別出任何非常規(guī)的外網(wǎng)和內(nèi)網(wǎng)的活動。因而，對于入侵檢測系統(tǒng)的良好應(yīng)用，能使在入侵攻擊對系統(tǒng)產(chǎn)生危害前，檢測到侵入的攻擊，并通過利用報警與防護系統(tǒng)來驅(qū)逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，加入知識庫內(nèi)，以增強系統(tǒng)的防范能力。

以從海量數(shù)據(jù)中提取對用戶有用的數(shù)據(jù)為目的的數(shù)據(jù)挖掘技術(shù)(Data Mining)，是一項通用的知識發(fā)現(xiàn)技術(shù)。通過發(fā)掘技術(shù)進行的入侵檢測很常見，應(yīng)用在數(shù)據(jù)挖掘中的一些算法，如序列式模式分析、關(guān)聯(lián)分析等來提取相關(guān)的訪客行為特征，并根據(jù)這些特征生成安全事件的分類模型，應(yīng)用于安全事件的自動鑒別。一個完整的基于數(shù)據(jù)挖掘的入侵檢測模型要包括對審計數(shù)據(jù)的采集、數(shù)據(jù)預(yù)處理、特征變量選取、算法比較、挖掘結(jié)果處理等一系列過程。這種基于數(shù)據(jù)挖掘技術(shù)的入侵檢測有兩方面技術(shù)難點:第一點是如何根據(jù)實際應(yīng)用的需求萃取出可以有效地反映系統(tǒng)特性的特征屬性，以便于應(yīng)用合適的算法來進行數(shù)據(jù)挖掘。第二點在于如何將挖掘結(jié)果自動地應(yīng)用到實際的IDS中。隨著蜜罐技術(shù)的出現(xiàn)和快速發(fā)展，IDS技術(shù)和數(shù)據(jù)發(fā)掘結(jié)合的安全系統(tǒng)，把前者融入到后者體系中去的需求越來越明顯了。

針對上述情況，本文旨在設(shè)計一種結(jié)合上述三種技術(shù)的應(yīng)用設(shè)計方案。在這個環(huán)境下，蜜罐技術(shù)通過真實的網(wǎng)絡(luò)資源為誘餌，吸引攻擊者的侵入行為，一旦有入侵行為，在蜜罐環(huán)境下，入侵者將會被監(jiān)視和控制。整個系統(tǒng)具有多功能、高交互和高效能的特點，性能遠遠優(yōu)于其他蜜罐系統(tǒng)。另外，由于在IDS技術(shù)基礎(chǔ)上提供面向IDS數(shù)據(jù)發(fā)掘的機制，因此，它對于提高 IDS檢測能力起到了良好的輔助作用。系統(tǒng)原理可用圖1表示如下:

圖1 系統(tǒng)原理圖

2 系統(tǒng)組成

該系統(tǒng)主要是由以下幾部分組成:蜜網(wǎng)網(wǎng)關(guān)、IDS、數(shù)據(jù)挖掘中心、蜜罐、中心數(shù)據(jù)庫，各組成部分的功能如下。

1) 蜜網(wǎng)網(wǎng)關(guān):作為網(wǎng)絡(luò)控制設(shè)備的蜜網(wǎng)網(wǎng)關(guān)，功能主要有以下內(nèi)容:對內(nèi)部 IP地址進行 NAT轉(zhuǎn)換，對內(nèi)部向外的非法連接，以及蜜網(wǎng)網(wǎng)關(guān)內(nèi)部的主機向外的連接進行阻止，對由外部向內(nèi)部的所有連接進行放行或允許，而且對應(yīng)用服務(wù)器中的非工作端口數(shù)據(jù)包連接采用重定向(redirect)功能。實際過程中，是先搜集連接到應(yīng)用服務(wù)器的非工作端口的數(shù)據(jù)包，然后把它們統(tǒng)統(tǒng)重定向到蜜罐主機，同時有機地結(jié)合入侵檢測系統(tǒng)，把IDS檢測到的針對用服務(wù)器的攻擊數(shù)據(jù)包重定向到蜜罐主機。

2) IDS:應(yīng)用共享信息庫模式到本系統(tǒng)的入侵檢測系統(tǒng)中，它的主要功能有:防火墻聯(lián)合活動，入侵預(yù)警并修改網(wǎng)關(guān)控制規(guī)則，入侵預(yù)警到數(shù)據(jù)挖掘中心。

3) 數(shù)據(jù)挖掘中心:挖掘的數(shù)據(jù)源是蜜網(wǎng)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)和蜜罐的監(jiān)視數(shù)據(jù)，進行挖掘時，如果發(fā)現(xiàn)有可疑和可用的數(shù)據(jù)信息，及時反饋到IDS事件信息庫中。

4) 蜜罐:該蜜罐可能是基于真實或虛擬的操作系統(tǒng)的，進而在這些操作系統(tǒng)或應(yīng)用服務(wù)中故意設(shè)置漏洞，引誘、等待不良訪客上鉤。

5) 中心數(shù)據(jù)庫:這里的數(shù)據(jù)庫包括對非法入侵數(shù)據(jù)的記錄、攻擊數(shù)據(jù)的挖掘結(jié)果、IDS事件信息庫。

3 系統(tǒng)模塊關(guān)系及主要模塊設(shè)計

系統(tǒng)模塊關(guān)系如圖2所示。

圖2 系統(tǒng)模塊關(guān)系圖

其中①表示網(wǎng)絡(luò)數(shù)據(jù)訪問蜜罐系統(tǒng);②為網(wǎng)絡(luò)控制策略和IDS檢測后的合法訪問數(shù)據(jù)交互;③表示IDS旁路偵聽檢測;④IDS特征庫模式匹配;⑤IDS修改網(wǎng)關(guān)控制策略;⑥經(jīng)網(wǎng)關(guān)重定向的入侵數(shù)據(jù)交互;⑦入侵數(shù)據(jù)交互的旁路偵聽;⑧陷阱系統(tǒng)的監(jiān)視數(shù)據(jù)發(fā)送到中心數(shù)據(jù)庫;⑨數(shù)據(jù)挖掘模塊在中心數(shù)據(jù)庫中進行數(shù)據(jù)挖掘;⑩數(shù)據(jù)挖掘中心更新IDS特征庫;(11)入侵檢測引擎的預(yù)警通知數(shù)據(jù)挖掘模塊。

3.1 IDS模塊設(shè)計

作為本系統(tǒng)的關(guān)鍵組成部分，入侵檢測系統(tǒng)在整個系統(tǒng)中扮演著對系統(tǒng)安全積極防御的主動角色，而且也是作為數(shù)據(jù)挖掘的訓(xùn)練對象的角色。當入侵行為被檢測到時，它能夠同時和網(wǎng)關(guān)、數(shù)據(jù)挖掘模塊來進行聯(lián)合活動 (更改網(wǎng)關(guān)控制規(guī)則，通知數(shù)據(jù)挖掘模塊預(yù)警信息)。當存在漏報或誤報時，IDS及時更新其特征庫和檢測模式。

IDS的通用模型將一個入侵檢測系統(tǒng)分為以下組件:事件產(chǎn)生器(Event generators)，用 E盒表示;事件分析器(Event analyzers)，用A盒表示;響應(yīng)單元(Response units)，用 R盒表示;事件數(shù)據(jù)庫(E-vent databases)，用 D盒表示。本系統(tǒng)的 IDS模塊在IDS通用模型基礎(chǔ)上增加了一個事件分析器，用于對整個系統(tǒng)的數(shù)據(jù)進行挖掘，一個二級事件產(chǎn)生器，用于對陷阱系統(tǒng)的數(shù)據(jù)進行偵聽。二級分析器不僅可以對一級分析器的誤報結(jié)果進行驗證，而且可以從二級事件產(chǎn)生器中發(fā)現(xiàn)一些存在的漏報事件，并進行事件數(shù)據(jù)庫的更新，這種采用事后的事件分析方式不僅可以提高事件分析的準確性，也可以降低事件分析所需資源要求。本系統(tǒng)中的IDS模型實際上就是將事件分析多級化，將一次性的實時分析分為兩級完成，從而實現(xiàn)系統(tǒng)優(yōu)化效果。系統(tǒng)IDS模型如圖3所示。

圖3 系統(tǒng)IDS模型圖

3.2 網(wǎng)絡(luò)誘騙及控制模塊設(shè)計

網(wǎng)絡(luò)誘騙及控制模塊是一個傳統(tǒng)的包過濾網(wǎng)關(guān)系統(tǒng)，類似于包過濾防火墻。它根據(jù)策略管理進出網(wǎng)關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包，從而實現(xiàn)蜜罐系統(tǒng)的誘騙和控制功能。

1) 網(wǎng)絡(luò)數(shù)據(jù)包控制:完成內(nèi)網(wǎng)主機的NAT功能，不僅完成內(nèi)網(wǎng)中應(yīng)用服務(wù)器的地址轉(zhuǎn)換，也實現(xiàn)蜜罐系統(tǒng)的虛假地址轉(zhuǎn)換，允許所有的外部向內(nèi)部的網(wǎng)絡(luò)連接。這個規(guī)則主要是基于蜜罐系統(tǒng)的原理。為了實現(xiàn)蜜罐的誘騙功能，要允許盡可能多的網(wǎng)絡(luò)入侵行為;為了防止內(nèi)部主機被攻陷而威脅其他網(wǎng)絡(luò)系統(tǒng)，阻止所有內(nèi)網(wǎng)蜜罐系統(tǒng)對外的主動連接;結(jié)合IDS聯(lián)動，將 IDS檢測到的對應(yīng)用服務(wù)器的攻擊數(shù)據(jù)包重定向到蜜罐主機。

2) 網(wǎng)絡(luò)欺騙:對應(yīng)用服務(wù)器的非工作端口數(shù)據(jù)包連接采用重定向功能，將連接應(yīng)用服務(wù)器的非工作端口的數(shù)據(jù)包統(tǒng)統(tǒng)重定向到蜜罐主機。這個規(guī)則只是粗略地判定一個連接是否是合法。當被判定為非法的連接時，該連接的數(shù)據(jù)包將被重定向到蜜罐主機。這不僅可以保護應(yīng)用服務(wù)器免受攻擊，而且還可以將可能的入侵者引入陷阱。這個基于端口判定的數(shù)據(jù)包重定向規(guī)則大大地增強了整個蜜罐系統(tǒng)的誘騙能力。當攻擊者對應(yīng)用服務(wù)器進行探測時，我們的系統(tǒng)將允許攻擊者進行合法的連接和數(shù)據(jù)交互，這樣可以消除攻擊者的戒心。但攻擊者對服務(wù)器發(fā)起掃描和漏洞探測時，網(wǎng)絡(luò)控制的重定向功能又可以將入侵者引入陷阱系統(tǒng)，同時暴露給攻擊者一些漏洞。這樣使得攻擊者很容易相信自己發(fā)現(xiàn)了應(yīng)用服務(wù)器的漏洞，從而引誘其實施攻擊行為。

3.3 陷阱系統(tǒng)及數(shù)據(jù)捕獲模塊設(shè)計

實際上，陷阱系統(tǒng)是一個高交互度的 Honeypot?；诿酃尴到y(tǒng)的研究目的和IDS數(shù)據(jù)挖掘的需要，該Honeypot不僅需要與攻擊者有深入數(shù)據(jù)交互的能力，還必須能夠檢測到自身被攻擊的能力并反饋必要的信息。在蜜罐的概念里，收集攻擊者的信息和數(shù)據(jù)是蜜罐的主要作用。作為研究型蜜罐，必須提供高交互度的網(wǎng)絡(luò)交互平臺。所以，在本系統(tǒng)中，采用虛擬機技術(shù)，其原因主要有:虛擬機操作系統(tǒng)的真實度高，虛擬操作系統(tǒng)恢復(fù)容易，虛擬操作系統(tǒng)可以提供和真實操作系統(tǒng)同樣的應(yīng)用服務(wù)。所以，利用虛擬機構(gòu)件的虛擬操作系統(tǒng)完全可以起到用同樣的真實主機一樣的效果。通過使用虛擬操作系統(tǒng)，又體現(xiàn)了蜜罐技術(shù)的代價優(yōu)勢。即使蜜罐被攻陷了，虛擬系統(tǒng)可以被很快地恢復(fù)而且可以收集到被攻擊的數(shù)據(jù)資源，從而提供良好的數(shù)據(jù)挖掘環(huán)境。

3.4 數(shù)據(jù)挖掘模塊設(shè)計

IDS數(shù)據(jù)挖掘的主要任務(wù)有檢測入侵、發(fā)現(xiàn)異常、行為分析。采用蜜罐數(shù)據(jù)環(huán)境可以大大減輕數(shù)據(jù)挖掘面臨的問題，如數(shù)據(jù)量龐大、數(shù)據(jù)來源和數(shù)據(jù)格式多樣化、分析任務(wù)繁重等。數(shù)據(jù)挖掘模型如圖4所示:

圖4 數(shù)據(jù)挖掘模型

審計數(shù)據(jù)挖掘分析:使用數(shù)據(jù)挖掘中的數(shù)據(jù)分類、關(guān)聯(lián)分析和序列模式控掘，對基于網(wǎng)絡(luò)和基于主機的安全審計數(shù)據(jù)進行智能化的分析處理，通過提取數(shù)據(jù)本身存在的規(guī)律性，幫助系統(tǒng)生成入侵檢測規(guī)則及建立異常檢測模型。數(shù)據(jù)來源主要有:不易處理信息量有限的蜜罐主機日志;訪問蜜罐主機的網(wǎng)絡(luò)數(shù)據(jù)比較適用于檢測基于網(wǎng)絡(luò)的攻擊行為;蜜罐主機的系統(tǒng)調(diào)用數(shù)據(jù)，檢測的針對性強，準確率高。

4 總結(jié)

本系統(tǒng)將蜜罐技術(shù)、入侵檢測技術(shù)和數(shù)據(jù)挖掘技術(shù)相結(jié)合，形成一種新型的蜜罐系統(tǒng)，它通過IDS監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流，并根據(jù)安全策略對服務(wù)器訪問數(shù)據(jù)進行監(jiān)控。識別針對服務(wù)器以及網(wǎng)絡(luò)的攻擊行為，主動將攻擊者引誘到陷阱系統(tǒng)，并利用數(shù)據(jù)挖掘技術(shù)對捕獲到的數(shù)據(jù)進行整理、分類、規(guī)則關(guān)聯(lián)，從而完善IDS檢測能力。

蜜罐系統(tǒng)大大減少了數(shù)據(jù)挖掘所要分析的數(shù)據(jù)。對于通常的網(wǎng)站或郵件服務(wù)器，攻擊流量通常會被合法流量所淹沒，而蜜罐進出的數(shù)據(jù)大部分是攻擊流量。因而，瀏覽數(shù)據(jù)、查明攻擊者的實際行為也就容易多了。同時，由于蜜罐系統(tǒng)自身故意存在很多漏洞，可以導(dǎo)致很多攻擊行為，并為數(shù)據(jù)分析提供豐富的數(shù)據(jù)資源。蜜罐用自身系統(tǒng)去實驗各種攻擊行為，同時也可以預(yù)測未知攻擊行為的動向。IDS在與蜜罐技術(shù)和數(shù)據(jù)挖掘的配合應(yīng)用中，使IDS由一點檢測到多點檢測，由預(yù)先警報到事后驗證。這樣的聯(lián)合使得IDS具有了類似機器學習的功能，提升了IDS的智能效果。

［1］ 曹愛娟，劉寶旭，許榕生.網(wǎng)絡(luò)陷阱與誘捕防御技術(shù)綜述［J］.計算機工程，2004，30(9):1－3.

［2］ 陳飛，郭平，張敏，等.Honeypot系統(tǒng)研究與比較［J］.后勤工程學院學報，2004(4):87－89.

［3］ 宋荊漢，朱偉，李濤，等.HoneyPot系統(tǒng)研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2002(1):28－30.

［4］ 馬艷麗，趙戰(zhàn)生，黃軒.Honeypot-網(wǎng)絡(luò)陷阱［J］.計算機工程與應(yīng)用，2003(4):165－168.

［5］ 劉洪，周明君，楊大權(quán).論網(wǎng)絡(luò)安全的 IDS技術(shù)［J］.沈陽醫(yī)學院學報，2002，4(4):51－52.

A Design of Honeypot System Based on IDS and DM

PAN Li-wu

(Zhengzhou University Sias International College，Zhengzhou 451150，China)

The research is conducted in response to a concrete IDS(Intrusion Detection System)model which is capable of implementing Honeypot data feedback and action coordination.Also DM(Data Mining)is introduced into Honeypot system to optimize and enhance its data value with a purpose of offering effective feedback.The new－type Honeypot based on IDS and DM not only strengthens its trap function effectively，but also improves its ability to protect the target resource and to analyze hacked data greatly，consequently，IDS performance is enhanced in effect as well.

honeypot;IDS(intrusion detection systems);DM(data mining)

TP 393.08

A

1005-0310(2010)01-0042-04

2009－06－15

潘立武(1971—)，男，河南鄭州人，鄭州大學副教授，系統(tǒng)分析師，研究方向為軟件工程、GIS、軟件開發(fā)。

(責任編輯 彭丹宇)