淺析蜜罐技術(shù)與IDS結(jié)合的可行性

倪 超 凡

(福建師范大學(xué)福清分校 數(shù)學(xué)與計(jì)算機(jī)科學(xué)系，福建 福清 350300)

淺析蜜罐技術(shù)與IDS結(jié)合的可行性

倪 超 凡

(福建師范大學(xué)福清分校 數(shù)學(xué)與計(jì)算機(jī)科學(xué)系，福建 福清 350300)

基于入侵檢測技術(shù)的入侵檢測系統(tǒng)(IDS)，與傳統(tǒng)的防火墻相比，有能夠同時(shí)監(jiān)控進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流，不需要跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)便可以工作等優(yōu)點(diǎn)，但也存在一些缺陷，比如對(duì)未知的攻擊行為無能為力，漏報(bào)率和誤報(bào)率過高等.蜜罐技術(shù)是基于主動(dòng)防御理論而提出的一種入侵誘騙技術(shù)，它的主要作用就是通過模擬真實(shí)的網(wǎng)絡(luò)和服務(wù)來吸引黑客進(jìn)行攻擊，收集入侵者的特征數(shù)據(jù)，為發(fā)現(xiàn)新的攻擊類型提供重要的參考數(shù)據(jù).將蜜罐技術(shù)引入到 IDS當(dāng)中可以大大完善IDS誤報(bào)率和漏報(bào)率高的缺點(diǎn).著重分析了蜜罐技術(shù)與IDS結(jié)合的可行性，并提出了一種基于蜜罐技術(shù)的入侵檢測模型.

網(wǎng)絡(luò)安全；入侵檢測系統(tǒng)；蜜罐技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和互聯(lián)網(wǎng)的普及，個(gè)人、企業(yè)和政府部門的信息交換和傳遞越來越多地依賴網(wǎng)絡(luò)，因此，網(wǎng)絡(luò)安全的重要性就不言而喻了.從最初的密碼技術(shù)、身份認(rèn)證技術(shù)到防火墻技術(shù)，這些靜態(tài)的安全技術(shù)雖然能夠?qū)Ψ乐瓜到y(tǒng)非法入侵起到一定的作用，但是隨著入侵的數(shù)量和種類越來越多，這些傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)顯然已經(jīng)無法滿足網(wǎng)絡(luò)安全的需要.比如防火墻，這是一種最基礎(chǔ)也是非常有效的安全技術(shù)，它能夠有效阻斷來自外部的攻擊，但對(duì)于來自內(nèi)部的攻擊以及利用漏洞繞過防火墻進(jìn)行的攻擊都無能為力.另一方面，它所提供的服務(wù)方式是要么都拒絕，要么都通過，這種單一的處理方式已經(jīng)不足以應(yīng)對(duì)當(dāng)前日益復(fù)雜的網(wǎng)絡(luò)形勢.這時(shí)候，入侵檢測的概念被提了出來.

1 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)(Intrusion Detection System，IDS)是能夠?qū)崿F(xiàn)入侵檢測功能的軟、硬件的組合.入侵檢測是通過分析從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集到的行為、安全日志或?qū)徲?jì)數(shù)據(jù)等信息，發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象，并做出相應(yīng)的反應(yīng)的過程.根據(jù)檢測的方法不同可以將入侵檢測分為2大類：基于知識(shí)的檢測和基于行為的檢測[1].

基于知識(shí)的檢測又稱為誤用檢測.它事先根據(jù)已知的攻擊模式建立一個(gè)攻擊特征數(shù)據(jù)庫，在檢測時(shí)，通過比對(duì)用戶或系統(tǒng)行為與特征庫中各種攻擊模式是否匹配來確定是否有入侵發(fā)生.這種方法的優(yōu)點(diǎn)是準(zhǔn)確性高，對(duì)已知的攻擊類型能夠有效識(shí)別，但是對(duì)未知的攻擊就無能為力了，這就容易造成漏報(bào).

基于行為的檢測又叫異常檢測.它事先根據(jù)一些特征量定義了一個(gè)“正?！钡男袨樘卣鲾?shù)據(jù)庫，在檢測時(shí)，比對(duì)用戶當(dāng)前行為特征與“正常”的行為特征，若兩者偏差超過一定范圍，則說明發(fā)生了異常.這種方法的優(yōu)點(diǎn)是在一定程度上能夠識(shí)別和防范未知的攻擊，但容易造成誤報(bào)，用戶正常的讀取和訪問會(huì)受到影響.

基于入侵檢測的這些缺陷，如何從浩如煙海的數(shù)據(jù)中準(zhǔn)確又高效地識(shí)別出各種已知、未知的攻擊行為，成為了它急需完善的部分.

2 蜜罐技術(shù)

蜜罐(Honeypot)是指受到嚴(yán)密監(jiān)控的網(wǎng)絡(luò)誘騙系統(tǒng)，通過真實(shí)或模擬的網(wǎng)絡(luò)和服務(wù)來吸引攻擊，從而在黑客攻擊蜜罐期間對(duì)其行為和過程進(jìn)行記錄分析，以搜集信息，對(duì)新攻擊發(fā)出預(yù)警，同時(shí)蜜罐也可以延緩攻擊和轉(zhuǎn)移攻擊目標(biāo)[2].值得注意的是，蜜罐本身并不直接處理任何的網(wǎng)絡(luò)安全事件，它只是一種工具，它的價(jià)值體現(xiàn)在被探測、被攻擊甚至被攻破之時(shí).相對(duì)于IDS的缺點(diǎn)，蜜罐技術(shù)有以下一些優(yōu)點(diǎn).

分流了一部分?jǐn)?shù)據(jù)，大大減少了 IDS所要分析的數(shù)據(jù).根據(jù) IDS的工作原理，所有進(jìn)出網(wǎng)絡(luò)的行為都必須接受檢測，這就產(chǎn)生了大量的日志和報(bào)警信息，這其中大多數(shù)都是無目的的掃描，對(duì)系統(tǒng)沒有實(shí)質(zhì)性的威脅，再花費(fèi)大量的人力來處理這些無意義的日志信息實(shí)在是沒有必要.同時(shí)，對(duì)于通常的網(wǎng)站或郵件服務(wù)器，攻擊流量通常會(huì)被合法流量所淹沒，這就容易造成漏報(bào)[3].而蜜罐是一個(gè)誘騙網(wǎng)絡(luò)，正常情況下合法用戶是無法對(duì)它進(jìn)行訪問的，因此進(jìn)出蜜罐的數(shù)據(jù)很有可能是攻擊流量.利用蜜罐的這個(gè)特性，IDS可以把檢測到的可疑行為或連接重定向到蜜罐，這樣做一方面減輕了IDS的負(fù)擔(dān)，降低了漏報(bào)率，另一方面也讓蜜罐捕獲更多的攻擊特征信息，為IDS的特征庫的更新提供了重要依據(jù).

蜜罐是一個(gè)受到嚴(yán)密監(jiān)控的誘騙工具，所有進(jìn)出蜜罐的活動(dòng)都會(huì)被記錄下來，形成日志.我們知道，在IDS的入侵分析技術(shù)中，誤用檢測和異常檢測分別是基于攻擊特征數(shù)據(jù)庫和行為特征數(shù)據(jù)庫的，而這兩個(gè)特征庫通常是靜態(tài)的，需要管理者手動(dòng)更新.蜜罐的引入為 IDS特征庫的自動(dòng)更新提供了可能.當(dāng) IDS把檢測到的可疑行為重定向到蜜罐后，該行為在蜜罐中的一切活動(dòng)信息都將被記錄下來形成日志，通過對(duì)日志的分析可以判斷該可疑行為是否為攻擊，若為攻擊，則總結(jié)出新的入侵規(guī)則和特征并及時(shí)添加到特征數(shù)據(jù)庫中，從而使IDS能夠及時(shí)識(shí)別新的攻擊行為.這種對(duì)特征庫的實(shí)時(shí)更新能夠有效地降低誤報(bào)率.

3 蜜罐技術(shù)與IDS結(jié)合的可行性分析

從上面的分析可以看出，蜜罐能夠分流掉一部分 IDS的所要分析的數(shù)據(jù)，減輕了 IDS的檢測負(fù)擔(dān)，并為IDS特征庫的實(shí)時(shí)更新提供了有力的數(shù)據(jù)支持，而IDS能夠及時(shí)處理入侵時(shí)間，彌補(bǔ)蜜罐系統(tǒng)只能識(shí)別攻擊不能處理攻擊的不足.可見，蜜罐和IDS在入侵檢測功能的優(yōu)缺點(diǎn)上有著很強(qiáng)的互補(bǔ)性，因此，利用兩者結(jié)合來提高系統(tǒng)的檢測性能是可行的[4].由此提出了一個(gè)基于蜜罐技術(shù)的入侵檢測系統(tǒng)模型，它的主要模塊有[5]：

1) 配置策略模塊

蜜罐本來就是通過模擬真實(shí)的服務(wù)或網(wǎng)絡(luò)來吸引黑客攻擊.配置策略模塊的主要功能就是負(fù)責(zé)對(duì)虛擬端口進(jìn)行設(shè)置，決定開放或關(guān)閉哪些端口和漏洞供黑客掃描、探測和攻擊.該模塊的關(guān)鍵技術(shù)就在于如何更真實(shí)地模擬現(xiàn)實(shí)的系統(tǒng)和服務(wù)，盡量減少黑客的懷疑.

2) Honeypot模塊

將入侵檢測系統(tǒng)認(rèn)為可以的行為重定向到 Honeypot模塊，一旦該行為進(jìn)入蜜罐，那么它就很可能是某個(gè)嗅探、攻擊或其他惡意行為，而它在蜜罐內(nèi)的一切活動(dòng)所產(chǎn)生的特征信息都被捕獲記錄下來，形成日志傳送到遠(yuǎn)程日志服務(wù)器上保存下來.如果發(fā)現(xiàn)從 Honeypot發(fā)起到外部網(wǎng)絡(luò)的連接，那就肯定是蜜罐被攻破了.這種只關(guān)注進(jìn)出蜜罐的數(shù)據(jù)流的概念大大減少了需要檢測的數(shù)據(jù)量，有效地降低了漏報(bào)率，減輕了接下來數(shù)據(jù)分析模塊的負(fù)擔(dān).

3) 分析模塊

實(shí)時(shí)分析模塊對(duì) Honeypot模塊收集的網(wǎng)絡(luò)、系統(tǒng)等信息進(jìn)行實(shí)時(shí)分析，判斷是否存在人侵.可采用的分析方法有：模式匹配、統(tǒng)計(jì)分析等.

4) 取證模塊

進(jìn)出蜜罐的一切活動(dòng)信息都被記錄在日志文件上了，但由于日志文件很容易被攻擊者篡改或刪除，所以通常的辦法就是讓蜜罐向在同一網(wǎng)絡(luò)上但防御機(jī)制比較完善的遠(yuǎn)程系統(tǒng)日志服務(wù)器發(fā)送日志備份.一旦某一行為被確認(rèn)為入侵行為，那么該行為在蜜罐中的一切活動(dòng)信息都將被作為入侵證據(jù)而保存.

5) 總控制模塊

總控制模塊在整個(gè)系統(tǒng)之中起到了“指揮官”的作用，它負(fù)責(zé)調(diào)度各模塊之間的正常運(yùn)作、配合和數(shù)據(jù)交換并把已確定為入侵行為的事件上傳控制臺(tái)子系統(tǒng)報(bào)警，同時(shí)把控制臺(tái)系統(tǒng)的命令下達(dá)給各模塊.

入侵檢測系統(tǒng)的優(yōu)勢在于能夠?qū)崟r(shí)的對(duì)進(jìn)出系統(tǒng)和網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)視，一旦發(fā)現(xiàn)入侵行為就做出及時(shí)阻斷或發(fā)出報(bào)警從而減少入侵攻擊所造成的損失.但是入侵檢測系統(tǒng)在使用中存在數(shù)據(jù)流量瓶頸、難以檢測未知攻擊、漏報(bào)率和誤報(bào)率較高的問題.蜜罐(Honeypot)技術(shù)使這些問題得到改善.IDS將一部分的可疑行為重定位到蜜罐可以大大減少流經(jīng)自身的數(shù)據(jù)量，提高處理能力，通過收集和分析黑客在蜜罐上的活動(dòng)信息，人們能夠總結(jié)出黑客的入侵特征，從而幫助 IDS識(shí)別未知攻擊，降低漏報(bào)和誤報(bào)，并能用于進(jìn)一步改進(jìn) IDS的設(shè)計(jì)，增強(qiáng)IDS的檢測能力[6].因此，將蜜罐技術(shù)與IDS結(jié)合是完全可行的，但在實(shí)際應(yīng)用中仍需要不斷完善.

[1] 孫悅.基于蜜罐技術(shù)的入侵檢測系統(tǒng)研究[J].陜西交通職業(yè)技術(shù)學(xué)院學(xué)報(bào),2009(2):30-32.

[2] 翟繼強(qiáng),喬佩利.蜜罐技術(shù)的研究和分析[J].電腦學(xué)習(xí),2006(3):19-21.

[3] 何曉晗.簡析蜜罐技術(shù)及其應(yīng)用價(jià)值[J].通信世界,2009(25):19.

[4] 阮忠.入侵檢測系統(tǒng)結(jié)合蜜罐技術(shù)的研究與設(shè)計(jì)[J].電腦知識(shí)與技術(shù):學(xué)術(shù)交流,2008(2):635-636.

[5] 楊晶.蜜罐技術(shù)在IDS中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006(1):61-62.

[6] 汪洋.Honeypot技術(shù)在網(wǎng)絡(luò)入侵檢測系統(tǒng)中的應(yīng)用[J].現(xiàn)代電子技術(shù),2008,31(19):80-83.

The Feasibility Of Combining Honeypot With IDS

NI Chao-fan
(Department of Mathematics and Computer Science, Fuqing Branch of Fujian Normal University, Fuqing, Fujian 350300, China)

Compared to the traditional firewalls, IDS, based on intrusion detection technology, is able to control network data flow without any link and can work well without network data flow. Although IDS has so many advantages, it has disadvantages, such as incapable of dealing with unknown attack, high false negative and high false positive rate. Honeypot, based on proactive defense theory, is a luring technology. Its major function is to lure hacker to attack by simulating the real network and services and collect the data and information of hacker. These data and information are very important for finding out new attack type. Combining Honeypot with IDS will solve the deficiency of high false negative and high false positive rate of IDS. This thesis discusses the feasibility of combining Honeypot with IDS, and puts forward an intrusion detective model that is based on Honeypot.

Network safety; IDS; Honeypot

TP393.08

A

1673-2065(2011)04-0037-03

2011-01-15

倪超凡(1984-),女,福建仙游人,福建師范大學(xué)福清分校數(shù)學(xué)與計(jì)算機(jī)科學(xué)系助教,工學(xué)碩士.

(責(zé)任編校：李建明英文校對(duì)：李玉玲)