倪 超 凡

(福建師范大學福清分校 數(shù)學與計算機科學系，福建 福清 350300)

淺析蜜罐技術(shù)與IDS結(jié)合的可行性

倪 超 凡

(福建師范大學福清分校 數(shù)學與計算機科學系，福建 福清 350300)

基于入侵檢測技術(shù)的入侵檢測系統(tǒng)(IDS)，與傳統(tǒng)的防火墻相比，有能夠同時監(jiān)控進出網(wǎng)絡(luò)的數(shù)據(jù)流，不需要跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)便可以工作等優(yōu)點，但也存在一些缺陷，比如對未知的攻擊行為無能為力，漏報率和誤報率過高等.蜜罐技術(shù)是基于主動防御理論而提出的一種入侵誘騙技術(shù)，它的主要作用就是通過模擬真實的網(wǎng)絡(luò)和服務來吸引黑客進行攻擊，收集入侵者的特征數(shù)據(jù)，為發(fā)現(xiàn)新的攻擊類型提供重要的參考數(shù)據(jù).將蜜罐技術(shù)引入到 IDS當中可以大大完善IDS誤報率和漏報率高的缺點.著重分析了蜜罐技術(shù)與IDS結(jié)合的可行性，并提出了一種基于蜜罐技術(shù)的入侵檢測模型.

網(wǎng)絡(luò)安全；入侵檢測系統(tǒng)；蜜罐技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和互聯(lián)網(wǎng)的普及，個人、企業(yè)和政府部門的信息交換和傳遞越來越多地依賴網(wǎng)絡(luò)，因此，網(wǎng)絡(luò)安全的重要性就不言而喻了.從最初的密碼技術(shù)、身份認證技術(shù)到防火墻技術(shù)，這些靜態(tài)的安全技術(shù)雖然能夠?qū)Ψ乐瓜到y(tǒng)非法入侵起到一定的作用，但是隨著入侵的數(shù)量和種類越來越多，這些傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)顯然已經(jīng)無法滿足網(wǎng)絡(luò)安全的需要.比如防火墻，這是一種最基礎(chǔ)也是非常有效的安全技術(shù)，它能夠有效阻斷來自外部的攻擊，但對于來自內(nèi)部的攻擊以及利用漏洞繞過防火墻進行的攻擊都無能為力.另一方面，它所提供的服務方式是要么都拒絕，要么都通過，這種單一的處理方式已經(jīng)不足以應對當前日益復雜的網(wǎng)絡(luò)形勢.這時候，入侵檢測的概念被提了出來.

1 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)(Intrusion Detection System，IDS)是能夠?qū)崿F(xiàn)入侵檢測功能的軟、硬件的組合.入侵檢測是通過分析從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集到的行為、安全日志或?qū)徲嫈?shù)據(jù)等信息，發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象，并做出相應的反應的過程.根據(jù)檢測的方法不同可以將入侵檢測分為2大類：基于知識的檢測和基于行為的檢測[1].

基于知識的檢測又稱為誤用檢測.它事先根據(jù)已知的攻擊模式建立一個攻擊特征數(shù)據(jù)庫，在檢測時，通過比對用戶或系統(tǒng)行為與特征庫中各種攻擊模式是否匹配來確定是否有入侵發(fā)生.這種方法的優(yōu)點是準確性高，對已知的攻擊類型能夠有效識別，但是對未知的攻擊就無能為力了，這就容易造成漏報.

基于行為的檢測又叫異常檢測.它事先根據(jù)一些特征量定義了一個“正?！钡男袨樘卣鲾?shù)據(jù)庫，在檢測時，比對用戶當前行為特征與“正?！钡男袨樘卣?，若兩者偏差超過一定范圍，則說明發(fā)生了異常.這種方法的優(yōu)點是在一定程度上能夠識別和防范未知的攻擊，但容易造成誤報，用戶正常的讀取和訪問會受到影響.

基于入侵檢測的這些缺陷，如何從浩如煙海的數(shù)據(jù)中準確又高效地識別出各種已知、未知的攻擊行為，成為了它急需完善的部分.

2 蜜罐技術(shù)

蜜罐(Honeypot)是指受到嚴密監(jiān)控的網(wǎng)絡(luò)誘騙系統(tǒng)，通過真實或模擬的網(wǎng)絡(luò)和服務來吸引攻擊，從而在黑客攻擊蜜罐期間對其行為和過程進行記錄分析，以搜集信息，對新攻擊發(fā)出預警，同時蜜罐也可以延緩攻擊和轉(zhuǎn)移攻擊目標[2].值得注意的是，蜜罐本身并不直接處理任何的網(wǎng)絡(luò)安全事件，它只是一種工具，它的價值體現(xiàn)在被探測、被攻擊甚至被攻破之時.相對于IDS的缺點，蜜罐技術(shù)有以下一些優(yōu)點.

分流了一部分數(shù)據(jù)，大大減少了 IDS所要分析的數(shù)據(jù).根據(jù) IDS的工作原理，所有進出網(wǎng)絡(luò)的行為都必須接受檢測，這就產(chǎn)生了大量的日志和報警信息，這其中大多數(shù)都是無目的的掃描，對系統(tǒng)沒有實質(zhì)性的威脅，再花費大量的人力來處理這些無意義的日志信息實在是沒有必要.同時，對于通常的網(wǎng)站或郵件服務器，攻擊流量通常會被合法流量所淹沒，這就容易造成漏報[3].而蜜罐是一個誘騙網(wǎng)絡(luò)，正常情況下合法用戶是無法對它進行訪問的，因此進出蜜罐的數(shù)據(jù)很有可能是攻擊流量.利用蜜罐的這個特性，IDS可以把檢測到的可疑行為或連接重定向到蜜罐，這樣做一方面減輕了IDS的負擔，降低了漏報率，另一方面也讓蜜罐捕獲更多的攻擊特征信息，為IDS的特征庫的更新提供了重要依據(jù).

蜜罐是一個受到嚴密監(jiān)控的誘騙工具，所有進出蜜罐的活動都會被記錄下來，形成日志.我們知道，在IDS的入侵分析技術(shù)中，誤用檢測和異常檢測分別是基于攻擊特征數(shù)據(jù)庫和行為特征數(shù)據(jù)庫的，而這兩個特征庫通常是靜態(tài)的，需要管理者手動更新.蜜罐的引入為 IDS特征庫的自動更新提供了可能.當 IDS把檢測到的可疑行為重定向到蜜罐后，該行為在蜜罐中的一切活動信息都將被記錄下來形成日志，通過對日志的分析可以判斷該可疑行為是否為攻擊，若為攻擊，則總結(jié)出新的入侵規(guī)則和特征并及時添加到特征數(shù)據(jù)庫中，從而使IDS能夠及時識別新的攻擊行為.這種對特征庫的實時更新能夠有效地降低誤報率.

3 蜜罐技術(shù)與IDS結(jié)合的可行性分析

從上面的分析可以看出，蜜罐能夠分流掉一部分 IDS的所要分析的數(shù)據(jù)，減輕了 IDS的檢測負擔，并為IDS特征庫的實時更新提供了有力的數(shù)據(jù)支持，而IDS能夠及時處理入侵時間，彌補蜜罐系統(tǒng)只能識別攻擊不能處理攻擊的不足.可見，蜜罐和IDS在入侵檢測功能的優(yōu)缺點上有著很強的互補性，因此，利用兩者結(jié)合來提高系統(tǒng)的檢測性能是可行的[4].由此提出了一個基于蜜罐技術(shù)的入侵檢測系統(tǒng)模型，它的主要模塊有[5]：

1) 配置策略模塊

蜜罐本來就是通過模擬真實的服務或網(wǎng)絡(luò)來吸引黑客攻擊.配置策略模塊的主要功能就是負責對虛擬端口進行設(shè)置，決定開放或關(guān)閉哪些端口和漏洞供黑客掃描、探測和攻擊.該模塊的關(guān)鍵技術(shù)就在于如何更真實地模擬現(xiàn)實的系統(tǒng)和服務，盡量減少黑客的懷疑.

2) Honeypot模塊

將入侵檢測系統(tǒng)認為可以的行為重定向到 Honeypot模塊，一旦該行為進入蜜罐，那么它就很可能是某個嗅探、攻擊或其他惡意行為，而它在蜜罐內(nèi)的一切活動所產(chǎn)生的特征信息都被捕獲記錄下來，形成日志傳送到遠程日志服務器上保存下來.如果發(fā)現(xiàn)從 Honeypot發(fā)起到外部網(wǎng)絡(luò)的連接，那就肯定是蜜罐被攻破了.這種只關(guān)注進出蜜罐的數(shù)據(jù)流的概念大大減少了需要檢測的數(shù)據(jù)量，有效地降低了漏報率，減輕了接下來數(shù)據(jù)分析模塊的負擔.

3) 分析模塊

實時分析模塊對 Honeypot模塊收集的網(wǎng)絡(luò)、系統(tǒng)等信息進行實時分析，判斷是否存在人侵.可采用的分析方法有：模式匹配、統(tǒng)計分析等.

4) 取證模塊

進出蜜罐的一切活動信息都被記錄在日志文件上了，但由于日志文件很容易被攻擊者篡改或刪除，所以通常的辦法就是讓蜜罐向在同一網(wǎng)絡(luò)上但防御機制比較完善的遠程系統(tǒng)日志服務器發(fā)送日志備份.一旦某一行為被確認為入侵行為，那么該行為在蜜罐中的一切活動信息都將被作為入侵證據(jù)而保存.

5) 總控制模塊

總控制模塊在整個系統(tǒng)之中起到了“指揮官”的作用，它負責調(diào)度各模塊之間的正常運作、配合和數(shù)據(jù)交換并把已確定為入侵行為的事件上傳控制臺子系統(tǒng)報警，同時把控制臺系統(tǒng)的命令下達給各模塊.

入侵檢測系統(tǒng)的優(yōu)勢在于能夠?qū)崟r的對進出系統(tǒng)和網(wǎng)絡(luò)的數(shù)據(jù)進行監(jiān)視，一旦發(fā)現(xiàn)入侵行為就做出及時阻斷或發(fā)出報警從而減少入侵攻擊所造成的損失.但是入侵檢測系統(tǒng)在使用中存在數(shù)據(jù)流量瓶頸、難以檢測未知攻擊、漏報率和誤報率較高的問題.蜜罐(Honeypot)技術(shù)使這些問題得到改善.IDS將一部分的可疑行為重定位到蜜罐可以大大減少流經(jīng)自身的數(shù)據(jù)量，提高處理能力，通過收集和分析黑客在蜜罐上的活動信息，人們能夠總結(jié)出黑客的入侵特征，從而幫助 IDS識別未知攻擊，降低漏報和誤報，并能用于進一步改進 IDS的設(shè)計，增強IDS的檢測能力[6].因此，將蜜罐技術(shù)與IDS結(jié)合是完全可行的，但在實際應用中仍需要不斷完善.

[1] 孫悅.基于蜜罐技術(shù)的入侵檢測系統(tǒng)研究[J].陜西交通職業(yè)技術(shù)學院學報,2009(2):30-32.

[2] 翟繼強,喬佩利.蜜罐技術(shù)的研究和分析[J].電腦學習,2006(3):19-21.

[3] 何曉晗.簡析蜜罐技術(shù)及其應用價值[J].通信世界,2009(25):19.

[4] 阮忠.入侵檢測系統(tǒng)結(jié)合蜜罐技術(shù)的研究與設(shè)計[J].電腦知識與技術(shù):學術(shù)交流,2008(2):635-636.

[5] 楊晶.蜜罐技術(shù)在IDS中的應用[J].網(wǎng)絡(luò)安全技術(shù)與應用,2006(1):61-62.

[6] 汪洋.Honeypot技術(shù)在網(wǎng)絡(luò)入侵檢測系統(tǒng)中的應用[J].現(xiàn)代電子技術(shù),2008,31(19):80-83.

The Feasibility Of Combining Honeypot With IDS

NI Chao-fan
(Department of Mathematics and Computer Science, Fuqing Branch of Fujian Normal University, Fuqing, Fujian 350300, China)

Compared to the traditional firewalls, IDS, based on intrusion detection technology, is able to control network data flow without any link and can work well without network data flow. Although IDS has so many advantages, it has disadvantages, such as incapable of dealing with unknown attack, high false negative and high false positive rate. Honeypot, based on proactive defense theory, is a luring technology. Its major function is to lure hacker to attack by simulating the real network and services and collect the data and information of hacker. These data and information are very important for finding out new attack type. Combining Honeypot with IDS will solve the deficiency of high false negative and high false positive rate of IDS. This thesis discusses the feasibility of combining Honeypot with IDS, and puts forward an intrusion detective model that is based on Honeypot.

Network safety; IDS; Honeypot

TP393.08

A

1673-2065(2011)04-0037-03

2011-01-15

倪超凡(1984-),女,福建仙游人,福建師范大學福清分校數(shù)學與計算機科學系助教,工學碩士.

(責任編校：李建明英文校對：李玉玲)