基于蜜罐技术的入侵检测系统研究.doc

基于蜜罐技术的入侵检测系统研究.doc

《基于蜜罐技术的入侵检测系统研究.doc》由会员分享，可在线阅读，更多相关《基于蜜罐技术的入侵检测系统研究.doc（10页珍藏版）》请在冰豆网上搜索。

第九章入侵检测系统

引言

随着网络技术的迅速发展和互联网的广泛应用，网络的安全问题日趋严重。

因此，网络安全技术已成为计算机技术中一个重要的研究领域[1]。

防火墙技术作为目前最为成熟的网络安全技术之一，得到了广泛的应用。

但是，防火墙是一种被动防御技术，它对于已知的事件和攻击类型比较有效，而对未知及新兴的攻击行为不能做出有效地响应。

入侵检测具有发现入侵的能力，是一种主动防御技术。

通过对系统、应用程序的日志及网络数据流量的分析，入侵检测系统能够完成防火墙无法完成的安全功能，被认为是防火墙之后的第二道安全屏障。

传统的入侵检测系统在提高系统和网络的安全性的同时，也存在着其固有的缺陷，如误报率和漏报率较高，对于未知的攻击行为缺乏有效的检测能力[2]。

在入侵检测系统中引入蜜罐技术可以很好的解决以上问题。

蜜罐是一种主动防御技术，通过构建模拟的系统，达到欺骗攻击者、增加攻击代价、减少对实际系统安全威胁的目的，同时可了解攻击者所使用的攻击工具和攻击方法，用于增强安全防范措施[3]。

本文提出了一种基于蜜罐技术的入侵检测模型，将蜜罐技术和入侵检测技术结合，充分利用蜜罐可用于检测的特点，对入侵行为具有较好的检测能力。

9．1入侵检测原理

1入侵检测系统

入侵检测系统（IntrusionDetectionSystem,IDS）是根据入侵行为与正常访问行为的差别来识别入侵行为的。

它一旦发现入侵，立即报警和记录日志，并实施安全控制操作，以保护数据的保密性、完整性和不可否认性。

作为网络安全防护体系的重要组成部分，入侵检测系统提供了对内部攻击、外部攻击和误操作的实时检测。

它采取了动态安全防护技术，对通信流量不做任何限制。

2入侵检测原理

根据识别采用的原理不同，可以分为异常检测和误用检测两种[3]。

1）异常检测

异常检测（AnomalyDetection）的前提是认为入侵是异常活动的子集。

异常检测系统通过运行在系统或应用层的监控程序监控用户的行为，通过将当前主体的活动情况和用户轮廓进行比较。

用户轮廓通常定义为各种行为参数及其阈值的集合，用于描述正常行为范围。

当前用户活动与正常行为有重大偏离时即被认为是入侵。

这种方法可以检测未知的攻击类型，但误报率较高；在新程序和技术不断涌现的情况下，如何定义行为参数及其阈值很困难。

2）误用检测

误用检测（MisuseDetection）的前提是所有的入侵行为都有可被检测到的特征。

误用检测系统提供攻击规则（特征）库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。

这种方法误报率和错报率较高，而且只能对已知攻击类型进行监测，对新的或经过伪装的攻击行为无能为力；规则库的更新将永无止境。

9．2蜜罐技术

1蜜罐概述

1）蜜罐的定义：

蜜罐（Honeypot）是一种安全资源，它的价值就在于被探测、被攻击或被攻陷。

可见，Honeypot可以是带有欺骗、诱捕性质的网络、主机和服务。

除了欺骗攻击者，Honeypot没有其他正常的业务用途，因此任何访问Honeypot的行为都是可疑的。

2）蜜罐分类[4]

根据交互程度可将蜜罐分为：

低交互（Low-interaction）蜜罐和高交互（High-interaction）蜜罐。

低交互蜜罐通过模拟操作系统和服务来实现其功能，黑客只能在仿真服务指定的范围内动作，仅允许少量的交互。

该种方法结构简单，容易部署，风险程度低。

高交互蜜罐通常必须由真实的操作系统来构建，提供给黑客真实的系统和服务。

高交互蜜罐一般位于受控环境中，可防止攻击者使用蜜罐主机发起对外攻击。

该种蜜罐可以获得大量的有用信息，通过真实的系统，可以学习黑客运行的全部动作；还可以获取未知的攻击行为。

2蜜罐技术原理

1）诱骗技术

诱骗技术在蜜罐技术体系中是最为关键的技术和难题。

目前的诱骗技术主要有：

模拟服务端口，模拟系统漏洞和应用程序，IP地址空间欺骗，流量仿真，网络动态配置，蜜罐主机等。

2）数据收集技术[3]

数据收集是为了捕获攻击者的行为，其使用的技术和工具安装获取信息位置可分为：

基于主机的数据收集和基于网络的数据收集。

在Honeypot所在的主机上几乎可以捕获攻击者行为的所有数据，如连接情况、远程命令、系统日志信息和系统调用序列等；在网络上捕获Honeypot的数据，风险小、难以被发现。

可以收集到防火墙日志、入侵检测系统日志和蜜罐主机系统日志等。

3）数据控制技术

数据控制技术用于控制攻击者的行为，蜜罐系统允许所有进入的访问，但是它对外出的访问进行严格控制。

通常有两层数据控制，连接控制和路由控制。

分别由防火墙和路由器来完成。

4）数据分析技术

数据分析技术是将蜜罐捕获的各种数据分析成为有意义、易于理解的信息。

目前的分析工具主要有：

Swatch工具和Walleye工具。

3蜜网技术

蜜网（Honeynet）是一种高交互的Honeypot，通过建立一个标准产品系统的网络，将该网络置于某种访问控制设备（通常是防火墙）之后，并进行观察。

Honeynet中的系统提供完整的操作系统和应用软件，攻击者可以与其交互、进行探测、攻击和利用。

在Honeynet构建的高度可控网络中，可监控恶意用户所使用的工具、方法和动机。

Honeynet体系结构包含了三个关键功能元素，即数据控制、数据捕获和数据采集。

数据控制和数据捕获遵循了蜜罐的基本原理，数据采集是Honeynet独特的关键功能元素，通过将多个Honeynet组织的数据采集并存储在一个点，并对它们进行综合分析，可以提高Honeynet的研究价值[5]。

9．3基于蜜罐技术的入侵检测模型

1模型设计

基于蜜罐技术的入侵检测模型如图1所示，诱骗网络是由多台蜜罐主机构成的蜜网，该蜜网通过一个以桥接模式部署的蜜网网关（HoneyWall）与外部网络连接。

作为关键部件，蜜网网关是蜜网与其它网络的唯一连接点，其有三个网络接口，其中Eth0连接外网，Eth1连接蜜网，两个接口以桥接方式连接，不提供IP地址和网卡MAC地址，同时也不对转发的网络数据包进行TTL递减和网络路由[3]。

因此，蜜网网关的存在并不对网络数据包的传输过程进行任何改动，从而使得蜜网网关很难被攻击者发现。

蜜网网关的Eth2接口连接内部管理监控网络，使得安全研究人员能够远程对蜜网网关进行控制，并能够对蜜网网关捕获的攻击数据进行进一步分析。

该接口使用一个内部IP，并通过严格的访问控制策略进行防护。

蜜网网关是蜜网与外部网络的唯一连接，所以进出蜜网的网络流量都将通过它，所以在蜜网网关上能够实现对网络数据流的控制和捕获控制。

图1基于蜜罐技术的入侵检测模型

2模型逻辑结构

在该模型的设计中，利用蜜罐的诱捕特性，构造了一个包含多台蜜罐主机的蜜网系统，利用真实的网络资源为诱饵，吸引网络攻击者的入侵行为。

当入侵行为发生时，攻击者将被监视并被控制，并联合监控管理网络中的日志服务器和入侵检测系统，对蜜网中机器的系统日志进行实时备份，并提取攻击者的入侵规则，对IDS中的入侵规则库进行更新。

该模型是一个高交互度的蜜罐系统，主要由网络诱骗、数据捕获、数据控制和数据分析等模块组成。

其逻辑结构如图2所示。

图2基于蜜罐技术的入侵检测模型逻辑结构

3蜜罐系统的设计与实现

1）网络诱骗

由于蜜罐的价值是在其被探测、攻击或攻陷的时候才能得到体现，因此没有诱骗功能的蜜罐系统是没有价值的。

在本系统设计中，利用网络诱骗作为一个传统包过滤网关系统的特性（类似于包过滤防火墙）。

根据规则控制进出网关的数据。

对服务器非法端口的连接请求进行重定向，即统统重定向至蜜罐系统。

这样不仅可以保护服务器免受攻击，而且还可以将入侵者引入“陷阱”。

这种根据端口判定数据包重定向的规则大大地增强了蜜罐系统的诱骗力度[6]。

在攻击者对服务器进行探测时，系统将允许其进行合法的连接和交互，以消除其戒心；当攻击者对服务器发起端口扫描或漏洞探测时，网络控制的重定向功能可以将攻击者引入蜜罐系统，同时暴露给攻击者一些漏洞。

这样可以诱骗攻击者相信自己发现了服务器的漏洞，从而引诱其实施攻击行为。

2）数据捕获

数据捕获能够获得所有攻击者的行动记录，利用这些记录网络安全管理员可以分析攻击者使用的工具、攻击策略和目的。

所以通常要在攻击者毫无察觉的情况下，捕获尽可能多的数据。

本系统通过三个层次实现数据的捕获，即防火墙的日志记录，入侵检测系统记录的网络流和Sebek捕获的系统活动。

Sebek是一种有名的数据捕获工具，在本系统中设计Sebek可以捕获蜜罐主机上的所有活动信息，包括加密的信息。

在实现时在蜜网的各个蜜罐主机上安装Sebek客户端，以捕获蜜罐主机中所有的数据信息，并把攻击者的活动记录信息通过蜜网网关的Eth2接口传送至监控网络中的日志服务器上。

3）数据控制

数据控制是蜜罐系统的核心功能之一，用于保障蜜罐系统自身的安全，它的目的是当蜜罐系统被攻击者攻陷时，确保其不会作为攻击者攻击第三方的跳板。

因此必须控制从蜜罐系统向外的连接数量，蜜网组织推荐每小时允许从蜜罐系统向外5到10个连接。

在本系统中采用IPTables，蜜网网关在IPTables防火墙中修改输出规则，当攻击者发起的连接数量超过预先设定的阈值（如5到10个连接）时，IPTables将其记录到日志中，并拒绝后继连接，从而避免蜜罐系统被攻击者攻击第三方的跳板。

4）数据分析

蜜罐系统的价值只有在充分分析捕获的数据后才能得到体现，而蜜网作为一种主动的安全防御系统，它最主要的特征就是能够通过分析捕获的数据来了解和学习攻击者所用的新攻击和新方法。

本系统的数据分析主要采用Walleye工具，在蜜网网关上安装蜜网数据辅助分析接口，该接口提供了许多的网络连接视图和进程视图，并在单一的视图中结合了各种类型的被捕获数据，从而可以帮助网络安全管理员快速理解蜜网中一切攻击事件[7]。

假如，在攻击者攻陷了蜜罐主机并向外发起连接请求时，Walleye的自动报警机制将会向管理员发送电子邮件，并会给出外出连接的目的IP、端口和发起时间等重要信息。

管理员收到报警后，可以参考外出连接的相关信息，并通过Walleye辅助分析接口对发生的攻击事件进行分析，以了解攻击者的攻击方法和动机。

结束语

本文分析了防火墙技术和入侵检测技术，深入研究了蜜罐技术，提出了一种主动防御的、基于蜜罐技术的入侵检测模型，介绍了该模型的设计原理及具体实现。

该模型结合了蜜罐技术和入侵检测技术，利用蜜罐的诱骗功能，构造一个包含多台蜜罐主机的蜜网系统，通过对攻击者的诱骗、数据捕获和数据分析，有效的降低了入侵检测系统的误报率和漏报率。

从而解决了入侵检测系统无法对未知的攻击行为做出检测和反击的问题。

参考文献：

[1]汪洁,杨柳.基于蜜罐的入侵检测系统的设计与实现[J].计算机应用研究,2012,29

（2）:

667-671.

[2]ALVAROHERRERO,URKOZURUTAZA,EMILIOCORCHADO.ANeural-visualizationIDSforHoneynetdata[J].InternationalJournalsystems,2012,22

（2）:

1250005-1—1250005-18.

[3]吴灏.网络攻防技术[M].北京:

机械工业出版社,2009.

[4]翟光群,陈向东,胡贵江.蜜罐与入侵检测技术联动系统的研究与设计[J].计算机工程与设计,2009,30（21）:

4845-4867.

[5]周学广,张焕国,张少武等.信息安全学[M].北京:

机械工业出版社,2010.

[6]何永飞.基于蜜罐的入侵检测技术研究[D].西安:

西安电子科技大学,2008.

[7]史伟奇,程杰仁,唐湘滟等.蜜罐技术及其应用综述[J].计算机工程与设计,2008,29（22）:

5725-5728.