（计算机应用技术专业论文）入侵检测和蜜罐的联动技术研究.pdf

入侵榆测和蜜罐的联动救术研宄 摘要 随着i n t e r n e t 的迅猛发展和网络社会化的到来，互联网面向商业用户和普 通公众开放，网络通信和业务量以滚雪球式增长。同时，由于i n t e r n e t 本身安 全方面的缺陷，黑客网络攻击与入侵行为、安全信息泄漏等事件，并且网络安全 事件呈迅猛递增的趋势。 目前，解决网络安全问题的主要技术手段有加密解密技术、身份认证、防 火墙技术、安全路由器、入侵检测、应急响应与恢复技术、蜜罐技术等，这些技 术在发展的同时，也存在着功能单一，相互独立，难于系统管理的不足，不能应 对现实中层出不穷的网络入侵行为，所以单纯依靠这些技术不可能满足全部的安 全要求。本文提出一种以入侵检测和蜜罐为主的联动技术框架，通过多种安全技 术的协同工作，以达到提高网络安全性的目的。 这个技术框架根据各种安全技术的特性进行了安全事件进行的分类，提出 了基于x m l 的安全事件统一描述格式，设计通用的信息交换接口，是其它的安全 产品可以统一的互通。在此联动框架的基础上，系统实现了入侵检测和蜜罐的协 同工作和智能的联动响应技术，有效的提高了系统的网络安全性能。 本文的思想和设计已经应用在国家8 6 3 计划一网络协同安全系统中。 关键字：网络安全，入侵检测，蜜罐，联动，x m l 入侵检测和蜜罐的联动技术研究 a b s t r a c t a 1 0 n gw i t ht h ei n t e r n e ts w i f ta n df u r l o u sd e v e l o p m e n ta n dt h en e t w o r k s o c i a l i z a t i o na r r i v a l ，t h ei n t e r n e th a so p e n e dh e rd o o rt ot h ec o m m e r c i a u s e r sa n dt h eo r d i n a r yp u b l i c t h en e t w o r kc o m m u n ic a t i o na n db u s i n e s s v o l u m ee x p e r i e n c i n gar o l l i n gs n o w b a l lt y p eg r o w t h a tt h es a m et i m e ，a s ar e s u l to ft h es e c u r i t yf l a w so ft h e i n t e r n e ti t s e l f ，t h ei n c r e a s i n g h a c k e r sn e t w o r ka t t a c k sa n di n v a s i o nb e h a v i o r ，t h es e c u r i t y o ft h e t r l f o r m a t i o nh i g h w a yr a i s e dt h ep u b l i c a l a r m a tp r e s e n t ，t h es o l u t i o n st on e t w o r ks e c u r i t yp r o b l e m sv a r i e s t h e m o s tu s e dt e c h n i q u e i st h ee n c r y p t i o nd e c i p h e rt e c h n o l o g y ，o t h e r s i n c l u d e t h e i d e n t i t y a u t h e n t i c a t i o n ， f i r e w a l l t e c h n o l o g y ， r o u t e r s e c u r i t y ，i n t r u s i o nd e t e c t i o n ，e m e r g e n c yr e s p o n d sa n d r e s t o r e st e c h n i c a l ， t h eh o n e y p o tt e c h n o l o g ya n d s oo n w h i l et h e s et e c h n o l o g i e sisu n d e r d e v e l o p m e n t 。s o m eo f t h e mi so n l ys i n g l ef u n c t i o n ，m u t u a l l yi n d e p e n d e n t ， a n dd if f i c u l tf o r t h e s y s t e ma d m i n i s t r a t i o n t h e y c a n n o tb et r u s t e d c o m d l e t e l ya st h es o l u t i o n st on e t w o r ki n t r u s i o nb e h a v i o rw h i c he m e r g e s 。n ea f t e ra n o t h e ri n c r e a s l yi nt h er e a l i t y t h e r e f o r ep u r e l yd e p e n d su p o n t h e s et e c h n o l o g i e sc a n n o ts a t i s f yt h ec o m p l e t es a f e t yn e e d s t h i sa r t i c l e d r o p o s e d ak i n do fs t r u c t u r ef r a m e w o r kw h i c hc o n s i s t so fb o t ht h eh o n e y p o t a n di n t r u s i o nd e t e c t i o nt e c h n o l o g i e s t h r o u g ht h e u s eo fm a n yk i n d so f s e c u r i t i e s t e c h n o l o g yj o i n to p e r a t i o n ，t o a c h i e v ee n h a n c e dn e t w o r k s e c u r i t yg o a l t h i st e c h n i c a lf r a m e w o r ka c t e da c c o r d i n gt oe a c hk i n do fs e c u r i t y t e c h n o l o g y s c h a r a c t e r i s t i ct oc a r r y o nt h ec l a s s i f i c a t i o no fe a c h s e c u r it ye v e n t p r o p o s e l y b a s e do nt h ex m l su n i f i e df o r m a to ft h e s 。c u r i t v e v e n t d e s c r i p t i o n ，t o d e s i g n e d t h e g e n e r a le x c h a n g e o f i n f o r m a t i o np o r t s ，m a k i n g an u m b e rs e c u r i t yp r o d u c t s t ob ea b l e t o i n t e r a c t i nt h i sl i n k a g ef r a m ef o u n d a t i o n ，t h es y s t e mh a sr e a l i z e dt h e i n t r u s i o nd e t e c t i o n ，a n dt h eh o n e y p o tj o i n to p e r a t i o n a n dt h ei n t e l l i g e n t i i n k a g er e s p o n s e t e c h n o l o g y ，e f f e c t i v e l y e n h a n c et h es y s t e mn e t w o r k s e c u r it yp e r f o r m a n c e t h i sa r t i c l ei d e a sa n dt h ed e s i g na l r e a d ya p p l i e d i nt h en a t i o n a l8 6 3p l a n s t h en e t w o r kc o o r d i n a t i o ns a f e t y s y s t e r n 入侵检测和蜜罐的联幼技术研究 k e y w o r d s ：n e t w o r k s e c u r it y ，i n t r u s i o nd e t e c t i o n ，h o n e y p o t ，i n t e r a c t i o n ， x m l ， 1 1 i 入侵榆测邱蜜罐的联动技术研究 第一章绪论 1 - l 网络安全的概念 。， 。 一? ，j 。一r 9 自从2 0 世纪9 0 年代以来，网络进入飞速发展的时代。目前互联网络已遍 及世界1 8 0 多个国家，为数亿的用户提供了各种网络和信息服务。其涉及到的服 务业项目也已经涵盖了电子商务、电子政务、电子银行、网上购物、网上拍卖、 网络信息安全等各个方面。网络信息系统在政治、军事、会融、商业、交通、电 信、文教等方面发挥着越来越大的作用，社会对网络的以来也同渐增强，网络与 人们的同常生活也变得越来越密不可分。 但是由于i n t e r n e t 本身安全方面的缺陷，黑客网络攻击与入侵行为、安全 信息泄漏等事件，对国家安全、经济发展、社会稳定团结造成了极大的威胁，并 且网络安全事件呈迅猛递增的趋势。 网络安全是在复杂的网络环境中，对信息载体( 处理载体、存储载体，传 输载体) 和信息处理、传输、存储、访问提供安全防护，以防止数据、信息内容 或能力拒绝服务或北非授权使用、篡改。网络安全主要包括以下三个方面内容： ( 1 ) 网络安全体系结构，由于开放系统互连模型和i n t e r n e t 层次体系结 构决定了网络安全体系结构的层次模型。网络安全体系结构描述网络信息体系结 构在满足安全需求方面各基本元素之削的关系，反映信息系统安全需求和网络体 系结构的共性，并由此派生了相应的网络安全协议、技术和标准。 ( 2 ) 网络安全技术，单一的网络安全技术和网络安全产品无法解决网络安 全的全部问题，应根据应用需求和安全策略，综合运用各种网络安全技术，包括 防火墙、i p s e c 、黑客技术、漏洞扫描、入侵检测、恶意代码与计算机病毒的防 治、系统平台安全以及应用安全等。 ( 3 ) 网络安全工程，对网络安全进行的综合处理，要从体系结构的角度， 用系统工程的方法，贯穿网络安全设计、丌发、部署、运行、管理和评估的全过 程。 网络安全l 般包括五个要素：机密性、完整性、可用性、可控性与可审查 性。 机密性：确保信息不暴露给未经授权的实体或进程。只要用户在网络上传 输数据，那么这些数据就有被坚挺的可能。如果这些数据对用户来说比较重要或 比较敏感，那么一旦黑客窃取到这些数据，对用户来说所造成的危害很可能是非 常巨大的。因此，在网络安全性方面，机密性被作为第一条提出。 垒堡竺型塑童堡堕壁垫塾查塑童 完整性：只有得到允许的人才能修改数据，并且能够判断出数据是否已经 被修改。一旦信息的发布者将信息发布出去，就不想在不知情的情况下被信息被 其他用户修改。也就是说信息的接受者如何来保证它所接受的信息就是发送者发 出的原始信息，没有经过第三者的肆意改动，这就是数据的完整性概念。 可用性：保证得到授权的实体在需要时可访问数据，即攻击者不能占用所 有资源阻碍授权者的工作。恶意破坏者呵以通过各种非法的手段来请求大量的系 统资源，从而使得系统将大量的系统资源都分配给这些恶意的请求，反而对难常 的用户请求不能够及时做出响应。目前我们所见到的大量的拒绝服务攻击都属于 这种类型。 可控性：可以控制授权范围内的信息流向及行为方式。提高网络可能共性 的直接有效的方法是对网络进行分段处理，对一个比较大的网络进行逻辑上的小 型化处理，即将网络划分为若干段，将容易发生危险的网段隔离丌，以杜绝对其 他网段的影响。 可审查性：能够对出现的网络安全问题提供调查的依据和手段。一旦出现 攻击行为或网络受到其他一些安全威胁的时候，系统要能够对发生的入侵行为进 行记录，使得在事故发生之后也可以向网络管理员提供黑客攻击行为的追踪线索 及破案依据。 1 2 网络安全技术的发展现状 网络安全经过了二十多年的发展，已经发展成为一个跨多门学科的综合性 科学，它包括：通信技术、网络技术、计算机软件、硬件设计技术、密码学、网 络安全与计算机安全技术等。 在理论上，网络安全是建立在密码学以及网络安全协议的基础上的。密码 学是网络安全的核心，利用密码技术对信息进行加密传输、加密存储、数据完整 肚鉴别、用户身份鉴别等，比传统意义上简单的存耿控制和授权等技术更可靠。 加密算法是一些公式和法则，它规定了明文和密文之间的变换方法。由于加密算 法的公开化和解密技术的发展，加上发达国家对关键加密算法的出口限制，各个 国家正不断致力于开发和设计新的加密算法和加密机制。 安全协议方面，众多标准化组织制定了许多标准和草案，尤其是以r f c 文 档形式出现的协议标准更是成了网络安全设备的基础。举例说，v p n 技术就是建 立在安全隧道基础上的，点对点的隧道协议( p p t p ：r f c 2 6 3 7 ) 和第2 层隧道协 议( l 2 t p ：r f c 2 6 6 1 ) 提供远程p p p 客户到l a n 的安全隧道，因此，网络安全要 不断发展和开发满足新的需求的安全协议。 从技术上，网络安全取决于两个方面：网络设备的硬件和软件。网络安全 则由网络设备的软件和硬件互相配合来实现的。但是，由于网络安全作为网络对 其上的信息提供的一种增值服务，人们往往发现软件的处理速度成为网络的瓶 入侵拎测和蜜罐的联动投术训究 颈，因此，将网络安全的密码算法和安全协议用硬件实现，实现高速的安全处理 仍然将是网络安全发展的一个主要方向。 对于我国而言，网络安全的发展趋势将是逐步具备自主研制网络设备桶能 力，自发研制关键芯片，采用自己的操作系统和数据库，以及使用国产的网管软 件。中国计算机安全的关键是要有自主的知识产权和关键技术，从根本上摆脱对 外国技术的依赖。 另一方面，在安全技术不断发展的同时，全面加强安全技术的应用也是网 络安全发展的一个重要内容。因为即使有了网络安全的理论基础，没有对网络安 全的深刻认识、没有广泛地将它应用于网络中，那么谈再多的网络安全也是无用 的。同时，网络安全不仅仅是防火墙，也不是防病毒、入侵监测、防火墙、身份 认证、加密等产品的简单堆砌，而是包括从系统到应用、从设备到服务的比较完 整的、体系性的安全系列产品的有机结合。 1 3 网络安全的主要手段 为防止各种黑客的网络入侵手段，提高系统的安全程度，各种安全防护手 段应运而生，目前经常使用到的有：防火墙，入侵检测，蜜罐技术，访问控制， 加密传输等。 防火墙 防火墙是一种允许接入外部网络，但同时又能够识别和抵抗非授权访问的 网络安全技术。防火墙扮演的是网络中的警察的角色他指挥网络上信息合理有序 的安全流动，同时也处理网络上的各种事故。防火墙可以分为外部防火墙和内部 防火墙。外部防火墙实在内部网络和外部网络之问建立起一个保护层，从而防止 黑客的侵入，其方法是监听和限制所有进入的通信，阻挡外来非法信息并控制敏 感信息被泄漏：内部防火墙是将内部网络分隔为多个局域网，从而限制外部攻击 可能造成的损失。 防火墙能增强机构内部的网络的安全性。防火墙系统决定了哪些内部服务 可以被外界访问；外部的哪些请求可以访问内部的哪些服务，以及哪些外部的服 务呵以被内部人员访问。要使防火墙有效，所有来自和去往外部网络的信息都必 须经过防火墙，接受防火墙的检查，防火墙必须只允许授权的数据通过。另一方 面防火墙本身也必须能免于被渗透，因为防火墙系统一旦被攻击者突破或被绕 过，就不能对内部网络提供任何保护了。 现有的防火墙按照检测技术可分为以下几种： 包过滤：通常安装在路由器上，大多数的厂商的路由器都提供了包过滤的 功能。包过滤规则可以以i p 包头信息为基础，对源地址，目标地址，封装协议， 端口号进行筛选。包过滤在网络层进行。 代理服务器：通常由两部分构成，服务器端程序和客户端程序。客户端程 入侵榆测和蜜罐的联动技术研究 序与中间节点连接，中间节点再与提供服务的服务器实际连接。与包过滤防火墙 不同的是，对外部网络不存在直接的连接，而且代理服务器提供| 二1 志和审计服务。 复合型防火墙：将包过滤和代理服务器两种方法结合起来，形成新的防火 墙。 入侵检测 入侵检测系统是用来识别针对计算机系统和网络系统，或者更广泛意义上 的信息系统的非法攻击，包括检测外界非法入侵者的恶意攻击或试探，以及内部 合法用户超越使用权限的非法行为。它可以实现复杂的信息系统安全管理，从目 标系统和网络资源中采集信息，分析来自网络外部和内部的入侵信号，时时地对 攻击行为做出反应，已经成为继防火墙之后的第二道网络安全防线。 根据获得审计数据的方法进行分类，入侵检测可分为以下两类：基于主机 的入侵检测系统：其检测数据来源于系统的审计日志，寻找攻击特征，然后给出 统计分析报告，一般只能检测该主机上发生的攻击行为。基于网络的入侵检测系 统：其检测数据来源于网络上的信息流，从中寻找符合网络入侵检测规则的数据 包，能够检测该网络上发生的入侵。 根据入侵检测引擎的实现技术，入侵检测系统可分为以下两类： 滥用检测：这种检测技术是建立在对过去各种己知的网络入侵方法和系统 缺陷知识的积累之上，它首先需要建立一个包含上述已知信息的数据库，然后再 从收集到的网络活动信息中寻找与数据库项目匹配相关的信息，当发现符合条件 的活动后，就会触发一个警告。因此，滥用入侵检测系统具各较高的检测准确性， 但是它的完整性取决于其数据库的及时更新程度。 非规则入侵检测：非规则入侵检测系统的工作是建立在如下假设的基础上 的，即任何一种入侵行为都能够由其偏离_ i _ f 常或者所期望的系统和用户的活动规 律而被检测出来。描述正常或者合法活动的模型是从对过去收集到的大量历史活 动资料中分析得来的。它把当前的活动与以前的活动情况进行对比，如果发现当 前的状态偏离了正常的模型状态，则发出一个警告。因此，非规则入侵检测系统 的完整性很高，但要保证它具备很高的准确性很困难。 蜜罐技术 蜜罐是一个故意设计为有缺陷的系统，通常是用来对入侵者的行为进行警 报或者诱骗。传统的蜜罐是一般情况下类比其他操作系统或者一些常见漏洞。蜜 罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可 以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以 通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。 蜜罐技术有着很多优点： 资料收集：蜜罐收集少量的资料，但资料都是具有高价值的。它去除了大 入侵检测和蜜罐的联功技术研究 量的杂乱信息，使它能够简单的收集资料。在安全上中的最难的问题之一，就是 如何在大量的资料当中，找到你所需要的资料，蜜罐能使你快速简单地去收集资 料并且了解。比如h o n e yn e tp r o j e c t ，它足一个研究h o n e y p o t 的团队，平均 每天收集1 5 m b 的资料，这些资料一般都是很有价值的，不止能看到刚路上的 行动，并且能得知入侵者如何入侵这个系统。 资源：许多安全工具会被带宽所限制住。网路入侵检测系统不能够去追踪 所有的网路行为，而丢弃封包。集中化的同志服务器并无法收集所有的系统同志， 而潜在地流失臼志记录。蜜罐则没有这个问题，它仅仅去截取对与它有关系的动 作。 同时它也存在着一些缺点： 单一资料收集点：蜜罐放置一个很大的系统漏洞，如果没有攻击者来攻击， 即变得一点价值都没有，也无法得知任何未授权的行为。 风险：蜜罐对于你的环境也能够招致风险，作为攻击者另外一次攻击的平 台，风险是变动性的，全依靠如何设置及如何利用蜜罐。 法律问题：监控蜜罐也要承担相应的法律后果，譬如说，有可能违反反 窃听法。虽然目前没有判例法，但熟悉这方面法律的人士大多数认为，双方同 意的标语是出路所在。也就是说，给每个蜜罐打上这样的标语：“使用该系统的 任何人同意自己的行为受到监控，并透露给其他人，包括执法人员。” 访问控制 访问控制是对信息系统资源进行保护的重要措施，理解访问控制的基本概 念有助于信息系统的拥有者选择和使用访问控制手段对系统进行防护。访问控制 决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。适当的 访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括 用户识别代码、口令、登录控制、资源授权( 例如用户配置文件、资源配置文件 和控制列表) 、授权核查、日志和审计。 安全控制包括六种类型的控制手段如防御型、探测型和矫正型以及管理型、 技术型和操作型控制。 加密传输 目的是对传输中的数据流加密，以防止通信线路上的窃听、泄漏、篡改和 破坏。如果以加密实现的通信层次来区分，加密可以在通信的三个不同层次来实 现，即链路加密( 位于o s i 网络层咀下的加密) ，节点加密，端到端加密( 传输 前对文件加密，位于o s i 网络层以上的加密) 。 一般常用的是链路加密和端到瑞加密这两种方式。链路加密侧重与在通信 链路上而不考虑信源和信宿，是对保密信息通过各链路采用不同的加密密钥提供 安全保护。链路加密是面向节点的，对于网络高层主体是透明的，它对高层的协 入侵榆测和蜜罐的联动技术珂f 究 议信息( 地址、检错、帧头、帧尾) 都加密，因此数据在传输中是密文的，但在 中央节点必须解密得到路由信息。端到端加密则指信息由发送端自动加密，并进 入t c p i p 数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，当这 些信息一旦到达目的地，将自动重组、解密，成为可读数据。端到端加密是面向 网络高层主体的，它不对下层协议进行信息加密，协议信息以明文形式传输，用 户数据在中央节点不需解密。 入惺榆铡和蜜罐的联动技术训究 第二章联动技术 2 1 联动技术的产生 当前网络安全的形势有着目益严峻的趋势，对安全的需求越来越高并且不 再是单一的安全需求，已上升为对防病毒、访问控制、加密、入侵检测、漏洞扫 描、防火墙等更多种类安全产品的需求，单一的安全技术和产品已经越来越不能 很好的满足用户对网络安全性的需要。对不同安全产品之间联动、共同协作的要 求，对这些产品构筑的安全体系可以进行集中的、可视化的管理的要求，对安全 体系能对安全漏洞综合的、可视化的分析的要求。 当前的安全形势要求一个安全系统必须打破不同安全产品测各自为政的状 况，同时却又面对“束手无措”的难题。因为在网络安全系统需要更加丰富有效 的各种技术和产品的同时，对不同安全的产品和技术管理的复杂性、安全系统同 志的有效分析也在加大。所以，不同安全产品的整合已经成为大势所趋。整合之 后的网络安全系统可以实现不同安全产品的集中管理、可以实现不同系统的集中 审计，提高安全系统防护能力的可视化、可控化程度，真e 提高安全系统成效。 但整合并非不同安全产品之间简单叠加，这首先是一个标准统、瓷源共 享、可管理的问题。不同厂商的产品采用不同的设计理念和研发规范，简单叠加 不能实行无缝衔接，往往会存在漏洞，留下安全“盲点”，当入侵者扫描到这些 “盲点”后，便可实施攻击。从防范方来说，当某种安全漏洞出现时，必须针对 1 ：同厂商的技术和产品特点进行人工分析，最后再综合到一起，重新配置安全策 略。这样做无疑降低了对攻击的反应速度，延误战机，让危害加剧。 至今还没有一个全面的网络安全产品出现，而各个网络安全产品之间的安 全技术和标准也有所不同，网络安全领域迫切需要整合各个网络产品的优势，形 成一个严密的网络安全系统。目前主要的信息安全技术大部分市在网络的不同环 节和设施上，并未组成一个严密的系统和可供管理的平台。因此，黑客攻击屡屡 得逞，而遭到破坏的网络系统也不能快速恢复，新的解决方案必须体现在管理、 防护、监测、审计、服务5 个方面的各个环节，所以安全产品之间联动是建立真 证安全系统的前提，因此联动也是网络安全的发展趋势。 联动本质上是安全产品之间一种信息互通的机制，它的理论基础是：安全 事件的意义不是局部的，将安全事件及时通告给相关的安全系统，有助于从全局 范围评估安全事件的威胁，并在适当的位置采取动作。所谓的联动一般包含两个 含义： 入侵检测和蜜罐的联动技术研究 1 不同安全技术之问进行联动：对不同的安全技术的优势进行融合，消除 单一安全技术的不足和漏洞所带柬的安全隐患。如入侵检测和防火墙的 联动，入侵检测和蜜罐的联动等。 2 不同安全产品之间进行联动：同类技术的不同安全产品联合进行多重防 护，同时也可以进行资源和安全事件的共享。如不同的入侵检测互通安 全警告和规则集。 这两种含义根据现有的安全技术和产品的优势、缺陷和自身的特点，给出 了进行联动的可能性。 入侵检测系统通常安装在网络中的主机上，根据已知的入侵行为所产生的 规则集来检测入侵行为。这种检测机制虽然准确率很高，但是对于未知的入侵行 为检测能力不强，也就是完整性不够，所以需要和有发现新入侵行为能力的安全 技术相结合才能对各种入侵进行全面的检测。入侵检测本身的特点决定了当网络 中发生入侵行为的时候它很难做出有效的响应，即入侵检测系统的设计和在网络 中的位置决定了其相应能力相对有限，需要和其他的安全技术进行配合才能做出 响应。入侵检测系统需要和网络中其他的有响应能力的安全设备联动起来，组成 能够对网络入侵进行检测、报警和响应的安全系统。 安全网络中通常安装了多种入侵检测产品，这些产品基本上都是独立工作 的，资源、安全事件的共享和互操作性都很差。同时入侵检测系统和其他的安全 设备也基本上是独立工作的，所以使入侵检测与其他安全设备之间进行联动是必 要的，也是构成全放为安全系统的基础。 蜜罐系统是一个陷阱系统，适用于入侵检测最新的方法。蜜罐通过设置一 个具有很多漏洞的系统来吸引黑客入侵，通过黑客留下的信息来分析入侵的方法 和路径，通过分析黑客的入侵行为，为建立一个更安全的系统提供更多的知识。 由于蜜罐是个具有诱惑力的系统，能够分散黑客进攻的注意力祁精力，所以对 真正的业务系统有这很好的保护作用。 并且联动技术是网络安全方面发展的一个趋势，同时能够实现各种现有技 术的优势互补，。也是构成一个比现有系统具有更高安全性的安全系统的基础。因 此蜜罐和入侵检测相联动可以构成一个进行较全面的入侵检测并且具有一定响 应能力的安全系统。 目前国内外对各种安全技术联动所进行的研究非常积极，研究的方向也很 多，以下是一些有代表性的正在研究的项目。 2 2 相关的研究工作 ran p naaa r t 0unear p o a c r ( 哪 叭 l c 22 入侵榆测和蜜罐的瞒动披术删究 t , j j 、同入侵追踪及响应体系，浚项目是由d a r p a 赞助，n a i ，u c d a v i s 等联合研究 的。主要的研究目的是将来自入侵检测系统、路由器、防火墙、安全管理系统等 的信息进行统一处理，发现和追踪跨网的攻击、阻l 卜并降低攻击的风险、在全网 范围内协同入侵响应。 c i t r a ( c o o p e r a t i v ei n t r u s i o n l 、r a c e b a c ka n dr e s p o n s ea r c h i t e c t u r e ) 采用i d i p 协议，使用入侵检测系统、路由器、防火墙、网络安全管理系统和其 它部分相互配合以实现下列目的： t 穿越网络边界，追踪网络入侵。 2 入侵发生后，防止或减轻后续破坏和损失。 3 向协调管理器报告入侵活动。 4 协调入侵响应。 i d i p 协议( i n t r u d e rd e t e c t i o na n di s o l a t i o np r o t o c o l ，入侵者检测 与隔离协议) ，浚协议支持协同穿越网际的入侵追踪和将入侵锁定在被攻击资源 的边界，采用设备无关追踪和锁定指示，提供集中报告和协调入侵响应。 c i t r a 还存在技术不成熟，存在大量误警和误响应，不能轻易采取主动响 应，容易被攻击者利用，造成拒绝服务攻击，主要采取人工响应等问题。 2 2 2a i r c e r t a i r c e r t ( a u t o m a t e di n c i d e n t r e p o r t i n g ) 项目是由c e r t ( 安全应急响 应小组) 和s a n s ( 系统管理及网络安全) 研究机构共同承担，可以使得不同的 安全管理系统自动而不是人工的向c e r t 通报安全事件，此外c e r t 和s a n d i a 共 同定义了一种计算机安全事件描述语言( c l c s i ) 。 2 2 3c i d f c l d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) ，该研究项目主要研究不 同的i d s 系统之f j 女n 何通过标准的格式、协议和体系来彼此协调。 为了提高i d s 产品、组件及与其他安全产品之间的互操作性，美国国防高 级研究计划署( d a r p a ) 和互联网工程任务组( i e t f ) 的入侵检测工作组( i d w g ) 发起制订了一系列建议草案，从体系结构、a p i 、通信机制、语言格式等方面规 范i d s 的标准。c i d f 是由d a r p a 提出的，是入侵检测领域最有影响力的建议。 c i d f 在i d e s 和n i d e s 的基础上提出了一个通用模型，将入侵检测系统分 为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库。在这个模 型中，事件产生器、事件分析器和响应单元通常以应用程序的形式出现，而事件 数据库则往往是文件或数据流的形式，很多i d s 厂商都以数据收集部分、数据分 析部分和控制台部分三个术语来分别代替事件产生器、事件分析器和响应单元。 c i d f 将l o s 需要分析的数据统称为事件，它可以是网络中的数据包，也可以是 入侵榆测和蜜罐的联动技术研究 从系统日志或其他途径得到的信息。 以上四个组件只是逻辑实体，一个组件可能是某台计算机上的一个进程甚 至线程，也可能是多个计算机上的多个进程，它们以g i d o ( 统一入侵检测对象) 格式进行数据交换。g i d o 是对事件进行编码的标准通用格式( 由c i d f 描述语言 c i s l 定义) ，g i d o 的数据可以是发生在系统中的审计事件，也可以是对审计事件 的分析结果。 为了保证各个组件之间安全、高效的通信，c i d f 将通信机制构造成一个三 层模型：g i d o 层、消息层和协商传输层。g d o 层的任务就是提高组件之间的互 操作性，所以g i d o 就如何表示各种各样的事件做了详细的定义。c i d f 的通信机 制主要讨论消息的封装和传递，主要分为四个方面：配对服务，路由，消息层， 消息层处理。 2 2 4o p c e c o p c e c 是经过c h e c kp o i n t 公司提议并成立的一个组织。o p c e c 提供集成和 互操作开放平台，扩展了c h e c kp o i n ts v n 的体系结构。该平台通过一个开放的 可扩展的框架继承和管理网络安全的各个方面，第三方厂家的应用程序可以通过 公丌的a p i 、二：【：业标准协议、i n s p e c t 和高层脚本语言而插入o p c e c 框架，这样 就可以通过一个中心控制点。利用统一的安全策略来配置和管理这些应用程序， 从而实现统一的网络安全管理。 o p c e cs d k 提供了a p i ，这些o p c e ca p i 可以用来配置v p n 一1 f i r e w a l 卜l 与o p c e c 组件之间的交互。 2 2 5t o p s e c t o p s e c 网络安全体系平台是以n g f w 系列防火墙产品为核心，以自主设计 的t o p s e c 协议为基础框架，以p k i c a 体系为安全支撑和保障，与各类网络安全 技术和优秀网络安全产品在技术上有机集成，实现安全产品之间的互通与联动， 是一个统一的、可扩展的安全体系平台。t o p s e c 网络安全体系的特点：动态联 动互操作性，安全性，模块化可伸缩性，高性能，丌放性可扩展性，易用性 可管理性。 该联动的核心思想是要求安全系统防护、监测、审计、管理、服务五个环 节之间联动，实现产品之间、安全产品与集中管理平台之间，安全产品与集中审 计平台之间，安全服务与其他安全环节和安全产品之间的联动。 2 3 联动技术发展现状 正如前面所讲c i d f 项目在致力于研究一个开放的标准协议，使得各个厂+ 商 可以在统一的协议下开发各自产品的通讯模块，实现多种安全产品之间的联动。 c t r a 和a i r c e r t 等项目都在开发一种可以对各种安全产品进行集中的信息管 入侵检测和蜜罐的联动技术研究 理，使多种安全产品能够在统一的管理平台下联动的工作，不再是各自为政的工 作方式。o p c e c l 项目提供了一整套公开的s d k ，这样就能够通过这些a p i 来构建 个中心控制点，来集中管理和配置各种安全产品。 目前联动的主要形式是入侵检测系统与防火墙之间的联动，同时也是现在 的联动形式中比较普遍的一种，因为入侵检测对入侵行为的发现能力和防火墙对 入侵的响应能力很强，这两种安全产品的安全性有很大的互补性，能够组成一个 更高安全性的系统。 目前实现入侵检测和防火墙之间的联动基本上有两种方式，一种是将两者 整合在一起，入侵检测系统需要分析的数据源来源于经过防火墙的数据流，而不 是抓包所获得的数据。所有进出防火墙的数据流先经过防火墙过滤，再通过入侵 检测系统进行检测，判断是否属于入侵行为，以达到更高的安全性。这样将两种 有不同优势的安全产品整合在一起，可以更好的发挥每个产品的优势，相互弥补 劣势，整合的另一个好处是易于进行信息的分析和配置的管理。但是，由于这两 种都是很复杂庞大的系统，所以整合在一起有很大的难度，并且整合后的性能方 面可能会受到一定的影响。不可否认的是，安全产品的互相整合仍然是现今网络 安全发展的一个研究方向和趋势。 另一种是通过开放的接口来使入侵检测系统和防火墙进行联动，入侵检测 系统和防火墙都通过一个统一的开放接口来调用对方，并按照一定的协议进行控 制和数据通讯。 入侵榆测和蜜罐的联动技术研究 第三章入侵检测系统与蜜罐联动 3 1 具有安全能力的安全产品 不同的安全产品具有不同的安全能力，每种安全产品根据其设计和用途会 具有一种或几种安全能力。从安全能力的角度来看，安全设备可以分为：具确发 现能力的设备，具有诱捕能力的设备和具有响应能力的安全设备，发现能力又可 以分为发现已知入侵行为的能力和发现未知入侵行为的能力。 表3 1 安全设备按照能力分类 发现能力 诱捕能力响应能力 对已知入侵对未知入侵 i d s ( 滥用)有( 很强)无无无 t d s ( 非规则)有有无无 防火墙无无无有( 很强) 蜜罐有( 信息分析)有( 信息分析)有( 很强)无 防病毒有无无无 安全审计有有无无 l 交换机无无无有 如上表所示，入侵检测系统是一种对入侵具有很强发现能力的安全设备， 通过在网络中的传感器采集信息，并对其在攻击特征库中进行规则匹配，从中检 测网络中的符合攻击特征的流量。蜜罐系统是一个充满诱惑的陷阱系统，通过模 拟系统的已知漏洞和正常的服务来诱惑黑客对其进行攻击，之后对黑客留下的信 息进行分析，并对黑客的行为进行学习，然后将分析的结果用于构建其他更高安 全性的安全设备。将有发现能力和诱捕能力的安全设备结合起来，构成了安全联 动的思想基础。 3 1 - 1 入侵检测系统 入侵检测系统( i n t r u s i o nd e t e c t i v es y s t e m ) ，它从网络中的若干关键点 收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到攻击 的迹象。入侵检测被认为是防火墙之后的第：二道安全闸门。入侵检测的主要任务 是： 1 峰实、分析用户及系统的活动。 入馒扮删和蜜罐由联动技术 i j f 究 2 系统构造和弱点的审计。 3 识别反映已知进攻的活动模式并向相关的系统进行警报。 4 异常行为模式的统计分析。 5 评估重要系统和数据文件的完整性。 6 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 一个成功的入侵检测系统，不仅可以使系统管理员时刻了解网络系统( 包 括程序、文件和硬件设备等) 的任何变更，还能给网络安全策略的制定提供依据。 它应该管理配置简单，使非专业人员能够非常容易的获得网络的安全。入侵检测 的规模还应根据网络规模、系统构造和安全性需求的改变而改变。入侵检测系统 在发现入侵之后，会及时做出响应，包括记录安全事件和向相关系统或者系统管 理员报警等。 s o n r t s n o r t 是一个基于l i b p c a p 的数据包嗅探器，并可以作为一个轻量级的网 络入侵检测系统( n i d s ) ，它具有截取网络数据报文，进行网络数据实时分析、 报警以及日志的能力。所谓的轻量级是指在检测时尽可能低地影响网络的_ i _ f 常操 作，一个优秀的轻量级的n i d s 应该具备跨系统平台操作，对系统影响最小等 特征并且管理员能够在短时间内通过修改配置进行实时的安全响应，更为重要的 是能够成为整体安全结构的重要成员。s n o r t 作为其典型范例，首先可以运行在 多种操作系统平台，例如u n i x 系列和w i n d o w s 。( 需要1 i b p c a pf o rw i n 3 2 的支 持) ，与很多商业产品相比，它对操作系统的依赖性比较低。其次用户可以根据 自己的需要及时在短时间内调整检测策略。就检测攻击的种类来说，据最新数据 表明s n o r t 共有2 1 类1 2 7 1 条检测规则，其中包括对缓冲区溢出，端口扫描和 c g i 攻击等等。s n o r t 集成了多种告警机制来提供实时告警功能，包括：s y s l o g 、 用户指定文件、u n i x s o c k e t 、通过s m b c l l e n t 使用w i n p o p u p 对w i n d o w s 客户端 告警。s n o r t 的现实意义作为开源软件填补了只有商业入侵检测系统的空白，可 以帮助中小网络的系统管理员有效地监视网络流量和检测入侵行为。 s o n r t 具有以下特点： 1 s n o r t 的报文截取代码是基于l i b p c a p 库的，继承了1 i b p c a p 库的平台 兼容性。它能够进行协议分析，内容搜索匹配，能够用来检测各种攻 击和探测，例如：缓冲区溢出、隐秘端口扫描、c g i 攻击、s m b 探测、 0 s 指纹特征检测等等。 2 s n o r t 使用一种灵活的规则语言柬描述网络数据报文，因此可以对新的 攻击做出快速地翻译。 3 s n o r t 具有实时报警能力。可以将报警信息写到s y s l o g 、指定的文件、 u n i x 套接字或者使用w i n p o p u p 消息。 入侵榆测和蛮罐的联动技术研究 4 s n o r t 具有良好的扩展能力。 很方便地加入新的功能。 5 s n o r t 还能够记录网络数据， 是解码的a s c i i 格式。 它支持插件体系，可以通过其定义的接口 其h 志文件可以是t c p d u m p 格式，也可以 3 1 - 2 蜜罐技术 蜜罐技术( h o n e y p o t s ) 是网络安全领域一项令人兴奋的新技术，与防火墙 和入侵检测技术不同，蜜罐技术的出现不是为了解决一个特定的网络安全问题， 它是一个非常弹性的工具，可以用来吸引来自网络上的攻击，并且收集所有的攻 击方法和过程，并记录日志，可以认为蜜罐是一种信息系统资源，它的价值在于 可以对这些资源进行非法的利用。 蜜罐技术是一种新型的技术，提供很少但很有价值的信息同志，它对正常 的访问不进行记录，只记录非正常、不合法的动作，所以其只志是容易分析的， 并且是很有价值的。蜜罐是设计用来诱惑入侵者对其进行入侵的，所以通过分析 日志信息来捕获已知的或者是未知的攻击方法、攻击策略或是攻击工具，尤其是 对未知的攻击信息的获得有为重要。由于蜜罐只是搜集具有攻击性的动作信息， 所以运行蜜罐之需要非常少的系统资源。 蜜罐的交互性是蜜罐的一种重要特性，交互性是入侵这和实现这个蜜罐的 操作系统之间的交互程度。一般可分为低交互性蜜罐、高交互性蜜罐。低交互性 蜜罐只是在一些特定端口上提供一些特定的虚假服务，然后用一个监听进程在这 些特定的端口进行监听，并把监听到的所有信息记录到文件中。这种低交互性的 蜜罐由于不存在操作系统的复杂性，所以减少了可能的风险，但是它只能对特定 端口进行监听而不能对相应的请求做出进一步的应答信号，因此这种蜜罐的实现 方式是被动的。高交互性蜜罐提供了一个真实的操作系统，这是和前一种蜜罐的 最大不同。这样可以收集更多的入侵者的信息，同时操作系统的复杂度大大增加， 面临的风险性也非常大，其本身也有可能是网络中的一个安全漏洞。这样一旦这 个蜜罐系统被黑客攻陷，就有可能成为网络中的一个傀儡主机，所以蜜罐本身需 要在严格的监视之下。 h o n e y d h o n e y d 是一款小型的守护程序，可