第3章 入侵检测系统模型.ppt

第3章入侵检测系统模型 概述 所有的入侵检测系统模型都是由三部分组成的 它们是信息收集模块 信息分析模块和告警与响应模块 如图3 1所示 本节来分别讲述这三块的功能与作用 概述 3 1入侵检测系统模型概述 入侵检测系统 顾名思义 便是对入侵行为的发觉 它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象 3 1入侵检测系统模型概述 IDS发展到目前 按照不同的角度区分 已经出现了主机基和网络基的入侵检测系统 基于模式匹配 异常行为 协议分析等检测技术的系统 第四代入侵检测技术是主机基 网络基 安全管理 协议分析 模式匹配 异常统计 它的优点在于入侵检测和多项技术协同工作 建立全局的主动保障体系 误报率 漏报率 滥报率较低 效率高 可管理性强 并实现了多级的分布式的检测管理 网络基和主机基入侵检测 协议分析和模式匹配以及异常统计相结合 取长补短 可以进行更有效的检测 3 1入侵检测系统模型概述 美中不足的是 IDS普遍存在误报问题 导致入侵检测的实用性大打折扣 采用智能处理模块解决这个问题 智能处理模块包括下面功能 1 全面集成入侵检测技术 将多个代理传送到管理器的数据整合起来 经过智能处理 将小比例的多个事件整合形成一个放大的全面事件图 2 对于一个特定的漏洞和攻击方法 IDS先分析系统是否会因为这个缺陷而被入侵 然后再考虑与入侵检测的关联 报警 3 1入侵检测系统模型概述 3 用户自定义规则 用户可以根据漏洞扫描系统评估自己的系统 根据服务器操作系统类型 所提供的服务以及根据漏洞扫描结果制定属于自己的规则文件 这对管理员提出了更高的要求 4 采用先进的协议分析 模式匹配 滥用检测和异常检测结合使用 异常统计的检测分析方法 3 1入侵检测系统模型概述 图 3 2信息收集 入侵检测的第一步是信息收集 内容包括系统 网络 数据及用户活动的状态和行为 而且 需要在计算机网络系统中的若干不同关键点 不同网段和不同主机 收集信息 这除了尽可能扩大检测范围的因素外 还有一个重要的因素就是从一个源来的信息有可能看不出疑点 但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识 3 2信息收集 当然 入侵检测很大程度上依赖于收集信息的可靠性和正确性 因此 很有必要只利用所知道的真正的和精确的软件来报告这些信息 因为黑客经常替换软件以搞混和移走这些信息 例如替换被程序调用的子程序 库和其它工具 黑客对系统的修改可能使系统功能失常并看起来跟正常的一样 而实际上不是 例如 UNIX系统的PS指令可以被替换为一个不显示侵入过程的指令 或者是编辑器被替换成一个读取不同于指定文件的文件 黑客隐藏了初试文件并用另一版本代替 这需要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的坚固性 防止被篡改而收集到错误的信息 3 2信息收集 3 2 1信息收集概述数据收集机制在IDS中占据着举足轻重的位置 如果收集的数据时延较大 检测就会失去作用 如果数据不完整 系统的检测能力就会下降 如果由于错误或入侵者的行为致使收集的数据不正确 IDS就会无法检测某些入侵 给用户以安全的假象 1 分布式与集中式数据收集机制 1 分布式数据收集 检测系统收集的数据来自一些固定位置而且与受监视的网元数量无关 2 集中式数据收集 检测系统收集的数据来自一些与受监视的网元数量有一定比例关系的位置 3 2信息收集 2 直接监控和间接监控如果IDS从它所监控的对象处直接获得数据 则称为直接监控 反之 如果IDS依赖一个单独的进程或工具获得数据 则称为间接监控 就检测入侵行为而言 直接监控要优于间接监控 由于直接监控操作的复杂性 目前的IDS产品中只有不足20 使用了直接监控机制 3 2信息收集 3 基于主机的数据收集和基于网络的数据收集基于主机的数据收集是从所监控的主机上获取的数据 基于网络的数据收集是通过被监视网络中的数据流获得数据 总体而言 基于主机的数据收集要优于基于网络的数据收集 3 2信息收集 4 外部探测器和内部探测器 1 外部探测器是负责监测主机中某个组件 硬件或软件 的软件 它将向IDS提供所需的数据 这些操作是通过独立于系统的其他代码来实施的 2 内部探测器是负责监测主机中某个组件 硬件或软件 的软件 它将向IDS提供所需的数据 这些操作是通过该组件的代码来实施的 外部探测器和内部探测器在用于数据收集时各有利弊 可以综合使用 由于内部探测器实现起来的难度较大 所以在现有的IDS产品中 只有很少的一部分采用它 3 2信息收集 3 2 2信息源的获取入侵检测利用的信息源一般来自以下四个方面 1 系统和网络日志文件黑客经常在系统日志文件中留下他们的踪迹 因此 充分利用系统和网络日志文件信息是检测入侵的必要条件 日志中包含发生在系统和网络上的不寻常和不期望活动的证据 这些证据可以指出有人正在入侵或已成功入侵了系统 通过查看日志文件 能够发现成功的入侵或入侵企图 并很快地启动相应的应急响应程序 日志文件中记录了各种行为类型 每种类型又包含不同的信息 例如记录 用户活动 类型的日志 就包含登录 用户ID改变 用户对文件的访问 授权和认证信息等内容 很显然地 对用户活动来讲 不正常的或不期望的行为就是重复登录失败 登录到不期望的位置以及非授权的企图访问重要文件等等 3 2信息收集 2 目录和文件中的不期望的改变网络环境中的文件系统包含很多软件和数据文件 包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标 目录和文件中的不期望的改变 包括修改 创建和删除 特别是那些正常情况下限制访问的 很可能就是一种入侵产生的指示和信号 黑客经常替换 修改和破坏他们获得访问权的系统上的文件 同时为了隐藏系统中他们的表现及活动痕迹 都会尽力去替换系统程序或修改系统日志文件 3 2信息收集 3 程序执行中的不期望行为网络系统上的程序执行一般包括操作系统 网络服务 用户起动的程序和特定目的的应用 例如数据库服务器 每个在系统上执行的程序由一到 每个进程执行在具有不同权限的环境中 这种环境控制着进程可访问的系统资源 程序和数据文件等 一个进程的执行行为由它运行时执行的操作来表现 操作执行的方式不同 它利用的系统资源也就不同 操作包括计算 文件传输 设备和其它进程 以及与网络间其它进程的通讯 3 2信息收集 4 物理形式的入侵信息这包括两个方面的内容 一是未授权的对网络硬件连接 二是对物理资源的未授权访问 黑客会想方设法去突破网络的周边防卫 如果他们能够在物理上访问内部网 就能安装他们自己的设备和软件 依此 黑客就可以知道网上的由用户加上去的不安全 未授权 设备 然后利用这些设备访问网络 例如 用户在家里可能安装Modem以访问远程办公室 与此同时黑客正在利用自动工具来识别在公共电话线上的Modem 如果拨号访问流量经过了这些自动工具 那么这一拨号访问就成为了威胁网络安全的后门 黑客就会利用这个后门来访问内部网 从而越过了内部网络原有的防护措施 然后捕获网络流量 进而攻击其它系统 并偷取敏感的私有信息等等 3 2信息收集 3 2 3信息的标准化不同的入侵检测产品 如Snort RealSecure等 之间或同一个入侵检测产品内部各个模块之间通常使用各自定义的信息描述语言和格式 没有一个统一的标准接口 从而使得它们之间不能很好地沟通与协作 目前 OWL WebOntologyLanguage 已经逐渐成为语义信息描述的事实标准 正在为越来越多的系统所应用 这里将介绍入侵检测系统中一套完整的基于OWL的信息描述机制 3 2信息收集 3 2 3信息的标准化1 相关研究目前的知识描述语言有许多种 如XML RDF DAML DAML OIL和OWL等 XML是Web上数据交换的标准 它可以表达任意结构的数据 但是它在表示数据的语义方面不是很强 Ontology本体可以较为有效地解决信息之间的语义不确定等问题 目前语义Web上的Ontology表示语言主要有RDF OIL OntologyInterchangeLanguage DAML DarpaAgentMarkupLanguage DAML与OIL结合起来而产生的DAML OIL OWL 3 2信息收集 3 2 3信息的标准化RDF是一种简单的Ontology表示语言 但是RDF的缺点是其表达能力差 例如 它没有变量 它只支持字符型 不支持整型 实型等其它简单数据类型 它只有属性的Domain和range约束 没有否定 没有传递属性transitive 互反属性inverse 不能表示等价性和不相交性 没有类成员的充分必要条件 不能描述等价性等 OIL以RDF为起点 用更为丰富的Ontology建模原语对RDFScheme进行扩充 OIL的缺点是它不能表达类或属性的等价性 3 2信息收集 3 2 3信息的标准化在RDF和OIL的基础上 DAML尝试将RDF和OIL的优点结合起来产生了DAML OIL OWL是W3C在DAML OIL基础上近几年发展起来的 它与DAML OIL的实质区别体现为OWL通过选择Web本体取消了有条件的数量限制并直接说明属性是对称的 减少了一些不规则的DAML OIL结构抽象语法 特别是对外层组件的约束和它们意义的差别 各种结构名称也有改变 基于以上原因 这里选择了OWL作为IDS的信息描述工具 3 2信息收集 2 基于OWL的信息描述解决方案这里将采用OWL作为整个分布式IDS中信息描述的工具 并以一个入侵检测实例为例说明方案的实现过程 如图3 3所示为基于OWL信息描述的IDS模型 3 2信息收集 整个安全模型由安全管理平台 事件分析器 感应器和数据源组成 由系统安全管理员制定安全策略 并通过安全管理平台分发给各个事件分析器 数据源包括来自网络和主机的各种信息 感应器可以是不同种类的分布式安全部件代理 它们将收集到的安全信息传给事件分析器进行安全分析 分析器再将分析后的结果通过网络安全管理平台传输给安全管理员 管理员再对安全事件进行响应 3 2信息收集 在IDS的消息描述方面最出名的是入侵检测工作组IDWG提出的入侵检测交换格式IDMEF IntrusionDetectionMessageExchangeFormat 它是一种基于XML的网络入侵检测告警信息描述标准 它针对IDS而设计 具有良好的开放性 可扩展性和商业互操作性 IDMEF仅仅对网络安全告警信息和设备心跳信息进行了描述 并且采用DTD DocumentTypeDefinition 作为对XML数据的约束 3 2信息收集 IDMEF数据模型是一种面向对象的入侵检测告警信息和设备心跳信息描述模型 如图3 4所示 在IDMEF Message根类中包含两个了类 Alert和HeartBeat 它们和IDMEF Message之间是继承关系 它继承了IDMEF Message的所有属性 Alert和HeartBeat分别用于对安全告警信息和设备心跳信息进行描述 3 2信息收集 IDMEF 3 2信息收集 4 IDS中基于OWL的安全消息通信机制在图3 2基于OWL信息描述的IDS模型当中 多个感应器可以和事件分析器之间可以采用基于OWL的消息机制进行通信 考虑到感知器的异构性 通信的安全性 系统的效率等问题 通信机制主要要求以下两点 1 将异构的感知检测到的信息采用统一的数据格式 这里采用基于OWL的信息描述 2 保证通信的安全性 其通信模型如图3 5所示 3 2信息收集 其通信模型如图3 5所示 3 2信息收集 在IDS中 感知器和事件分析器之间进行通信的时候 分为两层 OWL层和SSL层 OWL层负责使用OWL语言将感知器收集到的信息转换成统一的OWL语言字符串 SSL层使用SSL协议进行通信 通信的时候 首先感知器与事件分析器之间建立SSL安全会话 经过双方进行身份认证之后 感知器将OWL层生在成的消息进行RSA加密 然后通过SSL层传输给事件分析器 事件分析器收到加密的OWL消息之后进行解密 然后再进行OWL消息解析 以得到原始发送过来的消息 OWL消息解析的时候可以使用惠普公司的免费软件Jena 3 3信息分析 对上一节收集到的四类有关系统 网络 数据及用户活动的状态和行为等信息 一般通过三种技术手段进行分析 模式匹配 统计分析和完整性分析 其中前两种方法用于实时的入侵检测 而完整性分析则用于事后分析 3 3信息分析 3 3 1模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较 从而发现违背安全策略的行为 该过程可以很简单 如通过字符串匹配以寻找一个简单的条目或指令 也可以很复杂 如利用正规的数学表达式来表示安全状态的变化 一般来讲 一种进攻模式可以用一个过程 如执行一条指令 或一个输出 如获得权限 来表示 该方法的一大优点是只需收集相关的数据集合 显著减少系统负担 且技术已相当成熟 它与病毒防火墙采用的方法一样 检测准确率和效率都相当高 但是 该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法 不能检测到从未出现过的黑客攻击手段 3 3信息分析 3 3 2统计分析统计分析方法通常用于异常入侵检测当中 它首先给系统对象 如用户 文件 目录和设备等 创建一个统计描述 统计正常使用时的一些测量属性 如访问次数 操作失败次数和延时等 测量属性的平均值将被用来与网络 系统的行为进行比较 任何观察值在正常值范围之外时 就认为有入侵发生 例如 统计分析可能标识一个不正常行为 因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录 其优点是可检测到未知的入侵和更为复杂的入侵 缺点是误报 漏报率高 且不适应用户正常行为的突然改变 具体的统计分析方法如基于专家系统的 基于模型推理的和基于神经网络的分析方法 目前正处于研究热点和迅速发展之中 3 3信息分析 3 3 3完整性分析完整性分析主要关注某个文件或对象是否被更改 这经常包括文件和目录的内容及属性 它在发现被更改的 被木马化的应用程序方面特别有效 完整性分析利用强有力的加密机制 称为消息摘要函数 例如MD5 它能识别哪怕是微小的变化 其优点是不管模式匹配方法和统计分析方法能否发现入侵 只要是成功的攻击导致了文件或其它对象的任何改变 它都能够发现 缺点是一般以批处理方式实现 不用于实时响应 尽管如此 完整性检测方法还应该是网络安全产品的必要手段之一 例如 可以在每一天的某个特定时间内开启完整性分析模块 对网络系统进行全面地扫描检查 3 3信息分析 3 3 4数据分析机制根据IDS如何处理数据 可以将IDS分为分布式IDS和集中式IDS 1 分布式IDS 在一些与受监视组件相应的位置对数据进行分析的IDS 2 集中式IDS 在一些固定且不受监视组件数量限制的位置对数据进行分析的IDS 这些定义是基于受监视组件的数量而不是主机的数量 所以如果在系统中的不同组件中进行数据分析 除了安装集中式IDS外 有可能在一个主机中安装分布式数据分析的IDS 分布式和集中式IDS都可以使用基于主机 基于网络或两者兼备的数据收集方式 3 3信息分析 3 3 4数据分析机制分布式IDS与集中式IDS的特点比较如下 1 可靠性集中式 仅需运行较少的组件 分布式 需要运行较多的组件 2 容错性集中式 容易使系统从崩溃中恢复 但也容易被故障中断 分布式 由于分布特性 所有数据存储时很难保持一致性和可恢复性 3 3信息分析 3 3 4数据分析机制3 增加额外的系统开销集中式 仅在分析组件中增加了一些开销 那些被赋予了大量负载的主机应专门用作分析 分布式 由于运行的组件不大 主机上增加的开销很小 但对大部分被监视的主机增加了额外开销 3 3信息分析 3 3 4数据分析机制4 可扩容性集中式 IDS的组件数量被限定 当被监视主机的数量增加时 需要更多的计算和存储资源处理新增的负载 分布式 分布式系统可以通过增加组件的数量来监视更多的主机 但扩容将会受到新增组件之间需要相互通信的制约 3 3信息分析 3 3 4数据分析机制5 平缓地降低服务等级 集中式 如果有一个分析组件停止了工作 一部分程序和主机就不再被监视 但整个IDS仍在继续工作 分布式 如果有一个分析组件停止了工作 整个IDS就有可能停止工作 6 动态地重新配置 集中式 使用很少的组件来分析所有的数据 如果重新配置它们需要重新启动IDS 分布式 很容易进行重新配置 不会影响剩余部分的性能 由于分布式不易实现 目前的IDS产品多是集中式的 3 4告警与响应 在入侵检测系统中 当完成系统安全状况分析并确定系统所出问题之后 就要让系统管理员知道这些问题的存在 这在入侵检测处理过程模型中称为告警与响应 告警通常以报告的形式告诉系统管理员被监测对象的安全状况 响应包括被动响应和主动响应 3 4告警与响应 3 4 1被动响应与主动响应被动响应就是系统仅仅简单地记录和报告所检测出的问题 而主动响应则是系统 自动地或与用户配合 为阻止或影响正在发生的攻击进程而采取行动 在早期的入侵检测系统中被动响应是唯一的响应模式 随着技术的不断发展和人们对安全性的不断提高主动响应成为现今入侵检测系统的主要响应模式 主动响应主要包括以下几种选项可供选择 3 4告警与响应 3 4 1被动响应与主动响应1 对入侵者采取反击行动 1 入侵追踪技术对入侵者采取反击行动的方式在一些组织和机构特别受欢迎 因为这些组织和机构的网络安全管理人员特别希望能够追踪入侵者的攻击来源 并采取行动切断入侵者的机器和网络连接 但是这一方式本身就存在安全漏洞 首先入侵者的常用攻击方法是先黑掉一个系统 然后在利用被黑掉的系统作为攻击另外系统的平台 其次 即使入侵者来自一个合法的系统 但他也会利用IP地址欺骗技术使反击误伤到无辜者 并且反击的结果可能挑起更猛烈的攻击 因为入侵者会从常规监视和扫描演变成全面的攻击 从而使系统资源陷入危机 进一步来讲 由于反击行动涉及到重要法律法规和现实问题 所以这种响应方式也不应该成为最常用的主动响应 3 4告警与响应 3 4 1被动响应与主动响应1 对入侵者采取反击行动 2 入侵警告和预防对付入侵者也可以采取比较温和的方式 一方面 入侵检测系统可以有意的断开与其的网络对话 例如向入侵者的计算机发送TCP的RESET包 或发送TCMPDestinationUnreachable 目标不可达 包 系统也可以利用防火墙和网关阻止来自入侵的IP地址的数据包 另一方面 系统可以发邮件给怀疑入侵者的系统的管理员请求协助以识别问题和处理问题 这种响应方式只能发现问题 处理问题 但对入侵检测系统的完善所起的作用并不明显 但在一些研究机构和院校得到一定应用 3 4告警与响应 3 4 1被动响应与主动响应2 修正系统环境修正系统环境类似于自动控制的反馈环节 并具有自学习进化功能 修正系统环境以堵住导致入侵发生的漏洞的概念与一些研究者提出的关键系统耦合的观点是一致的 它可通过增加敏感水平来改变分析引擎的操作特征 或通过插入规则改变专家系统来提高对一些攻击的怀疑水平或增加监视范围以比通常更好的采样间隔来收集信息 这种响应方式由于相对于上一种响应来说相比更为缓和 若与提供调查支持的响应相结合可称为是最佳响应配置 可广泛应用 3 4告警与响应 3 4 1被动响应与主动响应3 收集额外信息当被保护的系统非常重要并且系统管理人员需不断的进行规则校正时就需要收集入侵者的信息 并不断的改进和优化系统 并且可以将入侵者转移到专用服务器 这些专用服务器设置被称为欺骗网技术 欺骗网技术就是使入侵者相信信息系统存在有价值的 可利用的安全弱点 并具有一些可攻击窃取的资源 当然这些资源是伪造的或不重要的 并将入侵者引向这些错误的资源 它能够显著地增加入侵者的工作量 入侵复杂度以及不确定性 从而使入侵者不知道其进攻是否奏效或成功 而且 它允许防护者跟踪入侵者的行为 在入侵者之前修补系统可能存在的安全漏洞 3 4告警与响应 3 4 1被动响应与主动响应从原理上讲 每个有价值的网络系统都存在安全弱点 而且这些弱点都可能被入侵者所利用 网络欺骗主要有以下三个作用 1 影响入侵者使之按照用户的意志进行选择 2 迅速地检测到入侵者的进攻并获知其进攻技术和意图 3 消耗入侵者的资源 3 4告警与响应 3 4 2主动响应在商业上的应用1 被动式追踪在被动式追踪技术方面 国外已经有了一些产品 如Thumbprinting技术对应用层数据进行摘要 基于某种Hash算法 可根据摘要追踪 Timing based系统使用连接的时间特性来区分各个连接 Deviation based方法定义两次TCP连接之间最小延迟作为 deviation 这些技术和方法都有一个共同的缺点就是计算复杂 无论采取哪一种方法都涉及大量计算 由于现在的网络速度和发展 大规模采取任何一种方式都是不可能的 这类产品的发展前景并不被看好 一些产品已经不做进一步发展 3 4告警与响应 3 4 2主动响应在商业上的应用2 主动式追踪主动式追踪技术研究主要涉及信息隐形技术 如针对http协议 在返回的http报文中加入用户不易察觉并且有特殊标记的内容 从而在网络中检测这些标记追踪定位 这种方法不需要计算每个数据包 并进行比较 因此有很大的优势 在国外主动式追踪技术已经有了一些实用化工具 如IDIP SWT等 但基本还处于保密阶段 随着信息隐形技术的发展 主动式追踪技术将得到进一步发展 在未来战争计算机对抗技术的迫切需求下 国家安全部门及一些军事科研机构将投入更大的精力于这方面技术的研究 3 4告警与响应 3 4 3HoneyPots技术一个 HoneyPots 是一个设计用来观测入侵者如何探测并最终入侵系统的一个系统 它意味着包含一些并不威胁公司机密的数据或应用程序同时对于入侵者来说又具有很大的诱惑力的这样的一个系统 也就是放置在网络上的一台计算机表面看来象一台普通的机器但同时通过一些特殊配置来引诱潜在的黑客并捕获他们的踪迹 它并不是用来抓获入侵者 仅仅想知道他们在并不知道自己被观测的情况下如何工作 入侵者呆在 HoneyPots 的时间越长 他们所使用的技术就暴露的越多 而这些信息可以被用来评估他们的技术水平 了解他们使用的攻击工具 通过学习他们使用的工具和思路 可以更好的保护系统和网络 而且以这种方式收集的信息对那些从事网络安全威胁趋势分析的人来说也是有价值的 这种信息对那些必须在有敌意威胁的环境里运行或易遭受大量攻击的系统 例如政府Web服务器或具有商业价值的电子商务网站 是特别重要的 3 4告警与响应 3 4 3HoneyPots技术HoneyPots技术充分体现了网络入侵检测系统的防御功能 尤其对收集入侵者的威胁信息或者收集证据来采取法律措施至关重要 Honeypots和NIDS相比较具有以下特点 1 数据量小Honeypots仅仅收集那些对它进行访问的数据 在同样的条件下 NIDS可能会记录成千上万的报警信息 而Honeypots却只有几百条 这就使得Honeypots收集信息更容易 分析起来也更为方便 3 4告警与响应 3 4 3HoneyPots技术 2 减少误报率Honeypots能显著减少误报率 任何对Honeypots的访问都是未授权的 非法的 这样Honeypots检测攻击就非常有效 从而大大减少了错误的报警信息 甚至可以避免 这样网络安全人员就可以集中精力采取其他的安全措施 3 捕获漏报Honeypots可以很容易地鉴别捕获针对它的新的攻击行为 由于针对Honeypots的任何操作都不是正常的 这样就使得任何新的以前没有见过的攻击很容易暴露 3 4告警与响应 3 4 3HoneyPots技术 4 资源最小化Honeypots所需要的资源很少 即使工作在一个大型网络环境中也是如此 一个简单的Pentium主机就可以模拟具有多个IP地址的C类网络 5 解密无论攻击者对连接是否加密都没有关系 Honeypots都可以捕获他们的行为 3 4告警与响应 实例3 1Linux下的蜜罐Linux下的蜜罐是一个称为Honeyd的小程序 它是一个很小巧的用于创建虚拟的网络上的主机的后台程序 这些虚拟主机可以配置使得它们提供任意的服务 利用个性处理可以使得这些主机显示为在某个特定版本的操作系统上运行 Honeyd是GNUGeneralPublicLicense发布的开源软件 目前也有一些商业公司在使用这个软件 其最初面向的是类Linux操作系统 可以运行在BSD系统 Solaris GNU Linux等操作系统上 由NielsProvos开发和维护 这里主要介绍面向类Linux系统的Honeyd程序 3 4告警与响应 实 3 4告警与响应 实 3 4告警与响应 honeyd的日志文件记录了所有与蜜罐虚拟出来的主机连接的信息 包括了时间戳 协议类型 源地址 目的地址 端口号 操作系统类型等信息 如果系统遭受黑客攻击 这个日志文件里将能看到一些攻击信息 使用vi命令查看日志信息如图3 8所示 3 4告警与响应 以上日志中 攻击主机为59 64 153 234 图中显示了攻击主机与蜜罐虚拟的主机建立连接 包括了TELNET FTP HTTP 通过查询这些信息 可以收集攻击者的入侵证据 同时由于这些主机都是由蜜罐虚拟出来的 所以不会对系统造成威胁 3 4告警与响应 实例3 2Windows下的蜜罐通过Windows下的TrapServer exe软件是一个密罐软件 该软件相对于Linux下的Honeyd就简单多了 此软件是个适用于Win95 98 Me NT 2000 XP系统的 蜜罐 可以模拟很多不同的服务器 例如 ApacheHTTPServer MicrosoftIIS等 蜜罐运行时就会开放一个伪装的WEB服务器 虚拟服务器将对这个服务器的访问情况进行监视 并把所有对该服务的访问记录下来 包括IP地址 访问的文件等 通过这些日志可对黑客的入侵行为进行简单分析 3 4告警与响应 安装完该软件后 在安装目录下打开TrapServer exe 其主界面如图3 9所示 3 4告警与响应 选择菜单 服务器类别 可以选择监听三种服务器 1 IIS 2 Apache 3 EasyPHP如图3 10所示 3 4告警与响应 3 4 4Honeynets