版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、Good is good, but better carries it.精益求精,善益求善。一种基于蜜罐技术的入侵检测模型的设计一种基于蜜罐技术的入侵检测模型的设计摘要:基于对当前入侵检测系统的研究,分析当前系统存在的不足,将蜜罐技术引入到IDS当中,将访问重定向到诱骗环境中,解决传统的入侵检测误报和漏报的问题,并且提高IDS产品的防御能力。关键词:蜜罐,入侵检测一、引言随着计算机网络的普及,网络安全问题开始受到了越来越多人的重视。在计算机技术的发展过程中,网络安全也面临着前所未有的挑战。最初,人们想到的就是如何加强对网络的防护,防火墙和防病毒软件就是这一时期的产品。随着网络攻击手段的不断增加
2、,入侵检测技术开始得到了大规模的应用,但是传统的入侵检测技术还存在有诸多不足,本文就是在分析当前传统入侵检测技术的基础上,引入蜜罐技术,从而变被动为主动,提高入侵检测系统的效率。二、传统入侵检测系统的模型及不足入侵检测系统是对敌对攻击在适当的时间内进行检测并做出响应的一种工具。它通过收集和分析计算机网络和计算机系统中若干关键点的信息,检查网络或系统中是否存在被攻击的迹象。入侵检测系统按检测数据来源和系统结构分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。常用的检测方法有基于特征树入侵检测方法、基于数据挖掘的入侵检测方法、基于神经网络的入侵检测方法等。目前的入侵检测系统大部分都是独立开
3、发的,不同系统之间缺乏互操作性和互用性,这对入侵检测系统的发展造成了障碍,需要建立一个标准来规范IDS的开发与应用。美国国防高级研究计划局和互联网工程任务组的入侵检测工作组发起制定了一系列建议草案,从体系结构、API、通信机制、语言格式等方面规范了IDS的标准,提出公共入侵检测框架CIDF,它将入侵检测系统分为以下几个单元组件:事件(事件是指入侵检测系统需要分析的数据,它可以是网络的数据包或者从系统日志等审计记录途径得到的信息)产生器、事件分析器、响应单元、事件数据库。入侵检测的一般过程如下图所示:数据采集数据预处理数据检测检测结果响应处理安全策略图1入侵检测的一般过程示意图对于传统IDS而言
4、,不管采用什么样的检测方法,总是存在先天性的不足,主要表现在检测速度较低,不能适应高速网络的要求;漏报率和误报率较高。例如特征检测法是根据已知的入侵方式形成相应的事件模式,当被审计的事件与已知的入侵事件模式相匹配时,认为发生了入侵。该方法检测的准确率较高,应用较多,但对于无先验知识的入侵行为无能为力。因此可能出现较多的漏报,从而给用户造成很大的损失。三、蜜罐技术简介所谓蜜罐其实是一种安全资源,其价值在于被扫描、攻击和攻陷。蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标,从而得到相关信息以便检测到攻击。蜜罐的另一个用途是拖延攻击者对真正目标的
5、攻击,让攻击者在蜜罐上浪费时间。简单点说:蜜罐就是诱捕攻击者的一个陷阱。所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。将蜜罐技术(Honeypot)引入到IDS当中可以使IDS的功能更加完善。Honeypot是一个相对新的安全技术,其价值就在被检测、攻击,以致攻击者的行为能够被发现、分析和研究。Honeypot仅仅收集那些对它进行访问的数据,这就使得Honeypot收集信息更容易,相对于IDS中成千上万的报警信息而言,分析起来也更为方便。Honeypot能显著减少误报率。因为蜜罐是网络安全专家精心设计的陷阱,所以通向蜜罐的流
6、量都是高度可疑的,这种特性使得它可以作为入侵检测系统的数据来源,降低误报率。四、基于蜜罐技术的入侵检测模型的设计入侵检测系统是一种被动的网络检测技术,它一般在网络入侵行为发生时(实时入侵检测)或者入侵行为发生后(事后入侵检测)才能起到作用。而蜜罐技术是基于主动防御理论提出的,在某些情况下,蜜罐收集用于跟踪攻击者的有用信息。由于通向蜜罐的流量都是高度可疑的,同时系统也可以把可疑流量导入蜜罐,把蜜罐作为暂时的访问替身。将蜜罐技术与入侵检测系统相结合,可以有效地降低系统的误报率和漏报率。该模型设计如图2所示:数据采集系统网络数据流入侵检测分析系统响应系统蜜罐系统日志服务系统总控制系统网络管理员图2改
7、进的入侵检测系统模型在这个模型中,主要系统的作用分别为:1数据采集系统:没有数据流进(或数据被采集),IDS就完全无用武之地。该系统就是收集被定义的所有事件,然后一股脑地传到其它组件里。在Windows环境下,目前比较基本的做法是使用Winpcap和WinDump。Winpcap是一套免费的,基于Windows的网络接口API,把网卡设置为“混杂”模式,然后循环处理网络捕获的数据包。其技术实现简单,可移植性强,与网卡无关,但效率不高,适合在100Mbps以下的网络。WinDump是基于Windows的网络嗅探工具,这个软件必须基于Winpcap接口,它能把匹配规则的数据包的包头给显示出来。用户
8、能使用这个工具去查找网络问题或者去监视网络上的状况,可以在一定程度上有效监控来自网络上的安全和不安全的行为。2入侵检测分析系统:入侵检测分析系统是IDS的核心模块,主要功能是对各种事件进行分析,从中发现违反安全策略的行为,如何建立是重点也是难点。该系统相当于IDS的大脑,它必须具备高度的“智慧”和“判断能力”。所以,在设计此模块之前,开发者需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入的研究,然后制订相应的安全规则库和安全策略,再分别建立滥用检测模型和异常检测模型,前者建立系统或用户的正常行为特征规律,通过比较当前的系统或用户的行为是否偏离正常的行为特征来判断是否发现入侵
9、。后者通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者间接地违背系统安全规则的行为,来检测系统中的入侵活动。机器模拟自己的分析过程,识别确知特征的攻击和异常行为,最后将分析结果形成报警消息,发送给控制管理中心。3响应系统:该系统为整个模型的枢纽,与传统的入侵检测响应系统相比,在本模型中加入了地址(或端口)重定向功能,当确有入侵行为发生时,该系统将把已确定的入侵行为上传给总控制系统报警,如果访问行为异常,但是又不能确定是否为入侵行为的,将会由该系统中的地址重定向软件把该访问移交给已经设置好的蜜罐作进一步的研究,而不会像传统的入侵检测系统一样出现误报或漏报的情况。
10、利用地址(或端口)重定向技术,可在工作系统中模拟一个非工作服务。例如,工作系统运行Web服务(端口80),可以将Telnet(端口23)和SMTP(端口25)重定向到一个蜜罐,因为这两个服务在工作系统中没有打开,所有对这两个端口的访问(可认为是入侵行为)实际上都在蜜罐中,而不是工作系统。4蜜罐系统:蜜罐又叫攻击诱骗系统,攻击诱骗就是蜜罐的“蜜”,可见攻击诱骗对于蜜罐的重要性。该系统实际上是一个网络陷阱,可疑的访问行为或连接经过响应系统重定向到该模块后,该模块可以根据已经配制好的精心设计的开放漏洞类型,起到一个欺骗的作用,攻击诱骗除了可以吸引黑客对蜜罐的注意,诱使其对蜜罐发起攻击外,还能迷惑入侵
11、者,掩盖蜜罐的欺骗性,使入侵者相信他们入侵的是一个真实的系统,而不是捕捉他们活动的陷阱。当然,想让攻击者对系统入侵更感兴趣,并且觉得是真实的服务,最好是模拟一些商用服务,使黑客对主机感兴趣,才能进一步捕获入侵数据。目前的攻击诱骗技术主要有这么几种:IP空间欺骗、网络流量仿真、组织信息欺骗、系统动态配置,另外提供多种网络服务,让系统保留诸多安全漏洞,在系统中放置虚假的敏感信息也能起到很好的诱骗效果。5日志服务系统:日志对于一个蜜罐的重要性是勿庸置疑的。它记录了系统中每天发生的各种各样的事件,管理员可以通过日志信息来检查错误发生的原因,以及入侵者所留下的痕迹。正是因为系统日志的重要性,在黑客入侵系
12、统之后,往往都要通过修改系统日志的方式来掩盖其攻击的踪迹。日志服务系统可以对访问者在蜜罐中的访问行为进行记录,留待日后作为证据,以便取证。6总控制系统:该模块主要是协调各部分之间工作,及时向网络管理员上报各种信息。同时也可以将网络管理员的各种要求下达给系统的各个部分。五、模拟试验及分析本次模拟测试的环境为windows2000系统,主机IP地址为7,使用的是蜜罐软件TrapServer,HYPERLINK/download/选择模拟IIS服务器,主页路径安装在TrapServer目录下面的WEB文件夹的IIS子文件夹下面,监听的端口都是80端口,这样这款蜜罐就可以作为WEB服务器用了。然后配置
13、真实的服务器,TCP端口设为8080,这样做是为了迷惑对方,以80端口为“蜜罐”。另外,为了让通过直接访问80端口可以访问真实的web服务器,又能让蜜罐记录,以端口重定向程序Fpipe将连接本机80端口的主机通过53端口连接到web服务器,端口为我们设定的8080。当访问HYPERLINK50/7时,将看到fpipe记录连接重定向。最后,用黑客工具IISidq溢出程序进行测试,可以在TrapServer上可以看到对方的攻击记录,由此我们可以看到这个蜜罐的设置是成功的。六、结语蜜罐技术将主动防御引入网络安全,正越来越受到人们的重视,蜜罐的目的就是要引诱攻击者对蜜罐进行探测和攻击,增加蜜罐和攻击者
14、接触的概率,也就是增加蜜罐布置的价值。蜜罐技术本身虽然不能解决安全问题,它不能替代原来的网络防护体系,但是在与入侵检测系统的配合下,能够弥补原有网络安全防御系统的不足,增强网络系统的安全性能,构成一个更加安全的网络防御体系。参考文献1汪静,王能入侵检测系统设计方案的改进.计算机应用研究2004年第7期208-210页2汪洋入侵检测系统中蜜罐的设计与应用.福建电脑2005年第5期60-63页3江森林,张基温,严俊HONEYD解析计算机工程与设计HYPERLINK/KNS50/Navi/Bridge.aspx?LinkType=IssueLink&DBCode=cjfd&TableName=cjfdyearinfo&Field=pykm*year*issue&Value=JSJY*2005*09&NaviLink=%e8%ae%a1%e7%ae%97%e6%9c%ba%e5%ba%94%e7%94%a8t_blank2005年3月682-685页4SanjayRawat,ArunK.PujariandV.P.GulatiOntheUseofSin
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 质量专业理论与实务(中级)模拟试卷
- 关于完成系统升级服务的确认函6篇
- 雾化吸入健康板报
- 港大市场营销职业规划
- 2026北流辅警面试题及答案
- 2026部队特岗面试题及答案
- 2026辽宁省疾病预防控制中心招聘高层次和急需紧缺人才6人参考题库附参考答案详解【培优】
- 2026中国保健协会招聘社会人员1人笔试题库附答案详解(培优A卷)
- 2026广西北海市社会福利院招聘21人参考题库含答案详解【新】
- 2026上海市第十人民医院招聘4人笔试题库及参考答案详解(满分必刷)
- 2026年上海市高考(5月)化学真题卷(含答案与解析)
- 《铁路技术管理规程》(普速铁路部分)
- 控制错装和漏装配件-副本
- 都兰县创盛矿业有限责任公司直沟铅锌矿矿山地质环境保护与土地复垦方案
- 23秋国家开放大学《液压气动技术》形考任务1-3参考答案
- 标准化厂房施工进度计划
- 武钢体育中心初步设计说明
- 血液净化中心应急预案及处置流程
- 高压防护架搭设方案
- 钻镗专用机床液压系统设计
- GB/T 30733-2014煤中碳氢氮的测定仪器法
评论
0/150
提交评论