入侵检测系统与蜜罐技术的联动机制探讨
蜜罐技术的原理及现状研究
简化了检测 的过程。其次大部分入侵检测系统只 能根据特征匹
第一, 网络欺骗 。使入侵者相信存在有价值 的、 可利用的安 配 的方 法 检 测 到 已知 的攻 击 , 用 蜜 罐 技 术 能够 收 集 到 新 的 攻 使 全弱点 , 蜜罐的价值就是在其被探测 、 攻击或者攻 陷的时候得 击工具和攻击方法 。再次蜜罐技术不需要强大的资源支持, 可 以体现, 网络欺骗技术 是蜜 罐技 术体系中最为关键 的核心技 以使用一些低成本 的设备构建蜜罐,不需要大量的资金投入 。 术, 常见的有模拟服务端 口、 模拟系统漏 洞和应用服务 、 流量仿 并且 由于它不提供任何实际的作用, 相对其他入侵检测技术而
行攻击和入侵 。它可 以记录黑客进入系统的一切信息 , 同时混 是攻击流量 , 原理 上讲, 从 任何连接 到蜜罐的连接都应该是侦 淆黑客攻击 目标来保护服 务主机的正常运行。蜜罐的主要技术 听、 扫描或者攻击的一种, 因而极大地减少 了漏报率和误报率 ,
原 理包 括 以下几 个 方 面 :
技术市场
蜜罐技 术的原理及现状研 究
姚 东铌
( 陕西教育 学院实验管理 中心, 陕西 西安 7 6 ) 1 0 1 0 【 摘 要】 蜜罐是一种预先配置好 的包含漏洞的 系统, 用于引诱黑客 对系统进行攻击和入侵 。它涉及到信 息安全诸多技术的
灵活应用, 能有效 弥补传 统信 息安全 防御技术的缺 陷, 使得防护体 系更加完善 与安全 。介绍 了蜜罐技术的主要原理及 国内外研 究 现状 , 相信在将来蜜罐会 在信 息安全保 障中发挥越来越大的作用。 【 关键词】 蜜罐; 网络欺骗 ; 数据捕获; 数据控制
的特征和模 型是相 当困难的,数据分析是蜜罐技术中的难点, 性:首先蜜罐技术只 能对针 对蜜罐的攻击行 为进行监视和 分 主要包 括网络协议分析 、 网络行为分析 、 攻击特征分析和入侵 析 , 不像入侵检测系统能够通过旁路侦听等技术对整个 网络进
蜜罐技术的研究与分析
式 。 正 因 为 高 交 互 蜜 罐 提 供 了完 全 开 放 的 系 统 给 黑 客 , 来 带 了更 高 的 风 险 , 即黑 客 可 能 通 过 这 个 开 放 的 系 统 去 攻 击 其 他 系统 。 2 - 具 体 实 现 的 角 度 , 为 物 理蜜 罐 和 虚 拟 蜜 罐 .3 2从 分 2 -. 理 蜜罐 :通 常 是 一 台或 多 台真 实 的在 网络 上 存 . 31 2 物 在的主机操作 , 主机 上 运 行 着 真 实 的操 作 系 统 . 有 自己 的 I 拥 P 地 址 , 供 真 实 的 网络 服 务 来 吸 引攻 击 。 提 223 虚 拟 蜜 罐 : 常 用 的是 虚 拟 的机 器 、 拟 的操 作 系 .-2 . 通 虚 统 , 会 响 应 发送 到虚 拟蜜 罐 的 网络 数 据 流 , 供模 拟 的 网络 它 提 服务 等 。 3蜜罐 的 关 键技 术 . 蜜 罐 的关 键 技 术 主 要 包 括欺 骗技 术 、 据 捕 获 技 术 、 据 数 数 控制 技 术 、 据 分 析 技 术 , 等 。 中 , 据 捕 获 技 术 与数 据控 数 等 其 数 制技 术 是 蜜 罐 技 术 的核 心 。
远的意 义 。 2 蜜罐 的 定 义 和 分 类 . 21 .蜜罐 的 定 义
蜜 罐 的价 值 是 在 其 被探 测 、攻击 或者 攻 陷 的 时候 才 得 到 体 现 的 。 攻 击 者 的 注 意 力 吸 引到 蜜 罐 上 , 蜜 罐 进 行工 作 的 将 是 前 提 。 骗 的成 功 与 否 取 决 于欺 骗 质 量 的 高低 。 用 的欺 骗 技 欺 常
12 4
I空 间 欺 骗 利 用 计 算 机 的 多 宿 主 能 力 .在 一 块 网卡 上 分 P 配多 个 I地 址 , 增加 入侵 者 的搜 索 空 间 , 而 显 著 增 加 他 们 P 来 从 的工 作 量 , 间接 实 现 了 安全 防护 的 目 的。 项 技 术 和 虚拟 机 技 这 术 结 合 可 建 立 一个 大 的虚 拟 网 段 , 花 费 极低 。 且 31 .2漏 洞 模 拟 。 . 即通 过模 拟操 作 系 统 和 各种 应 用 软件 存 在 的漏 洞 . 吸引 人 侵 者 进 入 设 置好 的蜜 罐 。 侵 者 在 发 起 攻击 前 , 般要 对 系 入 一 统 进 行 扫 描 , 具 有 漏 洞 的系 统 , 而 最容 易 引起 攻 击 者 攻 击 的欲 望 。 洞模 拟 的关 键 是要 恰 到 好 处 , 有 漏 洞 会 使 入 侵者 望 而 漏 没 生畏 , 洞百 出又 会 使 入侵 者心 生 疑 虑 。 漏 31 .3流 量 仿 真 。 . 蜜 罐 只有 以 真 实 网络 流 量 为 背 景 . 能 真 正 吸 引 入 侵 者 才 长期 停 驻 。流 量 仿 真 技 术 是 利用 各种 技 术 使 蜜 罐 产 生 欺 骗 的 网 络 流 量 , 样 即 使 使 用 流 量 分 析 技 术 , 无 法 检 测 到 蜜 罐 这 也 的存 在 。目前 的 方法 : 是 采 用 重 现方 式 复 制真 正 的 网络 流量 一 到诱 骗环 境 ; 是 从 远 程 产 生 伪 造 流 量 . 入 侵 者 可 以发 现 和 二 使 利用 [。 2 1 31 .. 务 伪 装 。 4服 进 入 蜜 罐 的攻 击 者 如 发 现 该 蜜 罐 不 提 供 任 何 服 务 ,就会 意识 到危 险而 迅 速 离 开蜜 罐 , 蜜罐 失 效 。 使 服务 伪 装 可 以 在 蜜 罐 中 模 拟Ht 、 r 、e n等 网 络 基 本 服 务 并 伪 造 应 答 ,使 入 t F PTl t p e 侵 者 确信 这 是 一 个 正 常 的 系统 。 31 重 定 向技 术 E。 .. 5 3 ] 即在 攻 击 者 不 知 情 的情 况 下 , 其 引 到蜜 罐 中 , 以 在 重 将 可 要 服 务器 的 附近 部 署 蜜 罐 , 服 务器 发现 可疑 行 为后 , 其 重 当 将 定 向 到蜜 罐 。 可 以使 用 代 理 蜜罐 , 还 以及 多 个蜜 罐 模 拟 真 正 的 服 务 器 , 对 服 务 器 的请 求 到 来 时 , 用 事 先 定 义 好 的 规 则 , 当 利 将 请 求 随 机发 送 到 蜜 罐 和 服 务 器 中 的一 个 , 以迷 惑攻 击者 , 用 增 大 攻击 者 陷入 蜜 罐 的 概 率 。
第 5 章 入侵检测与蜜罐技术
(3)全面的安全防御方案
5.2 建立一个入侵检测系统
Snort是一个强大的轻量级的网络入侵检测系统。 它具有实时数据流量分析和日志Ip网络数据包 的能力,能够进行协议分析,对内容搜索/匹 配。它能够检测各种不同的攻击方式,对攻击 进行实时警报。只要遵守GPL,任何组织和个 人都可以自由使用Snort。 Snort虽然功能强大,但是其代码极为简洁,其 源代码压缩包只有200KB不到。此外,Snort 具有很好的扩展性和可移植性,跨平台性能极 佳,目前已经支持Linux系列、Solaris、BSD 系列、IRIX,HP-UX、Windows系列,Sco Openserver、Unixware等。
(1)模式匹配 模式匹配就是将收集到的信息与已知的网络入侵 和系统误用模式数据库进行比较,从而发现违 背安全策略的行为。该方法的一大优点是只需 收集相关的数据集合,显著减少系统负担,且 技术已相当成熟。它与病毒防火墙采用的方法 一样,检测准确率和效率都相当高。但是,该 方法存在的弱点是需要不断的升级以对付不断 出现的黑客攻击手法,不能检测到从未出现过 的黑客攻击手段。
统计方法的最大优点是它可以“学习”用户的使用习惯,从而 具有较高检出率与可用性。但是它的“学习”能力也给入侵者 以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,
(5)专家系统 用专家系统对入侵进行检测,经常是针对有特征入侵行 为。所谓的规则,即是知识,不同的系统与设臵具有 不同的规则,且规则之间往往无通用性。专家系统的 建立依赖于知识库的完备性,知识库的完备性又取决 于审计记录的完备性与实时性。入侵的特征抽取与表 达,是入侵检测专家系统的关键。在系统实现中,将 有关入侵的知识转化为if-then结构(也可以是复合结 构),条件部分为入侵特征,then部分是系统防范措 施。运用专家系统防范有特征入侵行为的有效性完全 取决于专家系统知识库的完备性。
基于蜜罐技术的网络入侵检测系统协作模型的研究与实现
为的特征或本地系统的“ 正常值 等等 , 将这些已知 的“ 征值” 为入侵检 测分 析 的安全 策 略 . 特 作 入侵 检 测 分 析模块被 动的提取 出 当前 行为特 征 ( 或当前 系 统 值 ) 已存储 于知 识库 中 的特定 行 为 特 征 ( 系 与 或
已知 的入侵攻击 和工具 , 于 已知 的 已经 写入特 征 对 库 的 入 侵攻 击 ,D IS可 以详 细 、 准确 无 误 的报 告 出
1异 常检 测 : 基 于对 检测 对 象 正 常行 为 ( ) 是 正
①
收稿 日期 :09—0 —1 20 9 8 作者简介 : 禹谢华(92 , , 18 一)男 湖南邵东人 , 助教 , 思科认证网络工程师 ( C A , C N )研究方向 : 计算机应用 , 网络安全
统“ 常值”进 行 比较 , 正 ) 若特 征值相 匹配 ( 当前 系 或
统值与知识库中的系统“ 正常值” 不匹配)则判定 , 为是非 法入侵 , 执行报 警或相 应 的响应处 理 ; 反之 , 则视为正常操作 , 允许其行为. 不难发现 , 这种采用 知识库 检测手段 的入侵 监 测 系统 只能 被 动 的检 测
私 数据失 窃 、 网银 被 盗 等 网络 入侵 事 件 时有 发 生 , 网络安 全技 术面 临着 巨大 的挑战 . 如何有 效地 提升 传 统入 侵检测 系 统 防御 未 知或 新 型攻 击 的 能力 已
成 为 当务之 急 .
称 IS , D )即为 能够实 现 以上 各种 功 能 的应 用 系统 , 主 要 由行 为发生模 块 、 入侵 检测 分析模 块和 响应处 理 模块 三个部分构 成 , 理示 意 图如 图 l 示 . 其原 所
防黑阻击-入侵检测之蜜罐蜜网
防黑阻击 入侵检测之蜜罐与蜜网入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术。
主要包括蜜罐(Honeypot)和蜜网(Honeynet)两种。
它是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析,并找到有效的对付方法。
为了吸引攻击者,网络管理员通常还在Honeypot上故意留下一些安全后门,或者放置一些攻击者希望得到的敏感信息,当然这些信息都是虚假。
当入侵者正为攻入目标系统而沾沾自喜时,殊不知自己在目标系统中的所做所为,包括输入的字符,执行的操作等都已经被Honeypot所纪录。
蜜罐技术Honeypot是一个资源,它的价值在于它会受到探测,攻击或攻陷。
蜜罐并不修正任何问题,它们仅提供额外的、有价值的信息。
所以说Honeypot并非是一种安全的解决方案,这是因为它并不会“修理”任何错误。
它只是一种工具,如何使用这个工具取决于用户想做什么。
Honeypot可以对其他系统和应用进行仿真,创建一个监禁环境将攻击者困在其中。
无论用户如何建立和使用Honeypot,只有Honeypot受到攻击,它的作用才能发挥出来。
所以为了方便攻击,最好是将Honeypot设置成域名服务器WEB或电子邮件转发服务等流行应用中的一种。
蜜罐的部署蜜罐并不需要一个特定的支撑环境,它可以放置在一个标准服务器能够放置的任何地方。
当然,根据所需要的服务,某些位置可能比其他位置更好一些。
如图(1)显示了通常放置的三个位置:1.在防火墙前面;2.DMZ中;3.在防火墙后面。
如果把蜜罐放在防火墙的前面,不会增加内部网络的任何安全风险,可以消除在防火墙后面出现一台失陷主机的可能性(因为蜜罐主机很容易被攻陷)。
但是同时也不能吸引和产生不可预期的通信量,如端口扫描或网络攻击所导致的通信流,无法定位内部的攻击信息,也捕获不到内部攻击者。
如果把蜜罐放在防火墙的后面,那么有可能给内部网络引入新的安全威胁,特别是如果蜜罐和内部网络之间没有额外的防火墙保护。
入侵检测系统与蜜网技术的联动模型研究
Vol.28No.6Jun.2012赤峰学院学报(自然科学版)Journal of Chifeng University (Natural Science Edition )第28卷第6期(上)2012年6月当前网络安全的形势日趋严峻,单一的安全技术和产品已经越来越不能很好地满足用户对网络安全性的需要.联动技术是网络安全方面发展的一个趋势,同时能够实现各种现有技术的优势互补,也是构成一个比现有系统具有更高安全性系统的基础.1相关理论概述1.1入侵检测系统传统的入侵检测方法在本质上是一个典型的“窥探设备”.它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可.对收集来的报文,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵规则库,与这些流量特征进行智能分析和匹配.根据预设的阀值,匹配藕合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击.正是这种工作原理导致了入侵检测系统一直处于被动的防御状态,只对规则库中存在的入侵特征有防御能力,而对新出现的入侵行为却无能为力,漏报率比较高,严重影响了网络防护效果.因此,使入侵检测系统与其他安全设备之间进行联动就成为迫切需要解决的问题,通过联动可以及时更新入侵检测系统的规则库、降低漏报率.1.2蜜网技术蜜网(即蜜罐网络,是蜜罐技术的一种高级实现形式)是一种适用于入侵检测最新的方法,它通过设置一个具有很多漏洞的网络系统来吸引黑客入侵,通过黑客留下的信息来分析入侵的方法和入侵的行为,能为建立一个更安全的入侵检测系统提供更多的规则.同时,由于蜜网是一个具有诱惑力的系统,能够分散黑客进攻的注意力和精力,对真正有价值的系统起到很好的保护作用.因此,将蜜网技术应用在入侵检测系统中,可以主动地检测、响应网络入侵和攻击,能够不断了解黑客的新动向、新的攻击方式和攻击手段,解决入侵检测系统的规则库更新、和漏报问题,能够组成对网络入侵进行检测、报警和响应的安全系统.1.3联动技术联动技术是将具有不同安全能力的安全设备互联起来,在复杂的网络环境下实现协同工作,以对入侵行为有发现能力的安全设备为基础,通过把安全设备相互关联建立一个安全性更强的系统.总的来说,入侵检测系统与蜜网系统的联动方式主要可以分成系统集成方式和开放互联方式.系统集成方式是指入侵检测系统与蜜网系统集成于同一个系统里,通过相互协作完成入侵检测和网络诱骗的功能.开放互联方式是指入侵检测系统与蜜网系统作为两个子系统存在,二者相对独立单独完成各自功能,但它们可以进行交互以实现信息共享,真正实现一体化的主动防御.本文在开放互联方式的基础上,提出了一种借助第三方实现二者交互和信息共享的联动方式,克服直接交互中存在的健壮性差和检测效能低的缺陷.入侵检测系统与蜜网技术的联动模型研究司凤山1,王浩1,常郝1,王晶2(1.安徽财经大学管理科学与工程学院,安徽蚌埠233030;2.蚌埠学院数学与物理系,安徽蚌埠233030)摘要:目前,广泛应用的入侵检测系统大多是以误用检测的分析方法为主,入侵规则库更新速度相对较慢,无法识别未知攻击,这种被动的防御状态漏报率相对较高.将蜜网技术应用在入侵检测系统中可以大大改善检测性能,使其具备识别未知入侵行为的主动防御能力.关键词:入侵检测;蜜网;联动;网络安全中图分类号:TP393文献标识码:A文章编号:1673-260X (2012)06-0020-03基金项目:安徽高校省级自然科学研究项目(KJ2011B001,KJ2011B002,KJ2012Z003);安徽高等学校优秀青年人才基金项目(2011SQR L164);蚌埠学院自然科学研究项目(2010ZR 13)20--2基于第三方的系统开放互联方式分析本文采用基于第三方(联动控制中心)的系统开放互联方式实现入侵检测系统与蜜网的联动.这种方式是指入侵检测和蜜网作为两个独立运行的子系统存在,可以单独完成功能,通过第三方的中转实现信息的交互和共享,达到一体化的主动防御.2.1第三方系统开放互联方式的基本思想为了最大程度的保证系统安全和发挥系统的效能,本文将入侵检测子系统放在蜜网子系统之前,其基本思想是入侵检测子系统对网络访问进行检测,并对检测到的异常行为及时报警,同时通过联动控制中心的处理,将入侵行为重定向到蜜网中进行监视,以便获得更多的入侵者信息,这样入侵检测系统也增加了对入侵的响应能力.对未知攻击,入侵检测子系统将无法识别可以安全通过检测,而蜜网子系统能够诱引通过检测进入内部的攻击者,减少对真正目标的攻击.蜜网子系统能够捕获攻击数据包进行分析,如果发现新的入侵行为,则提取攻击特征并写入日志记录,并通过联动控制中心的处理生成规则,使入侵检测系统动态的加载这些新规则,从而使得入侵检测子系统可以检测到这些未知攻击,减少检测的漏报率,提高主动防御能力.2.2第三方系统开放互联方式的优点2.2.1系统可靠性高、响应速度快.入侵检测子系统和蜜网子系统相互独立放置,独立运行相互影响小.2.2.2实现了联动的主动防御.由于在入侵检测子系统和蜜网子系统之间加入了联动控制中心,使二者信息共享和交互更加方便,检测未知攻击的能力更强.2.2.3入侵检测系统的漏报率降低.由于蜜网系统能够捕获攻击者的攻击行为、识别攻击特征,第三方联动控制中心可以利用攻击特征更新入侵检测的规则库,使检测能力大为提高.3入侵检测系统与蜜网系统的联动模型构建3.1联动模型的总体设计基于以上研究分析,本文设计了一个联动模型,它主要有四部分组成,分别是入侵检测子系统,蜜网子系统,联动控制中心一,联动控制中心二.系统联动模型如图1所示.由图1可知,联动过程实现如下:3.1.1当入侵者攻击网络时,被入侵检测子系统检测到,即产生报警,进而生成报警事件.联动控制中心二经过报警事件分析,决定采取不同的响应策略.对未拒绝的攻击行为则通过访问重定向功能把入侵者引入蜜网子系统,从而保护真实目标免受攻击.对于一些报警事件,经过报警事件分析采取了拒绝访问的响应策略,则响应策略生成模块将直接阻断此次网络访问.3.1.2蜜网子系统通过对入侵者攻击行为的分析,如若发现未知的入侵行为,则通过联动控制中心一生成新的规则,并把这些新规则加载到入侵检测子系统的入侵规则库中.3.2联动模型的具体设计3.2.1入侵检测子系统入侵检测子系统主要实现对网络访问的检测,若发现攻击行为,则产生报警,并将报警信息写入日志.入侵检测子系统结构如图2所示,它主要有五部分组成,分别为:捕获数据包模块、规则匹配模块、入侵报警模块、日志记录模块、入侵检测规则库模块.3.2.1.1捕获数据包模块该模块获取网络访问中的数据包,经过分析提取到访问行为特征值,为规则匹配做准备.3.2.1.2规则匹配模块该模块采用误用检测的方法把提取到的访问行为特征值与入侵检测规则库中的规则进行逐条比较,匹配结果将决定此次网络访问是否成功.3.2.1.3入侵报警模块该模块根据匹配结果,决定是否产生报警.若图1入侵检测子系统与蜜网子系统联动模型图2入侵检测子系统结构图21--是非法访问,则产生的报警应包含一些攻击者的相关信息,例如入侵类型,攻击者的IP地址,攻击目标的IP地址等.3.2.1.4日志记录模块该模块把报警信息写入系统的日志文件,便于以后的分析和处理.3.2.1.5入侵规则库模块该模块中存放异常行为特征,供匹配模块使用.同时,入侵规则库模块还接受规则加载模块对其进行新规则的动态加载和更新.3.2.2联动控制中心二联动控制中心二负责将入侵检测子系统检测到的非法访问引入到蜜网子系统中,在实现保护真实攻击目标的同时,便于获取入侵者更多的攻击行为特征.联动控制中心二的结构如图1所示,主要有三部分组成,分别是报警分析模块、响应策略生成模块、访问重定向模块.3.2.2.1报警分析模块该模块访问入侵检测子系统的日志文件,对其中的报警信息进行分析,提取攻击者重要的信息,供响应策略生成模块处理.3.2.2.2响应策略生成模块该模块根据报警分析模块的分析结果,决定对报警事件采用何种响应策略.可以对入侵检测子系统产生的报警信息进行评估,根据评估等级采取不同的响应策略,例如拒绝访问,接受访问等.3.2.2.3访问重定向模块该模块把未拒绝的攻击者诱引到蜜网子系统中,即改变原来的访问目标.3.2.3蜜网子系统蜜网子系统负责诱骗入侵者访问虚假目标,通过监视其行为获取未知攻击特征,把识别到的新特征写入日志文件,便于进一步的分析和处理.蜜网子系统的结构如图3所示,主要有三部分组成,分别是数据包采集模块、行为分析模块、日志记录模块.3.2.3.1数据包采集模块该模块采集攻击者的数据包,提取重要攻击行为信息供行为分析模块处理.3.2.3.2行为分析模块该模块对提取到的重要信息进行行为分析,获取未知的攻击行为特征.3.2.3.3日志记录模块该模块把获取到的未知攻击行为特征值写入日志文件,便于进一步的分析和生成规则.3.2.4联动控制中心一联动控制中心一负责将蜜网子系统识别到的未知攻击行为特征转化为规则,并把这些新规则动态加载到入侵检测子系统的入侵检测规则库中,动态更新规则库便于入侵检测子系统能及时捕获新型攻击.联动控制中心一的结构如图1所示,主要有三部分组成,分别是日志分析模块、规则生成模块、规则加载模块.3.2.4.1日志分析模块该模块对蜜网子系统中的日志文件进行分析,提取未知攻击行为特征供规则生成模块处理.3.2.4.2规则生成模块该模块把日志分析模块提取到的重要行为特征转化成相应的规则,这些新规则用以更新入侵检测规则库.3.2.4.3规则加载模块该模块把生成的新规则动态的加载到入侵检测规则库中,及时更新规则库,增强其检测未知攻击的能力.4结束语本文提出了一种入侵检测系统与蜜网系统联动的模型,该模型能够使二者优势互补,相互协作,不但降低了入侵检测系统的漏报率,而且增强了检测未知攻击行为的能力.这种通过联动相结合的主动防御系统,可以大大提高网络的安全保护性能.———————————————————参考文献:〔1〕SchwabelJ,RohringN,HaliM,etal.Lessons Learned from DePloying a HoneypotInformation Security Bulletin,2009.〔2〕Neil Desai,Increasing Performance in High Speed NIDS,2008.〔3〕余鹏,王浩.蜜网系统的设计与实现[J].微计算机信息,2009.〔4〕张超,霍红卫,钱秀槟,等.入侵检测系统概述[J].计算机工程与应用,2004.图3蜜网子系统的结构图22--。
蜜罐技术在入侵检测系统中的应用设计
该行 为是 否是 合 法用 户 的行 为。基 规 则的检 测是 定 义 一个规 则集 , . f 用于 判 定给 定 行 为是 否 为 入侵 者行
为。从 系统 结构 上讲 , 入侵捡测 可分 为集 中式 和分 布 式 2种 。集 中式 的结构 采 用分散 采 集, 中处理 。它 集
维普资讯
第2 8卷第 2期
Vo12 No. .8 2
丽 水 学 院 学 报
J oURNAL oF LI HUI UNI S VERS TY I
20 0 6年 4月
Ap . 0 6 r2 0
蜜罐 技术在入侵检测系统 中的 力的 行为 , 积 极采取 响应 措施 , 并 以保护 网络 的安 全 。
1 人侵 检测技 术 简介
入侵 检测是 通 过对计 算 机和 网络资源 的恶意 使 用行 为进 行 识别 和响应 , 测 出 来 自外 部 的 入侵 行 检 为和监 督 内部 用 厂的未授 权 活动 。它与 静态 的防火 墙等 技 术共 同使用 , 大 大有 助于 提 高系 统 的 安全 防 l 将
收 稿 日期 :0 5 1 0 20… 1 4
作者简介 : 张 洋(9 6一 ) 男, 17 , 浙江缙云 人, 工程师, 硕士生 。
维普资讯
丽 水 学 院 学 报
20 0 6钲
护 水平 。总体 来说 , 入侵 俭测技 术 的发展 经历 _ 5个 阶段 : r 最早 是 基 于 主 机 的 入侵检 测 , I E ; 如 D S 一是基 于多 主机 的 入侵检 测 , NIE ; 是 基 十 网络 的 入侵 检 测 , N M; l 分 式 入 侵 俭测 , DIs 五 如 D S二 如 S L是 几 如 I ; ) 是 面 向大 规 模 网络 的入 侵。 入侵捡 测方法 分类 : 照 所采 用 的检测 机制 , 按 入侵 检 测可分 为统 汁异 常 俭测和
蜜罐技术研究
检测技术、 病毒防护技术等。 这些安全技术主要是对 已知事实和
交互程度反应了黑客在蜜罐上进行攻击 活动 的自由度。低
攻击模式进行 的被动防御。“ 蜜罐” 技术是一种新兴 的基于主动 交互蜜罐一般是运行于现有系统上的一个仿 真服务 ,仅仅模拟 防御 的网络安全技术 , 它通过监视人侵者的活动, 我们能够分 操作系统和网络服务 , 使 较容易部署且风险较小 , 能够收集的信息 析研究入侵者所掌握 的技术、 使用 的工具以及入侵 的动机 , 从而 也 比较有限 ,并且或多或少存在着一些容易被黑客所识别的指 提高网络的安全 防御能力。同时, 蜜罐也可 以用定制好的特征诱 纹信息。中交互蜜罐也不提供真实的操作系统 , 而是应用脚本或 骗攻击者, 延缓攻击和转移攻击 目标。 1 “ 蜜罐” 技术的基本原理 小程序来模拟服务行为 , 提供 的功能主要取决于脚本 。 在不同的 端 口进行监听, 通过更多和更复杂 的互动, 让攻击者产生是一个
囹
蜜罐 技术研究
穆 华平 焦 长义
信学 息 科
( 鹤壁职业技术学院电子信息与工程 系, 河南 鹤壁 4 83 ) 500
摘 要: 蜜罐技术应 用于计算机 网络安全领域 , 自军事上的伪 装和欺骗 思想 , 源 是一 个将入侵行为引向预定 区域的 系统 , 起到 保护真 实系统的作 用。分析研 究了蜜罐技 术的基本原理及其优缺点 , 并将入侵检测 系统与蜜罐 相结合 , 有效提 高了网络的安全性。
蜜 罐 的 主要 功 能模 块有 :
1 )蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析 , 其视图较 为有限 ,不像入侵检测系统能够通过旁路 侦听等技术
对整个网络进行监控 。2 蜜罐技术不能直接 防护有漏洞 的信息 )
蜜罐技术浅析
蜜罐技术浅析作者:田建学来源:《新课程·教育学术》2011年第08期摘要:网络攻击工具和方法日趋复杂多样,典型的网络安全技术已无法满足对安全高度敏感的部门需求。
蜜罐技术是一个主动防御技术,它通过监视入侵者的活动,能够分析研究入侵者所掌握的技术、使用的工具以及入侵的动机等,并进行详细地记录。
介绍了蜜罐的概念,着重分析了蜜罐的原理,最后提出了如何制订一个真正安全的系统。
关键词:蜜罐技术;网络安全;主动防御;欺骗中图分类号:TP311一、引言信息技术的飞速发展,给当今社会带来了巨大的冲击和变革,国家的政治、经济、军事、文化以及人们的日常生活等方方面面,都深深地打上了信息烙印。
然而信息技术繁荣的背后,信息网络日益暴露了其安全上的隐患和漏洞,向人们展示了其脆弱的一面,呈几何增长的网络安全事件不断地冲撞着人们的心理防线。
Internet在造福人类的同时也成了网络破坏者和犯罪的天堂。
信息网络安全形势日益严峻,网络攻防越演越烈,人们越来越多地把目光投向信息网络安全的前沿阵地。
传统的安全防护手段如防火墙、入侵检测、安全漏洞扫描、虚拟专用网等都是被动的,它们依赖于对攻击的现有认知,对未知攻击基本没有防护效果。
蜜罐作为一种新的安全工具在攻击的检测、分析、研究,尤其是对未知攻击的捕捉方面有着优越的性能。
蜜罐并不是传统安全防御手段、工具的替代,而是它们的辅助和补充。
相对于传统安全手段、工具的被动防御,蜜罐最大的优势在于它是主动地检测和响应网络入侵和攻击,在网络攻防战中赢得时间,赢得主动。
蜜罐是一种伪装成真实目标的资源库,它不能明显改善网络的安全状况,其主要目的是吸收受保护系统的网络安全风险、诱捕并分析网络攻击行为,帮助用户对网络安全状况进行评估。
将蜜罐和传统安全防护工具相结合,根据实际需求,合理配置,信息系统将得到更好的安全保障。
二、蜜罐原理蜜罐的最终目标是尽可能详尽地捕捉、收集、监视并控制入侵者的活动,蜜罐的所有设计、部署和实施都是围绕这一目标进行的。
蜜罐技术的研究和分析
1蜜罐 的 定 义 和 分 类
低交互蜜罐
只是运 行于现有系统 上的一个仿真服务 ,在特 定的端
口监听记录所有进入 的数据包 , 提供少量 的交互 功能, 黑客
只能在仿真服务预设 的范围内动作。低交互蜜罐上 没有真
罐的风险性。
关键词 蜜罐
蜜网 虚拟蜜网
文 献 标识 码
入侵检测 系统
A
防火墙
中 图分 类 号 r 3 30 P 9 .8
文章 编 号 :0 2 2 2 2 o 0 - 0 9 o 1 0 — 4 2( O 6) 3 o 1 - 3
R sa c n n ls fHo e p tT c n lg ee r h a d A ay i o n y o e h oo y s
为起诉 黑客 的依 据一 但这种应用在法律方 面仍 然具有争议 。
・
研 究型蜜罐
主要应 用于研究 , 引攻 击 , 吸 搜集 信息 ,
・
蜜罐 本身并不直 接增强 网络 的安全性 ,相 反它吸引入
侵 来搜集信息 。将 蜜罐和现有 的安全防卫手段 如入侵检测 系统 (D )、 Is 防火墙 ( i w U 杀毒软件等 结合使用 , 以 Fr a )、 e 可 有效提 高系统安全性 。
12蜜罐 的分类 .
高交互蜜罐
给黑客提供一个 真实的操作系统 ,可以掌握学 习黑客
・
产 晶型 蜜罐
指 由网络安全厂商 开发的商用蜜罐 , 一
3从具体实现 的角 台或多 台拥有独 立 I 真实操 P和
作系统 的物 理机器 , 提供部分 或完全真 实的网络服 务, 这种 蜜罐 叫物理 蜜罐 。 中低交互的蜜罐可以是虚拟的机器、 虚拟
构建基于蜜罐技术的入侵检测系统
3 系统组成与功能
系统 主要 由入侵检 测 系统 、 证代 理 和取 证 中心 取 组成 , 图 1 示。入侵检测 系统配 置在 各个 网段 , 如 所 对 该 网段 的网络运行 情况 进行 监测 , 将报 警信 息发送 并
给取证 中心。取 证代 理根据安全 需要配 置在 需要监控
的实用价 值。
H tn x . 。而大 多数版本 的 L u aL u9 0 i i x在默 认安 装情 况 n 下支持桥 的功能 。另外 , 取证 服务 器具有 网关功 能 ,
它将入侵 检测系统 同网络 其它部分 隔离 开来 , 任何 进
出入 侵检测系统的数据包必须经过取证 服务器 , 样 这
就可 以对数据包进行过滤 , 实现对无论是来 自内网还
没有数据报 路 由 以及 数据 报的 丌L 消耗 , 使取证 服 这 务器被构建 成 为一 个对攻 击 者来说 “ 可见 ” 过滤 不 的 控 制设备 , 使攻击 者更难 以检 测和觉 察它 的存在 。通
常取 证服 务器 建 立 在 L u i x环 境 下 , 系统使 用 R d n 本 a
是一个 包含 漏洞 的诱 骗 系统 , 它通 过模 拟一个 或 多个
易受攻击 的主机 , 给攻击 者提供 一个容 易攻击 的 目标。 由于 蜜罐并 没有 向外界提 供真 正有价 值 的服 务 , 因此
所有对其链接 的尝试都 将被视 为可疑 的。蜜罐 的另一
个 用途 是拖 延攻击 者对真 正 目标台 攻 击 , 攻 击者在 勺 让
是入侵检 测技 术的一个重要 发展 方向 , 已经发展成为诱骗攻 击者的一种非常有效 而实用的 方法 , 不仅 可 以转 移入 侵 者的攻击 , 护主机 和 网络不受入侵 , 保 而且可 以为入侵的取证提 供重要 的线 索和信 息。设计 了基 于蜜罐 技 术的
基于蜜罐技术的主动防护网络入侵研究
2 0 1 3年 6月
科 技 通 报
BUL L ET I N 0 F S C I EN CE AND T E CHN0L 0GY
V o 1 . 2 9 No . 6
J u n .2 0 1 3
基 于蜜罐技术 的主 动Hale Waihona Puke 护 网络入侵研 究 周 蓉
关键 词 : 蜜罐技 术 ; 入 侵检 测 系统 ; 信 息安全 中图分类号 : T P 3 9 3 . 0 8 文献标识码 : A 文章编号 : 1 0 0 1 — 7 1 1 9 ( 2 0 1 3 ) 0 6 — 0 1 6 1 — 0 3
Th e Re s e a r c h o f Ac t i v e Pr o t e c t i o n Ne t wo r k I n t r u s i o n
( 四川职业技术学 院, 四川 遂宁 6 2 9 0 0 0 )
摘 要: 传统 的防火墙 和入 侵检测系统 用来检测 网络 中可 疑的攻击 , 可 能会产生错判 并过滤掉 合法的 链接。 本 文 中提出了一种新 由蜜罐和分布式的代理构成 的体系结构 , 旨在降低攻击检测 的误报率 。 系统 的报警模块最初 由I D S 检测 , 传输给一个蜜罐 网, 进行进一步地检 查 。如果检测 出I D S 的判 断是错 误的 , 则该链 接被传送到最初始的 目的地。该算法很大程度地降低 了报警率 , 提高 了I D S 的性能 。
Ba s e d o n Ho ne y Po t Te c hn o l o g y
Z h o u Ro n g ( S i c h u a n V o c a t i o n a l &T e c h n i c a l C o l l e g e , S u i n i n g 6 2 9 0 0 0 , C h i n a )
蜜罐与免疫入侵检测系统联动模型设计
t s nD t t nSs n) 检 测 出大 多 数 已知 攻 击 . r i e c o yt 1 能 u0 ei e 但
对 未 知 入 侵 却 一 筹 莫 展 : 管 基 于 传 统 S ( efN n 尽 NS S I o — /
1 蜜罐 技 术 . 2
蜜 罐 技 术 是 设 置 一 个 包 含 漏 洞 的诱 骗 系统 .通 过 模 拟 一 个 或 多 个 易 受攻 击 的主 机 .给攻 击 者 提 供 一 个 容 易攻 击 的 目标 蜜 罐 的 作 用 是 为外 界 提 供 虚 假 的 服 务 . 延 攻 击 者 对 真 正 目标 的攻 击 . 攻 击 者 在 蜜 罐 上 拖 让
型相比 . 模 型具有主动性 、 态性和低漏报率等优 点。 该 动
关 键 词 :蜜罐 :免 疫 危 险 理 论 ;入 侵 检 测 系统 ;联 动
0 引
言
是 外 源 性 因 素 的 作 用 .只 要 它 们 发 生 损 伤 。 就 会 向
网 络 攻 击 方 式 日新 月 异 .并 呈 现 出 智 能 化 、 系统
2 蜜 罐 与 免 疫 入 侵 检 测 系统 联 动模 型
21 功 能模 块 .
号 也 就 是 说 . 体 内 的细 胞 不 论 是 受 到 内源 性 因素 还 机
★基 金 项 目: 内蒙 古 高 等 院 校 重 点项 目( . J 0 6 ) 内 蒙古 自然科 学 基金 资 助 项 目( .0 0 S 9 4 NoN 1 1 2 、 No2 1 B 0 0 )
S 1) 论 的 I ef理 DS能 够 识 别 未 知 攻 击 . 存 在 以 下 难 题 : 却
() 1 自体 ( ef 与 非 自体 ( n ef 难 以 精 确 区 分 , 两 S l) No S l ) 且
入侵检测技术与蜜罐技术在业务网中的应用
蜜 罐 的实 现主要 依赖 于低 层 网络技 术 的支持 和 运 用 , 个特 点决 定 了它 的部署 非 常方便 . 这 简单 的蜜 罐 只需 要一 台操 作 系统 没有 打补 丁 的主机 就可 以做
到 。 是蜜 罐技 术 同其 他 技术 一样 都有 利有 弊 , 优 但 其
点 是 :) 报 率低 。 a误 因为 任何 到蜜 罐 的连接 都应 该是
21 技 术 Байду номын сангаас 理 .
侦 听或 攻击 的一 种 , 这样 就大 大简 化 了检测 过程 , 从
蜜 罐通 常是指 一个 受 到严 密监 控和 监 听的 网络 诱骗 系统 ,攻 击者 往往 会被 这个 真 实或模 拟 的 网络 和 服务所 诱 惑 。安全 专家 和防 护人 员可 以在 攻击 者 攻击蜜 罐期 间对其 行为和 过程进行 分析 , 集所需 要 搜
网络 的 防护 系统 , 有 逐渐加 强 的趋 势 。 并
入侵 检测 系统存 在 很 多不 足 ,有 些 问题很 难解
决 。例如 : ) a 攻击 者 知识不 断 完善 , 入侵 工 具 日趋 成
熟、 多样化 、 自动化 , 入侵 攻击 手 段越来 越 复杂 。 侵 入 检测 系统 必须 不断 跟踪 最新 的 安全技 术 ,才 不会 被
务 端 口、 模拟 系统漏 洞 和应用 服 务 、P空 间欺 骗 、 I 流
蜜罐 技术 防攻 击功 能 的实现 主要 依赖 于低 层 网
蜜罐
图 1 蜜罐 系统 简 单 部 署 图
1 1
l 'n al ” f r ll 】 ( (
遗传算法改进的蜜罐及其在入侵检测系统中的研究与设计
入侵 检 测 系统 的研 究 中发 现 的 问题 还很 多 ,存 在漏 报 率或 虚警 率 等 问题 。 而且 入侵 检 测 系统 需 要
嵌 入 在 既有 的主干 网络 中 ,这 会耗 费 一定 的 网络 资
法 则 ,利 用遗 传算 子 的选 择 、交 叉 、变异 ,逐 代 产 生优 选 个体 。我 们 可 以把 机 器 学 习看作 一个 搜 索 问
有超 过一 半 的入 侵行 为 是来 自内部 。因 此传统 的防
火墙 技 术 只是一 种静 态 的 、被 动 的 策略 ,只能在 网 络 系统遭 受 攻击 的时 候 对 系统 进 行被 动 的 防护 ,而
() 2 扫描 :使 用端 口扫描器 和漏 洞扫 描器 等工具
软 件 获得 目标 主机 的活 动端 口、操作 系统 、漏 洞 信
题 ,即 在假 设 空 间按 照 一 定 的搜 索 策略 对 学 习 目
源 ,降 低 网络速 度 。本 文在 入侵 检 测 系统 的基 础上 ,
提 出 了与入侵 检 测系统连 结的 蜜罐 系统 。
4 蜜罐
蜜罐 ( n y o )技术 可 以采取主 动 的方式 , Ho e —p t
遗传算法改进的蜜罐 及其在入侵检测系统中的研 究与设计
吴春 琼
( 州英华 职业 学院 ,福 建 福 州 3 0 1) 福 50 8
摘 要 :传统 的安全防护手段 如防火墙 、入侵检测 等缺 乏网络 防御 的主动性和时效性。在分析入侵检 测系统、蜜罐原理和遗传
算 法的基础上 ,介绍一种基于遗传算法的蜜罐 系统,其 关键技术 包括隐蔽的数据捕捉和 基于遗传算 法的行 为分析。
为 ,同时 也 监控 授 权 对 象 对 系统 资 源 的 非 法 操作 。
蜜罐技术在入侵检测系统中的应用研究
枣庄 学 院 学 报
J UR L OF Z OZ AN I RST O NA A HU G UN VE I Y
Oc . 01 t2 0 V0 . 7 N0. 12 5
第2 7卷
第 5期
蜜 罐 技术在 入 侵 检 测 系统 中的应 用研 究
司凤 山 , 晶 王
同时 也 让蜜 罐 获 取 大 量 的入 侵 信 息 , 于 分 析 提 取 入 侵 特 征 , 加 I 便 增 DS学 习 新 型 入 侵 行 为 的几率 . 过 改 进 后 的 I 通 DS将 化 被 动 防 御 为 主 动 防 御 , 以 避 免 产 生 过 多 的 漏 报 和 误 可
・
8 ・ 6
司凤 山。 王晶
蜜罐技术在入侵检测 系统中的应用研 究
联 动 , 成 一 个 具 有 高 入 侵 检 测 率 和有 一 定 响应 能 力 的安 全 系 统 . 构
图 2 1 蜜罐技 术 的基本 原理 ቤተ መጻሕፍቲ ባይዱ.
2. 2 蜜罐 的关 键 技 术
蜜 罐 的实 现 主要 依 赖 于低 层 网络 技 术 的 支 持 和 运 用 . 罐 的 主 要 技 术 有 网络 欺 骗 、 蜜 数 据 捕 获 、 据 分 析 和 数 据 控 制 等 ] 数 .
本 课 题 研 究 的 目标 就 是 在 现 有 I 的 基 础 上 引 入 蜜 罐 技 术 , 二 者 密 切 配 合 , 势 DS 使 优 互补 , I 把 DS没 有 通 过 审 核 的 事 件 及 未 知 事 件 传 给 蜜 罐 处 理 , 样 可 以 减 轻 I 这 DS 的 负 担 ,
计 算 机 网 络 的 飞 速 发 展 和 普 及 正 改 变 着 人 们 的 生 活 方 式 , 人 们 充 5  ̄受 到 网 络 的 使 Y: - 便 利 和 快 捷 . 是 网 络 本 身 也 存 在 安 全 缺 陷 , 遭 受 到 非 法 者 的 破 坏 和 入 侵 , 且 这 种 网 但 常 并
蜜罐技术在网络安全领域中的应用
蜜罐技术在网络安全领域中的应用【摘要】蜜罐技术在网络安全领域中发挥着重要作用。
本文首先介绍了蜜罐技术的概念和分类,然后详细解释了其工作原理。
接着探讨了蜜罐技术在入侵检测和信息收集中的应用,展示了其在网络安全中的重要性。
结论部分分析了蜜罐技术的优势,如提高安全防御和降低风险等,同时也指出了其局限性和发展前景。
蜜罐技术能够帮助企业识别并防范潜在的网络攻击,为网络安全提供更强大的保护。
不断完善和发展蜜罐技术将有助于提升网络安全水平,保护用户数据和网络安全。
【关键词】蜜罐技术、网络安全、入侵检测、信息收集、工作原理、分类、优势、局限性、发展前景1. 引言1.1 蜜罐技术在网络安全领域中的应用蜜罐技术在网络安全领域中的应用是一种被广泛应用的安全防御技术。
通过在网络中设置虚拟的蜜罐系统,可以吸引黑客攻击并监控其行为,从而及时发现网络攻击和威胁。
蜜罐技术在网络安全中扮演着重要的角色,可以有效提高网络系统的安全性,并帮助安全团队更好地了解网络环境中的安全威胁。
使用蜜罐技术可以有效识别和分析黑客攻击的方法和手段,为安全团队提供更丰富的攻击数据和行为分析。
蜜罐技术还可以用于模拟真实系统,帮助安全团队进行漏洞测试和安全评估,为网络系统的安全提供更全面的保障。
2. 正文2.1 蜜罐技术概述蜜罐技术是一种网络安全技术,通过模拟目标系统或网络中的易受攻击的资源,来引诱攻击者进行攻击,从而收集攻击者的行为信息和攻击技术。
蜜罐技术起源于20世纪90年代初,最初被用于研究黑客攻击行为和研究网络安全。
随着网络攻击的日益频繁和复杂化,蜜罐技术逐渐被广泛应用于企业、政府机构和研究机构的网络安全防御中。
蜜罐技术具有一定的欺骗性,可以吸引攻击者将注意力和攻击行为集中在虚拟环境中,从而保护真实系统和网络资源不受攻击。
蜜罐技术还可以通过收集攻击者的行为信息和攻击技术,为安全人员提供更多关于网络攻击的情报,帮助他们制定更有效的安全防御策略。
蜜罐技术是一种重要的网络安全防御手段,可以有效地提高网络安全防御能力,保护网络系统和数据安全。
“蜜罐”配置实验
实验23 “蜜罐”配置实验1.实验目的通过安装和配置“蜜罐”,了解“蜜罐”的原理,及其配置使用方法。
2.实验原理2.1 “蜜罐”技术的起源入侵检测系统能够对网络和系统的活动情况进行监视,及时发现并报告异常现象。
但是,入侵检测系统在使用中存在着难以检测新类型黑客攻击方法,可能漏报和误报的问题。
蜜罐使这些问题有望得到进一步的解决,通过观察和记录黑客在蜜罐上的活动,人们可以了解黑客的动向、黑客使用的攻击方法等有用信息。
如果将蜜罐采集的信息与IDS 采集的信息联系起来,则有可能减少IDS 的漏报和误报,并能用于进一步改进IDS 的设计,增强IDS 的检测能力。
“蜜罐”的思想最早是由Clifford Stoll 于1988 年5 月提出。
该作者在跟踪黑客的过程中,利用了一些包含虚假信息的文件作为黑客“诱饵”来检测入侵,这就是蜜罐的基本构想,但他并没有提供一个专门让黑客攻击的系统。
蜜罐正式出现是Bill Cheswick 提到采用服务仿真和漏洞仿真技术来吸引黑客。
服务仿真技术是蜜罐作为应用层程序打开一些常用服务端口监听,仿效实际服务器软件的行为响应黑客请求。
例如,提示访问者输入用户名和口令,从而吸引黑客进行登录尝试。
所谓漏洞仿真是指返回黑客的响应信息会使黑客认为该服务器上存在某种漏洞,从而引诱黑客继续攻击。
2.2 蜜罐技术的优点Honeypot是一个相对新的安全技术,其价值就在被检测、攻击,以致攻击者的行为能够被发现、分析和研究。
它的概念很简单:Honeypot没有任何产品性目的,没有授权任何人对它访问,所以任何对Honeypot的访问都有可能是检测、扫描甚至是攻击。
Honeypot的检测价值在于它的工作方式。
正如前文所提到的,由于Honeypot没有任何产品性功能,没有任何授权的合法访问,所以在任何时间来自任何地方对Honeypot的任何访问都有可能是非法的可疑行为。
Honeypot 的工作方式同NIDS 等其他的传统检测技术正好相反,NIDS不能解决的问题,Honeypot却能轻易解决。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 人侵 检 测 系 统 和 蜜罐 技 术
入 侵检 测系统 (nr s nD tcinS se ,I S Itui eet y tms D )通 过对 网络 进行 监视 ,收集报 文 数据 并提 取相 o o 应 的流量统计 特征值 ,然 后利 用 内置 的入侵 知识库 ,与 这些 流量特 征进行 智能 分析 和 比较 匹配 。根据预
第 7 第 3 :理 工 卷 期
司凤 山等 :入 侵 检 测 系 统 与 蜜罐 技 术 的联 动 机 制 探 讨
联 动 系统 中另 一 种 联 动 过程 的 框 架 图如 图 2所 示 ,其联 动 过程 如下 ,当蜜罐 系统 通 过 对 记 录 的 入 侵 者 的入侵 信 息进行 分 析后 ,发 现 未 知 的入 侵 行 为 ,通 过联 动控 制 中心调 用 入 侵检 测 可 视 化 工具 ,生 成新 的 规则 ,之 后 通过联 动 控制 中心 使 入 侵检 测 系统 加 载新
规则 。
2 2 网 络 分 流 器 框 架 设 计 与 实 现 . 源自I 蜜 罐系 统
联
入 侵 检 测系 统
J
信 息 分 析 —— ——
制 控 动
心
f
中 —— ■ 入 侵 检测 可 视 化 —
图 2 联 动 系统 联 动 过 程 框 架
网络 分流 器 总 体 框 架 如 图 3所 示 ;工作 流程 图如 图 4所 示 。分 流 器 启 动 的 时 候 ,首 先
增 强 网络 防护 的 安全 性 。 [ 关键 词 ] 蜜 罐 技 术 ;入 侵 检 测 系 统 ; 网络 安 全 [ 图分 类 号 ]TP 9 . 8 中 3 3 0 [ 献标识码]A 文 [ 章 编 号 ] 1 7 —1 0 ( 0 0 3一 0 — 2 文 6 3 4 9 2 1 )O N3 8 0
入 侵 检 测 系统 与 蜜 罐 技 术 的 联 动 机 制 探 讨
司 凤 山 ( 安徽财经大学管理科学 与工 程学院, 安徽 蚌埠 23 0 30 ) 3
袁 伟 ( 枣庄学院计 算机 科学系, 山东 枣庄 276) 710
[ 要] 在介 绍入 侵 检 测 系统 和 蜜 罐 技 术 的基 础上 ,提 出入 侵 检 测 系 统 与 蜜 罐 技 术 的联 动 框 架 设 计 ,并 对 摘 框 架 中 的 2个 主 要 模 块进 行 了设计 和 实 现 。 该 联 动机 制 能 够 使 入 侵 检 测 系 统 和 蜜 罐 技 术 优 势 互 补 , 从 而
2 联 动框 架 设 计
2 1 联 动 系 统 框 架 . 联 动 系 统 框 架 设 计 如 图 1所 示 , 其 主 要 通 过 “ 警
报 一警报 事件 一 响应 策 略 一 响 应 事 件一 响 应 ”过 程 , 把 入侵者 诱骗至 蜜罐 系统 。联 动 过程 如 下 :当入 侵者 攻 击 网络 后 ,被 入侵检 测系 统 检测 到 后 发 出警 报 ,进 而产 生警报 事件 ,通过 事件分 析 ,网络分 流器根 据分 流策 略对警报 事件 进行处 理 ,产生 的H 应 事件经过 向 事件分 析转换 后转 向蜜罐 系统对 人侵 者进行 诱骗 ,未产 生响应 事件 的警 报事件 被丢弃 。
等 ,这些 技术 在发展 的 同时 ,也存 在着 功能单 一 、相互独 立 、难 于 系统管 理等不 足 ,不能应 对现实 中层 出不穷 的网络人 侵行 为 。为 此 ,笔者提 出一种 以入 侵检测 和蜜罐 技术 为主 的联动 技术框 架 ,通 过多 种安
全技 术 的协 同工作 ,以达 到提高 网络安 全性 的 目的。
设 的 阀值 ,匹配藕合 度较 高的报 文流量 会被认 为是 攻击 ,将根据 相应 的配 置进行 报警 或反击 ,从而 保证
网络资源 的安全 性 。由于新 的攻击 行为 层 出不 穷 ,如若知识 库不 能及 时更新 ,入 侵检测 系统 的被动 防御 将无 法识别 出未 知 的攻 击 。因此 ,入侵检 测系 统需要 和 网络 中其 他有 响应 能力 的安全设备 联 动起 来 ,组 成能 够对 网络入 侵进行 检测 、报警 和响应 的安 全系统 l 。 1 ]
随着计 算机 网络 的迅猛发展 ,互 联 网得到极 大 的普 及 和应 用 ,但 由于 网络 本身 存在安 全缺 陷 ,常遭 受 到黑客 的攻 击 和入侵 ,并且这 种 网络安全 威胁 还在不 断加 剧 。 目前 ,解 决 网络安 全问题 的主要技 术手
段有加 密解密 技术 、身份认 证 、防火墙 技术 、安全 路 由器 、入 侵检 测 、应 急 响应 与恢 复技术 、蜜罐 技术
[ 稿 日 期] 2 1 0 —1 收 0 0— 6 0 [ 者 简介 ] 司凤 山 ( 9 1 ) 作 1 8 ~ ,男 ,20 0 4年 大 学 毕 业 ,硕 士 ,讲 师 ,现 主 要从 事计 算 机 网 络 和 信 患安 全方 面 的 教 学 与 研究 工 作 。
图 1 联 动 系 统框 架
长 江 大 学 学 报 ( 然 科 学 版 ) 21 年 9 第 7 第 3 自 00 月 卷 理工 J u n l f a g eU i ri ( a c E i S p 2 1 .V 17No 3 c & E g o r a o n t nv s y N t i dt Y z e t S ) e . 0 0 o. . :s i n
蜜罐技术是基于 主动 防御理 论提出的 ,它通过诱骗
攻击者 的攻击 ,达 到跟踪 收集 攻击 者有 用信 息 的 目的。
可以把蜜罐收集分析得到 的流量特征值 作为 I S知识库 D
的数据来源 ,提高其对未 知攻击 的识 别能 力 ,同时 I S D 也 可以把 可疑流量导人蜜罐 ,把蜜罐作 为暂时 的访 问替 身 ,也 可以有效 保护真正 的网络 资源不 受侵害l 。 _ 2 ]