入侵檢測系統與蜜網技術的聯動模型研究

司鳳山，王 浩，常 郝，王 晶

（1.安徽財經大學 管理科學與工程學院，安徽 蚌埠 233030；2.蚌埠學院 數學與物理系，安徽 蚌埠 233030）

入侵檢測系統與蜜網技術的聯動模型研究

司鳳山1，王 浩1，常 郝1，王 晶2

（1.安徽財經大學 管理科學與工程學院，安徽 蚌埠 233030；2.蚌埠學院 數學與物理系，安徽 蚌埠 233030）

目前，廣泛應用的入侵檢測系統大多是以誤用檢測的分析方法為主，入侵規則庫更新速度相對較慢，無法識別未知攻擊，這種被動的防御狀態漏報率相對較高.將蜜網技術應用在入侵檢測系統中可以大大改善檢測性能，使其具備識別未知入侵行為的主動防御能力.

入侵檢測；蜜網；聯動；網絡安全

當前網絡安全的形勢日趨嚴峻，單一的安全技術和產品已經越來越不能很好地滿足用戶對網絡安全性的需要.聯動技術是網絡安全方面發展的一個趨勢，同時能夠實現各種現有技術的優勢互補，也是構成一個比現有系統具有更高安全性系統的基礎.

1 相關理論概述

1.1 入侵檢測系統

傳統的入侵檢測方法在本質上是一個典型的“窺探設備”.它不跨接多個物理網段(通常只有一個監聽端口)，無須轉發任何流量，而只需要在網絡上被動的、無聲息的收集它所關心的報文即可.對收集來的報文，入侵檢測系統提取相應的流量統計特征值，并利用內置的入侵規則庫，與這些流量特征進行智能分析和匹配.根據預設的閥值，匹配藕合度較高的報文流量將被認為是進攻，入侵檢測系統將根據相應的配置進行報警或進行有限度的反擊.正是這種工作原理導致了入侵檢測系統一直處于被動的防御狀態，只對規則庫中存在的入侵特征有防御能力，而對新出現的入侵行為卻無能為力，漏報率比較高，嚴重影響了網絡防護效果.因此，使入侵檢測系統與其他安全設備之間進行聯動就成為迫切需要解決的問題，通過聯動可以及時更新入侵檢測系統的規則庫、降低漏報率.

1.2 蜜網技術

蜜網(即蜜罐網絡，是蜜罐技術的一種高級實現形式)是一種適用于入侵檢測最新的方法，它通過設置一個具有很多漏洞的網絡系統來吸引黑客入侵，通過黑客留下的信息來分析入侵的方法和入侵的行為，能為建立一個更安全的入侵檢測系統提供更多的規則.同時，由于蜜網是一個具有誘惑力的系統，能夠分散黑客進攻的注意力和精力，對真正有價值的系統起到很好的保護作用.因此，將蜜網技術應用在入侵檢測系統中，可以主動地檢測、響應網絡入侵和攻擊，能夠不斷了解黑客的新動向、新的攻擊方式和攻擊手段，解決入侵檢測系統的規則庫更新、和漏報問題，能夠組成對網絡入侵進行檢測、報警和響應的安全系統.

1.3 聯動技術

聯動技術是將具有不同安全能力的安全設備互聯起來，在復雜的網絡環境下實現協同工作，以對入侵行為有發現能力的安全設備為基礎，通過把安全設備相互關聯建立一個安全性更強的系統.總的來說，入侵檢測系統與蜜網系統的聯動方式主要可以分成系統集成方式和開放互聯方式.系統集成方式是指入侵檢測系統與蜜網系統集成于同一個系統里，通過相互協作完成入侵檢測和網絡誘騙的功能.開放互聯方式是指入侵檢測系統與蜜網系統作為兩個子系統存在，二者相對獨立單獨完成各自功能，但它們可以進行交互以實現信息共享，真正實現一體化的主動防御.本文在開放互聯方式的基礎上，提出了一種借助第三方實現二者交互和信息共享的聯動方式，克服直接交互中存在的健壯性差和檢測效能低的缺陷.

2 基于第三方的系統開放互聯方式分析

本文采用基于第三方（聯動控制中心）的系統開放互聯方式實現入侵檢測系統與蜜網的聯動.這種方式是指入侵檢測和蜜網作為兩個獨立運行的子系統存在，可以單獨完成功能，通過第三方的中轉實現信息的交互和共享，達到一體化的主動防御.

2.1 第三方系統開放互聯方式的基本思想

為了最大程度的保證系統安全和發揮系統的效能，本文將入侵檢測子系統放在蜜網子系統之前，其基本思想是入侵檢測子系統對網絡訪問進行檢測，并對檢測到的異常行為及時報警，同時通過聯動控制中心的處理，將入侵行為重定向到蜜網中進行監視，以便獲得更多的入侵者信息，這樣入侵檢測系統也增加了對入侵的響應能力.對未知攻擊，入侵檢測子系統將無法識別可以安全通過檢測，而蜜網子系統能夠誘引通過檢測進入內部的攻擊者，減少對真正目標的攻擊.蜜網子系統能夠捕獲攻擊數據包進行分析，如果發現新的入侵行為，則提取攻擊特征并寫入日志記錄，并通過聯動控制中心的處理生成規則，使入侵檢測系統動態的加載這些新規則，從而使得入侵檢測子系統可以檢測到這些未知攻擊，減少檢測的漏報率，提高主動防御能力.

2.2 第三方系統開放互聯方式的優點

2.2.1 系統可靠性高、響應速度快.入侵檢測子系統和蜜網子系統相互獨立放置，獨立運行相互影響小.

2.2.2 實現了聯動的主動防御.由于在入侵檢測子系統和蜜網子系統之間加入了聯動控制中心，使二者信息共享和交互更加方便，檢測未知攻擊的能力更強.

2.2.3 入侵檢測系統的漏報率降低.由于蜜網系統能夠捕獲攻擊者的攻擊行為、識別攻擊特征，第三方聯動控制中心可以利用攻擊特征更新入侵檢測的規則庫，使檢測能力大為提高.

3 入侵檢測系統與蜜網系統的聯動模型構建

3.1 聯動模型的總體設計

基于以上研究分析，本文設計了一個聯動模型，它主要有四部分組成，分別是入侵檢測子系統，蜜網子系統，聯動控制中心一，聯動控制中心二.系統聯動模型如圖1所示.

由圖1可知，聯動過程實現如下：

3.1.1 當入侵者攻擊網絡時，被入侵檢測子系統檢測到，即產生報警，進而生成報警事件.聯動控制中心二經過報警事件分析，決定采取不同的響應策略.對未拒絕的攻擊行為則通過訪問重定向功能把入侵者引入蜜網子系統，從而保護真實目標免受攻擊.對于一些報警事件，經過報警事件分析采取了拒絕訪問的響應策略，則響應策略生成模塊將直接阻斷此次網絡訪問.

圖1 入侵檢測子系統與蜜網子系統聯動模型

3.1.2 蜜網子系統通過對入侵者攻擊行為的分析，如若發現未知的入侵行為，則通過聯動控制中心一生成新的規則，并把這些新規則加載到入侵檢測子系統的入侵規則庫中.

3.2 聯動模型的具體設計

3.2.1 入侵檢測子系統

入侵檢測子系統主要實現對網絡訪問的檢測，若發現攻擊行為，則產生報警，并將報警信息寫入日志.入侵檢測子系統結構如圖2所示，它主要有五部分組成，分別為：捕獲數據包模塊、規則匹配模塊、入侵報警模塊、日志記錄模塊、入侵檢測規則庫模塊.

圖2 入侵檢測子系統結構圖

3.2.1.1 捕獲數據包模塊

該模塊獲取網絡訪問中的數據包，經過分析提取到訪問行為特征值，為規則匹配做準備.

3.2.1.2 規則匹配模塊

該模塊采用誤用檢測的方法把提取到的訪問行為特征值與入侵檢測規則庫中的規則進行逐條比較，匹配結果將決定此次網絡訪問是否成功.

3.2.1.3 入侵報警模塊

該模塊根據匹配結果，決定是否產生報警.若是非法訪問，則產生的報警應包含一些攻擊者的相關信息，例如入侵類型，攻擊者的IP地址，攻擊目標的IP地址等.

3.2.1.4 日志記錄模塊

該模塊把報警信息寫入系統的日志文件，便于以后的分析和處理.

3.2.1.5 入侵規則庫模塊

該模塊中存放異常行為特征，供匹配模塊使用.同時，入侵規則庫模塊還接受規則加載模塊對其進行新規則的動態加載和更新.

3.2.2 聯動控制中心二

聯動控制中心二負責將入侵檢測子系統檢測到的非法訪問引入到蜜網子系統中，在實現保護真實攻擊目標的同時，便于獲取入侵者更多的攻擊行為特征.聯動控制中心二的結構如圖1所示，主要有三部分組成，分別是報警分析模塊、響應策略生成模塊、訪問重定向模塊.

3.2.2.1 報警分析模塊

該模塊訪問入侵檢測子系統的日志文件，對其中的報警信息進行分析，提取攻擊者重要的信息，供響應策略生成模塊處理.

3.2.2.2 響應策略生成模塊

該模塊根據報警分析模塊的分析結果，決定對報警事件采用何種響應策略.可以對入侵檢測子系統產生的報警信息進行評估，根據評估等級采取不同的響應策略，例如拒絕訪問，接受訪問等.

3.2.2.3 訪問重定向模塊

該模塊把未拒絕的攻擊者誘引到蜜網子系統中，即改變原來的訪問目標.

3.2.3 蜜網子系統

蜜網子系統負責誘騙入侵者訪問虛假目標，通過監視其行為獲取未知攻擊特征，把識別到的新特征寫入日志文件，便于進一步的分析和處理.蜜網子系統的結構如圖3所示，主要有三部分組成，分別是數據包采集模塊、行為分析模塊、日志記錄模塊.

圖3 蜜網子系統的結構圖

3.2.3.1 數據包采集模塊

該模塊采集攻擊者的數據包，提取重要攻擊行為信息供行為分析模塊處理.

3.2.3.2 行為分析模塊

該模塊對提取到的重要信息進行行為分析，獲取未知的攻擊行為特征.

3.2.3.3 日志記錄模塊

該模塊把獲取到的未知攻擊行為特征值寫入日志文件，便于進一步的分析和生成規則.

3.2.4 聯動控制中心一

聯動控制中心一負責將蜜網子系統識別到的未知攻擊行為特征轉化為規則，并把這些新規則動態加載到入侵檢測子系統的入侵檢測規則庫中，動態更新規則庫便于入侵檢測子系統能及時捕獲新型攻擊.聯動控制中心一的結構如圖1所示，主要有三部分組成，分別是日志分析模塊、規則生成模塊、規則加載模塊.

3.2.4.1 日志分析模塊

該模塊對蜜網子系統中的日志文件進行分析，提取未知攻擊行為特征供規則生成模塊處理.

3.2.4.2 規則生成模塊

該模塊把日志分析模塊提取到的重要行為特征轉化成相應的規則，這些新規則用以更新入侵檢測規則庫.

3.2.4.3 規則加載模塊

該模塊把生成的新規則動態的加載到入侵檢測規則庫中，及時更新規則庫，增強其檢測未知攻擊的能力.

4 結束語

本文提出了一種入侵檢測系統與蜜網系統聯動的模型，該模型能夠使二者優勢互補，相互協作，不但降低了入侵檢測系統的漏報率，而且增強了檢測未知攻擊行為的能力.這種通過聯動相結合的主動防御系統，可以大大提高網絡的安全保護性能.

〔1〕SchwabelJ,RohringN,HaliM,etal.LessonsLearned from DePloying a HoneypotInformation Security Bulletin,2009.

〔2〕Neil Desai,Increasing Performance in High Speed NIDS,2008.

〔3〕余鵬，王浩.蜜網系統的設計與實現[J].微計算機信息,2009.

〔4〕張超,霍紅衛,錢秀檳，等.入侵檢測系統概述[J].計算機工程與應用,2004.

TP393

A

1673-260X（2012）06-0020-03

安徽高校省級自然科學研究項目(KJ2011B001，KJ2011B002，KJ2012Z003)；安徽高等學校優秀青年人才基金項目(2011SQRL164)；蚌埠學院自然科學研究項目(2010ZR13)