基于蜜罐技術(shù)的入侵檢測(cè)模型

劉銘 王偉

摘要：隨著網(wǎng)絡(luò)的普及和網(wǎng)絡(luò)安全事件的頻發(fā)，網(wǎng)絡(luò)安全問題日益嚴(yán)峻，迫切需要相關(guān)技術(shù)提高網(wǎng)絡(luò)的安全性。本文分析了入侵檢測(cè)技術(shù)和蜜罐技術(shù)的特點(diǎn)，將蜜罐技術(shù)引入入侵檢測(cè)系統(tǒng)中，建立基于蜜罐技術(shù)的入侵檢測(cè)模型，利用蜜罐對(duì)捕獲未知攻擊的優(yōu)勢(shì)，彌補(bǔ)傳統(tǒng)入侵檢測(cè)系統(tǒng)對(duì)未知攻擊檢測(cè)的不足，該模型有效地提高了入侵檢測(cè)系統(tǒng)主動(dòng)防御的能力。

關(guān)鍵詞：入侵檢測(cè);蜜罐;網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）23-0026-02

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

隨著互聯(lián)網(wǎng)的快速發(fā)展及網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)為人們帶來無限便利的同時(shí)，網(wǎng)絡(luò)安全問題日益突出，網(wǎng)絡(luò)安全已經(jīng)成為阻礙互聯(lián)網(wǎng)發(fā)展的主要因素之一，傳統(tǒng)單一靜態(tài)的網(wǎng)絡(luò)安全技術(shù)如防火墻、加密認(rèn)證、漏洞掃描等技術(shù)已經(jīng)不能滿足當(dāng)前復(fù)雜網(wǎng)絡(luò)的安全需求。入侵檢測(cè)作為一種主動(dòng)防御技術(shù)，動(dòng)態(tài)的監(jiān)控或抵御系統(tǒng)的入侵行為，主要通過監(jiān)控網(wǎng)絡(luò)、系統(tǒng)的狀態(tài)、行為以及系統(tǒng)的使用情況，來檢測(cè)用戶的越權(quán)使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全漏洞對(duì)系統(tǒng)進(jìn)行的入侵行為。入侵檢測(cè)是對(duì)傳統(tǒng)網(wǎng)絡(luò)安全機(jī)制的有效補(bǔ)充，得到了廣泛的應(yīng)用。傳統(tǒng)的入侵檢測(cè)系統(tǒng)極大地提高了系統(tǒng)的安全性，但它普遍存在漏報(bào)率和誤報(bào)率較高的問題，同時(shí)缺乏對(duì)未知攻擊行為的檢測(cè)能力。

蜜罐技術(shù)作為一種主動(dòng)防御技術(shù)，通過構(gòu)建一個(gè)被嚴(yán)格監(jiān)控的欺騙環(huán)境系統(tǒng)，誘騙攻擊者對(duì)其進(jìn)行探測(cè)、攻擊，從而分析掌握攻擊者的攻擊途徑和攻擊方法。利用蜜罐技術(shù)的特點(diǎn)，將蜜罐技術(shù)引入到入侵檢測(cè)系統(tǒng)中，構(gòu)建主動(dòng)的安全防護(hù)體系，能有效地彌補(bǔ)傳統(tǒng)入侵檢測(cè)的不足。本文中基于蜜罐技術(shù)的入侵檢測(cè)模型，利用蜜罐對(duì)捕獲未知攻擊的優(yōu)勢(shì)，彌補(bǔ)傳統(tǒng)入侵檢測(cè)系統(tǒng)對(duì)未知攻擊檢測(cè)的不足，可以有效地提高入侵檢測(cè)系統(tǒng)的檢測(cè)性能，降低漏報(bào)、誤報(bào)率。

1 入侵檢測(cè)原理

入侵檢測(cè)在網(wǎng)絡(luò)或系統(tǒng)中的關(guān)鍵節(jié)點(diǎn)收集信息，并對(duì)收集到的信息根據(jù)特征進(jìn)行分析，從而發(fā)現(xiàn)違反安全策略的異常攻擊行為。

入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）在檢測(cè)分析判斷違反安全策略的異常行為時(shí)，主要分為以下四個(gè)階段：數(shù)據(jù)收集階段、數(shù)據(jù)處理階段、數(shù)據(jù)分析階段、響應(yīng)處理階段。入侵檢測(cè)系統(tǒng)工作的基本原理如圖1所示。

（1）數(shù)據(jù)收集

收集用于入侵檢測(cè)的數(shù)據(jù)，通常包含系統(tǒng)數(shù)據(jù)、主機(jī)工作日志和網(wǎng)絡(luò)數(shù)據(jù)包等，系統(tǒng)收集并對(duì)這些數(shù)據(jù)進(jìn)行分析。

（2）數(shù)據(jù)處理

為了提高檢測(cè)效率，對(duì)從網(wǎng)絡(luò)中收集的繁雜原始數(shù)據(jù)進(jìn)行處理，按照預(yù)先設(shè)定的規(guī)則對(duì)數(shù)據(jù)進(jìn)行過濾，剔除冗余和噪聲數(shù)據(jù)，同時(shí)對(duì)數(shù)據(jù)進(jìn)行必要的標(biāo)準(zhǔn)化處理。

（3）數(shù)據(jù)分析

根據(jù)提前定義好的安全策略對(duì)網(wǎng)絡(luò)中的所有活動(dòng)進(jìn)行監(jiān)測(cè)，收集數(shù)據(jù)并進(jìn)行處理分析，從而判斷是否有攻擊入侵行為。

（4）響應(yīng)處理

響應(yīng)處理模塊根據(jù)系統(tǒng)對(duì)數(shù)據(jù)分析后所得出的結(jié)果做出響應(yīng)，如果發(fā)現(xiàn)入侵行為，則采取相應(yīng)的響應(yīng)策略并通知管理員，或者根據(jù)預(yù)先約定的規(guī)則對(duì)入侵行為進(jìn)行處理。

2 蜜罐技術(shù)

2.1 蜜罐概述

蜜罐是一個(gè)被嚴(yán)格監(jiān)控的計(jì)算資源，蜜罐技術(shù)是一種主動(dòng)的網(wǎng)絡(luò)安全保護(hù)技術(shù)，通過設(shè)計(jì)一個(gè)欺騙環(huán)境，誘騙攻擊者對(duì)其進(jìn)行攻擊，其期望被探測(cè)、攻擊或攻陷。蜜罐作為一種網(wǎng)絡(luò)誘騙工具，本身沒有生產(chǎn)價(jià)值，任何訪問蜜罐的行為都認(rèn)為是可疑的，其價(jià)值可由其捕獲的信息來衡量，通過分析捕獲的各類信息從而獲得有價(jià)值的數(shù)據(jù)。

2.2蜜罐原理

蜜罐作為一個(gè)誘騙系統(tǒng)，其基本原理可簡(jiǎn)述為布置安全陷阱，誘騙攻擊，記錄攻擊的過程。

蜜罐系統(tǒng)通過偽造系統(tǒng)漏洞，布置安全陷阱令攻擊者侵入，從而收集更多的攻擊信息，蜜罐系統(tǒng)不向外提供服務(wù)，同時(shí)沒有可用資源，所以任何試圖連接蜜罐的行為都認(rèn)為是可疑的，蜜罐系統(tǒng)通常布置在容易受到攻擊的網(wǎng)絡(luò)中。蜜罐系統(tǒng)偽裝得跟真實(shí)主機(jī)基本一樣，入侵者成功入侵后很難發(fā)現(xiàn)。蜜罐對(duì)入侵者的行為進(jìn)行跟蹤記錄，蜜罐的日志系統(tǒng)記錄其對(duì)蜜罐的所有操作以及攻擊信息。事后對(duì)收集到的所有數(shù)據(jù)進(jìn)行整理分析，判斷是否有入侵發(fā)生，并從中提取相關(guān)的攻擊行為特征。

3 基于蜜罐的入侵檢測(cè)模型

將蜜罐技術(shù)與入侵檢測(cè)相結(jié)合可以有效提高對(duì)未知攻擊的防御能力，蜜罐捕獲未知攻擊行為之前，可通過防火墻和入侵檢測(cè)系統(tǒng)將已知攻擊行為檢測(cè)過濾，剩下的未知攻擊行為流入蜜罐，由蜜罐進(jìn)行捕獲收集，從而有效的更新入侵規(guī)則庫(kù)，提高入侵檢測(cè)的檢測(cè)率。本系統(tǒng)采用防火墻Iptables，入侵檢測(cè)系統(tǒng)采用Snort完成。本文中基于蜜罐的入侵檢測(cè)系統(tǒng)由虛擬蜜罐、網(wǎng)關(guān)和監(jiān)控機(jī)三部分組成，如圖2所示。

網(wǎng)關(guān)作為最關(guān)鍵部分，其上部署防火墻Iptables、入侵檢測(cè)系統(tǒng)Snort。同時(shí)作為蜜罐與外網(wǎng)的唯一通道，所有進(jìn)出蜜罐的數(shù)據(jù)都要經(jīng)過此網(wǎng)關(guān)，它對(duì)所有進(jìn)出蜜罐的數(shù)據(jù)流進(jìn)行監(jiān)控。

防火墻作為第一道防線，對(duì)進(jìn)入網(wǎng)關(guān)的數(shù)據(jù)根據(jù)Iptables包過濾規(guī)則可以過濾掉簡(jiǎn)單的已知攻擊。入侵檢測(cè)系統(tǒng)對(duì)進(jìn)入網(wǎng)關(guān)從防火墻流出的數(shù)據(jù)進(jìn)行第二次檢測(cè)，當(dāng)數(shù)據(jù)與入侵規(guī)則庫(kù)中入侵規(guī)則匹配時(shí)，被認(rèn)為是攻擊數(shù)據(jù)，入侵檢測(cè)系統(tǒng)做出響應(yīng)并采取相關(guān)措施，所有通過入侵檢測(cè)系統(tǒng)，不能被Snort處理的攻擊數(shù)據(jù)通過網(wǎng)關(guān)被定向到此系統(tǒng)模型的虛擬蜜罐中。此模型中虛擬蜜罐通過虛擬化方式構(gòu)建，蜜罐作為一個(gè)誘騙系統(tǒng)期望更多的數(shù)據(jù)流，通過蜜罐收集數(shù)據(jù)進(jìn)一步分析攻擊行為，實(shí)現(xiàn)對(duì)攻擊行為的多層捕獲，從而為入侵檢測(cè)系統(tǒng)提供更全面的入侵檢測(cè)規(guī)則庫(kù)。監(jiān)控機(jī)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的連接和數(shù)據(jù)的流動(dòng)情況，當(dāng)檢測(cè)到異常的攻擊行為時(shí)通過網(wǎng)關(guān)定向功能轉(zhuǎn)發(fā)數(shù)據(jù)進(jìn)入蜜罐。基于蜜罐的入侵檢測(cè)模型工作流程如圖3所示。

4 結(jié)語

本文分析了入侵檢測(cè)和蜜罐技術(shù)，分析兩者的優(yōu)缺點(diǎn)，結(jié)合兩者特點(diǎn)，本文描述了基于蜜罐技術(shù)的入侵檢測(cè)模型的基本設(shè)計(jì)原理及實(shí)現(xiàn)方法，通過部署防火墻，入侵檢測(cè)系統(tǒng)，蜜罐網(wǎng)絡(luò)，利用蜜罐誘騙特點(diǎn)和對(duì)捕獲未知攻擊的優(yōu)勢(shì)，彌補(bǔ)傳統(tǒng)入侵檢測(cè)系統(tǒng)對(duì)未知攻擊檢測(cè)的不足，提高了入侵檢測(cè)系統(tǒng)的主動(dòng)防御能力。

參考文獻(xiàn)：

[1] 錢鋼，鄧勤.基于蜜罐技術(shù)的入侵檢測(cè)系統(tǒng)研究[J].信息技術(shù)與信息化，2015（07）：78-81.

[2] 何祥鋒.淺談蜜罐技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（01）：88-89.

【通聯(lián)編輯：光文玲】