隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和互聯(lián)網(wǎng)的普及，個(gè)人、企業(yè)和政府部門(mén)的信息交換和傳遞越來(lái)越多地依賴網(wǎng)絡(luò)，因此， 網(wǎng)絡(luò)安全的重要性就不言而喻了，從最初的密碼技術(shù)、身份認(rèn)證技術(shù)到防火墻技術(shù)，這些靜態(tài)的安全技術(shù)雖然能夠?qū)Ψ乐瓜到y(tǒng)非法入侵起到一定的作用，但是隨著入侵的數(shù)量和種類越來(lái)越多，這些傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)顯然已經(jīng)無(wú)法滿足網(wǎng)絡(luò)安全的需要，比如防火墻，這是一種最基礎(chǔ)也是非常有效的安全技術(shù)，它能夠有效阻斷來(lái)自外部的攻擊，但對(duì)于來(lái)自內(nèi)部的攻擊以及利用漏洞繞過(guò)防火墻進(jìn)行的攻擊都無(wú)能為力，另一方面，它所提供的服務(wù)方式是要么都拒絕，要么都通過(guò)，這種單一的處理方式已經(jīng)不足以應(yīng)對(duì)當(dāng)前日益復(fù)雜的網(wǎng)絡(luò)形勢(shì)，這時(shí)候，入侵檢測(cè)的概念被提了出來(lái)。

1 入侵檢測(cè)系統(tǒng)

    入侵檢測(cè)系統(tǒng)(Intrusion Detection System，IDS)是能夠?qū)崿F(xiàn)入侵檢測(cè)功能的軟、硬件的組合，入侵檢測(cè)是通過(guò)分析從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集到的行為、安全日志或?qū)徲?jì)數(shù)據(jù)等信息，發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象， 并做出相應(yīng)的反應(yīng)的過(guò)程，根據(jù)檢測(cè)的方法不同可以將入侵檢測(cè)分為2大類：基于知識(shí)的檢測(cè)和基于行為的檢測(cè)。

    基于知識(shí)的檢測(cè)又稱為誤用檢測(cè)，它事先根據(jù)已知的攻擊模式建立一個(gè)攻擊特征數(shù)據(jù)庫(kù)，在檢測(cè)時(shí)，通過(guò)比對(duì)用戶或系統(tǒng)行為與特征庫(kù)中各種攻擊模式是否匹配來(lái)確定是否有入侵發(fā)生，這種方法的優(yōu)點(diǎn)是準(zhǔn)確性高，對(duì)已知的攻擊類型能夠有效識(shí)別，但是對(duì)未知的攻擊就無(wú)能為力了，這就容易造成漏報(bào)。

    基于行為的檢測(cè)又叫異常檢測(cè)，它事先根據(jù)一些特征量定義了一個(gè)“正�！钡男袨樘卣鲾�(shù)據(jù)庫(kù)，在檢測(cè)時(shí)，比對(duì)用戶當(dāng)前行為特征與“正常”的行為特征，若兩者偏差超過(guò)一定范圍，則說(shuō)明發(fā)生了異常，這種方法的優(yōu)點(diǎn)是在一定程度上能夠識(shí)別和防范未知的攻擊，但容易造成誤報(bào)，用戶正常的讀取和訪問(wèn)會(huì)受到影響，基于入侵檢測(cè)的這些缺陷，如何從浩如煙海的數(shù)據(jù)中準(zhǔn)確又高效地識(shí)別出各種已知、未知的攻擊行為，成為了它急需完善的部分。

2 蜜罐技術(shù)

    蜜罐(Honeypot)是指受到嚴(yán)密監(jiān)控的網(wǎng)絡(luò)誘騙系統(tǒng)，通過(guò)真實(shí)或模擬的網(wǎng)絡(luò)和服務(wù)來(lái)吸引攻擊，從而在黑客攻擊蜜罐期間對(duì)其行為和過(guò)程進(jìn)行記錄分析，以搜集信息，對(duì)新攻擊發(fā)出預(yù)警，同時(shí)蜜罐也可以延緩攻擊和轉(zhuǎn)移攻擊目標(biāo)。值得注意的是，蜜罐本身并不直接處理任何的網(wǎng)絡(luò)安全事件，它只是一種工具，它的價(jià)值體現(xiàn)在被探測(cè)、被攻擊甚至被攻破之時(shí)，相對(duì)于IDS的缺點(diǎn)，蜜罐技術(shù)有以下一些優(yōu)點(diǎn)，

    分流了一部分?jǐn)?shù)據(jù)，大大減少了IDS所要分析的數(shù)據(jù)，根據(jù)IDS 的工作原理，所有進(jìn)出網(wǎng)絡(luò)的行為都必須接受檢測(cè)，這就產(chǎn)生了大量的日志和報(bào)警信息，這其中大多數(shù)都是無(wú)目的的掃描，對(duì)系統(tǒng)沒(méi)有實(shí)質(zhì)性的威脅，再花費(fèi)大量的人力來(lái)處理這些無(wú)意義的日志信息實(shí)在是沒(méi)有必要，同時(shí)，對(duì)于通常的網(wǎng)站或郵件服務(wù)器，攻擊流量通常會(huì)被合法流量所淹沒(méi)，這就容易造成漏報(bào)。而蜜罐是一個(gè)誘騙網(wǎng)絡(luò)，正常情況下合法用戶是無(wú)法對(duì)它進(jìn)行訪問(wèn)的，因此進(jìn)出蜜罐的數(shù)據(jù)很有可能是攻擊流量，利用蜜罐的這個(gè)特性，IDS可以把檢測(cè)到的可疑行為或連接重定向到蜜罐，這樣做一方面減輕了IDS的負(fù)擔(dān)，降低了漏報(bào)率， 另一方面也讓蜜罐捕獲更多的攻擊特征信息，為IDS的特征庫(kù)的更新提供了重要依據(jù)。

    蜜罐是一個(gè)受到嚴(yán)密監(jiān)控的誘騙工具，所有進(jìn)出蜜罐的活動(dòng)都會(huì)被記錄下來(lái)，形成日志，我們知道，在IDS的入侵分析技術(shù)中，誤用檢測(cè)和異常檢測(cè)分別是基于攻擊特征數(shù)據(jù)庫(kù)和行為特征數(shù)據(jù)庫(kù)的，而這兩個(gè)特征庫(kù)通常是靜態(tài)的，需要管理者手動(dòng)更新，蜜罐的引入為IDS特征庫(kù)的自動(dòng)更新提供了可能，當(dāng)IDS把檢測(cè)到的可疑行為重定向到蜜罐后，該行為在蜜罐中的一切活動(dòng)信息都將被記錄下來(lái)形成日志，通過(guò)對(duì)日志的分析可以判斷該可疑行為是否為攻擊，若為攻擊，則總結(jié)出新的入侵規(guī)則和特征并及時(shí)添加到特征數(shù)據(jù)庫(kù)中，從而使IDS能夠及時(shí)識(shí)別新的攻擊行為，這種對(duì)特征庫(kù)的實(shí)時(shí)更新能夠有效地降低誤報(bào)率。

3 蜜罐技術(shù)與IDS結(jié)合的可行性分析

    從上面的分析可以看出，蜜罐能夠分流掉一部分IDS的所要分析的數(shù)據(jù)，減輕了IDS的檢測(cè)負(fù)擔(dān)，并為IDS特征庫(kù)的實(shí)時(shí)更新提供了有力的數(shù)據(jù)支持，而IDS能夠及時(shí)處理入侵時(shí)間，彌補(bǔ)蜜罐系統(tǒng)只能識(shí)別攻擊不能處理攻擊的不足，可見(jiàn)，蜜罐和IDS在入侵檢測(cè)功能的優(yōu)缺點(diǎn)上有著很強(qiáng)的互補(bǔ)性，因此，利用兩者結(jié)合來(lái)提高系統(tǒng)的檢測(cè)性能是可行的。由此提出了一個(gè)基于蜜罐技術(shù)的入侵檢測(cè)系統(tǒng)模型，它的主要模塊有：

    1)配置策略模塊

    蜜罐本來(lái)就是通過(guò)模擬真實(shí)的服務(wù)或網(wǎng)絡(luò)來(lái)吸引黑客攻擊，配置策略模塊的主要功能就是負(fù)責(zé)對(duì)虛擬端口進(jìn)行設(shè)置，決定開(kāi)放或關(guān)閉哪些端口和漏洞供黑客掃描、探測(cè)和攻擊，該模塊的關(guān)鍵技術(shù)就在于如何更真實(shí)地模擬現(xiàn)實(shí)的系統(tǒng)和服務(wù)，盡量減少黑客的懷疑。

    2)Honeypot模塊

    將入侵檢測(cè)系統(tǒng)認(rèn)為可以的行為重定向到Honeypot模塊，一旦該行為進(jìn)入蜜罐，那么它就很可能是某個(gè)嗅探、攻擊或其他惡意行為，而它在蜜罐內(nèi)的一切活動(dòng)所產(chǎn)生的特征信息都被捕獲記錄下來(lái)，形成日志傳送到遠(yuǎn)程日志服務(wù)器上保存下來(lái)，如果發(fā)現(xiàn)從Honeypot發(fā)起到外部網(wǎng)絡(luò)的連接，那就肯定是蜜罐被攻破了，這種只關(guān)注進(jìn)出蜜罐的數(shù)據(jù)流的概念大大減少了需要檢測(cè)的數(shù)據(jù)量，有效地降低了漏報(bào)率，減輕了接下來(lái)數(shù)據(jù)分析模塊的負(fù)擔(dān)。

    3)分析模塊

    實(shí)時(shí)分析模塊對(duì)Honeypot模塊收集的網(wǎng)絡(luò)、系統(tǒng)等信息進(jìn)行實(shí)時(shí)分析，判斷是否存在人侵，可采用的分析方法有：模式匹配、統(tǒng)計(jì)分析等。

    4)取證模塊

    進(jìn)出蜜罐的一切活動(dòng)信息都被記錄在日志文件上了，但由于日志文件很容易被攻擊者篡改或刪除，所以通常的辦法就是讓蜜罐向在同一網(wǎng)絡(luò)上但防御機(jī)制比較完善的遠(yuǎn)程系統(tǒng)日志服務(wù)器發(fā)送日志備份，一旦某一行為被確認(rèn)為入侵行為，那么該行為在蜜罐中的一切活動(dòng)信息都將被作為入侵證據(jù)而保存。

    5)總控制模塊

    總控制模塊在整個(gè)系統(tǒng)之中起到了“指揮官”的作用，它負(fù)責(zé)調(diào)度各模塊之間的正常運(yùn)作、配合和數(shù)據(jù)交換并把已確定為入侵行為的事件上傳控制臺(tái)子系統(tǒng)報(bào)警，同時(shí)把控制臺(tái)系統(tǒng)的命令下達(dá)給各模塊。

    入侵檢測(cè)系統(tǒng)的優(yōu)勢(shì)在于能夠?qū)崟r(shí)的對(duì)進(jìn)出系統(tǒng)和網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)視，一旦發(fā)現(xiàn)入侵行為就做出及時(shí)阻斷或發(fā)出報(bào)警從而減少入侵攻擊所造成的損失，但是入侵檢測(cè)系統(tǒng)在使用中存在數(shù)據(jù)流量瓶頸、難以檢測(cè)未知攻擊、漏報(bào)率和誤報(bào)率較高的問(wèn)題，蜜罐(Honeypot)技術(shù)使這些問(wèn)題得到改善，IDS將一部分的可疑行為重定位到蜜罐可以大大減少流經(jīng)自身的數(shù)據(jù)量，提高處理能力，通過(guò)收集和分析黑客在蜜罐上的活動(dòng)信息，人們能夠總結(jié)出黑客的入侵特征，從而幫助IDS識(shí)別未知攻擊，降低漏報(bào)和誤報(bào)，并能用于進(jìn)一步改進(jìn)IDS的設(shè)計(jì)，增強(qiáng)IDS的檢測(cè)能力，因此，將蜜罐技術(shù)與IDS結(jié)合是完全可行的，但在實(shí)際應(yīng)用中仍需要不斷完善。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：淺析蜜罐技術(shù)與IDS結(jié)合的可行性

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1081992746.html