隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和互聯(lián)網(wǎng)的普及，個人、企業(yè)和政府部門的信息交換和傳遞越來越多地依賴網(wǎng)絡(luò)，因此， 網(wǎng)絡(luò)安全的重要性就不言而喻了，從最初的密碼技術(shù)、身份認(rèn)證技術(shù)到防火墻技術(shù)，這些靜態(tài)的安全技術(shù)雖然能夠?qū)Ψ乐瓜到y(tǒng)非法入侵起到一定的作用，但是隨著入侵的數(shù)量和種類越來越多，這些傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)顯然已經(jīng)無法滿足網(wǎng)絡(luò)安全的需要，比如防火墻，這是一種最基礎(chǔ)也是非常有效的安全技術(shù)，它能夠有效阻斷來自外部的攻擊，但對于來自內(nèi)部的攻擊以及利用漏洞繞過防火墻進(jìn)行的攻擊都無能為力，另一方面，它所提供的服務(wù)方式是要么都拒絕，要么都通過，這種單一的處理方式已經(jīng)不足以應(yīng)對當(dāng)前日益復(fù)雜的網(wǎng)絡(luò)形勢，這時候，入侵檢測的概念被提了出來。

1 入侵檢測系統(tǒng)

    入侵檢測系統(tǒng)(Intrusion Detection System，IDS)是能夠?qū)崿F(xiàn)入侵檢測功能的軟、硬件的組合，入侵檢測是通過分析從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集到的行為、安全日志或?qū)徲嫈?shù)據(jù)等信息，發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象， 并做出相應(yīng)的反應(yīng)的過程，根據(jù)檢測的方法不同可以將入侵檢測分為2大類：基于知識的檢測和基于行為的檢測。

    基于知識的檢測又稱為誤用檢測，它事先根據(jù)已知的攻擊模式建立一個攻擊特征數(shù)據(jù)庫，在檢測時，通過比對用戶或系統(tǒng)行為與特征庫中各種攻擊模式是否匹配來確定是否有入侵發(fā)生，這種方法的優(yōu)點(diǎn)是準(zhǔn)確性高，對已知的攻擊類型能夠有效識別，但是對未知的攻擊就無能為力了，這就容易造成漏報。

    基于行為的檢測又叫異常檢測，它事先根據(jù)一些特征量定義了一個“正常”的行為特征數(shù)據(jù)庫，在檢測時，比對用戶當(dāng)前行為特征與“正常”的行為特征，若兩者偏差超過一定范圍，則說明發(fā)生了異常，這種方法的優(yōu)點(diǎn)是在一定程度上能夠識別和防范未知的攻擊，但容易造成誤報，用戶正常的讀取和訪問會受到影響，基于入侵檢測的這些缺陷，如何從浩如煙海的數(shù)據(jù)中準(zhǔn)確又高效地識別出各種已知、未知的攻擊行為，成為了它急需完善的部分。

2 蜜罐技術(shù)

    蜜罐(Honeypot)是指受到嚴(yán)密監(jiān)控的網(wǎng)絡(luò)誘騙系統(tǒng)，通過真實(shí)或模擬的網(wǎng)絡(luò)和服務(wù)來吸引攻擊，從而在黑客攻擊蜜罐期間對其行為和過程進(jìn)行記錄分析，以搜集信息，對新攻擊發(fā)出預(yù)警，同時蜜罐也可以延緩攻擊和轉(zhuǎn)移攻擊目標(biāo)。值得注意的是，蜜罐本身并不直接處理任何的網(wǎng)絡(luò)安全事件，它只是一種工具，它的價值體現(xiàn)在被探測、被攻擊甚至被攻破之時，相對于IDS的缺點(diǎn)，蜜罐技術(shù)有以下一些優(yōu)點(diǎn)，

    分流了一部分?jǐn)?shù)據(jù)，大大減少了IDS所要分析的數(shù)據(jù)，根據(jù)IDS 的工作原理，所有進(jìn)出網(wǎng)絡(luò)的行為都必須接受檢測，這就產(chǎn)生了大量的日志和報警信息，這其中大多數(shù)都是無目的的掃描，對系統(tǒng)沒有實(shí)質(zhì)性的威脅，再花費(fèi)大量的人力來處理這些無意義的日志信息實(shí)在是沒有必要，同時，對于通常的網(wǎng)站或郵件服務(wù)器，攻擊流量通常會被合法流量所淹沒，這就容易造成漏報。而蜜罐是一個誘騙網(wǎng)絡(luò)，正常情況下合法用戶是無法對它進(jìn)行訪問的，因此進(jìn)出蜜罐的數(shù)據(jù)很有可能是攻擊流量，利用蜜罐的這個特性，IDS可以把檢測到的可疑行為或連接重定向到蜜罐，這樣做一方面減輕了IDS的負(fù)擔(dān)，降低了漏報率， 另一方面也讓蜜罐捕獲更多的攻擊特征信息，為IDS的特征庫的更新提供了重要依據(jù)。

    蜜罐是一個受到嚴(yán)密監(jiān)控的誘騙工具，所有進(jìn)出蜜罐的活動都會被記錄下來，形成日志，我們知道，在IDS的入侵分析技術(shù)中，誤用檢測和異常檢測分別是基于攻擊特征數(shù)據(jù)庫和行為特征數(shù)據(jù)庫的，而這兩個特征庫通常是靜態(tài)的，需要管理者手動更新，蜜罐的引入為IDS特征庫的自動更新提供了可能，當(dāng)IDS把檢測到的可疑行為重定向到蜜罐后，該行為在蜜罐中的一切活動信息都將被記錄下來形成日志，通過對日志的分析可以判斷該可疑行為是否為攻擊，若為攻擊，則總結(jié)出新的入侵規(guī)則和特征并及時添加到特征數(shù)據(jù)庫中，從而使IDS能夠及時識別新的攻擊行為，這種對特征庫的實(shí)時更新能夠有效地降低誤報率。

3 蜜罐技術(shù)與IDS結(jié)合的可行性分析

    從上面的分析可以看出，蜜罐能夠分流掉一部分IDS的所要分析的數(shù)據(jù)，減輕了IDS的檢測負(fù)擔(dān)，并為IDS特征庫的實(shí)時更新提供了有力的數(shù)據(jù)支持，而IDS能夠及時處理入侵時間，彌補(bǔ)蜜罐系統(tǒng)只能識別攻擊不能處理攻擊的不足，可見，蜜罐和IDS在入侵檢測功能的優(yōu)缺點(diǎn)上有著很強(qiáng)的互補(bǔ)性，因此，利用兩者結(jié)合來提高系統(tǒng)的檢測性能是可行的。由此提出了一個基于蜜罐技術(shù)的入侵檢測系統(tǒng)模型，它的主要模塊有：

    1)配置策略模塊

    蜜罐本來就是通過模擬真實(shí)的服務(wù)或網(wǎng)絡(luò)來吸引黑客攻擊，配置策略模塊的主要功能就是負(fù)責(zé)對虛擬端口進(jìn)行設(shè)置，決定開放或關(guān)閉哪些端口和漏洞供黑客掃描、探測和攻擊，該模塊的關(guān)鍵技術(shù)就在于如何更真實(shí)地模擬現(xiàn)實(shí)的系統(tǒng)和服務(wù)，盡量減少黑客的懷疑。

    2)Honeypot模塊

    將入侵檢測系統(tǒng)認(rèn)為可以的行為重定向到Honeypot模塊，一旦該行為進(jìn)入蜜罐，那么它就很可能是某個嗅探、攻擊或其他惡意行為，而它在蜜罐內(nèi)的一切活動所產(chǎn)生的特征信息都被捕獲記錄下來，形成日志傳送到遠(yuǎn)程日志服務(wù)器上保存下來，如果發(fā)現(xiàn)從Honeypot發(fā)起到外部網(wǎng)絡(luò)的連接，那就肯定是蜜罐被攻破了，這種只關(guān)注進(jìn)出蜜罐的數(shù)據(jù)流的概念大大減少了需要檢測的數(shù)據(jù)量，有效地降低了漏報率，減輕了接下來數(shù)據(jù)分析模塊的負(fù)擔(dān)。

    3)分析模塊

    實(shí)時分析模塊對Honeypot模塊收集的網(wǎng)絡(luò)、系統(tǒng)等信息進(jìn)行實(shí)時分析，判斷是否存在人侵，可采用的分析方法有：模式匹配、統(tǒng)計分析等。

    4)取證模塊

    進(jìn)出蜜罐的一切活動信息都被記錄在日志文件上了，但由于日志文件很容易被攻擊者篡改或刪除，所以通常的辦法就是讓蜜罐向在同一網(wǎng)絡(luò)上但防御機(jī)制比較完善的遠(yuǎn)程系統(tǒng)日志服務(wù)器發(fā)送日志備份，一旦某一行為被確認(rèn)為入侵行為，那么該行為在蜜罐中的一切活動信息都將被作為入侵證據(jù)而保存。

    5)總控制模塊

    總控制模塊在整個系統(tǒng)之中起到了“指揮官”的作用，它負(fù)責(zé)調(diào)度各模塊之間的正常運(yùn)作、配合和數(shù)據(jù)交換并把已確定為入侵行為的事件上傳控制臺子系統(tǒng)報警，同時把控制臺系統(tǒng)的命令下達(dá)給各模塊。

    入侵檢測系統(tǒng)的優(yōu)勢在于能夠?qū)崟r的對進(jìn)出系統(tǒng)和網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)視，一旦發(fā)現(xiàn)入侵行為就做出及時阻斷或發(fā)出報警從而減少入侵攻擊所造成的損失，但是入侵檢測系統(tǒng)在使用中存在數(shù)據(jù)流量瓶頸、難以檢測未知攻擊、漏報率和誤報率較高的問題，蜜罐(Honeypot)技術(shù)使這些問題得到改善，IDS將一部分的可疑行為重定位到蜜罐可以大大減少流經(jīng)自身的數(shù)據(jù)量，提高處理能力，通過收集和分析黑客在蜜罐上的活動信息，人們能夠總結(jié)出黑客的入侵特征，從而幫助IDS識別未知攻擊，降低漏報和誤報，并能用于進(jìn)一步改進(jìn)IDS的設(shè)計，增強(qiáng)IDS的檢測能力，因此，將蜜罐技術(shù)與IDS結(jié)合是完全可行的，但在實(shí)際應(yīng)用中仍需要不斷完善。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：淺析蜜罐技術(shù)與IDS結(jié)合的可行性

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/1081992746.html