隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和互聯(lián)網(wǎng)的普及,個人、企業(yè)和政府部門的信息交換和傳遞越來越多地依賴網(wǎng)絡(luò),因此, 網(wǎng)絡(luò)安全的重要性就不言而喻了,從最初的密碼技術(shù)、身份認(rèn)證技術(shù)到防火墻技術(shù),這些靜態(tài)的安全技術(shù)雖然能夠?qū)Ψ乐瓜到y(tǒng)非法入侵起到一定的作用,但是隨著入侵的數(shù)量和種類越來越多,這些傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)顯然已經(jīng)無法滿足網(wǎng)絡(luò)安全的需要,比如防火墻,這是一種最基礎(chǔ)也是非常有效的安全技術(shù),它能夠有效阻斷來自外部的攻擊,但對于來自內(nèi)部的攻擊以及利用漏洞繞過防火墻進(jìn)行的攻擊都無能為力,另一方面,它所提供的服務(wù)方式是要么都拒絕,要么都通過,這種單一的處理方式已經(jīng)不足以應(yīng)對當(dāng)前日益復(fù)雜的網(wǎng)絡(luò)形勢,這時候,入侵檢測的概念被提了出來。
1 入侵檢測系統(tǒng)
入侵檢測系統(tǒng)(Intrusion Detection System,IDS)是能夠?qū)崿F(xiàn)入侵檢測功能的軟、硬件的組合,入侵檢測是通過分析從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集到的行為、安全日志或?qū)徲嫈?shù)據(jù)等信息,發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象, 并做出相應(yīng)的反應(yīng)的過程,根據(jù)檢測的方法不同可以將入侵檢測分為2大類:基于知識的檢測和基于行為的檢測。
基于知識的檢測又稱為誤用檢測,它事先根據(jù)已知的攻擊模式建立一個攻擊特征數(shù)據(jù)庫,在檢測時,通過比對用戶或系統(tǒng)行為與特征庫中各種攻擊模式是否匹配來確定是否有入侵發(fā)生,這種方法的優(yōu)點(diǎn)是準(zhǔn)確性高,對已知的攻擊類型能夠有效識別,但是對未知的攻擊就無能為力了,這就容易造成漏報。
基于行為的檢測又叫異常檢測,它事先根據(jù)一些特征量定義了一個“正常”的行為特征數(shù)據(jù)庫,在檢測時,比對用戶當(dāng)前行為特征與“正常”的行為特征,若兩者偏差超過一定范圍,則說明發(fā)生了異常,這種方法的優(yōu)點(diǎn)是在一定程度上能夠識別和防范未知的攻擊,但容易造成誤報,用戶正常的讀取和訪問會受到影響,基于入侵檢測的這些缺陷,如何從浩如煙海的數(shù)據(jù)中準(zhǔn)確又高效地識別出各種已知、未知的攻擊行為,成為了它急需完善的部分。
2 蜜罐技術(shù)
蜜罐(Honeypot)是指受到嚴(yán)密監(jiān)控的網(wǎng)絡(luò)誘騙系統(tǒng),通過真實(shí)或模擬的網(wǎng)絡(luò)和服務(wù)來吸引攻擊,從而在黑客攻擊蜜罐期間對其行為和過程進(jìn)行記錄分析,以搜集信息,對新攻擊發(fā)出預(yù)警,同時蜜罐也可以延緩攻擊和轉(zhuǎn)移攻擊目標(biāo)。值得注意的是,蜜罐本身并不直接處理任何的網(wǎng)絡(luò)安全事件,它只是一種工具,它的價值體現(xiàn)在被探測、被攻擊甚至被攻破之時,相對于IDS的缺點(diǎn),蜜罐技術(shù)有以下一些優(yōu)點(diǎn),
分流了一部分?jǐn)?shù)據(jù),大大減少了IDS所要分析的數(shù)據(jù),根據(jù)IDS 的工作原理,所有進(jìn)出網(wǎng)絡(luò)的行為都必須接受檢測,這就產(chǎn)生了大量的日志和報警信息,這其中大多數(shù)都是無目的的掃描,對系統(tǒng)沒有實(shí)質(zhì)性的威脅,再花費(fèi)大量的人力來處理這些無意義的日志信息實(shí)在是沒有必要,同時,對于通常的網(wǎng)站或郵件服務(wù)器,攻擊流量通常會被合法流量所淹沒,這就容易造成漏報。而蜜罐是一個誘騙網(wǎng)絡(luò),正常情況下合法用戶是無法對它進(jìn)行訪問的,因此進(jìn)出蜜罐的數(shù)據(jù)很有可能是攻擊流量,利用蜜罐的這個特性,IDS可以把檢測到的可疑行為或連接重定向到蜜罐,這樣做一方面減輕了IDS的負(fù)擔(dān),降低了漏報率, 另一方面也讓蜜罐捕獲更多的攻擊特征信息,為IDS的特征庫的更新提供了重要依據(jù)。
蜜罐是一個受到嚴(yán)密監(jiān)控的誘騙工具,所有進(jìn)出蜜罐的活動都會被記錄下來,形成日志,我們知道,在IDS的入侵分析技術(shù)中,誤用檢測和異常檢測分別是基于攻擊特征數(shù)據(jù)庫和行為特征數(shù)據(jù)庫的,而這兩個特征庫通常是靜態(tài)的,需要管理者手動更新,蜜罐的引入為IDS特征庫的自動更新提供了可能,當(dāng)IDS把檢測到的可疑行為重定向到蜜罐后,該行為在蜜罐中的一切活動信息都將被記錄下來形成日志,通過對日志的分析可以判斷該可疑行為是否為攻擊,若為攻擊,則總結(jié)出新的入侵規(guī)則和特征并及時添加到特征數(shù)據(jù)庫中,從而使IDS能夠及時識別新的攻擊行為,這種對特征庫的實(shí)時更新能夠有效地降低誤報率。
3 蜜罐技術(shù)與IDS結(jié)合的可行性分析
從上面的分析可以看出,蜜罐能夠分流掉一部分IDS的所要分析的數(shù)據(jù),減輕了IDS的檢測負(fù)擔(dān),并為IDS特征庫的實(shí)時更新提供了有力的數(shù)據(jù)支持,而IDS能夠及時處理入侵時間,彌補(bǔ)蜜罐系統(tǒng)只能識別攻擊不能處理攻擊的不足,可見,蜜罐和IDS在入侵檢測功能的優(yōu)缺點(diǎn)上有著很強(qiáng)的互補(bǔ)性,因此,利用兩者結(jié)合來提高系統(tǒng)的檢測性能是可行的。由此提出了一個基于蜜罐技術(shù)的入侵檢測系統(tǒng)模型,它的主要模塊有:
1)配置策略模塊
蜜罐本來就是通過模擬真實(shí)的服務(wù)或網(wǎng)絡(luò)來吸引黑客攻擊,配置策略模塊的主要功能就是負(fù)責(zé)對虛擬端口進(jìn)行設(shè)置,決定開放或關(guān)閉哪些端口和漏洞供黑客掃描、探測和攻擊,該模塊的關(guān)鍵技術(shù)就在于如何更真實(shí)地模擬現(xiàn)實(shí)的系統(tǒng)和服務(wù),盡量減少黑客的懷疑。
2)Honeypot模塊
將入侵檢測系統(tǒng)認(rèn)為可以的行為重定向到Honeypot模塊,一旦該行為進(jìn)入蜜罐,那么它就很可能是某個嗅探、攻擊或其他惡意行為,而它在蜜罐內(nèi)的一切活動所產(chǎn)生的特征信息都被捕獲記錄下來,形成日志傳送到遠(yuǎn)程日志服務(wù)器上保存下來,如果發(fā)現(xiàn)從Honeypot發(fā)起到外部網(wǎng)絡(luò)的連接,那就肯定是蜜罐被攻破了,這種只關(guān)注進(jìn)出蜜罐的數(shù)據(jù)流的概念大大減少了需要檢測的數(shù)據(jù)量,有效地降低了漏報率,減輕了接下來數(shù)據(jù)分析模塊的負(fù)擔(dān)。
3)分析模塊
實(shí)時分析模塊對Honeypot模塊收集的網(wǎng)絡(luò)、系統(tǒng)等信息進(jìn)行實(shí)時分析,判斷是否存在人侵,可采用的分析方法有:模式匹配、統(tǒng)計分析等。
4)取證模塊
進(jìn)出蜜罐的一切活動信息都被記錄在日志文件上了,但由于日志文件很容易被攻擊者篡改或刪除,所以通常的辦法就是讓蜜罐向在同一網(wǎng)絡(luò)上但防御機(jī)制比較完善的遠(yuǎn)程系統(tǒng)日志服務(wù)器發(fā)送日志備份,一旦某一行為被確認(rèn)為入侵行為,那么該行為在蜜罐中的一切活動信息都將被作為入侵證據(jù)而保存。
5)總控制模塊
總控制模塊在整個系統(tǒng)之中起到了“指揮官”的作用,它負(fù)責(zé)調(diào)度各模塊之間的正常運(yùn)作、配合和數(shù)據(jù)交換并把已確定為入侵行為的事件上傳控制臺子系統(tǒng)報警,同時把控制臺系統(tǒng)的命令下達(dá)給各模塊。
入侵檢測系統(tǒng)的優(yōu)勢在于能夠?qū)崟r的對進(jìn)出系統(tǒng)和網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)視,一旦發(fā)現(xiàn)入侵行為就做出及時阻斷或發(fā)出報警從而減少入侵攻擊所造成的損失,但是入侵檢測系統(tǒng)在使用中存在數(shù)據(jù)流量瓶頸、難以檢測未知攻擊、漏報率和誤報率較高的問題,蜜罐(Honeypot)技術(shù)使這些問題得到改善,IDS將一部分的可疑行為重定位到蜜罐可以大大減少流經(jīng)自身的數(shù)據(jù)量,提高處理能力,通過收集和分析黑客在蜜罐上的活動信息,人們能夠總結(jié)出黑客的入侵特征,從而幫助IDS識別未知攻擊,降低漏報和誤報,并能用于進(jìn)一步改進(jìn)IDS的設(shè)計,增強(qiáng)IDS的檢測能力,因此,將蜜罐技術(shù)與IDS結(jié)合是完全可行的,但在實(shí)際應(yīng)用中仍需要不斷完善。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標(biāo)題:淺析蜜罐技術(shù)與IDS結(jié)合的可行性
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/1081992746.html