隨著網絡技術的發展和互聯網的普及，個人、企業和政府部門的信息交換和傳遞越來越多地依賴網絡，因此， 網絡安全的重要性就不言而喻了，從最初的密碼技術、身份認證技術到防火墻技術，這些靜態的安全技術雖然能夠對防止系統非法入侵起到一定的作用，但是隨著入侵的數量和種類越來越多，這些傳統的網絡安全技術顯然已經無法滿足網絡安全的需要，比如防火墻，這是一種最基礎也是非常有效的安全技術，它能夠有效阻斷來自外部的攻擊，但對于來自內部的攻擊以及利用漏洞繞過防火墻進行的攻擊都無能為力，另一方面，它所提供的服務方式是要么都拒絕，要么都通過，這種單一的處理方式已經不足以應對當前日益復雜的網絡形勢，這時候，入侵檢測的概念被提了出來。

1 入侵檢測系統

    入侵檢測系統(Intrusion Detection System，IDS)是能夠實現入侵檢測功能的軟、硬件的組合，入侵檢測是通過分析從計算機網絡系統中的若干關鍵點收集到的行為、安全日志或審計數據等信息，發現違反安全策略的行為和遭到攻擊的跡象， 并做出相應的反應的過程，根據檢測的方法不同可以將入侵檢測分為2大類：基于知識的檢測和基于行為的檢測。

    基于知識的檢測又稱為誤用檢測，它事先根據已知的攻擊模式建立一個攻擊特征數據庫，在檢測時，通過比對用戶或系統行為與特征庫中各種攻擊模式是否匹配來確定是否有入侵發生，這種方法的優點是準確性高，對已知的攻擊類型能夠有效識別，但是對未知的攻擊就無能為力了，這就容易造成漏報。

    基于行為的檢測又叫異常檢測，它事先根據一些特征量定義了一個“正常”的行為特征數據庫，在檢測時，比對用戶當前行為特征與“正常”的行為特征，若兩者偏差超過一定范圍，則說明發生了異常，這種方法的優點是在一定程度上能夠識別和防范未知的攻擊，但容易造成誤報，用戶正常的讀取和訪問會受到影響，基于入侵檢測的這些缺陷，如何從浩如煙海的數據中準確又高效地識別出各種已知、未知的攻擊行為，成為了它急需完善的部分。

2 蜜罐技術

    蜜罐(Honeypot)是指受到嚴密監控的網絡誘騙系統，通過真實或模擬的網絡和服務來吸引攻擊，從而在黑客攻擊蜜罐期間對其行為和過程進行記錄分析，以搜集信息，對新攻擊發出預警，同時蜜罐也可以延緩攻擊和轉移攻擊目標。值得注意的是，蜜罐本身并不直接處理任何的網絡安全事件，它只是一種工具，它的價值體現在被探測、被攻擊甚至被攻破之時，相對于IDS的缺點，蜜罐技術有以下一些優點，

    分流了一部分數據，大大減少了IDS所要分析的數據，根據IDS 的工作原理，所有進出網絡的行為都必須接受檢測，這就產生了大量的日志和報警信息，這其中大多數都是無目的的掃描，對系統沒有實質性的威脅，再花費大量的人力來處理這些無意義的日志信息實在是沒有必要，同時，對于通常的網站或郵件服務器，攻擊流量通常會被合法流量所淹沒，這就容易造成漏報。而蜜罐是一個誘騙網絡，正常情況下合法用戶是無法對它進行訪問的，因此進出蜜罐的數據很有可能是攻擊流量，利用蜜罐的這個特性，IDS可以把檢測到的可疑行為或連接重定向到蜜罐，這樣做一方面減輕了IDS的負擔，降低了漏報率， 另一方面也讓蜜罐捕獲更多的攻擊特征信息，為IDS的特征庫的更新提供了重要依據。

    蜜罐是一個受到嚴密監控的誘騙工具，所有進出蜜罐的活動都會被記錄下來，形成日志，我們知道，在IDS的入侵分析技術中，誤用檢測和異常檢測分別是基于攻擊特征數據庫和行為特征數據庫的，而這兩個特征庫通常是靜態的，需要管理者手動更新，蜜罐的引入為IDS特征庫的自動更新提供了可能，當IDS把檢測到的可疑行為重定向到蜜罐后，該行為在蜜罐中的一切活動信息都將被記錄下來形成日志，通過對日志的分析可以判斷該可疑行為是否為攻擊，若為攻擊，則總結出新的入侵規則和特征并及時添加到特征數據庫中，從而使IDS能夠及時識別新的攻擊行為，這種對特征庫的實時更新能夠有效地降低誤報率。

3 蜜罐技術與IDS結合的可行性分析

    從上面的分析可以看出，蜜罐能夠分流掉一部分IDS的所要分析的數據，減輕了IDS的檢測負擔，并為IDS特征庫的實時更新提供了有力的數據支持，而IDS能夠及時處理入侵時間，彌補蜜罐系統只能識別攻擊不能處理攻擊的不足，可見，蜜罐和IDS在入侵檢測功能的優缺點上有著很強的互補性，因此，利用兩者結合來提高系統的檢測性能是可行的。由此提出了一個基于蜜罐技術的入侵檢測系統模型，它的主要模塊有：

    1)配置策略模塊

    蜜罐本來就是通過模擬真實的服務或網絡來吸引黑客攻擊，配置策略模塊的主要功能就是負責對虛擬端口進行設置，決定開放或關閉哪些端口和漏洞供黑客掃描、探測和攻擊，該模塊的關鍵技術就在于如何更真實地模擬現實的系統和服務，盡量減少黑客的懷疑。

    2)Honeypot模塊

    將入侵檢測系統認為可以的行為重定向到Honeypot模塊，一旦該行為進入蜜罐，那么它就很可能是某個嗅探、攻擊或其他惡意行為，而它在蜜罐內的一切活動所產生的特征信息都被捕獲記錄下來，形成日志傳送到遠程日志服務器上保存下來，如果發現從Honeypot發起到外部網絡的連接，那就肯定是蜜罐被攻破了，這種只關注進出蜜罐的數據流的概念大大減少了需要檢測的數據量，有效地降低了漏報率，減輕了接下來數據分析模塊的負擔。

    3)分析模塊

    實時分析模塊對Honeypot模塊收集的網絡、系統等信息進行實時分析，判斷是否存在人侵，可采用的分析方法有：模式匹配、統計分析等。

    4)取證模塊

    進出蜜罐的一切活動信息都被記錄在日志文件上了，但由于日志文件很容易被攻擊者篡改或刪除，所以通常的辦法就是讓蜜罐向在同一網絡上但防御機制比較完善的遠程系統日志服務器發送日志備份，一旦某一行為被確認為入侵行為，那么該行為在蜜罐中的一切活動信息都將被作為入侵證據而保存。

    5)總控制模塊

    總控制模塊在整個系統之中起到了“指揮官”的作用，它負責調度各模塊之間的正常運作、配合和數據交換并把已確定為入侵行為的事件上傳控制臺子系統報警，同時把控制臺系統的命令下達給各模塊。

    入侵檢測系統的優勢在于能夠實時的對進出系統和網絡的數據進行監視，一旦發現入侵行為就做出及時阻斷或發出報警從而減少入侵攻擊所造成的損失，但是入侵檢測系統在使用中存在數據流量瓶頸、難以檢測未知攻擊、漏報率和誤報率較高的問題，蜜罐(Honeypot)技術使這些問題得到改善，IDS將一部分的可疑行為重定位到蜜罐可以大大減少流經自身的數據量，提高處理能力，通過收集和分析黑客在蜜罐上的活動信息，人們能夠總結出黑客的入侵特征，從而幫助IDS識別未知攻擊，降低漏報和誤報，并能用于進一步改進IDS的設計，增強IDS的檢測能力，因此，將蜜罐技術與IDS結合是完全可行的，但在實際應用中仍需要不斷完善。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：淺析蜜罐技術與IDS結合的可行性

本文網址：http://www.guhuozai8.cn/html/consultation/1081992746.html