【2019年整理】一種基于蜜罐技術(shù)的入侵檢測(cè)模型的設(shè)計(jì)

1、一種基于蜜罐技術(shù)的入侵檢測(cè)模型的設(shè)計(jì) 摘 要：基于對(duì)當(dāng)前入侵檢測(cè)系統(tǒng)的研究，分析當(dāng)前系統(tǒng)存在的不足，將蜜罐技術(shù)引入到IDS當(dāng)中，將訪 問(wèn)重定向到誘騙環(huán)境中， 解決傳統(tǒng)的入侵檢測(cè)誤報(bào)和漏報(bào)的問(wèn)題，并且提高IDS產(chǎn)品的防御能力。 關(guān)鍵詞：蜜罐，入侵檢測(cè) 一、引言 隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)安全問(wèn)題開(kāi)始受到了越來(lái)越多人的重視。在計(jì)算機(jī)技術(shù)的 發(fā)展過(guò)程中，網(wǎng)絡(luò)安全也面臨著前所未有的挑戰(zhàn)。最初，人們想到的就是如何加強(qiáng)對(duì)網(wǎng)絡(luò)的 防護(hù)，防火墻和防病毒軟件就是這一時(shí)期的產(chǎn)品。隨著網(wǎng)絡(luò)攻擊手段的不斷增加，入侵檢測(cè) 技術(shù)開(kāi)始得到了大規(guī)模的應(yīng)用，但是傳統(tǒng)的入侵檢測(cè)技術(shù)還存在有諸多不足，本文就是在分 析當(dāng)前傳統(tǒng)入侵檢

2、測(cè)技術(shù)的基礎(chǔ)上，引入蜜罐技術(shù)，從而變被動(dòng)為主動(dòng)， 提高入侵檢測(cè)系統(tǒng) 的效率。 二、傳統(tǒng)入侵檢測(cè)系統(tǒng)的模型及不足 入侵檢測(cè)系統(tǒng)是對(duì)敵對(duì)攻擊在適當(dāng)?shù)臅r(shí)間內(nèi)進(jìn)行檢測(cè)并做出響應(yīng)的一種工具。它通過(guò)收 集和分析計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在被攻擊 的跡象。入侵檢測(cè)系統(tǒng)按檢測(cè)數(shù)據(jù)來(lái)源和系統(tǒng)結(jié)構(gòu)分為兩類：基于主機(jī)的入侵檢測(cè)系統(tǒng)和基 于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。常用的檢測(cè)方法有基于特征樹(shù)入侵檢測(cè)方法、基于數(shù)據(jù)挖掘的入侵 檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法等。 目前的入侵檢測(cè)系統(tǒng)大部分都是獨(dú)立開(kāi)發(fā)的，不同系統(tǒng)之間缺乏互操作性和互用性，這 對(duì)入侵檢測(cè)系統(tǒng)的發(fā)展造成了障礙，需要建立一個(gè)

3、標(biāo)準(zhǔn)來(lái)規(guī)范IDS的開(kāi)發(fā)與應(yīng)用。美國(guó)國(guó) 防高級(jí)研究計(jì)劃局和互聯(lián)網(wǎng)工程任務(wù)組的入侵檢測(cè)工作組發(fā)起制定了一系列建議草案，從 體系結(jié)構(gòu)、API、通信機(jī)制、語(yǔ)言格式等方面規(guī)范了IDS的標(biāo)準(zhǔn)，提出公共入侵檢測(cè)框架 CIDF，它將入侵檢測(cè)系統(tǒng)分為以下幾個(gè)單元組件：事件（事件是指入侵檢測(cè)系統(tǒng)需要分析 的數(shù)據(jù)，它可以是網(wǎng)絡(luò)的數(shù)據(jù)包或者從系統(tǒng)日志等審計(jì)記錄途徑得到的信息）產(chǎn)生器、事件 分析器、響應(yīng)單元、事件數(shù)據(jù)庫(kù)。入侵檢測(cè)的一般過(guò)程如下圖所示： 圖1 入侵檢測(cè)的一般過(guò)程示意圖 對(duì)于傳統(tǒng)IDS而言，不管采用什么樣的檢測(cè)方法，總是存在先天性的不足，主要表現(xiàn) 在檢測(cè)速度較低，不能適應(yīng)高速網(wǎng)絡(luò)的要求；漏報(bào)率和誤報(bào)率較高。

4、 例如特征檢測(cè)法是根據(jù) 已知的入侵方式形成相應(yīng)的事件模式，當(dāng)被審計(jì)的事件與已知的入侵事件模式相匹配時(shí)，認(rèn) 為發(fā)生了入侵。該方法檢測(cè)的準(zhǔn)確率較高，應(yīng)用較多，但對(duì)于無(wú)先驗(yàn)知識(shí)的入侵行為無(wú)能為 力。因此可能出現(xiàn)較多的漏報(bào)，從而給用戶造成很大的損失。 三、蜜罐技術(shù)簡(jiǎn)介 所謂蜜罐其實(shí)是一種安全資源，其價(jià)值在于被掃描、 攻擊和攻陷。蜜罐系統(tǒng)是一個(gè)包含 漏洞的誘騙系統(tǒng)，它通過(guò)模擬一個(gè)或多個(gè)易受攻擊的主機(jī)，給攻擊者提供一個(gè)容易攻擊的目 標(biāo)，從而得到相關(guān)信息以便檢測(cè)到攻擊。蜜罐的另一個(gè)用途是拖延攻擊者對(duì)真正目標(biāo)的攻擊， 讓攻擊者在蜜罐上浪費(fèi)時(shí)間。簡(jiǎn)單點(diǎn)說(shuō)：蜜罐就是誘捕攻擊者的一個(gè)陷阱。所有流入/流出 蜜罐的網(wǎng)絡(luò)

5、流量都可能預(yù)示了掃描、攻擊和攻陷。而蜜罐的核心價(jià)值就在于對(duì)這些攻擊活動(dòng) 進(jìn)行監(jiān)視、檢測(cè)和分析。 將蜜罐技術(shù)（Honeypot）引入到IDS當(dāng)中可以使IDS的功能更加完善。Honeypot是 一個(gè)相對(duì)新的安全技術(shù)，其價(jià)值就在被檢測(cè)、 攻擊，以致攻擊者的行為能夠被發(fā)現(xiàn)、分析和 研究。Honeypot僅僅收集那些對(duì)它進(jìn)行訪問(wèn)的數(shù)據(jù)，這就使得Honeypot收集信息更容易， 相對(duì)于IDS中成千上萬(wàn)的報(bào)警信息而言，分析起來(lái)也更為方便。Honeypot能顯著減少誤報(bào) 率。因?yàn)槊酃奘蔷W(wǎng)絡(luò)安全專家精心設(shè)計(jì)的陷阱，所以通向蜜罐的流量都是高度可疑的，這種 特性使得它可以作為入侵檢測(cè)系統(tǒng)的數(shù)據(jù)來(lái)源，降低誤報(bào)率。 四

6、、基于蜜罐技術(shù)的入侵檢測(cè)模型的設(shè)計(jì) 入侵檢測(cè)系統(tǒng)是一種被動(dòng)的網(wǎng)絡(luò)檢測(cè)技術(shù)，它一般在網(wǎng)絡(luò)入侵行為發(fā)生時(shí)（實(shí)時(shí)入侵 檢測(cè)）或者入侵行為發(fā)生后（事后入侵檢測(cè)）才能起到作用。而蜜罐技術(shù)是基于主動(dòng)防御理 論提出的，在某些情況下，蜜罐收集用于跟蹤攻擊者的有用信息。由于通向蜜罐的流量都是 高度可疑的，同時(shí)系統(tǒng)也可以把可疑流量導(dǎo)入蜜罐，把蜜罐作為暫時(shí)的訪問(wèn)替身。將蜜罐技 術(shù)與入侵檢測(cè)系統(tǒng)相結(jié)合，可以有效地降低系統(tǒng)的誤報(bào)率和漏報(bào)率。該模型設(shè)計(jì)如圖2所示： 圖2改進(jìn)的入侵檢測(cè)系統(tǒng)模型 在這個(gè)模型中，主要系統(tǒng)的作用分別為： 1數(shù)據(jù)采集系統(tǒng)：沒(méi)有數(shù)據(jù)流進(jìn)（或數(shù)據(jù)被采集），IDS就完全無(wú)用武之地。該系統(tǒng)就 是收集被定義

7、的所有事件，然后一股腦地傳到其它組件里。在Windows環(huán)境下，目前比較基 本的做法是使用 Winpcap和 Win Dump Winpcap是一套免費(fèi)的，基于 Win dows的網(wǎng)絡(luò)接口 API，把網(wǎng)卡設(shè)置為“混雜”模式，然后循環(huán)處理網(wǎng)絡(luò)捕獲的數(shù)據(jù)包。其技術(shù)實(shí)現(xiàn)簡(jiǎn)單，可 移植性強(qiáng)，與網(wǎng)卡無(wú)關(guān)，但效率不高，適合在100 Mbps以下的網(wǎng)絡(luò)。Win Dump是基于 Win dows 的網(wǎng)絡(luò)嗅探工具，這個(gè)軟件必須基于 Winpcap接口，它能把匹配規(guī)則的數(shù)據(jù)包的包頭給顯示 出來(lái)。用戶能使用這個(gè)工具去查找網(wǎng)絡(luò)問(wèn)題或者去監(jiān)視網(wǎng)絡(luò)上的狀況，可以在一定程度上有 效監(jiān)控來(lái)自網(wǎng)絡(luò)上的安全和不安全的行為。 2入

8、侵檢測(cè)分析系統(tǒng)：入侵檢測(cè)分析系統(tǒng)是IDS的核心模塊，主要功能是對(duì)各種事件 進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為，如何建立是重點(diǎn)也是難點(diǎn)。該系統(tǒng)相當(dāng)于IDS 的大腦，它必須具備高度的“智慧”和“判斷能力”。所以， 在設(shè)計(jì)此模塊之前， 開(kāi)發(fā)者需 要對(duì)各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)漏洞、攻擊手法、可疑行為等有一個(gè)很清晰、深入的研究，然后制 訂相應(yīng)的安全規(guī)則庫(kù)和安全策略， 再分別建立濫用檢測(cè)模型和異常檢測(cè)模型， 前者建立系統(tǒng) 或用戶的正常行為特征規(guī)律 , 通過(guò)比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征來(lái) 判斷是否發(fā)現(xiàn)入侵。 后者通過(guò)檢測(cè)用戶行為中的那些與某些已知的入侵行為模式類似的行為 或那些利用系統(tǒng)中缺陷

9、或者間接地違背系統(tǒng)安全規(guī)則的行為 , 來(lái)檢測(cè)系統(tǒng)中的入侵活動(dòng)。機(jī) 器模擬自己的分析過(guò)程，識(shí)別確知特征的攻擊和異常行為，最后將分析結(jié)果形成報(bào)警消息， 發(fā)送給控制管理中心。 3響應(yīng)系統(tǒng)：該系統(tǒng)為整個(gè)模型的樞紐，與傳統(tǒng)的入侵檢測(cè)響應(yīng)系統(tǒng)相比，在本模型 中加入了地址（或端口） 重定向功能，當(dāng)確有入侵行為發(fā)生時(shí)，該系統(tǒng)將把已確定的入侵行 為上傳給總控制系統(tǒng)報(bào)警， 如果訪問(wèn)行為異常， 但是又不能確定是否為入侵行為的， 將會(huì)由 該系統(tǒng)中的地址重定向軟件把該訪問(wèn)移交給已經(jīng)設(shè)置好的蜜罐作進(jìn)一步的研究， 而不會(huì)像傳 統(tǒng)的入侵檢測(cè)系統(tǒng)一樣出現(xiàn)誤報(bào)或漏報(bào)的情況。利用地址 （或端口）重定向技術(shù)， 可在工作 系統(tǒng)中模擬一

10、個(gè)非工作服務(wù)。例如，工作系統(tǒng)運(yùn)行 Wet服務(wù)（端口 80），可以將Telnet（端口 23）和SMTP端口 25）重定向到一個(gè)蜜罐，因?yàn)檫@兩個(gè)服務(wù)在工作系統(tǒng)中沒(méi)有打開(kāi)，所有對(duì)這 兩個(gè)端口的訪問(wèn) （ 可認(rèn)為是入侵行為 ） 實(shí)際上都在蜜罐中，而不是工作系統(tǒng)。 4蜜罐系統(tǒng)：蜜罐又叫攻擊誘騙系統(tǒng)，攻擊誘騙就是蜜罐的“蜜”，可見(jiàn)攻擊誘騙對(duì) 于蜜罐的重要性。 該系統(tǒng)實(shí)際上是一個(gè)網(wǎng)絡(luò)陷阱， 可疑的訪問(wèn)行為或連接經(jīng)過(guò)響應(yīng)系統(tǒng)重定 向到該模塊后， 該模塊可以根據(jù)已經(jīng)配制好的精心設(shè)計(jì)的開(kāi)放漏洞類型，起到一個(gè)欺騙的作 用，攻擊誘騙除了可以吸引黑客對(duì)蜜罐的注意， 誘使其對(duì)蜜罐發(fā)起攻擊外， 還能迷惑入侵者， 掩蓋蜜罐的

11、欺騙性， 使入侵者相信他們?nèi)肭值氖且粋€(gè)真實(shí)的系統(tǒng)， 而不是捕捉他們活動(dòng)的陷 阱。當(dāng)然， 想讓攻擊者對(duì)系統(tǒng)入侵更感興趣， 并且覺(jué)得是真實(shí)的服務(wù)， 最好是模擬一些商用 服務(wù)， 使黑客對(duì)主機(jī)感興趣， 才能進(jìn)一步捕獲入侵?jǐn)?shù)據(jù)。 目前的攻擊誘騙技術(shù)主要有這么幾 種:IP空間欺騙、網(wǎng)絡(luò)流量仿真、組織信息欺騙、系統(tǒng)動(dòng)態(tài)配置，另外提供多種網(wǎng)絡(luò)服務(wù)， 讓系統(tǒng)保留諸多安全漏洞，在系統(tǒng)中放置虛假的敏感信息也能起到很好的誘騙效果。 5日志服務(wù)系統(tǒng)：日志對(duì)于一個(gè)蜜罐的重要性是勿庸置疑的。它記錄了系統(tǒng)中每天發(fā) 生的各種各樣的事件， 管理員可以通過(guò)日志信息來(lái)檢查錯(cuò)誤發(fā)生的原因， 以及入侵者所留下 的痕跡。 正是因?yàn)橄到y(tǒng)日志

12、的重要性， 在黑客入侵系統(tǒng)之后， 往往都要通過(guò)修改系統(tǒng)日志的 方式來(lái)掩蓋其攻擊的蹤跡。 日志服務(wù)系統(tǒng)可以對(duì)訪問(wèn)者在蜜罐中的訪問(wèn)行為進(jìn)行記錄，留待 日后作為證據(jù)，以便取證。 6總控制系統(tǒng)： 該模塊主要是協(xié)調(diào)各部分之間工作，及時(shí)向網(wǎng)絡(luò)管理員上報(bào)各種信息。 同時(shí)也可以將網(wǎng)絡(luò)管理員的各種要求下達(dá)給系統(tǒng)的各個(gè)部分。 五、模擬試驗(yàn)及分析 本次模擬測(cè)試的環(huán)境為 windows2000 系統(tǒng)，主機(jī) IP 地址為 7 ，使用的是蜜 罐軟件 Trap Server ，選擇模擬 IIS 服務(wù)器，主頁(yè)路徑安裝在 Trap Server 目錄下面的 WEB 文件夾的IIS子文件夾下面，監(jiān)聽(tīng)的端口都

13、是80端口，這樣這款蜜罐就可以作為WEB服務(wù) 器用了。然后配置真實(shí)的服務(wù)器，TCP端口設(shè)為8080，這樣做是為了迷惑對(duì)方，以80端口 為“蜜罐”。另外，為了讓通過(guò)直接訪問(wèn)80端口可以訪問(wèn)真實(shí)的 web服務(wù)器，又能讓蜜罐 記錄，以端口重定向程序 Fpipe將連接本機(jī)80端口的主機(jī)通過(guò) 53端口連接到web服務(wù)器， 端口為我們?cè)O(shè)定的 8080。當(dāng)訪問(wèn) 7 時(shí)，將看到 fpipe 記錄連接重定向。 最后，用黑客工具 IIS idq 溢出程序進(jìn)行測(cè)試，可以在 Trap Server 上可以看到對(duì)方的攻擊 記錄，由此我們可以看到這個(gè)蜜罐的設(shè)置是成功的。 六、結(jié)語(yǔ) 蜜罐技

14、術(shù)將主動(dòng)防御引入網(wǎng)絡(luò)安全， 正越來(lái)越受到人們的重視， 蜜罐的目的就是要引誘 攻擊者對(duì)蜜罐進(jìn)行探測(cè)和攻擊， 增加蜜罐和攻擊者接觸的概率， 也就是增加蜜罐布置的價(jià)值。 蜜罐技術(shù)本身雖然不能解決安全問(wèn)題， 它不能替代原來(lái)的網(wǎng)絡(luò)防護(hù)體系， 但是在與入侵檢測(cè) 系統(tǒng)的配合下， 能夠彌補(bǔ)原有網(wǎng)絡(luò)安全防御系統(tǒng)的不足， 增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全性能， 構(gòu)成一 個(gè)更加安全的網(wǎng)絡(luò)防御體系。 參考文獻(xiàn) 1 汪靜 , 王能 入侵檢測(cè)系統(tǒng)設(shè)計(jì)方案的改進(jìn) . 計(jì)算機(jī)應(yīng)用研究 2004 年第 7 期 208-210 頁(yè) 2 汪洋 入侵檢測(cè)系統(tǒng)中蜜罐的設(shè)計(jì)與應(yīng)用 . 福建電腦 2005 年第 5 期 60-63 頁(yè) 3 江森林，張基溫，嚴(yán)俊 HONEYD 解析 計(jì)算機(jī)工程與設(shè)計(jì) 2005 年 3 月 682-685 頁(yè) 4 Sanjay Rawat, Arun K. Pujari and V.P. Gulati On the Use of Singular Value Decomposition for a Fast Intr