入侵检测系统中的蜜罐技术应用

龙源期刊网 http://www.qikan.com.cn

入侵检测系统中的蜜罐技术应用

作者：陈昊,吴启明

来源：《电脑知识与技术》2009年第25期

摘要: 蜜罐作为一种主动的安全防御技术被引入网络安全领域。它的价值体现在它希望被攻击和威胁以获得攻击者更多的信息和攻击技术。同时通过吸引攻击者的攻击而保护真正的系统。

关键词:蜜罐;入侵检测;防火墙

中图分类号:TP393文献标识码:A 文章编号:1009-3044(2009)25-7125-02 The Honeypot Technology Application In Intrusion Detection System CHEN Hao1, WU Qi-ming2

(1.Shenzhen Polytechnic Computer Center,Shenzhen 518055,China;2.Department of Computer and Information Science,Hechi University,Yizhou,Guangxi 546300,China)

Abstract: A honeypot as a kind of active security protecting technology is introduced to thearea of the network security. Its value manifests that it is intended to be attacked andcompromised to gain more information about the attacker and his attack techniques. Itcan also be used to attract and divert an attacker from the real targets. Key words:honeypot; IDS; firewall

信息系统安全技术在不断提高,安全模型也在不断发展。过去主要是被动的防护,现在则增加入侵检测和响应,以及主动安全防御措施。传统意义上的信息安全机制,一般都属于被动防御,如防火墙、入侵检测系统、加密等。它们的策略是考虑系统可能出现哪些问题,然后针对问题进行分析解决,以此来保护我们的信息资源。然而,随着攻击技术的不断发展,现有防护技术对新的攻击技术往往不能识别,总是处于被动地位。因此一些研究机构提出了欺骗性安全防御技术,为安全防御措施增加了主动性。这些欺骗性安全防御技术主要通过设置与真实的系统相似的欺骗性目标,使攻击者相信信息系统存在可利用的安全脆弱性,并具有一些有价值的、可攻击和窃取的资源,从而将攻击者引向这些资源,使其偏离正确目标。同时,它又能够显著地增加攻击者的工作量、入侵复杂度以及不确定性,从而使攻击者不知道其进攻是否奏效或成功,影响其攻击其他系统。 1 蜜罐 1.1 蜜罐的定义

龙源期刊网 http://www.qikan.com.cn

Lance Spitzner 对蜜罐的定义是:“蜜罐是一个资源,它的价值在于它会受到攻击或威胁。这意味着一个蜜罐希望受到探测、攻击和潜在地被利用。蜜罐并不修正任何问题,它们仅为我们提供额外的、有价值的信息。”因此上说无论我们将什么指定为一个蜜罐,直接的目标就是使该系统被探查、被攻击和被潜在地利用。从实现上看,蜜罐是一类工具:它只模拟其它系统或应用、创建一个被禁锢环境、或是标准的被拼成的系统。无论如何建立和使用蜜罐,它的价值首先就体现在它打算被攻击。

因此,蜜罐技术的核心思想比较简单:它是一个故意要被威胁(期待黑客闯入)的系统,进出蜜罐的所有流量都是可疑的,因此都可以被认为是攻击流量而得到进一步的检测和分析。 1.2 蜜罐的作用

蜜罐有两种类型:产品型蜜罐和研究型蜜罐。 1.2.1 产品型蜜罐

产品型蜜罐用于增加一个组织机构所处环境的安全性并降低其风险。可以从安全的三个领域进行分析,看它是如何增加系统的安全性的。这三个领域是:预防、检测和响应。而其主要作用是检测。对于预防来讲,蜜罐所起的作用不大,因为蜜罐不能阻止敌人进入。蜜罐对攻击者可以起到一定的欺骗和威慑作用。欺骗概念是使攻击者浪费时间和资源去攻击蜜罐,而不去攻击真正的生产性(production)系统。蜜罐大大地提高了检测的能力。一般来讲,检测攻击经常是一件极其困难的事情,会被正常的生产性活动所淹没,如果有数千兆的系统日志,很难从中检测到什么时候系统已经被攻击和使用了。检测常见的问题就是:误报、漏报和数据聚集。误报是系统错误地警报了可疑或恶意行为,系统认为是一个攻击或漏洞利用企图而实际上是有效的生产性数据流量。大多数蜜罐无真实的生产性流量,所以几乎不会产生误报。漏报出现在 IDS 系统没有正确地检测到有效的攻击。蜜罐能够消除漏报,因为实施新的漏洞利用并不容易躲避和战胜蜜罐。事实上,蜜罐的主要价值就在于它们可以检测新的或未知的攻击。蜜罐可以很恰当地捕捉到来的任何攻击。蜜罐一天仅产生几兆字节的数据,大部分的数据具有很高的价值,这使得极容易诊断来自蜜罐的有用的信息,从根本上解决了大量的数据聚集带来的——如何收集在检测和确认攻击中所有有价值数据的问题。蜜罐可以简化检测过程。所有进出蜜罐的连接都是可疑的。任何时候前往蜜罐的连接很有可能是一个未被授权的探查、扫描、或攻击。这有助于减少误报和漏报,大大地简化了检测过程。 1.2.2 研究型蜜罐

研究型蜜罐提供给我们一个平台来研究这些计算机威胁。提供更好的方法去了解入侵者,观察他们的行动,当他们攻击系统时一步步地进行记录,更有意义的是了解他们在威胁一个系统后做了些什么。这种情报收集是蜜罐最独特的特性。同样,研究型蜜罐在捕捉自动化的攻击方面是极好的工具,如 auto-rooter 或计算机网络“蠕虫”。因为这些攻击以整个网络为目标,研究型蜜罐可以很快地捕捉这些攻击以供分析之用。

龙源期刊网 http://www.qikan.com.cn

1.3 蜜罐的放置

蜜罐可以放置在三个位置:防火墙前面(Internet)、DMZ、在防火墙后面(intranet) 2 入侵检测系统(IDS)

入侵检测系统利用硬件、软件或两者的结合对单个系统或网络系统中的恶意行为进行监控并能够对攻击者在适当的时间做出响应。根据入侵检测系统对恶意行为的搜集来源, 入侵检测系统分为基于主机(HIDS)和基于网络(NIDS)两种。 3 蜜罐在入侵检测中的应用

在个系统中既安装入侵检测系统又配置蜜罐系统,同时利用ID S的检测和蜜罐系统的诱惑功能。利用动态蜜罐系统和入侵检测系统组建防御系统基本结构。在虚拟蜜罐系统中设置IP地址空间欺骗模块、数据捕捉模块和系统及服务模块,在单个系统中模拟小同的主机系统和多个服务。在整个系统中需要利用重定向功能,入侵检测系统在检测到带有恶意性质的访问者时将连接转移到物理蜜罐。同样,若网络内部的恶意访问者闯入蜜罐系统,虚拟蜜罐也叫以利用自身的重定向模块把访问者重新引导到物理蜜罐。 4 蜜罐在入侵检测中部署及实现

将蜜罐技术嵌入到入侵检测系统中,我们要解决以下问题:IP 地址欺骗;数据捕捉;端口重定向;系统和服务模拟。 4.1 IP 地址欺骗

利用 ARP 地址解析协议,通过 IP 地址空间欺骗达到增加黑客的搜索空间, 提高蜜罐利用率的目的。 4.2 数据捕捉

处于混杂模式的网络接口卡把所有流经的数据帧上传到网络层, 网络层处理程序对数据报进行 IP 地址判断, 如果是本机 IP 则继续上传, 否则丢弃。这样, 即使网卡处于混杂模式, 上层应用程序也捕捉不到 IP 地址不搭配的数据。分组捕获机制解决了这一问题, 不同的操作系统具有不同的包捕获机制。对于应用程序的开发者, 只需要利用针对底层捕获机制而开发的库或接口编写应用程序去捕获还 4.3 端口重定向

IDS 检测到入侵者后, 利用重定向把入侵者重定向到蜜罐系统。当有对工作系统中未开启端口的访问时, 把访问重定向到蜜罐系统中进行欺骗、跟踪。代理模式和直接响应模式是重定