文档介绍:一种基于蜜罐技术的入侵检测模型的设计摘要:基于对当前入侵检测系统的研究,分析当前系统存在的不足,将蜜罐技术引入到IDS当中,将访问重定向到诱骗环境中,解决传统的入侵检测误报和漏报的问题,并且提高IDS产品的防御能力。关键词:蜜罐,入侵检测一、引言随着计算机网络的普及,网络安全问题开始受到了越来越多人的重视。在计算机技术的发展过程中,网络安全也面临着前所未有的挑战。最初,人们想到的就是如何加强对网络的防护,防火墙和防病毒软件就是这一时期的产品。随着网络攻击手段的不断增加,入侵检测技术开始得到了大规模的应用,但是传统的入侵检测技术还存在有诸多不足,本文就是在分析当前传统入侵检测技术的基础上,引入蜜罐技术,从而变被动为主动,提高入侵检测系统的效率。二、传统入侵检测系统的模型及不足入侵检测系统是对敌对攻击在适当的时间内进行检测并做出响应的一种工具。它通过收集和分析计算机网络和计算机系统中若干关键点的信息,检查网络或系统中是否存在被攻击的迹象。入侵检测系统按检测数据来源和系统结构分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。常用的检测方法有基于特征树入侵检测方法、基于数据挖掘的入侵检测方法、基于神经网络的入侵检测方法等。目前的入侵检测系统大部分都是独立开发的,不同系统之间缺乏互操作性和互用性,这对入侵检测系统的发展造成了障碍,需要建立一个标准来规范IDS的开发与应用。美国国防高级研究计划局和互联网工程任务组的入侵检测工作组发起制定了一系列建议草案,从体系结构、API、通信机制、语言格式等方面规范了IDS的标准,提出公共入侵检测框架CIDF,它将入侵检测系统分为以下几个单元组件:事件(事件是指入侵检测系统需要分析的数据,它可以是网络的数据包或者从系统日志等审计记录途径得到的信息)产生器、事件分析器、响应单元、事件数据库。入侵检测的一般过程如下图所示:数据采集数据预处理数据检测检测结果响应处理安全策略图1入侵检测的一般过程示意图对于传统IDS而言,不管采用什么样的检测方法,总是存在先天性的不足,主要表现在检测速度较低,不能适应高速网络的要求;漏报率和误报率较高。例如特征检测法是根据已知的入侵方式形成相应的事件模式,当被审计的事件与已知的入侵事件模式相匹配时,认为发生了入侵。该方法检测的准确率较高,应用较多,但对于无先验知识的入侵行为无能为力。因此可能出现较多的漏报,从而给用户造成很大的损失。三、蜜罐技术简介所谓蜜罐其实是一种安全资源,其价值在于被扫描、攻击和攻陷。蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标,从而得到相关信息以便检测到攻击。蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。简单点说:蜜罐就是诱捕攻击者的一个陷阱。所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。将蜜罐技术(Honeypot)引入到IDS当中可以使IDS的功能更加完善。Honeypot是一个相对新的安全技术,其价值就在被检测、攻击,以致攻击者的行为能够被发现、分析和研究。Honeypot仅仅收集那些对它进行访问的数据,这就使得Honeypot收集信息更容易,相对于IDS中成千上万的报警信息而言,分析起来也更为方便。Honeypot