Ｈｏｎｅｙｐｏｔ技術在網絡入侵檢測系統中的應用

摘 要：入侵檢測是近幾年發展起來的新型網絡安全策略，它實現了網絡系統安全的動態檢測和監控，但是它具有漏報、誤報和無法檢測新型攻擊的缺點，蜜罐的引入使得這種情況得到改善。介紹了Honeypot技術的原理和分類，并提出了一種可行的設計方案，通過Honeypot和入侵檢測系統的結合應用來增強入侵檢測系統的性能。

關鍵詞：蜜罐技術；網絡安全；入侵檢測系統；蜜網

中圖分類號：TP3092文獻標識碼：B文章編號：1004373X(2008)1908004

Application of Honeypot Technology in Network Intrusion Detection System

WANG Yang

(Huanghuai University，Zhumadian，463000，China)

Abstract：In recent years，intrusion detection technology is regarded as one of the new strategy for network security.Dynamic protection and detection in computer network are realized，but it has some defects in leaving out and ignoring alarms，making mistaken alarms and being unable to detect the new type of attacks，which are greatly improved by the use of Honeypot.The paper interprets network intrusion detection system and expounds the principle and classification of Honeypot，furthermore，it puts forward a feasible programme，in order to strengthen the function of intrusion detection system by the means of combining Honeypot with it.

Keywords：honeypot technology;network security;intrusion detection system;honeynet

1 引 言

入侵檢測系統(Intrusion Detection System，IDS)是近幾年發展起來的新一代動態網絡安全防范技術，是一種主動防御技術。它對計算機網絡系統的活動情況進行監視并及時發現并報告異常現象，它是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，入侵監測系統能夠識別出任何不希望有的活動，這種活動可能來自于網絡外部和內部。入侵監測系統的應用，能使在入侵攻擊對網絡系統發生危害前，監測到入侵攻擊，并利用報警與防護系統響應攻擊，從而減少入侵攻擊所造成的損失。但是入侵檢測系統在使用中存在著難以檢測新類型黑客攻擊方法以及漏報和誤報的問題。蜜罐(Honeypot)技術使這些問題得到改善，通過觀察和記錄黑客在蜜罐上的活動，人們可以了解黑客的動向、黑客使用的攻擊方法等有用信息。如果將蜜罐采集的信息與IDS采集的信息聯系起來，則有可能減少IDS的漏報和誤報，并能用于進一步改進IDS的設計，增強IDS的檢測能力。

2 蜜罐技術的原理和蜜罐的分類

2.1 蜜罐技術的原理

蜜罐是一個在網絡上引誘黑客或蠕蟲攻擊的，帶有漏洞的真實或虛擬的系統。蜜罐會引誘一些攻擊者非法訪問， 蜜罐上的監控器和事件日志器監測這些未經授權的訪問并收集攻擊者活動的相關信息，它的目的是將攻擊者從關鍵系統引開，同時收集攻擊者的活動信息，并且吸引攻擊者在系統上停留足夠長的時間以供管理員進行響應。利用蜜罐的這種能力，一方面可以為IDS提供附加數據；另一方面，當IDS發現有攻擊者時，可以把攻擊者引入蜜罐，防止攻擊者造成危害，并收集攻擊者的信息。

蜜罐技術主要是利用網絡欺騙誘導攻擊者，使得可能存在的安全弱點有了很好的偽裝場所，真實服務與誘騙服務幾乎融為一體，使入侵者難以區分。誘騙服務相對于真實服務更容易被發現，通過誘惑使入侵者上當，延長入侵時間，使得真正的網絡服務被探測到的可能性大大減少，并且通過網絡探測，迅速地檢測到入侵者的進攻企圖，及時修補系統可能存在的安全漏洞，并獲知敵方的進攻技術和意圖，通過與入侵者周旋，消耗掉入侵者的資源，搜集到電子證據，進一步做好計算機取證工作。蜜罐技術的原理如圖1所示。

2.2 蜜罐的分類

從技術實現的角度來說，蜜罐可以分為系統級蜜罐和應用級蜜罐。

系統級蜜罐采用真實的網絡和主機環境，運行真實的系統并由應用程序構建而成，它主要實現系統級的監控，與系統的關系較緊密，對于不同的系統類型，具體實現起來也不相同。系統級蜜罐監控的主要內容包括：用戶行為跟蹤識別；進程監控；網絡連接監控和文件系統使用監控。系統級蜜罐的應用范圍較廣，具有通用性，主要用來捕獲未知攻擊和對系統的攻擊行為。

應用級蜜罐是針對具體網絡環境和應用服務，采用模擬或仿真的環境構建而成。應用級的攻擊行為一般由對網絡中各主機系統的角色和作用有一定了解的人發起，這些人包括內部員工、熟悉系統內部運作的外部人員和競爭對手的黑客等。他們的目的集中于存放關鍵數據和資料的系統，攻擊這些系統上關于維護和管理這些資料和數據的應用，以獲取或破壞數據為目的。所以，它主要針對系統提供的應用級程序或服務來構造陷阱機制，以過期或假數據來迷惑攻擊者，并記錄保留攻擊的過程和結果。

3 蜜罐的設計

3.1 用戶模式服務器

通常情況下，蜜罐在物理上是一臺獨立的用戶主機，一個獨立的系統和某個特定的服務，但是，如果在一個獨立的主機上模擬多個虛操作系統和多個虛服務，則能夠更大程度地發揮蜜罐的性能。用戶模式蜜罐就屬于這種類型。用戶模式服務器是一個用戶進程，它運行在主機上，并模擬成一個功能健全的操作系統。用戶模式服務器還是一個功能健全的服務器，嵌套在主機操作系統的應用程序空間中。Internet用戶向用戶模式服務器的IP地址發送請求，主機會接受該請求并將它轉發給適當的用戶模式實例。

如圖2所示的是用戶模式服務器配置的網絡“假象”。對于Internet上的用戶來說，用戶模式主機看似一個路由器和防火墻。每個用戶模式服務器都看似是一個獨立運行在路由期或防火墻后子網內的主機。由于主機運行在防火墻內受到的保護比較正常，所以運行這種配置方式對付準攻擊者非常有效。這僅僅是用戶模式服務器的執行方式之一，還有其他可能的方式，比如運用地址解析協議(ARP)，讓用戶模式主機和服務器看似都連接在同一個邏輯網段上，于是管理員可以將自己的蜜罐隱藏在具有真實系統的網段中。

用戶模式蜜罐的優點是它僅僅是一個普通的用戶進程，這就意味著攻擊者如果想控制機器，就必須首先沖破用戶模式服務器，再找到攻陷主機系統的有效辦法。這保證了系統管理員可以面對強大對手的同時依然保持對系統的控制，同時也為取證提供幫助。因為每個用戶模式服務器都是一個定位在主機系統上的單個文件，如果要清除被入侵者攻陷的蜜罐，只需關閉主機上的用戶模式服務器進程并激活一個新的進程即可。

3.2 一種可行的蜜罐設計方案

在設計蜜罐系統之前必須注意以下問題：首先，蜜罐系統應該與任何真實的產品系統隔離，因為一旦蜜罐被攻陷，不能讓攻擊者利用蜜罐對網絡中的其他系統進行進一步攻擊；其次，盡量將蜜罐放置在距離Internet最近的位置，這樣，真實的系統就不會因為位于蜜罐和Internet之間而暴露在網絡上；再次，需要有步驟地記錄所有通過蜜罐的信息，使得攻擊者不可能通過刪除自己的日志紀錄來掩飾自己的行為，最后，需要建立某種形式的防火墻來控制通過蜜罐的所有信息。如圖3為一種可行的蜜罐設計方案。

防火墻將蜜罐系統從真實的網絡中隔離出來，并且讓蜜罐盡量靠近Internet，可以有效地誘導外部攻擊。防火墻還能夠阻止蜜罐與內部真實系統進行通信，避免攻擊者利用蜜罐作為攻擊的跳板，但是防火墻允許蜜罐與Internet外部網的主機自由通信，這樣可以使攻擊者難以察覺到被欺騙，從而吸引攻擊者繼續在蜜罐上停留。由于IDS可以記錄所有包括有效負載的數據報信息，所以蜜罐可以清晰地記錄攻擊者的每一步行為。日志記錄工作沒有在蜜罐內而是在蜜罐外進行，這種情況下即使蜜罐被攻陷也不會丟失日志記錄信息。用戶模式主機本身除了可以充當防火墻和IDS的角色外還模擬出多個用戶模式服務器，提供多種虛服務，這樣可以有效的誘導內部攻擊，保護真實系統。

4 蜜罐技術的應用

4.1 入侵檢測系統與蜜罐的結合應用

蜜罐是IDS的有力補充，蜜罐可以分擔IDS的一部分數據流量，減輕IDS的負擔，而且還可以提供IDS自學習的數據，增強IDS的智能。在IDS的入侵分析技術中，誤用檢測和異常檢測通常基于合法訪問特征庫和攻擊特征庫，這兩者通常是靜態的，需要管理者手動增加。蜜罐的引入為IDS的自學習提供了可能，把符合攻擊特征的事件和未知事件全部引入蜜罐，由蜜罐來監測訪問者的訪問動作，進而判斷該未知事件是否為攻擊事件，如果攻擊行為確立，則一方面記錄攻擊事件，一方面提供攻擊特征給IDS，使IDS及時學習到新型的攻擊行為。如圖4為入侵監測系統與蜜罐的結合應用。

在網絡監測和入侵分析技術中，IDS對數據的處理能力往往成為限制網絡性能的瓶頸，蜜罐和IDS的結合則大大改變了這種現狀。IDS可以把沒有通過審核的事件和未知事件拋給蜜罐去處理，一方面減輕了IDS的負擔，另一方面也讓蜜罐獲得了大量的攻擊信息，便于管理者進一步追蹤攻擊事件。這樣就克服了IDS的漏報和誤報以及無法檢測未知攻擊的缺陷，同時也符合了蜜罐設計的初衷。

4.2 數據收集類型

當可能的攻擊行為被IDS引到蜜罐中之后，蜜罐開始擔負起監控攻擊者的任務。要取得攻擊者攻擊的證據，就要對攻擊者的攻擊信息進行分析，當然首先要進行數據收集。蜜罐最有價值的一點就是收集攻擊者的攻擊行為。數據收集分為基于主機的數據收集、基于網絡的數據收集和主動方式的數據收集。基于主機收集到的數據可以存放在蜜罐中，這種做法的缺點是系統管理員不能及時研究這些數據。本地存儲的另一個問題是可能將保留的日志空間用盡，這樣系統就會降低交互程度甚至變為不受監控。攻擊者也會了解日志區域并且試圖控制它，不管攻擊者如何處理日志數據，后果都會使日志文件中的數據不再是可信數據。因此，本地存儲數據是不可信的。將攻擊者的信息存放在一個安全的、遠程的地方更具有可信度。當然如果攻擊者發現有日志記錄機制，攻擊者可能會制造“假”的日志數據，但它對離開蜜罐的數據卻無能為力。

基于主機的信息收集定位于主機本身，這就很容易被探測并且一旦被探測到就可能被終止。基于網絡的信息收集沒有將收集機制定位于蜜罐本身，它以一種不可見的方式執行，通常需要防火墻和IDS的配合。通過配置防火墻和IDS來收集特定的數據，因為數據只能被分析但不能被更改。基于網絡的信息收集比基于主機的信息收集更安全，因為它很難被探測到而且很難被終止。

基于主機和基于網絡的收集蜜罐中信息的方法都是被動的，信息是網絡中的數據或是機器自身的數據，沒有信息是通過詢問第三方而獲取的。但信息的收集應該是主動的，所以，可以通過詢問特殊的服務或機器來獲取個人、IP地址或攻擊者的信息，這樣就可以發現更多有價值的數據，但這種方式會使攻擊者察覺并逃走。

4.3 蜜網(Honeynet)技術

蜜網技術實際上是一種分布式的蜜罐技術，它將蜜罐技術分布到網絡的正常系統和資源中，利用閑置的服務端口來增強網絡的欺騙性，增大入侵者遭遇欺騙的可能。它將欺騙分布到更廣的IP地址和端口空間中，增大欺騙在整個網絡中的百分比，使得欺騙比安全弱點更容易被入侵者掃描到。蜜網是專門為研究設計的高交互型蜜罐，它的目的是從現存的各種威脅中提取有用的信息，發現新型的攻擊工具、確定攻擊的模式并研究攻擊者的攻擊動機。大部分傳統的蜜罐都進行對攻擊的誘騙或檢測，這些傳統的蜜罐通常都是一個單獨的系統，用于模擬其他的系統或者模擬已知的服務或弱點。蜜網不同于傳統的蜜罐，它不是一個單獨的系統而是由多個系統和多個攻擊檢測應用組成的網絡。這個網絡放置在防火墻的后面，所有進出網絡的數據都會通過這里，并可以捕獲和控制這些數據。根據捕獲的數據信息分析的結果就可以得到攻擊組織所使用的工具、策略和動機。放置在蜜網中的系統都是標準的真實系統和應用，而不是模擬的，并且這些應用都具有與真實系統相同的安全等級。因此在蜜網中發現的漏洞和弱點就是真實系統存在著的，需要改進的漏洞和弱點。

蜜網具有信息控制和信息捕獲兩種功能。信息控制代表一種規則，用戶必須能夠確定自己的數據包能夠發送到什么地方。其目的是，當用戶蜜網內的蜜罐主機被入侵后，它不會用來攻擊蜜網以外的機器和組織。信息捕獲則是要抓到攻擊組織的所有數據流，而且在攻擊者沒有察覺的情況下，盡量多地捕獲有關攻擊者行為的數據，并使到達蜜罐的數據盡量真實。

5 結 語

在網絡蓬勃發展的今天，網絡安全問題日益突出。為了阻止網絡上大量的攻擊行為，人們不得不去研究抵抗攻擊的技術，入侵檢測系統就是其中的典型代表。入侵監測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于監測計算機網絡中違反安全策略行為的技術。但是，在大量數據流進出入侵檢測系統過程中，入侵檢測系統往往表現出誤報、漏報和無法檢測新型攻擊的缺點，本文討論了網絡安全中的蜜罐技術，通過它和IDS的結合來改善IDS的性能，克服IDS的缺點，并且提出了一種可行的設計方案和應用。

參考文獻

［1］金靜，吳辰文.Honeypot技術的原理與應用［J］.蘭州交通大學學報，2005(6):92-95.

［2］趙偉鋒，曾啟銘.一種了解黑客的有效手段蜜罐(Honey pot)［J］.計算機應用，2003，23(S1):259-261.

［3］劉寶旭，曹愛娟，許榕生.陷阱網絡技術綜述［J］.網絡安全技術與應用，2003，12(1):65-69.

［4］王湘蔚.IDS的優勢與缺陷［J］.華南金融電腦，2003，11(3):88-89.

［5］劉猛.Honeynet原型系統的研究與設計［J］.電腦知識與技術，2006(10):57-58，216.

［6］薛英花，呂述望，蘇桂平，等.入侵檢測系統研究［J］.計算機工程與應用，2003，39(1):150-152，177.

［7］唐鵬.Honeypot的問題和挑戰［J］.信息安全與通信保密，2004(11):35-37.

［8］張新宇，卿斯漢.蜜罐研究與進展［A］.全國網絡與信息安全技術研討會′2005論文集［C］，2005.

［9］徐強，張瑜.蜜罐系統的研究與設計［J］.福建電腦，2006(10):94-95.

［10］劉猛，王中生，趙紅毅.基于Honeynet系統的Linux日志記錄研究［J］.電腦知識與技術，2006(36):59，167.

作者簡介

汪 洋 女，1969年出生，河南汝南人，副教授。研究方向為網絡應用、人工智能。