入侵檢測系統中的蜜罐技術應用

摘要: 蜜罐作為一種主動的安全防御技術被引入網絡安全領域。它的價值體現在它希望被攻擊和威脅以獲得攻擊者更多的信息和攻擊技術。同時通過吸引攻擊者的攻擊而保護真正的系統。

關鍵詞:蜜罐;入侵檢測;防火墻

中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2009)25-7125-02

The Honeypot Technology Application In Intrusion Detection System

CHEN Hao1， WU Qi-ming2

(1.Shenzhen Polytechnic Computer Center，Shenzhen 518055，China;2.Department of Computer and Information Science，Hechi University，Yizhou，Guangxi 546300，China)

Abstract: A honeypot as a kind of active security protecting technology is introduced to thearea of the network security. Its value manifests that it is intended to be attacked andcompromised to gain more information about the attacker and his attack techniques. Itcan also be used to attract and divert an attacker from the real targets.

Key words:honeypot; IDS; firewall

信息系統安全技術在不斷提高，安全模型也在不斷發展。過去主要是被動的防護，現在則增加入侵檢測和響應，以及主動安全防御措施。傳統意義上的信息安全機制，一般都屬于被動防御，如防火墻、入侵檢測系統、加密等。它們的策略是考慮系統可能出現哪些問題，然后針對問題進行分析解決，以此來保護我們的信息資源。然而，隨著攻擊技術的不斷發展，現有防護技術對新的攻擊技術往往不能識別，總是處于被動地位。因此一些研究機構提出了欺騙性安全防御技術，為安全防御措施增加了主動性。這些欺騙性安全防御技術主要通過設置與真實的系統相似的欺騙性目標，使攻擊者相信信息系統存在可利用的安全脆弱性，并具有一些有價值的、可攻擊和竊取的資源，從而將攻擊者引向這些資源，使其偏離正確目標。同時，它又能夠顯著地增加攻擊者的工作量、入侵復雜度以及不確定性，從而使攻擊者不知道其進攻是否奏效或成功，影響其攻擊其他系統。

1 蜜罐

1.1 蜜罐的定義

Lance Spitzner 對蜜罐的定義是:“蜜罐是一個資源，它的價值在于它會受到攻擊或威脅。這意味著一個蜜罐希望受到探測、攻擊和潛在地被利用。蜜罐并不修正任何問題，它們僅為我們提供額外的、有價值的信息?！币虼松险f無論我們將什么指定為一個蜜罐，直接的目標就是使該系統被探查、被攻擊和被潛在地利用。從實現上看，蜜罐是一類工具:它只模擬其它系統或應用、創建一個被禁錮環境、或是標準的被拼成的系統。無論如何建立和使用蜜罐，它的價值首先就體現在它打算被攻擊。

因此，蜜罐技術的核心思想比較簡單:它是一個故意要被威脅(期待黑客闖入)的系統，進出蜜罐的所有流量都是可疑的，因此都可以被認為是攻擊流量而得到進一步的檢測和分析。

1.2 蜜罐的作用

蜜罐有兩種類型:產品型蜜罐和研究型蜜罐。

1.2.1 產品型蜜罐

產品型蜜罐用于增加一個組織機構所處環境的安全性并降低其風險。可以從安全的三個領域進行分析，看它是如何增加系統的安全性的。這三個領域是:預防、檢測和響應。而其主要作用是檢測。對于預防來講，蜜罐所起的作用不大，因為蜜罐不能阻止敵人進入。蜜罐對攻擊者可以起到一定的欺騙和威懾作用。欺騙概念是使攻擊者浪費時間和資源去攻擊蜜罐，而不去攻擊真正的生產性(production)系統。蜜罐大大地提高了檢測的能力。一般來講，檢測攻擊經常是一件極其困難的事情，會被正常的生產性活動所淹沒，如果有數千兆的系統日志，很難從中檢測到什么時候系統已經被攻擊和使用了。檢測常見的問題就是:誤報、漏報和數據聚集。誤報是系統錯誤地警報了可疑或惡意行為，系統認為是一個攻擊或漏洞利用企圖而實際上是有效的生產性數據流量。大多數蜜罐無真實的生產性流量，所以幾乎不會產生誤報。漏報出現在 IDS 系統沒有正確地檢測到有效的攻擊。蜜罐能夠消除漏報，因為實施新的漏洞利用并不容易躲避和戰勝蜜罐。事實上，蜜罐的主要價值就在于它們可以檢測新的或未知的攻擊。蜜罐可以很恰當地捕捉到來的任何攻擊。蜜罐一天僅產生幾兆字節的數據，大部分的數據具有很高的價值，這使得極容易診斷來自蜜罐的有用的信息，從根本上解決了大量的數據聚集帶來的——如何收集在檢測和確認攻擊中所有有價值數據的問題。蜜罐可以簡化檢測過程。所有進出蜜罐的連接都是可疑的。任何時候前往蜜罐的連接很有可能是一個未被授權的探查、掃描、或攻擊。這有助于減少誤報和漏報，大大地簡化了檢測過程。

1.2.2 研究型蜜罐

研究型蜜罐提供給我們一個平臺來研究這些計算機威脅。提供更好的方法去了解入侵者，觀察他們的行動，當他們攻擊系統時一步步地進行記錄，更有意義的是了解他們在威脅一個系統后做了些什么。這種情報收集是蜜罐最獨特的特性。同樣，研究型蜜罐在捕捉自動化的攻擊方面是極好的工具，如 auto-rooter 或計算機網絡“蠕蟲”。因為這些攻擊以整個網絡為目標，研究型蜜罐可以很快地捕捉這些攻擊以供分析之用。

1.3 蜜罐的放置

蜜罐可以放置在三個位置:防火墻前面(Internet)、DMZ、在防火墻后面(intranet)

2 入侵檢測系統(IDS)

入侵檢測系統利用硬件、軟件或兩者的結合對單個系統或網絡系統中的惡意行為進行監控并能夠對攻擊者在適當的時間做出響應。根據入侵檢測系統對惡意行為的搜集來源， 入侵檢測系統分為基于主機(HIDS)和基于網絡(NIDS)兩種。

3 蜜罐在入侵檢測中的應用

在個系統中既安裝入侵檢測系統又配置蜜罐系統，同時利用ID S的檢測和蜜罐系統的誘惑功能。利用動態蜜罐系統和入侵檢測系統組建防御系統基本結構。在虛擬蜜罐系統中設置IP地址空間欺騙模塊、數據捕捉模塊和系統及服務模塊，在單個系統中模擬小同的主機系統和多個服務。在整個系統中需要利用重定向功能，入侵檢測系統在檢測到帶有惡意性質的訪問者時將連接轉移到物理蜜罐。同樣，若網絡內部的惡意訪問者闖入蜜罐系統，虛擬蜜罐也叫以利用自身的重定向模塊把訪問者重新引導到物理蜜罐。

4 蜜罐在入侵檢測中部署及實現

將蜜罐技術嵌入到入侵檢測系統中，我們要解決以下問題:IP 地址欺騙;數據捕捉;端口重定向;系統和服務模擬。

4.1 IP 地址欺騙

利用 ARP 地址解析協議，通過 IP 地址空間欺騙達到增加黑客的搜索空間， 提高蜜罐利用率的目的。

4.2 數據捕捉

處于混雜模式的網絡接口卡把所有流經的數據幀上傳到網絡層， 網絡層處理程序對數據報進行 IP 地址判斷， 如果是本機 IP 則繼續上傳， 否則丟棄。這樣， 即使網卡處于混雜模式， 上層應用程序也捕捉不到 IP 地址不搭配的數據。分組捕獲機制解決了這一問題， 不同的操作系統具有不同的包捕獲機制。對于應用程序的開發者， 只需要利用針對底層捕獲機制而開發的庫或接口編寫應用程序去捕獲還

4.3 端口重定向

IDS 檢測到入侵者后， 利用重定向把入侵者重定向到蜜罐系統。當有對工作系統中未開啟端口的訪問時， 把訪問重定向到蜜罐系統中進行欺騙、跟蹤。代理模式和直接響應模式是重定向的兩種模式， 代理模式將外部連接經過地址轉換后通過代理發送到蜜罐系統。直接響應模式利用重定向程序將外部連接請求轉發到蜜罐系統， 由蜜罐服務器直接與外部建立一個連接。

4.4 系統和服務模擬

物理型蜜罐利用真實的主機提供多種真實的服務， 但是代價和風險高。虛擬蜜罐模擬操作系統和網絡服務， 部署方便風險小。服務模擬是虛擬蜜罐不可缺少的部分，沒有服務就招不來入侵者。以Shell或Perl語言編寫腳本文件是模擬網絡服務的兩個途徑。

5 結束語

實驗證明，通過建立蜜罐系統，能夠實現計算機系統和網絡拓撲的模擬，形成的虛擬系統和網絡成功欺騙了攻擊者;同時能夠對攻擊者的信息進行收集和進一步的分析。蜜罐、防火墻、入侵檢測、被動探測等多項網絡安全技術的綜合應用，對構建主動的安全防御體系，提高實際生產性系統的安全，發現并確定攻擊者等方面可以發揮重要的作用。

參考文獻:

[1] 崔志磊，房嵐. 一種全新的網絡安全策略——蜜罐及其技術[J]. 計算機應用與軟件，2004，21(2):99-100.

[2] 王璐， 秦志光. 業務蜜網技術與應用[J]. 計算機應用， 2004，24(3): 43-45.

[3] Paul E.Proctor. 入侵檢測使用手冊[M]. 鄧琦皓， 許鴻飛， 張斌，譯. 北京: 中國電力出版社， 2002.