基于蜜罐技術的入侵檢測模型

劉銘 王偉

摘要：隨著網絡的普及和網絡安全事件的頻發，網絡安全問題日益嚴峻，迫切需要相關技術提高網絡的安全性。本文分析了入侵檢測技術和蜜罐技術的特點，將蜜罐技術引入入侵檢測系統中，建立基于蜜罐技術的入侵檢測模型，利用蜜罐對捕獲未知攻擊的優勢，彌補傳統入侵檢測系統對未知攻擊檢測的不足，該模型有效地提高了入侵檢測系統主動防御的能力。

關鍵詞：入侵檢測;蜜罐;網絡安全

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）23-0026-02

開放科學（資源服務）標識碼（OSID）：

隨著互聯網的快速發展及網絡規模的擴大，網絡為人們帶來無限便利的同時，網絡安全問題日益突出，網絡安全已經成為阻礙互聯網發展的主要因素之一，傳統單一靜態的網絡安全技術如防火墻、加密認證、漏洞掃描等技術已經不能滿足當前復雜網絡的安全需求。入侵檢測作為一種主動防御技術，動態的監控或抵御系統的入侵行為，主要通過監控網絡、系統的狀態、行為以及系統的使用情況，來檢測用戶的越權使用以及系統外部的入侵者利用系統的安全漏洞對系統進行的入侵行為。入侵檢測是對傳統網絡安全機制的有效補充，得到了廣泛的應用。傳統的入侵檢測系統極大地提高了系統的安全性，但它普遍存在漏報率和誤報率較高的問題，同時缺乏對未知攻擊行為的檢測能力。

蜜罐技術作為一種主動防御技術，通過構建一個被嚴格監控的欺騙環境系統，誘騙攻擊者對其進行探測、攻擊，從而分析掌握攻擊者的攻擊途徑和攻擊方法。利用蜜罐技術的特點，將蜜罐技術引入到入侵檢測系統中，構建主動的安全防護體系，能有效地彌補傳統入侵檢測的不足。本文中基于蜜罐技術的入侵檢測模型，利用蜜罐對捕獲未知攻擊的優勢，彌補傳統入侵檢測系統對未知攻擊檢測的不足，可以有效地提高入侵檢測系統的檢測性能，降低漏報、誤報率。

1 入侵檢測原理

入侵檢測在網絡或系統中的關鍵節點收集信息，并對收集到的信息根據特征進行分析，從而發現違反安全策略的異常攻擊行為。

入侵檢測系統（Intrusion Detection System，IDS）在檢測分析判斷違反安全策略的異常行為時，主要分為以下四個階段：數據收集階段、數據處理階段、數據分析階段、響應處理階段。入侵檢測系統工作的基本原理如圖1所示。

（1）數據收集

收集用于入侵檢測的數據，通常包含系統數據、主機工作日志和網絡數據包等，系統收集并對這些數據進行分析。

（2）數據處理

為了提高檢測效率，對從網絡中收集的繁雜原始數據進行處理，按照預先設定的規則對數據進行過濾，剔除冗余和噪聲數據，同時對數據進行必要的標準化處理。

（3）數據分析

根據提前定義好的安全策略對網絡中的所有活動進行監測，收集數據并進行處理分析，從而判斷是否有攻擊入侵行為。

（4）響應處理

響應處理模塊根據系統對數據分析后所得出的結果做出響應，如果發現入侵行為，則采取相應的響應策略并通知管理員，或者根據預先約定的規則對入侵行為進行處理。

2 蜜罐技術

2.1 蜜罐概述

蜜罐是一個被嚴格監控的計算資源，蜜罐技術是一種主動的網絡安全保護技術，通過設計一個欺騙環境，誘騙攻擊者對其進行攻擊，其期望被探測、攻擊或攻陷。蜜罐作為一種網絡誘騙工具，本身沒有生產價值，任何訪問蜜罐的行為都認為是可疑的，其價值可由其捕獲的信息來衡量，通過分析捕獲的各類信息從而獲得有價值的數據。

2.2蜜罐原理

蜜罐作為一個誘騙系統，其基本原理可簡述為布置安全陷阱，誘騙攻擊，記錄攻擊的過程。

蜜罐系統通過偽造系統漏洞，布置安全陷阱令攻擊者侵入，從而收集更多的攻擊信息，蜜罐系統不向外提供服務，同時沒有可用資源，所以任何試圖連接蜜罐的行為都認為是可疑的，蜜罐系統通常布置在容易受到攻擊的網絡中。蜜罐系統偽裝得跟真實主機基本一樣，入侵者成功入侵后很難發現。蜜罐對入侵者的行為進行跟蹤記錄，蜜罐的日志系統記錄其對蜜罐的所有操作以及攻擊信息。事后對收集到的所有數據進行整理分析，判斷是否有入侵發生，并從中提取相關的攻擊行為特征。

3 基于蜜罐的入侵檢測模型

將蜜罐技術與入侵檢測相結合可以有效提高對未知攻擊的防御能力，蜜罐捕獲未知攻擊行為之前，可通過防火墻和入侵檢測系統將已知攻擊行為檢測過濾，剩下的未知攻擊行為流入蜜罐，由蜜罐進行捕獲收集，從而有效的更新入侵規則庫，提高入侵檢測的檢測率。本系統采用防火墻Iptables，入侵檢測系統采用Snort完成。本文中基于蜜罐的入侵檢測系統由虛擬蜜罐、網關和監控機三部分組成，如圖2所示。

網關作為最關鍵部分，其上部署防火墻Iptables、入侵檢測系統Snort。同時作為蜜罐與外網的唯一通道，所有進出蜜罐的數據都要經過此網關，它對所有進出蜜罐的數據流進行監控。

防火墻作為第一道防線，對進入網關的數據根據Iptables包過濾規則可以過濾掉簡單的已知攻擊。入侵檢測系統對進入網關從防火墻流出的數據進行第二次檢測，當數據與入侵規則庫中入侵規則匹配時，被認為是攻擊數據，入侵檢測系統做出響應并采取相關措施，所有通過入侵檢測系統，不能被Snort處理的攻擊數據通過網關被定向到此系統模型的虛擬蜜罐中。此模型中虛擬蜜罐通過虛擬化方式構建，蜜罐作為一個誘騙系統期望更多的數據流，通過蜜罐收集數據進一步分析攻擊行為，實現對攻擊行為的多層捕獲，從而為入侵檢測系統提供更全面的入侵檢測規則庫。監控機實時監控網絡中的連接和數據的流動情況，當檢測到異常的攻擊行為時通過網關定向功能轉發數據進入蜜罐。基于蜜罐的入侵檢測模型工作流程如圖3所示。

4 結語

本文分析了入侵檢測和蜜罐技術，分析兩者的優缺點，結合兩者特點，本文描述了基于蜜罐技術的入侵檢測模型的基本設計原理及實現方法，通過部署防火墻，入侵檢測系統，蜜罐網絡，利用蜜罐誘騙特點和對捕獲未知攻擊的優勢，彌補傳統入侵檢測系統對未知攻擊檢測的不足，提高了入侵檢測系統的主動防御能力。

參考文獻：

[1] 錢鋼，鄧勤.基于蜜罐技術的入侵檢測系統研究[J].信息技術與信息化，2015（07）：78-81.

[2] 何祥鋒.淺談蜜罐技術在網絡安全中的應用[J].網絡安全技術與應用，2014（01）：88-89.

【通聯編輯：光文玲】