欢迎来到天天文库
浏览记录
ID:25604428
大小:49.01 KB
页数:4页
时间:2018-11-21
《种基于蜜罐技术的入侵检测模型的设计》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、一种基于蜜罐技术的入侵检测模型的设计摘要:基于对当前入侵检测系统的研究,分析当前系统存在的不足,将蜜罐技术引入到IDS当中,将访问重定向到诱骗环境中,解决传统的入侵检测误报和漏报的问题,并且提高IDS产品的防御能力。关键词:蜜罐,入侵检测一、引言随着计算机网络的普及,网络安全问题开始受到了越来越多人的重视。在计算机技术的发展过程中,网络安全也面临着前所未有的挑战。最初,人们想到的就是如何加强对网络的防护,防火墙和防病毒软件就是这一时期的产品。随着网络攻击手段的不断增加,入侵检测技术开始得到了大规模的应用,但是传统的入侵检测技术还存在有诸多不足,本文就是在分析当前传统入侵检测技术
2、的基础上,引入蜜罐技术,从而变被动为主动,提高入侵检测系统的效率。二、传统入侵检测系统的模型及不足入侵检测系统是对敌对攻击在适当的时间内进行检测并做出响应的一种工具。它通过收集和分析计算机网络和计算机系统中若干关键点的信息,检查网络或系统中是否存在被攻击的迹象。入侵检测系统按检测数据来源和系统结构分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。常用的检测方法有基于特征树入侵检测方法、基于数据挖掘的入侵检测方法、基于神经网络的入侵检测方法等。目前的入侵检测系统大部分都是独立开发的,不同系统之间缺乏互操作性和互用性,这对入侵检测系统的发展造成了障碍,需要建立一个标准来规范
3、IDS的开发与应用。美国国防高级研究计划局和互联网工程任务组的入侵检测工作组发起制定了一系列建议草案,从体系结构、API、通信机制、语言格式等方面规范了IDS的标准,提出公共入侵检测框架CIDF,它将入侵检测系统分为以下几个单元组件:事件(事件是指入侵检测系统需要分析的数据,它可以是网络的数据包或者从系统日志等审计记录途径得到的信息)产生器、事件分析器、响应单元、事件数据库。入侵检测的一般过程如下图所示:数据采集数据预处理数据检测检测结果响应处理安全策略图1入侵检测的一般过程示意图对于传统IDS而言,不管采用什么样的检测方法,总是存在先天性的不足,主要表现在检测速度较低,不能适
4、应高速网络的要求;漏报率和误报率较高。例如特征检测法是根据已知的入侵方式形成相应的事件模式,当被审计的事件与已知的入侵事件模式相匹配时,认为发生了入侵。该方法检测的准确率较高,应用较多,但对于无先验知识的入侵行为无能为力。因此可能出现较多的漏报,从而给用户造成很大的损失。三、蜜罐技术简介所谓蜜罐其实是一种安全资源,其价值在于被扫描、攻击和攻陷。蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标,从而得到相关信息以便检测到攻击。蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。简单点说:蜜罐就是诱捕攻击者的一
5、个陷阱。所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。将蜜罐技术(Honeypot)引入到IDS当中可以使IDS的功能更加完善。Honeypot是一个相对新的安全技术,其价值就在被检测、攻击,以致攻击者的行为能够被发现、分析和研究。Honeypot仅仅收集那些对它进行访问的数据,这就使得Honeypot收集信息更容易,相对于IDS中成千上万的报警信息而言,分析起来也更为方便。Honeypot能显著减少误报率。因为蜜罐是网络安全专家精心设计的陷阱,所以通向蜜罐的流量都是高度可疑的,这种特性使得它可以作为入侵检测
6、系统的数据来源,降低误报率。四、基于蜜罐技术的入侵检测模型的设计入侵检测系统是一种被动的网络检测技术,它一般在网络入侵行为发生时(实时入侵检测)或者入侵行为发生后(事后入侵检测)才能起到作用。而蜜罐技术是基于主动防御理论提出的,在某些情况下,蜜罐收集用于跟踪攻击者的有用信息。由于通向蜜罐的流量都是高度可疑的,同时系统也可以把可疑流量导入蜜罐,把蜜罐作为暂时的访问替身。将蜜罐技术与入侵检测系统相结合,可以有效地降低系统的误报率和漏报率。该模型设计如图2所示:数据采集系统网络数据流入侵检测分析系统响应系统蜜罐系统日志服务系统总控制系统网络管理员图2改进的入侵检测系统模型在这个模型中
7、,主要系统的作用分别为:1.数据采集系统:没有数据流进(或数据被采集),IDS就完全无用武之地。该系统就是收集被定义的所有事件,然后一股脑地传到其它组件里。在Windows环境下,目前比较基本的做法是使用Winpcap和WinDump。Winpcap是一套免费的,基于Windows的网络接口API,把网卡设置为“混杂”模式,然后循环处理网络捕获的数据包。其技术实现简单,可移植性强,与网卡无关,但效率不高,适合在100Mbps以下的网络。WinDump是基于Windows的网络嗅探工具,这个软
此文档下载收益归作者所有