隨著網(wǎng)絡技術的發(fā)展和互聯(lián)網(wǎng)的普及,個人、企業(yè)和政府部門的信息交換和傳遞越來越多地依賴網(wǎng)絡,因此, 網(wǎng)絡安全的重要性就不言而喻了,從最初的密碼技術、身份認證技術到防火墻技術,這些靜態(tài)的安全技術雖然能夠對防止系統(tǒng)非法入侵起到一定的作用,但是隨著入侵的數(shù)量和種類越來越多,這些傳統(tǒng)的網(wǎng)絡安全技術顯然已經(jīng)無法滿足網(wǎng)絡安全的需要,比如防火墻,這是一種最基礎也是非常有效的安全技術,它能夠有效阻斷來自外部的攻擊,但對于來自內部的攻擊以及利用漏洞繞過防火墻進行的攻擊都無能為力,另一方面,它所提供的服務方式是要么都拒絕,要么都通過,這種單一的處理方式已經(jīng)不足以應對當前日益復雜的網(wǎng)絡形勢,這時候,入侵檢測的概念被提了出來。
1 入侵檢測系統(tǒng)
入侵檢測系統(tǒng)(Intrusion Detection System,IDS)是能夠實現(xiàn)入侵檢測功能的軟、硬件的組合,入侵檢測是通過分析從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集到的行為、安全日志或審計數(shù)據(jù)等信息,發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象, 并做出相應的反應的過程,根據(jù)檢測的方法不同可以將入侵檢測分為2大類:基于知識的檢測和基于行為的檢測。
基于知識的檢測又稱為誤用檢測,它事先根據(jù)已知的攻擊模式建立一個攻擊特征數(shù)據(jù)庫,在檢測時,通過比對用戶或系統(tǒng)行為與特征庫中各種攻擊模式是否匹配來確定是否有入侵發(fā)生,這種方法的優(yōu)點是準確性高,對已知的攻擊類型能夠有效識別,但是對未知的攻擊就無能為力了,這就容易造成漏報。
基于行為的檢測又叫異常檢測,它事先根據(jù)一些特征量定義了一個“正!钡男袨樘卣鲾(shù)據(jù)庫,在檢測時,比對用戶當前行為特征與“正常”的行為特征,若兩者偏差超過一定范圍,則說明發(fā)生了異常,這種方法的優(yōu)點是在一定程度上能夠識別和防范未知的攻擊,但容易造成誤報,用戶正常的讀取和訪問會受到影響,基于入侵檢測的這些缺陷,如何從浩如煙海的數(shù)據(jù)中準確又高效地識別出各種已知、未知的攻擊行為,成為了它急需完善的部分。
2 蜜罐技術
蜜罐(Honeypot)是指受到嚴密監(jiān)控的網(wǎng)絡誘騙系統(tǒng),通過真實或模擬的網(wǎng)絡和服務來吸引攻擊,從而在黑客攻擊蜜罐期間對其行為和過程進行記錄分析,以搜集信息,對新攻擊發(fā)出預警,同時蜜罐也可以延緩攻擊和轉移攻擊目標。值得注意的是,蜜罐本身并不直接處理任何的網(wǎng)絡安全事件,它只是一種工具,它的價值體現(xiàn)在被探測、被攻擊甚至被攻破之時,相對于IDS的缺點,蜜罐技術有以下一些優(yōu)點,
分流了一部分數(shù)據(jù),大大減少了IDS所要分析的數(shù)據(jù),根據(jù)IDS 的工作原理,所有進出網(wǎng)絡的行為都必須接受檢測,這就產(chǎn)生了大量的日志和報警信息,這其中大多數(shù)都是無目的的掃描,對系統(tǒng)沒有實質性的威脅,再花費大量的人力來處理這些無意義的日志信息實在是沒有必要,同時,對于通常的網(wǎng)站或郵件服務器,攻擊流量通常會被合法流量所淹沒,這就容易造成漏報。而蜜罐是一個誘騙網(wǎng)絡,正常情況下合法用戶是無法對它進行訪問的,因此進出蜜罐的數(shù)據(jù)很有可能是攻擊流量,利用蜜罐的這個特性,IDS可以把檢測到的可疑行為或連接重定向到蜜罐,這樣做一方面減輕了IDS的負擔,降低了漏報率, 另一方面也讓蜜罐捕獲更多的攻擊特征信息,為IDS的特征庫的更新提供了重要依據(jù)。
蜜罐是一個受到嚴密監(jiān)控的誘騙工具,所有進出蜜罐的活動都會被記錄下來,形成日志,我們知道,在IDS的入侵分析技術中,誤用檢測和異常檢測分別是基于攻擊特征數(shù)據(jù)庫和行為特征數(shù)據(jù)庫的,而這兩個特征庫通常是靜態(tài)的,需要管理者手動更新,蜜罐的引入為IDS特征庫的自動更新提供了可能,當IDS把檢測到的可疑行為重定向到蜜罐后,該行為在蜜罐中的一切活動信息都將被記錄下來形成日志,通過對日志的分析可以判斷該可疑行為是否為攻擊,若為攻擊,則總結出新的入侵規(guī)則和特征并及時添加到特征數(shù)據(jù)庫中,從而使IDS能夠及時識別新的攻擊行為,這種對特征庫的實時更新能夠有效地降低誤報率。
3 蜜罐技術與IDS結合的可行性分析
從上面的分析可以看出,蜜罐能夠分流掉一部分IDS的所要分析的數(shù)據(jù),減輕了IDS的檢測負擔,并為IDS特征庫的實時更新提供了有力的數(shù)據(jù)支持,而IDS能夠及時處理入侵時間,彌補蜜罐系統(tǒng)只能識別攻擊不能處理攻擊的不足,可見,蜜罐和IDS在入侵檢測功能的優(yōu)缺點上有著很強的互補性,因此,利用兩者結合來提高系統(tǒng)的檢測性能是可行的。由此提出了一個基于蜜罐技術的入侵檢測系統(tǒng)模型,它的主要模塊有:
1)配置策略模塊
蜜罐本來就是通過模擬真實的服務或網(wǎng)絡來吸引黑客攻擊,配置策略模塊的主要功能就是負責對虛擬端口進行設置,決定開放或關閉哪些端口和漏洞供黑客掃描、探測和攻擊,該模塊的關鍵技術就在于如何更真實地模擬現(xiàn)實的系統(tǒng)和服務,盡量減少黑客的懷疑。
2)Honeypot模塊
將入侵檢測系統(tǒng)認為可以的行為重定向到Honeypot模塊,一旦該行為進入蜜罐,那么它就很可能是某個嗅探、攻擊或其他惡意行為,而它在蜜罐內的一切活動所產(chǎn)生的特征信息都被捕獲記錄下來,形成日志傳送到遠程日志服務器上保存下來,如果發(fā)現(xiàn)從Honeypot發(fā)起到外部網(wǎng)絡的連接,那就肯定是蜜罐被攻破了,這種只關注進出蜜罐的數(shù)據(jù)流的概念大大減少了需要檢測的數(shù)據(jù)量,有效地降低了漏報率,減輕了接下來數(shù)據(jù)分析模塊的負擔。
3)分析模塊
實時分析模塊對Honeypot模塊收集的網(wǎng)絡、系統(tǒng)等信息進行實時分析,判斷是否存在人侵,可采用的分析方法有:模式匹配、統(tǒng)計分析等。
4)取證模塊
進出蜜罐的一切活動信息都被記錄在日志文件上了,但由于日志文件很容易被攻擊者篡改或刪除,所以通常的辦法就是讓蜜罐向在同一網(wǎng)絡上但防御機制比較完善的遠程系統(tǒng)日志服務器發(fā)送日志備份,一旦某一行為被確認為入侵行為,那么該行為在蜜罐中的一切活動信息都將被作為入侵證據(jù)而保存。
5)總控制模塊
總控制模塊在整個系統(tǒng)之中起到了“指揮官”的作用,它負責調度各模塊之間的正常運作、配合和數(shù)據(jù)交換并把已確定為入侵行為的事件上傳控制臺子系統(tǒng)報警,同時把控制臺系統(tǒng)的命令下達給各模塊。
入侵檢測系統(tǒng)的優(yōu)勢在于能夠實時的對進出系統(tǒng)和網(wǎng)絡的數(shù)據(jù)進行監(jiān)視,一旦發(fā)現(xiàn)入侵行為就做出及時阻斷或發(fā)出報警從而減少入侵攻擊所造成的損失,但是入侵檢測系統(tǒng)在使用中存在數(shù)據(jù)流量瓶頸、難以檢測未知攻擊、漏報率和誤報率較高的問題,蜜罐(Honeypot)技術使這些問題得到改善,IDS將一部分的可疑行為重定位到蜜罐可以大大減少流經(jīng)自身的數(shù)據(jù)量,提高處理能力,通過收集和分析黑客在蜜罐上的活動信息,人們能夠總結出黑客的入侵特征,從而幫助IDS識別未知攻擊,降低漏報和誤報,并能用于進一步改進IDS的設計,增強IDS的檢測能力,因此,將蜜罐技術與IDS結合是完全可行的,但在實際應用中仍需要不斷完善。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:淺析蜜罐技術與IDS結合的可行性
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1081992746.html