蜜罐技术在入侵检测系统中的应用研究
2010年10月枣庄学院学报O ct.2010
第27卷 第5期J OURNAL OF Z AOZ H UANG UN I VERSI TY Vo.l27NO.5
蜜罐技术在入侵检测系统中的应用研究
司凤山,王晶
(安徽财经大学信息工程学院,安徽蚌埠 233041)
[摘 要]本文在介绍I D S和蜜罐技术的基础上,提出了在I DS中运用蜜罐技术的总体结构设计,并对蜜罐系统的设计与实现技术做了详细的阐述.该设计能够利用蜜罐技术的优势弥补IDS的缺陷,可以有效降低I D S的漏报和误报率. [关键词]蜜罐技术;入侵检测系统;网络安全
[中图分类号]T P393.08[文献标识码]A[文章编号]1004-7077(2010)05-0086-05
计算机网络的飞速发展和普及正改变着人们的生活方式,使人们充分享受到网络的便利和快捷.但是网络本身也存在安全缺陷,常遭受到非法者的破坏和入侵,并且这种网络安全威胁趋势还在不断加剧.
1 入侵检测系统和蜜罐技术
为应对日益严峻的网络安全威胁,入侵检测系统(Intrus i on Detecti on Syst e m s,I DS)应运而生.I DS通过对网络进行监视,收集报文数据并提取相应的流量统计特征值,然后利用内置的入侵知识库,与这些流量特征进行智能分析和比较匹配.根据预设的阀值,匹配藕合度较高的报文流量会被认为是攻击,将根据相应的配置进行报警或反击,从而保证网络资源的安全性.但是新的攻击行为层出不穷,如若知识库不能及时更新,入侵检测系统的被动防御将无法识别出未知的攻击,将会导致产生大量的误报和漏报信息[1].
蜜罐技术(H oneypo t T ec hno l ogy)是基于主动防御理论提出的,它通过诱骗攻击者的攻击,达到跟踪收集攻击者有用信息的目的.我们可以把蜜罐收集分析得到的流量特征值作为I DS知识库的数据来源,提高其对未知攻击的识别能力;同时I DS也可以把可疑流量导入蜜罐,把蜜罐作为暂时的访问替身,可以有效降低漏报和误报率.
本课题研究的目标就是在现有I DS的基础上引入蜜罐技术,使二者密切配合,优势互补,把I DS没有通过审核的事件及未知事件传给蜜罐处理,这样可以减轻I DS的负担,同时也让蜜罐获取大量的入侵信息,便于分析提取入侵特征,增加I DS学习新型入侵行为的几率.通过改进后的I DS将化被动防御为主动防御,可以避免产生过多的漏报和误报信息.
2 蜜罐的基本原理及关键技术
2.1 蜜罐的基本原理
蜜罐系统是一个陷阱系统,它通过设置一个具有很多漏洞的系统来吸引黑客入侵,收集入侵者活动的信息,能为其他安全技术提供更多的知识.蜜罐采用监视器和事件日志这两个工具对访问蜜罐系统的行为进行监控.下图为蜜罐技术的工作原理[2].
由于蜜罐是一个具有诱惑力的系统,能够分散黑客的注意力和精力,所以对真正的网络资源起到很好的保护作用.本课题正是基于蜜罐系统的上述优点,把它与I DS进行
[收稿日期]2010-06-24
[基金项目]安徽财经大学2010年青年科研项目(ACKYQ1069ZC)
[作者简介]司凤山(1981--),男,汉族,山东滕州人,工学硕士,主要从事计算机网络和信息安全方面的研究.
联动,构成一个具有高入侵检测率和有一定响应能力的安全系统
.
图2.1 蜜罐技术的基本原理
2.2 蜜罐的关键技术
蜜罐的实现主要依赖于低层网络技术的支持和运用.蜜罐的主要技术有网络欺骗、数据捕获、数据分析和数据控制等[3].
2.2.1 网络欺骗
网络欺骗技术是蜜罐技术体系中最为关键的核心技术和难题.它的强弱从一个侧面也反映了蜜罐本身的价值.目前蜜罐主要的网络欺骗技术有: 模拟服务端口;!模拟系统漏洞和应用服务;?IP 空间欺骗;#流量仿真;?网络动态配置;%组织信息欺骗;&网络服务.
2.2.2 数据捕获
数据捕获是蜜罐的核心功能模块,它的目标是捕捉攻击者的每一步动作.低交互度蜜罐多是由运行于特定操作系统上的软件来实现,数据捕获多是采用日志记录,在数据捕获和数据控制功能方面能力有限.而高交互度蜜罐系统的数据捕获功能优势明显,高交互度蜜罐系统的数据捕获可以分为三层来实现,每一层捕获的数据各不相同.最外层数据捕获由防火墙来完成,主要是对出入蜜罐系统的网络连接进行日志记录,这些日志记录存放在防火墙本地,防止被入侵者删除更改.第二层数据捕获由入侵检测系统(I DS)来完成,I DS 抓取蜜罐系统内所有的网络包,这些抓取的网络包存放在I DS 本地.最里层的数据捕获由蜜罐主机来完成,主要是蜜罐主机的所有系统日志、所有用户击键序列和屏幕显示,这些数据通过网络传输送到远程日志服务器存放.本课题设计的蜜罐系统正是采用这一思想实现了多层次的数据捕获,数据捕获的冗余度大,为数据分析提供了丰富的数据来源.
2.2.3 数据分析
数据分析包括网络协议分析、网络行为分析和攻击特征分析等.数据分析要从大量的网络数据中提取出攻击行为的特征和模型是相当困难的.现有的蜜罐系统都没很好的解决使用数学模型自动分析和挖掘出网络攻击行为特征这一难题.
2.2.4 数据控制
蜜罐系统作为网络攻击者的攻击目标,其自身的安全尤为重要,如果蜜罐系统被攻破,那么我们将得不到任何有价值的信息,同时蜜罐系统将被入侵者利用作为攻击其他系统的跳板.数据控制是蜜罐系统必需的核心功能之一,用于保障蜜罐系统自身的安全.蜜罐通常有两层数据控制,分别是连接控制和路由控制.连接控制由防火墙来完成,通过防火墙限制蜜罐系统外出的连接.路由控制由路由器来完成,主要利用路由器的访问控制功能对外出的数据包进行控制,以防止蜜罐系统作为攻击源向其他系统发起1P 欺骗、DOS ,I C M P 攻击、SYN 等攻击.路由器可用网关代替,网关没有网络地址,因此在网关上进行控制操作更加的隐蔽,不易被黑客察觉.司凤山,王晶 蜜罐技术在入侵检测系统中的应用研究
3 入侵检测系统与蜜罐技术的联动设计
基于I DS 的不足及蜜罐技术自身的特点,本课题设计了利用蜜罐技术改进I DS 检测效果的解决方案,利用蜜罐和I DS 的联动,达到两者优势互补的目的.
3.1 系统总体结构设计
本课题设计的出发点是利用真实的网络资源为诱饵,吸引网络攻击者的入侵行为.当入侵行为发生时,攻击者将被引入一个虚拟的蜜罐环境被监视并被控制.整个系统是一个高交互度的研究型蜜罐系统,它在功能和性能上远远超出其他传统蜜罐,为提高I DS 的检测能力提供了强大的辅助作用[4].下图为I DS 与蜜罐系统联动的结构图
.
图3.1 I DS 与蜜罐系统联动的结构图
由上图可知,整个系统结构主要由如下模块组成:防火墙模块、I DS 模块、地址重定向模块、蜜罐系统模块和日志记录及计算机取证模块.这里将只详细阐述蜜罐系统模块的设计与实现技术.
3.2 蜜罐系统模块的的设计与实现技术
我们设计一个高交互度的蜜罐系统,用以吸引攻击者的攻击,掌握它们的攻击行为.该系统重点放在数据收集、控制和分析技术的研究和实现上,系统的主要功能有: 攻击诱骗诱使黑客对蜜罐进行扫描、探测和攻击;!数据控制对从蜜罐外出的所有网络活动进行控制;?数据捕获对出入蜜罐的所有活动进行监视和记录;#远程日志实现远程备份蜜罐捕获和收集的数据.
这里采用L i nux 操作系统与黑客交互,为避免黑客发觉所处的环境是蜜罐,则将数据控制、数据捕获功能集成于网桥式防火墙上,网桥防火墙则像网桥一样工作,而不被两端设备发现,但是同样具有过滤数据包的功能.因为没有数据包的路由,没有TTL 的递减,也没有MAC 地址,该设备对任何攻击者都基本不可见,因此很难被发现.对于数据捕获可以实现防火墙、入侵检测和系统日志的三层捕获,这样做的好处可以避免单点失效枣庄学院学报2010年第5期
司凤山,王晶 蜜罐技术在入侵检测系统中的应用研究
的情况出现,并能更全面的记录黑客的入侵活动.在蜜罐主机上采用Sebek数据捕获工具能够隐藏的收集黑客在系统上的活动信息,而融合了入侵检测和防火墙功能的网桥,增强了数据采集的力度,即使是蜜罐遇到了破坏,防火墙同I DS也可以采集到大量的数据用于分析,同时该网桥不但能检测到未授权的活动,甚至可以修改或扼杀黑客的活动,从而有效地控制了蜜罐的出境连接,使得以蜜罐为跳板的攻击行为失效[5].
3.2.1 网络诱骗设计
网络诱骗及控制是一个传统的包过滤网关系统,类似于包过滤防火墙.它根据策略管理进出网关的网络数据包,从而实现蜜罐系统的诱骗和控制功能.对应用服务器的非工作端口数据包连接采用重定向功能,将连接应用服务器的非工作端口的数据包统统重定向到蜜罐主机.这个规则只是粗略的判定一个连接是否合法.当被判定为非法的连接时,该连接的数据包将被重定向到蜜罐主机.这不仅可以保护应用服务器免受攻击,而且还可以将可能的入侵者引入陷阱.这个基于端口判定的数据包重定向规则大大地增强了整个蜜罐系统的诱骗能力.当攻击者对应用服务器进行探测时,我们的系统将允许攻击者进行合法的连接和数据交互,这样可以消除攻击者的戒心.但攻击者对服务器发起扫描和漏洞探测时,网络控制的重定向功能又可以将入侵者引入陷阱系统,同时暴露给攻击者一些漏洞.这样使得攻击者很容易相信自己发现了应用服务器的漏洞,从而引诱其实施攻击行为.
3.2.2 数据连接控制设计
使用蜜罐带来的风险主要是黑客可能以蜜罐为跳板攻击其他系统.我们没有办法完全识别每一种类型的黑客攻击.但对于黑客而言,一个已侵入的系统主要是增加了其拥有的资源.因此控制从蜜罐向外的连接数量是必要而且有效的.H oneynet组织推荐每小时允许从蜜罐向外5到10个连接,这种通过大量实践总结出的建议是值得参考的.我们在这里使用?连接(主要是为了表达方向的概念,它可能包括从蜜罐机发出的I C M P, UDP,TCP类型的数据包.判断每一个孤立的数据包是否是从蜜罐机向外的连接非常困难.我们采取的策略如下:蜜罐检查采集到的数据包的目的和源IP地址,如果发现新的未知的源地址,以后就允许所有蜜罐机与该I P地址的通信,不管是从蜜罐到该地址的连接或是相反方向的连接.而如果发现新的未知的目的地址,即认为这可能是从蜜罐机发出的攻击连接,我们首先限定每小时只允许少数几个这样的连接(例如8个),这样可以有效限制黑客大范围的扫描活动.但这不能确定黑客对某两台计算机的实际连接次数,黑客可能利用蜜罐机资源对某一台计算机发动拒绝服务攻击,我们的对策是对于发现的新的未知目的地址,我们计算从该地址返回的连接终止数据包的个数,例如对于TCP连接,我们根据F I N标志位可以判断其是否是连接终止数据包.每小时检测到8个这样的连接之后,将不再允许与该计算机的通信.由于目前因特网上拒绝服务攻击的对象一般都是基于TCP传输协议的服务器,我们采用这种方法可以有效控制从蜜罐发起的大多数拒绝服务攻击.
3.2.3 数据捕获设计
在蜜罐的概念里,捕获攻击者的信息和数据是蜜罐的主要作用.作为研究型蜜罐必须提供高交互度的网络交互平台.所以在本设计中采用虚拟机技术,其原因主要有:虚拟机操作系统的真实度高;虚拟操作系统的恢复容易;虚拟操作系统可以提供和真实操作系统同样的应用服务.所以利用虚拟机构件的虚拟操作系统完全可以起到用同样的真实主机一样的效果.通过使用虚拟操作系统又体现蜜罐技术的价值优势,即使蜜罐被攻陷了,虚拟系统可以被很快的恢复而且可以收集到被攻击的数据资源,从而提供良好的数据挖掘环境.下图为网络陷阱模型:
网络层数据捕获
网络层数据的捕获主要是通过将网卡设置为混杂模式,采用pcap函数库获取网卡接收到的网络数据包拷贝.
图3.2 网络陷阱模型
!应用层数据捕获
通过分析虚拟操作系统的事件日志、应用程序的事件日志、系统调用、端口
调用和安全审计记录等来检测虚拟操作系统被攻击的情况.
4 结论
本文将蜜罐技术应用在入侵检测系统中,利用蜜罐技术的优点来弥补I DS 的缺陷.因为蜜罐有着明显的安全漏洞,能够吸引大量的入侵者对其进行攻击,通过收集入侵者的攻击数据,可以研究入侵者的入侵方法、入侵动机等未知信息,为I DS 提供知识源,降低I DS 的漏报和误报率,从而解决了入侵检测系统中无法对新型攻击做出检测和反击的问题.
参考文献
[1]王铁方等.蜜网与防火墙及入侵检测的无缝结合的研究与实现[J].四川师范大学学报,2005,28(1):119-122.
[2]蔚晨等.基于H oneypot 的黑客行为跟踪系统[J].计算机工程,2004,30(17):59-60.
[3]杨宏宇等.网络入侵诱骗技术)))蜜罐系统的应用[J].计算机工程,2006,32(13):176-178.
[4]韩东海等.入侵检测系统实例剖析[M ].北京:清华大学出版社,2002.
[5]赵伟峰,曾启铭.一种了解黑客的有效手段)))蜜罐(Honeypot)[J].计算机应用,2003,5
[责任编辑:袁 伟]
The R esearch of Application on Honeypot in Intrusi o n D etection Syste m
SI Feng-shan,W ang Jing
(The Co llege of I n f o r m ation Eng i n eering i n An H u iU niversity O f Finance&E cono m ics ,
BengBu 233041,Ch i n a)
Abstrac t :T h i s paper i ntroduces the I DS and honeypo t techno logy based on t he propo sed use o f the I D S honeypot techno l ogy i n the overa ll structura l des i gn ,and the honeypo t syste m desi gn and i m ple m entati on techn i ques are descr i bed i n deta i.l The de si gn can use the advan tages of honeypot techno logy to make up for defic i encies i n IDS can e ffectively reduce t he false nega ti ve and false positi ve ra te of I D S .
K ey word s :honeypot ;i ntrusi on detec ti on syste m s ;ne t w ork secur it y 枣庄学院学报2010年第5期
入侵检测技术综述
入侵检测技术综述 胡征兵1Shirochin V.P.2 乌克兰国立科技大学 摘要 Internet蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。由Internet来传递和处理各种生活信息,早已成为人们重要的沟通方式之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。本文介绍现今热门的网络安全技术-入侵检测技术,本文先讲述入侵检测的概念、模型及分类,并分析了其检测方法和不足之处,最后说描述了它的发展趋势及主要的IDS公司和产品。 关键词入侵检测入侵检测系统网络安全防火墙 1 引言 随着个人、企业和政府机构日益依赖于Internet进行通讯,协作及销售。对安全解决方案的需求急剧增长。这些安全解决方案应该能够阻止入侵者同时又能保证客户及合作伙伴的安全访问。虽然防火墙及强大的身份验证能够保护系统不受未经授权访问的侵扰,但是它们对专业黑客或恶意的经授权用户却无能为力。企业经常在防火墙系统上投入大量的资金,在Internet入口处部署防火墙系统来保证安全,依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性,从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性[1]。 2 入侵检测的概念、模型 入侵检测(Intrusion Detection,ID), 顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)。 入侵检测的研究最早可以追溯到詹姆斯·安德森[1]在1980年为美国空军做的题为《计算机安全威胁监控与监视》的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。他的理论成为入侵检测系统设计及开发的基础 , 他的工作成为基于主机的入侵检测系统和其它入侵检测系统的出发点。 Denning[2]在1987年所发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络封包或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前及时发出报警通知系统管理员并进行相关的处理措施。为了达成这个目的,入侵检测系统应包含3个必要功能的组件:信息来源、分析引擎和响应组件。 ●信息来源(Information Source):为检测可能的恶意攻击,IDS所检测的网络或系统必须能提供足够的信息给IDS,资料来源收集模组的任务就是要收集这些信息作为IDS分析引擎的资料输入。 ●分析引擎(Analysis Engine):利用统计或规则的方式找出可能的入侵行为并将事件提供给响应组件。 ●响应模组(Response Component):能够根据分析引擎的输出来采取应有的行动。通常具有自动化机制,如主动通知系统管理员、中断入侵者的连接和收集入侵信息等。 3 入侵检测系统的分类 入侵检测系统依照信息来源收集方式的不同,可以分为基于主机(Host-Based IDS)的和基于网络(Network-Based IDS);另外按其分析方法可分为异常检测(Anomaly Detection,AD)和误用检测(Misuse Detection,MD),其分类架构如图1所示: 图 1. 入侵检测系统分类架构图
蜜罐技术是什么
第一章蜜罐技术 蜜罐(Honeypot Technology)技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。 蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所 以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。 第二章详细解释 2.1蜜罐的定义 首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都 有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送 给入侵者的礼物,即使被入侵也不一定查得到痕迹……因此,蜜罐的定义是:“蜜罐是一个 安全资源,它的价值在于被探测、攻击和损害。” 设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此 我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。 2.2涉及的法律问题 蜜罐是用来给黑客入侵的,它必须提供一定的漏洞,但是我们也知道,很多漏洞都属 于“高危”级别,稍有不慎就会导致系统被渗透,一旦蜜罐被破坏,入侵者要做的事情是管理员无法预料的。例如,一个入侵者成功进入了一台蜜罐,并且用它做“跳板”(指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为)去攻击别人,那么这个损失由谁来负责?设置一台蜜罐必须面对三个问题:设陷技术、隐私、责任。 设陷技术关系到设置这台蜜罐的管理员的技术,一台设置不周全或者隐蔽性不够的蜜 罐会被入侵者轻易识破或者破坏,由此导致的后果将十分严重。 由于蜜罐属于记录设备,所以它有可能会牵涉到隐私权问题,如果一个企业的管理员 恶意设计一台蜜罐用于收集公司员工的活动数据,或者偷偷拦截记录公司网络通讯信息,这样的蜜罐就已经涉及法律问题了。
入侵检测技术 课后答案
精品文档 . 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理
入侵检测系统的研究
入侵检测系统的研究 【摘要】近几年来,随着网络技术以及网络规模的 不断扩大,此时对计算机系统的攻击已经是随处可见。现阶段,安全问题成为越来越多的人关注的重点。本文主要分析了入侵检测系统的功能、技术等情况。 【关键词】入侵检测系统研究情况 、刖言 目前的安全防护主要有防火墙等手段,但是由于防火墙 本身容易受到攻击,并且内部网络中存在着一系列的问题,从而不能够发挥其应有的作用。面对这一情况,一些组织开 始提出了通过采用更强大的主动策略以及方案来增强网络 的安全性。其中个最有效的解决方法那就是入侵检测。入 侵检测采用的是一种主动技术,从而弥补防火墙技术的不足,并且也可以防止入侵行为。 二、入侵检测系统的概述 (一)入侵检测系统的具体功能 入侵检测就是要借助计算机和网络资源来识别以及响 应一些恶意使用行为。检测的内容主要分为两个部分:外部的入侵行为、内部用户的未授权活动。然而入侵检测系统是由入侵检测的软件以及硬件这两个部分组成的。到现在为
止,入侵检测成为继防火墙之后的第二道安全闸门。在网络 安全体系中,入侵检测是成为一个非常重要的组成部分。总 之,入侵检测的功能主要包括了以下几个功能:第一,对用户活动进行监测以及分析;第二,审计系统构造变化以及弱点;第三,对已知进攻的活动模式进行识别反映,并且要向相关人士报警;第四,统计分析异常行为模式,保证评估重要系统以及数据文件的完整性以及准确性;第五,审计以及跟踪管理操作系统。 二)入侵检测系统的模型 在1987 年正式提出了入侵检测的模型,并且也是第 次将入侵检测作为一种计算机安全防御措施提出来。入侵检测模型主要分为六个部分:第一部分,主体。主体就是指在目标系统上进行活动的实体,也就是一般情况下所说的用户。第二部分,对象。对象就是指资源,主要是由系统文件、设备、命令等组成的。第三部分,审计记录。在主体对象中,活动起着操作性的作用,然而对操作系统来说,这些操作包括了登陆、退出、读、写以及执行等。异常条件主要是指系统可以识别异常的活动,比如:违反系统读写权限。资源使用情况主要指的是在系统内部,资源的实际消耗情况。时间戳主要是指活动所发生的时间。第四部分,活动档案。活动档案就是指系统正常行为的模型,并且可以将系统正常活动的相关信息保存下来。第五部分,异常记录。异常记录主要是可以将异常事件的发生情况表现出来。第六部分,活动规则。活动规则主要是指通过一组异常记录来判断入侵是否发生在规划集合中。一般情况下,通过将系统的正常活动模型作为准则,并且要按照专家所提出的系统或者统计方法来分析以及处理审计记录,如果已经发生了入侵,那么此时就应该采用相应的处理措施。 三)入侵检测系统的具体分类 通过研究现有的入侵检测系统,可以按照信息源的不同 将入侵检测系统分为以下几类: 第一,以主机为基础的入侵检测系统。通过对主机的审 计记录来进行监视以及分析,从而可以达到了入侵检测。这 监视主要发生在分布式、加密以及交换的环境中,从而可以判断出攻击是否发生。然而这一入侵检测系统存在着缺点,那就是该系统与具体操作系统平台有联系,从而很难将来自网络的入侵检测出来,并且会占有一定的系
入侵检测技术毕业论文
入侵检测技术毕业论文 Last updated on the afternoon of January 3, 2021
毕业设计 开题报告 学生姓名徐盼 学号 专业计算机网络技术 班级网络201401班 指导教师刘烨 开题时间2016年10月20日 黄冈职业技术学院电子信息学院
电子信息学院毕业设计开题报告
学业作品题目入侵检测技术应用 学生姓名徐盼 学号 专业计算机网络技术 班级网络201401班 指导教师刘烨 完成日期2016年11月20日 目录
摘要 近年来随着计算机网络的迅速发展,网络安全问题越来越受到人们的重视。从网络安全角度来看,防火墙等防护技术只是被动安全防御技术,只是尽量阻止攻击或延缓攻击,只会依照特定的规则,允许或是限制传输的数据通过。在网络环境下不但攻击手段层出不穷,而且操作系统、安全系统也可能存在诸多未知的漏洞,这就需要引入主动防御技术对系统安全加以补充,目前主动防御技术主要就是入侵检测技术。 本文从入侵检测技术的发展入手,研究、分析了入侵检测技术和入侵检测系统的原理、应用、信息收集和分析、数据的处理及其优缺点和未来的发展方向。 关键词:网络安全,网络入侵,入侵检测技术,入侵检测系统 第一章绪论 入侵检测技术的提出 随着Internet高速发展,个人、企业以及政府部门越来越多地依靠网络传递信息,然而网络的开放性与共享性容易使它受到外界的攻击与破坏,信息的安全保密性受到严重影响。网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。 在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出,黑客攻击日益猖獗,防范问题日趋严峻:具WarroonResearch的调查,1997年世界排名前一千的公司几乎都曾被黑客闯入;
试论蜜罐系统的设计
试论蜜罐系统的设计 现如今,电脑技术日益更新,人们对电脑的操作技术不断进步,有些技术专员痴迷电脑,自凭借高超的电脑技术,认为自己在计算机方面的天赋过人,希望达到毫无顾忌地非法闯入某些敏感的信息禁区或者重要网站的水平,以窃取重要的信息资源、篡改网址信息或者删除该网址的全部内容等恶作剧行为作为一种智力的挑战而自我陶醉。但这就对别人的电脑系统安全性发起了极大的挑战,为了研究黑客入侵的方式,大胆提出了“蜜罐系统“,本文将对蜜罐系统展开分析,与大家共同分享“蜜罐系统“。 标签:蜜罐系统;防火墙;防御功能 引言 一般来讲,设置蜜罐系统的主要目的是对外来的网络流量进行分析,它把任意一个进入到蜜罐系统内的网络流量都设想成假想敌,对它进行数据分析,从而得到这一外来流量的目的和它入侵的方式。 我们可以利用蜜罐系统进行对入侵的网络流量极大的警惕性,对外来的数据流量都进行数据分析和异常检测,此时我们再蜜罐系统上加装报警系统,这样一来系统就可以再第一时间检测到入侵的外来网络流量并发出预警,提示人们有异常情况发生,以便提前做好网络防御工作,可以在很大程度上减少计算机系统被恶意网络流量进攻的可能性。 1 设计目标 有了报警蜜罐系统的设想后,计算机技术人员就可以按照技术需求进行系统设计。在这里,我们提到的即时报警蜜罐系统的工作目标如下: 第一,通过在计算机里安装蜜罐系统,与现代先进的网络安全技术,以此来达到在恶意入侵的网络流量时发出预警。此外,还可以增加系统中蜜罐的数量以及随需求的不同更换蜜罐的功能。 第二,可以做到对计算机系统内的网络流量进行监测,不仅可以对已经入侵的恶意流量进行监控,还可以对网络中潜存的网络漏洞进行预警,这样更大大加强了计算机的安全性能。 第三,要为进出计算机蜜罐系统创造一个良好的工作环境,蜜罐相对而言比较开放,而它的工作原理又是针对所有的外来入侵网络流量,所以,要对能够进出计算机系统的流量进行严格控制,最好能够断开与外界的联系。 第四,即时记录下蜜罐系统的工作记录是很有必要的。
入侵检测技术综述
河南理工大学 课程论文 (2014-2015第二学年) 论文题目:入侵检测技术综述 学院: 专业班级: 学号: 姓名: 指导老师: 日期:2015.7.3
1引言 1 2入侵行为的概念、分类和演化 1 3入侵检测技术的发展 3 3.1以Denning模型为代表的IDS早期技术 3 3.2中期:统计学理论和专家系统相结合 4 3.3基于网络的NIDS是目前的主流技术 4 4结语 5 参考文献 6
摘要:自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中。本文先介绍入侵行为的概念和演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天的发展历程。文章以历史和实践的观点,透视入侵和入侵检测技术相互制约,相互促进的演进过程。 关键词:计算机安全;入侵检测;入侵检测系统;入侵检测系统的历史 1引言 自从计算机问世以来,安全问题就一直存在。特别是随着Internet的迅速扩张和电子商务的兴起,人们发现保护资源和数据的安全,让他免受来自恶意入侵者的威胁是件相当困难的事。提到网络安全,很多人首先想到的是防火墙,防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。在这种需求背景下,入侵检测系统(IDS)应运而生。 入侵检测系统(IDS)是将电子数据处理、安全审计、模式匹配及统计技术等有机地融合在一起,通过分析被检测系统的审计数据或直接从网络捕获数据,发现违背安全策略或危及系统安全的行为和活动。本文主要讨论入侵和入侵检测技术从20世纪70年代初到今天的发展历程。这个概念出自James P.Anderson在1972年的一项报告,随后的30多年中,概念本身几乎没有改变。 2入侵行为的概念、分类和演化 从最早期的计算机安全开始,人们就密切关注恶意使用者破坏保护机制的可能性。早期系统多为多用户批处理系统。这个时期,主要的威胁来自系统的合法使用者,他们企图得到未经授权的材料。到了20世纪70年代,分时系统和其他的多用户系统已成气候,Willis H Ware 主持的计算机安全防御科学特别工作 小组提供了一项报告,为处理多级数据的计算机系统的发展奠定了基础。但这篇报告并没有受到应有的重视,直到70年代中期,人们才开始进行构建多级安全体系的系统研究。 1980年4月,詹姆斯·安德森(James P.Anderson)为美国空军做的题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念,并首先为入侵和入侵检测提出了一个统一的架构,这是该领域的开山之作。他在论文中给出了入侵和入侵检测技术方面的概念: 威胁(Threat)可能存在有预谋的、未经认可的尝试: ①存取数据; ②操控数据; ③使系统不可靠或无法使用。 危险(Risk)意外的和不可预知的数据暴露,或者,由于硬件故障、软件设计的不完整和不正确所造成的违反操作完整性的问题。 脆弱性(Vulnerability)已知的或可疑的硬件或软件设计中的缺陷;使系统暴露的操作;意外暴露自己信息的操作。攻击(Attack)实施威胁的明确的表达或行为。 渗透/入侵(Penetration)一个成功的攻击;(未经认可的)获得对文件和程序的使用,或对计算机系统的控制。 威胁概念中的③包括DOS(Denial Of Service)“拒绝服务攻击”。盗用计算资源也属于这个类别之内。 一般来说,外部入侵者的首要工作是进入系统。所外人,也可能是合法用户,但违规使用了未经授权的资源。另一方面,除了拒绝服务攻击外,多数攻击都需要入侵者取得用户身份。20世纪80年代中后期,网络计算已经相当普遍,渗透和入侵也更广泛。但许多厂商和系
入侵检测系统研究的论文
入侵检测系统研究的论文 摘要介绍了入侵检测系统的概念,分析了入侵检测系统的模型;并对现有的入侵检测系统进行了分类,讨论了入侵检测系统的评价标准,最后对入侵检测系统的发展趋势作了有意义的预测。 关键词入侵检测系统;cidf ;网络安全;防火墙 0 引言 近年来,随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标。近年来对电子商务的热切需求,更加激化了这种入侵事件的增长趋势。由于防火墙只防外不防内,并且很容易被绕过,所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。 1 入侵检测系统(ids)概念 1980年,james 第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。即其之后,1986年dorothy 提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(ides),1990年,等设计出监视网络数据流的入侵检测系统,nsm(network security monitor)。自此之后,入侵检测系统才真正发展起来。 anderson将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4]:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。 入侵检测系统执行的主要任务包括[3]:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤:信息收集、数据分析、响应。 入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大; 2 入侵检测系统模型 美国斯坦福国际研究所(sri)的于1986年首次提出一种入侵检测模型[2],该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(common intrusion detection framework简称cidf)组织,试图将现有的入侵检测系统标准化,cidf阐述了一个入侵检测系统的通用模型(一般称为cidf模型)。它将一个入侵检测系统分为以下四个组件: 事件产生器(event generators) 事件分析器(event analyzers) 响应单元(response units) 事件数据库(event databases) 它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应
基于蜜罐的邮件捕获系统1
基于蜜罐网络的邮件捕获系统 摘要: 关键词 1 介绍 网络钓鱼是伴随着网络技术的发展而产生的,根据中国反网络钓鱼联盟的2011年4月报告,4月份联盟处理钓鱼网站数量达2635, 2 相关工作 2.1 蜜罐系统 蜜罐系统就是一种用于捕捉探测,攻击和漏洞扫描行为的安全工具,其本身是一个包含漏洞的系统,其工作的条件在于认定每一个试图主动与其连接的行为都是可疑的,甚至是恶意的。蜜罐技术的创始人Lance Spitzner对蜜罐进行了如下定义:蜜罐是一种资源,其价值在于被攻击。 传统的安全工具入侵检测同样也可以通过分析数据来侦测入侵行为,但蜜罐可以捕获到实质的数据,并对数据进行分析。基于蜜罐系统与攻击者之间的信息资源的交互程度,可以将蜜罐分为高交互式与低交互式两种。 高交互式的蜜罐系统中,攻击者会与真实的操作系统,服务和程序进行通信。当此类蜜罐被攻击者攻击后,就会获得攻击者的行为特征,攻击所使用的工具信息等资源。配置高交互式的蜜罐时,其安全性要格外注意,因为如果被攻击者发现的话,就可能借此系统来攻击其他的网络。此类蜜罐主要作用如下:学习攻击者的攻击行为,了解攻击工具的具体使用和攻击所利用的系统漏洞。 低交互式的蜜罐系统只能提供一些简单的服务,系统中安装的工具都只是用于模拟操作系统与服务的,所以当攻击者与蜜罐进行实质性通信时会断开连接,所以相对来说其安全性更高,但捕获的信息有限。此类蜜罐主要作用如下:识别端口扫描,攻击特征提取,攻击趋势分析与恶意程序收集。 本文将使用低交互式的蜜罐系统来模拟smtp服务来获取邮件。 2.2 垃圾邮件所使用漏洞 在大多数国家里,制造、传播垃圾邮件的行为都是不合法的,所以很多垃圾邮件制造商都会想着隐藏自己的行为。图一给出了垃圾邮件制造商隐藏自己踪迹的常用方法。 中继转发 Smtp协议就是简单邮件传输协议,与25端口和tcp协议联系在一起,主要用于可靠的并有效的进行邮件传输。 在smtp协议中具有中继转发服务,即通过别人的邮件服务器将邮件递送到目的地址,一般来说,中继转发服务针对的对象都是有选择的并通过认证了的用户。然而一些具有安全漏洞的smtp服务器都会无限制的开放中继转发服务,这种服务器就有可能被垃圾邮件制造商发现并进行滥用。 开放代理 代理服务器是介于客户端与服务器之间的另一台服务器,其用于获取某种特定的服务,允许多于一台的主机共用一个IP地址连接互联网,代理就像是一个中间人,与其他客户端进行连接。 而一个有安全漏洞的代理服务器允许任意一个IP地址连接任意一个IP地址或端口,这种代理服务器称之为开放代理。垃圾邮件制造商会持续的扫描开放的代理,一旦定位了就会使这些代理服务器与垃圾邮件服务器连接,然后使用代理与其他正常的邮件服务器连接,通
入侵检测技术综述
入侵检测技术综述 摘要:Internet蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互 连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。由Internet来传递和处理各种生活信息,早已成为人们重要的沟通方式之一,随之 而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。本文从 专利文献的视角对入侵检测技术的发展进行了全面的分析与研究,总结了与入侵 检测技术相关的专利申请基本情况,介绍了入侵检测技术分支及其发展路线。 关键词:入侵检测,主机,网络,混合型。 1、概述 随着个人、企业和政府机构日益依赖于Internet进行通讯,协作及销售。对 安全解决方案的需求急剧增长。入侵检测是对防火墙及其有益的补充,入侵检测 系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系 统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵 攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增 强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第 二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部 攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 入侵检测(Intrusion Detection,ID), 顾名思义,是对入侵行为的检测。它通 过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中 是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组 合便是入侵检测系统(Intrusion Detection System,IDS)。一般而言,入侵检测通 过网络封包或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前 及时发出报警通知系统管理员并进行相关的处理措施。为了达成这个目的,入侵 检测系统应包含3个必要功能的组件:信息来源、分析引擎和响应组件。 2、专利申请分析 2.1入侵检测技术专利申请年代分布 图2-1示出了入侵检测技术专利申请的年代分布情况,可见,入侵检测技术 在上个世纪九十年代已经出现了少量的专利申请,进入二十一世纪,入侵检测技 术专利申请逐年大幅递增,到了05、06年左右达到了一个极大值,从06年开始,往后的五年申请量逐渐减少,到了10年前后达到了一个极小值,随后又开始逐 年递增,并且在近三年达到了一个峰值,考虑到17年和18年存在部分专利尚未 公开的情况,该峰值或许还会增大。总体来说,近二十年入侵检测技术专利申请 量是逐年递增的,随着黑客技术的不断增强,入侵检测系统也在不断升级,这催 生了越来越多的专利申请。 2.2中国入侵检测专利年申请量分布 图2-2示出了入侵检测技术在中国专利申请年代的分布情况,从图中可知,2000年中国 才开始有关于入侵检测的专利申请,之后的十几年里,中国关于入侵检测技术的申请量逐年 递增且增幅明显,截止目前,尚有大量的专利申请未被公开,按照走向来看,2018年中国关 于入侵检测技术的专利申请量有望创造新的峰值。相比于欧美发达国家,中国的计算机技术 起步晚,因此在2000年前后才出现了关于入侵检测的专利申请,但是进入二十一世纪以后,
蜜罐技术详解与案例分析
1.引言 随着人类社会生活对Internet需求的日益增长,网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题,特别是1993年以后Internet开始商用化,通过Internet进行的各种电子商务业务日益增多,加之Internet/Intranet技术日趋成熟,很多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为攻击者的目标。据美国商业杂志《信息周刊》公布的一项调查报告称,黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失,在全球范围内每数秒钟就发生一起网络攻击事件。2003年夏天,对于运行着Microsoft Windows的成千上万台主机来说简直就是场噩梦!也给广大网民留下了悲伤的回忆,这一些都归结于冲击波蠕虫的全世界范围的传播。 2.蜜罐技术的发展背景 网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。网络安全防护涉及面很广,从技术层面上讲主要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。在这些安全技术中,大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护。而蜜罐技术可以采取主动的方式。顾名思义,就是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析并找到有效的对付办法。(在这里,可能要声明一下,刚才也说了,“用特有的特征去吸引攻击者”,也许有人会认为你去吸引攻击者,这是不是一种自找麻烦呢,但是,我想,如果攻击者不对你进行攻击的话,你又怎么能吸引他呢?换一种说话,也许就叫诱敌深入了)。 3. 蜜罐的概念 在这里,我们首先就提出蜜罐的概念。美国 L.Spizner是一个著名的蜜罐技术专家。他曾对蜜罐做了这样的一个定义:蜜罐是一种资源,它的价值是被攻击或攻陷。这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会修补任何东西,这样就为使用者提供了额外的、有价值的信息。蜜罐不会直接提高计算机网络安全,但是它却是其他安全策略所不可替代的一种主动防御技术。 具体的来讲,蜜罐系统最为重要的功能是对系统中所有操作和行为进行监视和记录,可以网络安全专家通过精心的伪装,使得攻击者在进入到目标系统后仍不知道自己所有的行为已经处于系统的监视下。为了吸引攻击者,通常在蜜罐系统上留下一些安全后门以吸引攻击者上钩,或者放置一些网络攻击者希望得到的敏感信息,当然这些信息都是虚假的信息。另外一些蜜罐系统对攻击者的聊天内容进行记录,管理员通过研究和分析这些记录,可以得到攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息,还能对攻击者的活动范围以及下一个攻击目标进行了解。同时在某种程度上,这些信息将会成为对攻击者进行起诉的证据。不过,它仅仅是一个对其他系统和应用的仿真,可以创建一个监禁环境将攻击者困在其中,还可以是一个标准的产品系统。无论使用者如何建立和使用蜜罐,只有它受到攻击,它的作用才能发挥出来。 4.蜜罐的具体分类和体现的安全价值
入侵检测系统综述
入侵检测系统综述 对于任何一个国家、企业或者个人来说,随着计算机及网络的发展,网络安全问题是一个无法回避且重要的问题呈现在面前,很多非法分子或者合法用户的不当使用都会对网络系统造成破坏,针对这些行为要采用相应的技术进行制止或者预防,入侵检测技术成为解决该问题的最好方法之一。文章主要简综述了入侵检测系统的基本检测方法。 标签:入侵检测;入侵检测系统;误用检测;异常检测 1 入侵检测系统概述 随着计算机技术及网络技术的不断发展,计算机及数据的安全问题随之出现,传统的防火墙技术虽然可以进行有效的防御,但是由于其存在很多弊端,例如:很多外部访问不经过防火墙;来自计算机数据库内部的威胁等,防火墙就无能为力了,它并不能对已经进入计算机系统或者来自计算机数据库内部威胁进行检测;访问控制系统可以根据权限来防止越权行为,但是很难保证具有高级权限的用户对系统所做的破坏行为,也无法阻止低权限用户非法活动高级权限对系统所进行的破坏;漏洞扫描系统是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查,然后根据扫描结果向用户提供系统的安全性分析报告,以便用户采取相应措施来提高网络安全。它虽然可以发现系统和网络漏洞,但无法对系统进行实时扫描,入侵检系统可以进行实时扫描。 发现入侵行为就是入侵检测。它通过从计算机网络或系统的核心点收集信息并对其进行分析,然后从其中看网络或系统中是否有违反安全策略的动作和被攻击的迹象。入侵检测目的是保证系统资源的可用性、机密性和完整性,要达到这个目的就要对系统的运行状态进行监视,以便发现各种攻击操作、攻击结果或者攻击动态。进行入侵检测的硬件与软件的组合构成了入侵检测系统,它能执行所有的入侵检测任务和功能,监视或阻止入侵或者企图控制系统或者网络资源的行为,它可以实时检测入侵者和入侵信息,并进行相应处理,最大化的保证系统安全。通过对系统各个环节来收集和分析信息,发现入侵活动的特征、对检测到的行为自动作出响应、记录并报告检测过程及结果是入侵检测系统的基本原理的四个部分。 入侵检测系统从系统结构看,至少包括信息源、分析引擎和响应三个功能模块。信息源的功能是分析引擎提供原始数据今夕入侵分析,信息源的正确性和可靠性直接影响入侵检测的效果,要使检测网络系统软件具有完整性,必须使IDS 软件自己有很强的坚固性;分析引擎的功能是执行入侵或者异常行为检测;分析引擎的结果提交给响应模块后,响应模块采取必要和适当的措施,阻止入侵行为或回复受损害的系统。分析引擎包括完整性分析、模式匹配和统计分析。响应可分为主动响应和被动响应。主动响应就是系统自动或者以用户设置的方式阻断攻击过程或以其他方式来阻断攻击过程;被动响应是系统只报告和记录发生的事件。响应包括简单报警、切断连接、封锁用户、改变文件属性,最大的反应就是
蜜罐及蜜网技术简介
蜜罐及蜜网技术简介 Introduction to Honeypot and Honeynet 北大计算机科学技术研究所 信息安全工程研究中心 诸葛建伟,2004-10-15 Abstract The purpose of this paper is to overview the honeypot and honeynet technologies, including the concept, history, present and future. The most well known and applicable honeynet – Gen2 honeynet framework developed by The Honeynet Project is introduced. Furthermore, the emerging research directions in this area are presented. 摘要 本文给出了对蜜罐及蜜网技术的综述报告,包括蜜罐和蜜网的基本概念、发展历程、核心功能,并介绍了目前最为成熟的“蜜网项目组”推出的第二代蜜网架构。此外本文还给出了蜜罐及蜜网技术的进一步研究方向。 关键字 网络攻击;蜜罐;蜜网;诱捕网络 1问题的提出 众所周知,目前的互联网安全面临着巨大的考验。美国CERT(计算机应急
响应组)统计的安全事件数量以每年翻番的惊人指数级增长,在2003年已经达到了137,529次。 导致互联网目前如此糟糕的安全状况的原因有很多,一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷,同时,大部分的网络使用者还未真正拥有安全意识,也还很少进行安全加强工作,如及时打补丁、安装防火墙和其他安全工具等,从而导致了目前的互联网具有巨大的安全隐患。另一方面,随着网络攻击技术的发展,特别是分布式拒绝服务攻击、跳板(Step-stone)攻击及互联网蠕虫的盛行,互联网上的每一台主机都已经成为攻击的目标。此外,黑客社团也不像互联网早期那么纯洁,不再仅仅为了兴趣和炫耀能力而出动,而更多的由于国家利益、商业利益及黑暗心理等因素促使其对互联网安全构成危害。同时攻击者也不再需要很多的专业技术和技巧,他们可以很方便地从互联网上找到所需的最新攻击脚本和工具(如PacketStorm网站)。而这些由高级黑客们开发的攻击脚本和工具越来越容易使用,功能也越来越强,能够造成的破坏也越来越大。特别值得注意的一个趋势是多种攻击脚本和工具的融合,如大量的内核后门工具包(Rootkit),及能够集成多种攻击脚本并提供易用接口的攻击框架(如在2004年DEFCON黑客大会中引起广泛关注的Metasploit)的出现。 针对如此严重的安全威胁,而我们却仍然对黑客社团所知甚少。当网络被攻陷破坏后,我们甚至还不知道对手是谁(黑客、脚本小子还是蠕虫?),对他们使用了哪些工具、以何种方式达成攻击目标,以及为什么进行攻击更是一无所知。 “知己知彼,百战不殆”,安全防护工作者,无论是安全研究人员、安全产品研发人员、安全管理人员和安全响应服务人员,都需要首先对黑客社团有深入的了解,包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。只有在充分了解对手的前提下,我们才能更有效地维护互联网安全。而蜜罐和蜜网技术为捕获黑客的攻击行为,并深入分析黑客提供了基础。
蜜罐系统搭建与测试分析
蜜罐系统搭建与测试分析 互联网作为世界交互的接口,是各国互联网管理的必由之路。速度快、多变化、无边界、多维度的网络传播,不仅加速了全球化的进程,也减少差异阻隔,尤其在全球经济一体化发展的背景下,互联网已成为各国政治、文化和经济融合与博弈的重要场域。但是,与此同时互联网安全面临着巨大的考验。 导致互联网目前如此糟糕的安全状况的原因有很多,一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷,同时,大部分的网络使用者还未真正拥有安全意识,也还很少进行安全加强工作,如及时打补丁、安装防火墙和其他安全工具等,从而导致了目前的互联网具有巨大的安全隐患。另一方面,随着网络攻击技术的发展,特别是分布式拒绝服务攻击、跳板(Step-stone)攻击及互联网蠕虫的盛行,互联网上的每一台主机都已经成为攻击的目标。此外,黑客社团也不像互联网早期那么纯洁,不再仅仅为了兴趣和炫耀能力而出动,而更多的由于国家利益、商业利益及黑暗心理等因素促使其对互联网安全构成危害。同时攻击者也不再需要很多的专业技术和技巧,他们可以很方便地从互联网上找到所需的最新攻击脚本和工具(如 PacketStorm 网站)。而这些由高级黑客们开发的攻击脚本和工具越来越容易使用,功能也越来越强,能够造成的破坏也越来越大。特别值得注意的一个趋势是多种攻击脚本和工具的融合,如大量的内核后门工具包(Rootkit),及能够集成多种攻击脚本并提供易用接口的攻击框架的出现。 当网络被攻陷破坏后,我们甚至还不知道对手是谁,他们使用了哪些工具、以何种方式达成攻击目标,以及为什么进行攻击更是一无所知。作为安全防护工
蜜罐技术在防御DDoS中的应用
万方数据
2010年第4期汪北阳:蜜罐技术在防御DDoS中的应用 7l 具有足够威胁的攻击; (2)使攻击者攻击不到真正的目标[10】。 具体方式是切断图1中的两个控制信息流中的任意一个,或者切断攻击流。蜜罐布置如图2所示的 网络结构,在DMZ区有web、E—mail、DNS、m四个 服务器,这些服务器是向外提供Internet服务的,在DMZ区同时也布置一些蜜罐系统,这些蜜罐系统中也分别配置成以上四种服务器中的一种,DIVIZ区与Intemet用一个防火墙隔离。这些蜜罐的作用是代替 真实服务器接收由攻击傀儡机发送的攻击包。内部 局域网被一个防火墙与DMZ区隔离,包括若干台主机和伪装成存在安全漏洞的局域网主机的蜜罐。在防火墙中同时运行入侵检测、攻击扫描和网络数据包 的重定向机制¨¨。 图2蜜罐布置网 2.2安全防范框架 (1)蜜罐技术在防范DDoS攻击中的作用:①目前主流的防火墙都有检测DDoS攻击的功能[121,在防火墙检测到DDoS攻击后启用重定向功能,将攻击流重定向到蜜罐主机(切断攻击流);②同时蜜罐主机由于也配置有服务器相同的服务软件,并且由于蜜罐系统具有相对容易攻击的特点,可以吸引黑客的攻击,稀释对受保护主机的攻击;③吸引黑客入侵蜜罐,以蜜罐主机为控制傀儡机,由蜜罐系统控制这些信息流(切断控制信息);④蜜罐系统内安装安全日志,可以记录不同的攻击行为,以供学习。 攻击流 防火±i{{} 芷常访问 服务器 日志服务器 图3网络安全系统框图 (2)利用蜜罐技术防范DDoS攻击的原理,如图3所示。防火墙系统将攻击流量重定向到蜜罐,由蜜罐系统做出回应并进行日志记录。有些攻击可能突 破防火墙,这时蜜罐就能起到混淆攻击者,诱骗这些攻击流进入蜜罐系统。蜜罐系统将这些攻击行为记录加密后发送到日志服务器,这台服务器是低交互并加固的,很难被入侵u31。 3应用蜜罐技术防御DoS攻击的性能分析 对上述方案进行了攻击防范实验。攻击采用分 布式的SYNFlood,设置攻击傀儡机的攻击速度从2. 2Mbps开始逐渐提高,网络带宽为100Mbps。服务器方由4个真实系统和4个伪装成服务器的蜜罐主机 组成[131。在SYNFlood攻击过程中,单个服务器主 机和蜜罐受到的攻击流量如图4所示。 0 "I∞l∞∞0250 m 图4单个服务器主机和蜜罐受到的攻击流量 为避免被攻击者察觉,这里所选用的蜜罐设置为低安全措施、有漏洞的真实系统[141。一旦防火墙发现攻击者在试图搜寻或入侵网络主机,就会通过地址重定向将这些信息发送到合适的蜜罐,蜜罐将根据初始设置向攻击者发送他所期待的应答,使攻击者认为该主机已经被控制。攻击者将使用这些“受控主机”,在蜜罐上安装攻击软件并向这些蜜罐发送控制信息。设攻击者在搜索和入侵有漏洞主机时被入侵检测系统发现并重定向到蜜罐的概率为P.,一个网络中有普通主机数k,每一台主机被成功入侵的概率 为P2,伪装成漏洞主机的蜜罐数为g,可得到入侵真实主机成功的概率为P2(1-P。)k/(k+g),入侵蜜罐的概率是Pl+(1一P1)g/(k+g)。 通过分析蜜罐日志所得的信息加强入侵检测、加固主机,可以不断提高入侵检测系统发现攻击行为的概率P。,降低主机被入侵的概率P2。由图4可见,采用上述蜜罐方案,能明显降低攻击者通过入侵足够数量的主机发起高强度DDoS攻击的概率,并能够有效地降低服务器主机所受到的攻击强度。 ”¨¨ ”蛐¨“ “n 攻击覆量¨ H 黜攀 啵卫机生撇 重一 万方数据