网站首页  词典首页

请输入您要查询的论文:

 

标题 基于蜜罐技术的入侵检测模型
范文

    刘铭 王伟

    

    

    

    摘要:随着网络的普及和网络安全事件的频发,网络安全问题日益严峻,迫切需要相关技术提高网络的安全性。本文分析了入侵检测技术和蜜罐技术的特点,将蜜罐技术引入入侵检测系统中,建立基于蜜罐技术的入侵检测模型,利用蜜罐对捕获未知攻击的优势,弥补传统入侵检测系统对未知攻击检测的不足,该模型有效地提高了入侵检测系统主动防御的能力。

    关键词:入侵检测;蜜罐;网络安全

    中图分类号:TP393? ? ? 文献标识码:A

    文章编号:1009-3044(2019)23-0026-02

    开放科学(资源服务)标识码(OSID):

    随着互联网的快速发展及网络规模的扩大,网络为人们带来无限便利的同时,网络安全问题日益突出,网络安全已经成为阻碍互联网发展的主要因素之一,传统单一静态的网络安全技术如防火墙、加密认证、漏洞扫描等技术已经不能满足当前复杂网络的安全需求。入侵检测作为一种主动防御技术,动态的监控或抵御系统的入侵行为,主要通过监控网络、系统的状态、行为以及系统的使用情况,来检测用户的越权使用以及系统外部的入侵者利用系统的安全漏洞对系统进行的入侵行为。入侵检测是对传统网络安全机制的有效补充,得到了广泛的应用。传统的入侵检测系统极大地提高了系统的安全性,但它普遍存在漏报率和误报率较高的问题,同时缺乏对未知攻击行为的检测能力。

    蜜罐技术作为一种主动防御技术,通过构建一个被严格监控的欺骗环境系统,诱骗攻击者对其进行探测、攻击,从而分析掌握攻击者的攻击途径和攻击方法。利用蜜罐技术的特点,将蜜罐技术引入到入侵检测系统中,构建主动的安全防护体系,能有效地弥补传统入侵检测的不足。本文中基于蜜罐技术的入侵检测模型,利用蜜罐对捕获未知攻击的优势,弥补传统入侵检测系统对未知攻击检测的不足,可以有效地提高入侵检测系统的检测性能,降低漏报、误报率。

    1 入侵检测原理

    入侵检测在网络或系统中的关键节点收集信息,并对收集到的信息根据特征进行分析,从而发现违反安全策略的异常攻击行为。

    入侵检测系统(Intrusion Detection System,IDS)在检测分析判断违反安全策略的异常行为时,主要分为以下四个阶段:数据收集阶段、数据处理阶段、数据分析阶段、响应处理阶段。入侵检测系统工作的基本原理如图1所示。

    (1)数据收集

    收集用于入侵检测的数据,通常包含系统数据、主机工作日志和网络数据包等,系统收集并对这些数据进行分析。

    (2)数据处理

    为了提高检测效率,对从网络中收集的繁杂原始数据进行处理,按照预先设定的规则对数据进行过滤,剔除冗余和噪声数据,同时对数据进行必要的标准化处理。

    (3)数据分析

    根据提前定义好的安全策略对网络中的所有活动进行监测,收集数据并进行处理分析,从而判断是否有攻击入侵行为。

    (4)响应处理

    响应处理模块根据系统对数据分析后所得出的结果做出响应,如果发现入侵行为,则采取相应的响应策略并通知管理员,或者根据预先约定的规则对入侵行为进行处理。

    2 蜜罐技术

    2.1 蜜罐概述

    蜜罐是一个被严格监控的计算资源,蜜罐技术是一种主动的网络安全保护技术,通过设计一个欺骗环境,诱骗攻击者对其进行攻击,其期望被探测、攻击或攻陷。蜜罐作为一种网络诱骗工具,本身没有生产价值,任何访问蜜罐的行为都认为是可疑的,其价值可由其捕获的信息来衡量,通过分析捕获的各类信息从而获得有价值的数据。

    2.2蜜罐原理

    蜜罐作为一个诱骗系统,其基本原理可简述为布置安全陷阱,诱骗攻击,记录攻击的过程。

    蜜罐系统通过伪造系统漏洞,布置安全陷阱令攻击者侵入,从而收集更多的攻击信息,蜜罐系统不向外提供服务,同时没有可用资源,所以任何试图连接蜜罐的行为都认为是可疑的,蜜罐系统通常布置在容易受到攻击的网络中。蜜罐系统伪装得跟真实主机基本一样,入侵者成功入侵后很难发现。蜜罐对入侵者的行为进行跟踪记录,蜜罐的日志系统记录其对蜜罐的所有操作以及攻击信息。事后对收集到的所有数据进行整理分析,判断是否有入侵发生,并从中提取相关的攻击行为特征。

    3 基于蜜罐的入侵检测模型

    将蜜罐技术与入侵检测相结合可以有效提高对未知攻击的防御能力,蜜罐捕获未知攻击行为之前,可通过防火墙和入侵检测系统将已知攻击行为检测过滤,剩下的未知攻击行为流入蜜罐,由蜜罐进行捕获收集,从而有效的更新入侵规则库,提高入侵检测的检测率。本系统采用防火墙Iptables,入侵检测系统采用Snort完成。本文中基于蜜罐的入侵检测系统由虚拟蜜罐、网关和监控机三部分组成,如图2所示。

    网关作为最关键部分,其上部署防火墙Iptables、入侵检测系统Snort。同时作为蜜罐与外网的唯一通道,所有进出蜜罐的数据都要经过此网关,它对所有进出蜜罐的数据流进行监控。

    防火墙作为第一道防线,对进入网关的数据根据Iptables包过滤规则可以过滤掉简单的已知攻击。入侵检测系统对进入网关从防火墙流出的数据进行第二次检测,当数据与入侵规则库中入侵规则匹配时,被认为是攻击数据,入侵检测系统做出响应并采取相关措施,所有通过入侵检测系统,不能被Snort处理的攻击数据通过网关被定向到此系统模型的虚拟蜜罐中。此模型中虚拟蜜罐通过虚拟化方式构建,蜜罐作为一个诱骗系统期望更多的数据流,通过蜜罐收集数据进一步分析攻击行为,实现对攻击行为的多层捕获,从而为入侵检测系统提供更全面的入侵检测规则库。监控机实时监控网络中的连接和数据的流动情况,当检测到异常的攻击行为时通过网关定向功能转发数据进入蜜罐。基于蜜罐的入侵检测模型工作流程如图3所示。

    4 结语

    本文分析了入侵检测和蜜罐技术,分析两者的优缺点,结合两者特点,本文描述了基于蜜罐技术的入侵检测模型的基本设计原理及实现方法,通过部署防火墙,入侵检测系统,蜜罐网络,利用蜜罐诱骗特点和对捕获未知攻击的优勢,弥补传统入侵检测系统对未知攻击检测的不足,提高了入侵检测系统的主动防御能力。

    参考文献:

    [1] 钱钢,邓勤.基于蜜罐技术的入侵检测系统研究[J].信息技术与信息化,2015(07):78-81.

    [2] 何祥锋.浅谈蜜罐技术在网络安全中的应用[J].网络安全技术与应用,2014(01):88-89.

    【通联编辑:光文玲】
随便看

 

科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。

 

Copyright © 2004-2023 puapp.net All Rights Reserved
更新时间:2025/2/6 3:55:20