倪 超 凡

(福建师范大学福清分校 数学与计算机科学系，福建 福清 350300)

浅析蜜罐技术与IDS结合的可行性

倪 超 凡

(福建师范大学福清分校 数学与计算机科学系，福建 福清 350300)

基于入侵检测技术的入侵检测系统(IDS)，与传统的防火墙相比，有能够同时监控进出网络的数据流，不需要跨接在任何链路上，无须网络流量流经便可以工作等优点，但也存在一些缺陷，比如对未知的攻击行为无能为力，漏报率和误报率过高等.蜜罐技术是基于主动防御理论而提出的一种入侵诱骗技术，它的主要作用就是通过模拟真实的网络和服务来吸引黑客进行攻击，收集入侵者的特征数据，为发现新的攻击类型提供重要的参考数据.将蜜罐技术引入到 IDS当中可以大大完善IDS误报率和漏报率高的缺点.着重分析了蜜罐技术与IDS结合的可行性，并提出了一种基于蜜罐技术的入侵检测模型.

网络安全；入侵检测系统；蜜罐技术

随着网络技术的发展和互联网的普及，个人、企业和政府部门的信息交换和传递越来越多地依赖网络，因此，网络安全的重要性就不言而喻了.从最初的密码技术、身份认证技术到防火墙技术，这些静态的安全技术虽然能够对防止系统非法入侵起到一定的作用，但是随着入侵的数量和种类越来越多，这些传统的网络安全技术显然已经无法满足网络安全的需要.比如防火墙，这是一种最基础也是非常有效的安全技术，它能够有效阻断来自外部的攻击，但对于来自内部的攻击以及利用漏洞绕过防火墙进行的攻击都无能为力.另一方面，它所提供的服务方式是要么都拒绝，要么都通过，这种单一的处理方式已经不足以应对当前日益复杂的网络形势.这时候，入侵检测的概念被提了出来.

1 入侵检测系统

入侵检测系统(Intrusion Detection System，IDS)是能够实现入侵检测功能的软、硬件的组合.入侵检测是通过分析从计算机网络系统中的若干关键点收集到的行为、安全日志或审计数据等信息，发现违反安全策略的行为和遭到攻击的迹象，并做出相应的反应的过程.根据检测的方法不同可以将入侵检测分为2大类：基于知识的检测和基于行为的检测[1].

基于知识的检测又称为误用检测.它事先根据已知的攻击模式建立一个攻击特征数据库，在检测时，通过比对用户或系统行为与特征库中各种攻击模式是否匹配来确定是否有入侵发生.这种方法的优点是准确性高，对已知的攻击类型能够有效识别，但是对未知的攻击就无能为力了，这就容易造成漏报.

基于行为的检测又叫异常检测.它事先根据一些特征量定义了一个“正常”的行为特征数据库，在检测时，比对用户当前行为特征与“正常”的行为特征，若两者偏差超过一定范围，则说明发生了异常.这种方法的优点是在一定程度上能够识别和防范未知的攻击，但容易造成误报，用户正常的读取和访问会受到影响.

基于入侵检测的这些缺陷，如何从浩如烟海的数据中准确又高效地识别出各种已知、未知的攻击行为，成为了它急需完善的部分.

2 蜜罐技术

蜜罐(Honeypot)是指受到严密监控的网络诱骗系统，通过真实或模拟的网络和服务来吸引攻击，从而在黑客攻击蜜罐期间对其行为和过程进行记录分析，以搜集信息，对新攻击发出预警，同时蜜罐也可以延缓攻击和转移攻击目标[2].值得注意的是，蜜罐本身并不直接处理任何的网络安全事件，它只是一种工具，它的价值体现在被探测、被攻击甚至被攻破之时.相对于IDS的缺点，蜜罐技术有以下一些优点.

分流了一部分数据，大大减少了 IDS所要分析的数据.根据 IDS的工作原理，所有进出网络的行为都必须接受检测，这就产生了大量的日志和报警信息，这其中大多数都是无目的的扫描，对系统没有实质性的威胁，再花费大量的人力来处理这些无意义的日志信息实在是没有必要.同时，对于通常的网站或邮件服务器，攻击流量通常会被合法流量所淹没，这就容易造成漏报[3].而蜜罐是一个诱骗网络，正常情况下合法用户是无法对它进行访问的，因此进出蜜罐的数据很有可能是攻击流量.利用蜜罐的这个特性，IDS可以把检测到的可疑行为或连接重定向到蜜罐，这样做一方面减轻了IDS的负担，降低了漏报率，另一方面也让蜜罐捕获更多的攻击特征信息，为IDS的特征库的更新提供了重要依据.

蜜罐是一个受到严密监控的诱骗工具，所有进出蜜罐的活动都会被记录下来，形成日志.我们知道，在IDS的入侵分析技术中，误用检测和异常检测分别是基于攻击特征数据库和行为特征数据库的，而这两个特征库通常是静态的，需要管理者手动更新.蜜罐的引入为 IDS特征库的自动更新提供了可能.当 IDS把检测到的可疑行为重定向到蜜罐后，该行为在蜜罐中的一切活动信息都将被记录下来形成日志，通过对日志的分析可以判断该可疑行为是否为攻击，若为攻击，则总结出新的入侵规则和特征并及时添加到特征数据库中，从而使IDS能够及时识别新的攻击行为.这种对特征库的实时更新能够有效地降低误报率.

3 蜜罐技术与IDS结合的可行性分析

从上面的分析可以看出，蜜罐能够分流掉一部分 IDS的所要分析的数据，减轻了 IDS的检测负担，并为IDS特征库的实时更新提供了有力的数据支持，而IDS能够及时处理入侵时间，弥补蜜罐系统只能识别攻击不能处理攻击的不足.可见，蜜罐和IDS在入侵检测功能的优缺点上有着很强的互补性，因此，利用两者结合来提高系统的检测性能是可行的[4].由此提出了一个基于蜜罐技术的入侵检测系统模型，它的主要模块有[5]：

1) 配置策略模块

蜜罐本来就是通过模拟真实的服务或网络来吸引黑客攻击.配置策略模块的主要功能就是负责对虚拟端口进行设置，决定开放或关闭哪些端口和漏洞供黑客扫描、探测和攻击.该模块的关键技术就在于如何更真实地模拟现实的系统和服务，尽量减少黑客的怀疑.

2) Honeypot模块

将入侵检测系统认为可以的行为重定向到 Honeypot模块，一旦该行为进入蜜罐，那么它就很可能是某个嗅探、攻击或其他恶意行为，而它在蜜罐内的一切活动所产生的特征信息都被捕获记录下来，形成日志传送到远程日志服务器上保存下来.如果发现从 Honeypot发起到外部网络的连接，那就肯定是蜜罐被攻破了.这种只关注进出蜜罐的数据流的概念大大减少了需要检测的数据量，有效地降低了漏报率，减轻了接下来数据分析模块的负担.

3) 分析模块

实时分析模块对 Honeypot模块收集的网络、系统等信息进行实时分析，判断是否存在人侵.可采用的分析方法有：模式匹配、统计分析等.

4) 取证模块

进出蜜罐的一切活动信息都被记录在日志文件上了，但由于日志文件很容易被攻击者篡改或删除，所以通常的办法就是让蜜罐向在同一网络上但防御机制比较完善的远程系统日志服务器发送日志备份.一旦某一行为被确认为入侵行为，那么该行为在蜜罐中的一切活动信息都将被作为入侵证据而保存.

5) 总控制模块

总控制模块在整个系统之中起到了“指挥官”的作用，它负责调度各模块之间的正常运作、配合和数据交换并把已确定为入侵行为的事件上传控制台子系统报警，同时把控制台系统的命令下达给各模块.

入侵检测系统的优势在于能够实时的对进出系统和网络的数据进行监视，一旦发现入侵行为就做出及时阻断或发出报警从而减少入侵攻击所造成的损失.但是入侵检测系统在使用中存在数据流量瓶颈、难以检测未知攻击、漏报率和误报率较高的问题.蜜罐(Honeypot)技术使这些问题得到改善.IDS将一部分的可疑行为重定位到蜜罐可以大大减少流经自身的数据量，提高处理能力，通过收集和分析黑客在蜜罐上的活动信息，人们能够总结出黑客的入侵特征，从而帮助 IDS识别未知攻击，降低漏报和误报，并能用于进一步改进 IDS的设计，增强IDS的检测能力[6].因此，将蜜罐技术与IDS结合是完全可行的，但在实际应用中仍需要不断完善.

[1] 孙悦.基于蜜罐技术的入侵检测系统研究[J].陕西交通职业技术学院学报,2009(2):30-32.

[2] 翟继强,乔佩利.蜜罐技术的研究和分析[J].电脑学习,2006(3):19-21.

[3] 何晓晗.简析蜜罐技术及其应用价值[J].通信世界,2009(25):19.

[4] 阮忠.入侵检测系统结合蜜罐技术的研究与设计[J].电脑知识与技术:学术交流,2008(2):635-636.

[5] 杨晶.蜜罐技术在IDS中的应用[J].网络安全技术与应用,2006(1):61-62.

[6] 汪洋.Honeypot技术在网络入侵检测系统中的应用[J].现代电子技术,2008,31(19):80-83.

The Feasibility Of Combining Honeypot With IDS

NI Chao-fan
(Department of Mathematics and Computer Science, Fuqing Branch of Fujian Normal University, Fuqing, Fujian 350300, China)

Compared to the traditional firewalls, IDS, based on intrusion detection technology, is able to control network data flow without any link and can work well without network data flow. Although IDS has so many advantages, it has disadvantages, such as incapable of dealing with unknown attack, high false negative and high false positive rate. Honeypot, based on proactive defense theory, is a luring technology. Its major function is to lure hacker to attack by simulating the real network and services and collect the data and information of hacker. These data and information are very important for finding out new attack type. Combining Honeypot with IDS will solve the deficiency of high false negative and high false positive rate of IDS. This thesis discusses the feasibility of combining Honeypot with IDS, and puts forward an intrusion detective model that is based on Honeypot.

Network safety; IDS; Honeypot

TP393.08

A

1673-2065(2011)04-0037-03

2011-01-15

倪超凡(1984-),女,福建仙游人,福建师范大学福清分校数学与计算机科学系助教,工学硕士.

(责任编校：李建明英文校对：李玉玲)