司凤山，王 浩，常 郝，王 晶

（1.安徽财经大学 管理科学与工程学院，安徽 蚌埠 233030；2.蚌埠学院 数学与物理系，安徽 蚌埠 233030）

入侵检测系统与蜜网技术的联动模型研究

司凤山1，王 浩1，常 郝1，王 晶2

（1.安徽财经大学 管理科学与工程学院，安徽 蚌埠 233030；2.蚌埠学院 数学与物理系，安徽 蚌埠 233030）

目前，广泛应用的入侵检测系统大多是以误用检测的分析方法为主，入侵规则库更新速度相对较慢，无法识别未知攻击，这种被动的防御状态漏报率相对较高.将蜜网技术应用在入侵检测系统中可以大大改善检测性能，使其具备识别未知入侵行为的主动防御能力.

入侵检测；蜜网；联动；网络安全

当前网络安全的形势日趋严峻，单一的安全技术和产品已经越来越不能很好地满足用户对网络安全性的需要.联动技术是网络安全方面发展的一个趋势，同时能够实现各种现有技术的优势互补，也是构成一个比现有系统具有更高安全性系统的基础.

1 相关理论概述

1.1 入侵检测系统

传统的入侵检测方法在本质上是一个典型的“窥探设备”.它不跨接多个物理网段(通常只有一个监听端口)，无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可.对收集来的报文，入侵检测系统提取相应的流量统计特征值，并利用内置的入侵规则库，与这些流量特征进行智能分析和匹配.根据预设的阀值，匹配藕合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反击.正是这种工作原理导致了入侵检测系统一直处于被动的防御状态，只对规则库中存在的入侵特征有防御能力，而对新出现的入侵行为却无能为力，漏报率比较高，严重影响了网络防护效果.因此，使入侵检测系统与其他安全设备之间进行联动就成为迫切需要解决的问题，通过联动可以及时更新入侵检测系统的规则库、降低漏报率.

1.2 蜜网技术

蜜网(即蜜罐网络，是蜜罐技术的一种高级实现形式)是一种适用于入侵检测最新的方法，它通过设置一个具有很多漏洞的网络系统来吸引黑客入侵，通过黑客留下的信息来分析入侵的方法和入侵的行为，能为建立一个更安全的入侵检测系统提供更多的规则.同时，由于蜜网是一个具有诱惑力的系统，能够分散黑客进攻的注意力和精力，对真正有价值的系统起到很好的保护作用.因此，将蜜网技术应用在入侵检测系统中，可以主动地检测、响应网络入侵和攻击，能够不断了解黑客的新动向、新的攻击方式和攻击手段，解决入侵检测系统的规则库更新、和漏报问题，能够组成对网络入侵进行检测、报警和响应的安全系统.

1.3 联动技术

联动技术是将具有不同安全能力的安全设备互联起来，在复杂的网络环境下实现协同工作，以对入侵行为有发现能力的安全设备为基础，通过把安全设备相互关联建立一个安全性更强的系统.总的来说，入侵检测系统与蜜网系统的联动方式主要可以分成系统集成方式和开放互联方式.系统集成方式是指入侵检测系统与蜜网系统集成于同一个系统里，通过相互协作完成入侵检测和网络诱骗的功能.开放互联方式是指入侵检测系统与蜜网系统作为两个子系统存在，二者相对独立单独完成各自功能，但它们可以进行交互以实现信息共享，真正实现一体化的主动防御.本文在开放互联方式的基础上，提出了一种借助第三方实现二者交互和信息共享的联动方式，克服直接交互中存在的健壮性差和检测效能低的缺陷.

2 基于第三方的系统开放互联方式分析

本文采用基于第三方（联动控制中心）的系统开放互联方式实现入侵检测系统与蜜网的联动.这种方式是指入侵检测和蜜网作为两个独立运行的子系统存在，可以单独完成功能，通过第三方的中转实现信息的交互和共享，达到一体化的主动防御.

2.1 第三方系统开放互联方式的基本思想

为了最大程度的保证系统安全和发挥系统的效能，本文将入侵检测子系统放在蜜网子系统之前，其基本思想是入侵检测子系统对网络访问进行检测，并对检测到的异常行为及时报警，同时通过联动控制中心的处理，将入侵行为重定向到蜜网中进行监视，以便获得更多的入侵者信息，这样入侵检测系统也增加了对入侵的响应能力.对未知攻击，入侵检测子系统将无法识别可以安全通过检测，而蜜网子系统能够诱引通过检测进入内部的攻击者，减少对真正目标的攻击.蜜网子系统能够捕获攻击数据包进行分析，如果发现新的入侵行为，则提取攻击特征并写入日志记录，并通过联动控制中心的处理生成规则，使入侵检测系统动态的加载这些新规则，从而使得入侵检测子系统可以检测到这些未知攻击，减少检测的漏报率，提高主动防御能力.

2.2 第三方系统开放互联方式的优点

2.2.1 系统可靠性高、响应速度快.入侵检测子系统和蜜网子系统相互独立放置，独立运行相互影响小.

2.2.2 实现了联动的主动防御.由于在入侵检测子系统和蜜网子系统之间加入了联动控制中心，使二者信息共享和交互更加方便，检测未知攻击的能力更强.

2.2.3 入侵检测系统的漏报率降低.由于蜜网系统能够捕获攻击者的攻击行为、识别攻击特征，第三方联动控制中心可以利用攻击特征更新入侵检测的规则库，使检测能力大为提高.

3 入侵检测系统与蜜网系统的联动模型构建

3.1 联动模型的总体设计

基于以上研究分析，本文设计了一个联动模型，它主要有四部分组成，分别是入侵检测子系统，蜜网子系统，联动控制中心一，联动控制中心二.系统联动模型如图1所示.

由图1可知，联动过程实现如下：

3.1.1 当入侵者攻击网络时，被入侵检测子系统检测到，即产生报警，进而生成报警事件.联动控制中心二经过报警事件分析，决定采取不同的响应策略.对未拒绝的攻击行为则通过访问重定向功能把入侵者引入蜜网子系统，从而保护真实目标免受攻击.对于一些报警事件，经过报警事件分析采取了拒绝访问的响应策略，则响应策略生成模块将直接阻断此次网络访问.

图1 入侵检测子系统与蜜网子系统联动模型

3.1.2 蜜网子系统通过对入侵者攻击行为的分析，如若发现未知的入侵行为，则通过联动控制中心一生成新的规则，并把这些新规则加载到入侵检测子系统的入侵规则库中.

3.2 联动模型的具体设计

3.2.1 入侵检测子系统

入侵检测子系统主要实现对网络访问的检测，若发现攻击行为，则产生报警，并将报警信息写入日志.入侵检测子系统结构如图2所示，它主要有五部分组成，分别为：捕获数据包模块、规则匹配模块、入侵报警模块、日志记录模块、入侵检测规则库模块.

图2 入侵检测子系统结构图

3.2.1.1 捕获数据包模块

该模块获取网络访问中的数据包，经过分析提取到访问行为特征值，为规则匹配做准备.

3.2.1.2 规则匹配模块

该模块采用误用检测的方法把提取到的访问行为特征值与入侵检测规则库中的规则进行逐条比较，匹配结果将决定此次网络访问是否成功.

3.2.1.3 入侵报警模块

该模块根据匹配结果，决定是否产生报警.若是非法访问，则产生的报警应包含一些攻击者的相关信息，例如入侵类型，攻击者的IP地址，攻击目标的IP地址等.

3.2.1.4 日志记录模块

该模块把报警信息写入系统的日志文件，便于以后的分析和处理.

3.2.1.5 入侵规则库模块

该模块中存放异常行为特征，供匹配模块使用.同时，入侵规则库模块还接受规则加载模块对其进行新规则的动态加载和更新.

3.2.2 联动控制中心二

联动控制中心二负责将入侵检测子系统检测到的非法访问引入到蜜网子系统中，在实现保护真实攻击目标的同时，便于获取入侵者更多的攻击行为特征.联动控制中心二的结构如图1所示，主要有三部分组成，分别是报警分析模块、响应策略生成模块、访问重定向模块.

3.2.2.1 报警分析模块

该模块访问入侵检测子系统的日志文件，对其中的报警信息进行分析，提取攻击者重要的信息，供响应策略生成模块处理.

3.2.2.2 响应策略生成模块

该模块根据报警分析模块的分析结果，决定对报警事件采用何种响应策略.可以对入侵检测子系统产生的报警信息进行评估，根据评估等级采取不同的响应策略，例如拒绝访问，接受访问等.

3.2.2.3 访问重定向模块

该模块把未拒绝的攻击者诱引到蜜网子系统中，即改变原来的访问目标.

3.2.3 蜜网子系统

蜜网子系统负责诱骗入侵者访问虚假目标，通过监视其行为获取未知攻击特征，把识别到的新特征写入日志文件，便于进一步的分析和处理.蜜网子系统的结构如图3所示，主要有三部分组成，分别是数据包采集模块、行为分析模块、日志记录模块.

图3 蜜网子系统的结构图

3.2.3.1 数据包采集模块

该模块采集攻击者的数据包，提取重要攻击行为信息供行为分析模块处理.

3.2.3.2 行为分析模块

该模块对提取到的重要信息进行行为分析，获取未知的攻击行为特征.

3.2.3.3 日志记录模块

该模块把获取到的未知攻击行为特征值写入日志文件，便于进一步的分析和生成规则.

3.2.4 联动控制中心一

联动控制中心一负责将蜜网子系统识别到的未知攻击行为特征转化为规则，并把这些新规则动态加载到入侵检测子系统的入侵检测规则库中，动态更新规则库便于入侵检测子系统能及时捕获新型攻击.联动控制中心一的结构如图1所示，主要有三部分组成，分别是日志分析模块、规则生成模块、规则加载模块.

3.2.4.1 日志分析模块

该模块对蜜网子系统中的日志文件进行分析，提取未知攻击行为特征供规则生成模块处理.

3.2.4.2 规则生成模块

该模块把日志分析模块提取到的重要行为特征转化成相应的规则，这些新规则用以更新入侵检测规则库.

3.2.4.3 规则加载模块

该模块把生成的新规则动态的加载到入侵检测规则库中，及时更新规则库，增强其检测未知攻击的能力.

4 结束语

本文提出了一种入侵检测系统与蜜网系统联动的模型，该模型能够使二者优势互补，相互协作，不但降低了入侵检测系统的漏报率，而且增强了检测未知攻击行为的能力.这种通过联动相结合的主动防御系统，可以大大提高网络的安全保护性能.

〔1〕SchwabelJ,RohringN,HaliM,etal.LessonsLearned from DePloying a HoneypotInformation Security Bulletin,2009.

〔2〕Neil Desai,Increasing Performance in High Speed NIDS,2008.

〔3〕余鹏，王浩.蜜网系统的设计与实现[J].微计算机信息,2009.

〔4〕张超,霍红卫,钱秀槟，等.入侵检测系统概述[J].计算机工程与应用,2004.

TP393

A

1673-260X（2012）06-0020-03

安徽高校省级自然科学研究项目(KJ2011B001，KJ2011B002，KJ2012Z003)；安徽高等学校优秀青年人才基金项目(2011SQRL164)；蚌埠学院自然科学研究项目(2010ZR13)