入侵檢測(cè)系統(tǒng)與蜜網(wǎng)技術(shù)的聯(lián)動(dòng)模型研究

司鳳山，王 浩，常 郝，王 晶

（1.安徽財(cái)經(jīng)大學(xué) 管理科學(xué)與工程學(xué)院，安徽 蚌埠 233030；2.蚌埠學(xué)院 數(shù)學(xué)與物理系，安徽 蚌埠 233030）

入侵檢測(cè)系統(tǒng)與蜜網(wǎng)技術(shù)的聯(lián)動(dòng)模型研究

司鳳山1，王 浩1，常 郝1，王 晶2

（1.安徽財(cái)經(jīng)大學(xué) 管理科學(xué)與工程學(xué)院，安徽 蚌埠 233030；2.蚌埠學(xué)院 數(shù)學(xué)與物理系，安徽 蚌埠 233030）

目前，廣泛應(yīng)用的入侵檢測(cè)系統(tǒng)大多是以誤用檢測(cè)的分析方法為主，入侵規(guī)則庫(kù)更新速度相對(duì)較慢，無(wú)法識(shí)別未知攻擊，這種被動(dòng)的防御狀態(tài)漏報(bào)率相對(duì)較高.將蜜網(wǎng)技術(shù)應(yīng)用在入侵檢測(cè)系統(tǒng)中可以大大改善檢測(cè)性能，使其具備識(shí)別未知入侵行為的主動(dòng)防御能力.

入侵檢測(cè)；蜜網(wǎng)；聯(lián)動(dòng)；網(wǎng)絡(luò)安全

當(dāng)前網(wǎng)絡(luò)安全的形勢(shì)日趨嚴(yán)峻，單一的安全技術(shù)和產(chǎn)品已經(jīng)越來(lái)越不能很好地滿足用戶對(duì)網(wǎng)絡(luò)安全性的需要.聯(lián)動(dòng)技術(shù)是網(wǎng)絡(luò)安全方面發(fā)展的一個(gè)趨勢(shì)，同時(shí)能夠?qū)崿F(xiàn)各種現(xiàn)有技術(shù)的優(yōu)勢(shì)互補(bǔ)，也是構(gòu)成一個(gè)比現(xiàn)有系統(tǒng)具有更高安全性系統(tǒng)的基礎(chǔ).

1 相關(guān)理論概述

1.1 入侵檢測(cè)系統(tǒng)

傳統(tǒng)的入侵檢測(cè)方法在本質(zhì)上是一個(gè)典型的“窺探設(shè)備”.它不跨接多個(gè)物理網(wǎng)段(通常只有一個(gè)監(jiān)聽(tīng)端口)，無(wú)須轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡(luò)上被動(dòng)的、無(wú)聲息的收集它所關(guān)心的報(bào)文即可.對(duì)收集來(lái)的報(bào)文，入侵檢測(cè)系統(tǒng)提取相應(yīng)的流量統(tǒng)計(jì)特征值，并利用內(nèi)置的入侵規(guī)則庫(kù)，與這些流量特征進(jìn)行智能分析和匹配.根據(jù)預(yù)設(shè)的閥值，匹配藕合度較高的報(bào)文流量將被認(rèn)為是進(jìn)攻，入侵檢測(cè)系統(tǒng)將根據(jù)相應(yīng)的配置進(jìn)行報(bào)警或進(jìn)行有限度的反擊.正是這種工作原理導(dǎo)致了入侵檢測(cè)系統(tǒng)一直處于被動(dòng)的防御狀態(tài)，只對(duì)規(guī)則庫(kù)中存在的入侵特征有防御能力，而對(duì)新出現(xiàn)的入侵行為卻無(wú)能為力，漏報(bào)率比較高，嚴(yán)重影響了網(wǎng)絡(luò)防護(hù)效果.因此，使入侵檢測(cè)系統(tǒng)與其他安全設(shè)備之間進(jìn)行聯(lián)動(dòng)就成為迫切需要解決的問(wèn)題，通過(guò)聯(lián)動(dòng)可以及時(shí)更新入侵檢測(cè)系統(tǒng)的規(guī)則庫(kù)、降低漏報(bào)率.

1.2 蜜網(wǎng)技術(shù)

蜜網(wǎng)(即蜜罐網(wǎng)絡(luò)，是蜜罐技術(shù)的一種高級(jí)實(shí)現(xiàn)形式)是一種適用于入侵檢測(cè)最新的方法，它通過(guò)設(shè)置一個(gè)具有很多漏洞的網(wǎng)絡(luò)系統(tǒng)來(lái)吸引黑客入侵，通過(guò)黑客留下的信息來(lái)分析入侵的方法和入侵的行為，能為建立一個(gè)更安全的入侵檢測(cè)系統(tǒng)提供更多的規(guī)則.同時(shí)，由于蜜網(wǎng)是一個(gè)具有誘惑力的系統(tǒng)，能夠分散黑客進(jìn)攻的注意力和精力，對(duì)真正有價(jià)值的系統(tǒng)起到很好的保護(hù)作用.因此，將蜜網(wǎng)技術(shù)應(yīng)用在入侵檢測(cè)系統(tǒng)中，可以主動(dòng)地檢測(cè)、響應(yīng)網(wǎng)絡(luò)入侵和攻擊，能夠不斷了解黑客的新動(dòng)向、新的攻擊方式和攻擊手段，解決入侵檢測(cè)系統(tǒng)的規(guī)則庫(kù)更新、和漏報(bào)問(wèn)題，能夠組成對(duì)網(wǎng)絡(luò)入侵進(jìn)行檢測(cè)、報(bào)警和響應(yīng)的安全系統(tǒng).

1.3 聯(lián)動(dòng)技術(shù)

聯(lián)動(dòng)技術(shù)是將具有不同安全能力的安全設(shè)備互聯(lián)起來(lái)，在復(fù)雜的網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)協(xié)同工作，以對(duì)入侵行為有發(fā)現(xiàn)能力的安全設(shè)備為基礎(chǔ)，通過(guò)把安全設(shè)備相互關(guān)聯(lián)建立一個(gè)安全性更強(qiáng)的系統(tǒng).總的來(lái)說(shuō)，入侵檢測(cè)系統(tǒng)與蜜網(wǎng)系統(tǒng)的聯(lián)動(dòng)方式主要可以分成系統(tǒng)集成方式和開(kāi)放互聯(lián)方式.系統(tǒng)集成方式是指入侵檢測(cè)系統(tǒng)與蜜網(wǎng)系統(tǒng)集成于同一個(gè)系統(tǒng)里，通過(guò)相互協(xié)作完成入侵檢測(cè)和網(wǎng)絡(luò)誘騙的功能.開(kāi)放互聯(lián)方式是指入侵檢測(cè)系統(tǒng)與蜜網(wǎng)系統(tǒng)作為兩個(gè)子系統(tǒng)存在，二者相對(duì)獨(dú)立單獨(dú)完成各自功能，但它們可以進(jìn)行交互以實(shí)現(xiàn)信息共享，真正實(shí)現(xiàn)一體化的主動(dòng)防御.本文在開(kāi)放互聯(lián)方式的基礎(chǔ)上，提出了一種借助第三方實(shí)現(xiàn)二者交互和信息共享的聯(lián)動(dòng)方式，克服直接交互中存在的健壯性差和檢測(cè)效能低的缺陷.

2 基于第三方的系統(tǒng)開(kāi)放互聯(lián)方式分析

本文采用基于第三方（聯(lián)動(dòng)控制中心）的系統(tǒng)開(kāi)放互聯(lián)方式實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)與蜜網(wǎng)的聯(lián)動(dòng).這種方式是指入侵檢測(cè)和蜜網(wǎng)作為兩個(gè)獨(dú)立運(yùn)行的子系統(tǒng)存在，可以單獨(dú)完成功能，通過(guò)第三方的中轉(zhuǎn)實(shí)現(xiàn)信息的交互和共享，達(dá)到一體化的主動(dòng)防御.

2.1 第三方系統(tǒng)開(kāi)放互聯(lián)方式的基本思想

為了最大程度的保證系統(tǒng)安全和發(fā)揮系統(tǒng)的效能，本文將入侵檢測(cè)子系統(tǒng)放在蜜網(wǎng)子系統(tǒng)之前，其基本思想是入侵檢測(cè)子系統(tǒng)對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行檢測(cè)，并對(duì)檢測(cè)到的異常行為及時(shí)報(bào)警，同時(shí)通過(guò)聯(lián)動(dòng)控制中心的處理，將入侵行為重定向到蜜網(wǎng)中進(jìn)行監(jiān)視，以便獲得更多的入侵者信息，這樣入侵檢測(cè)系統(tǒng)也增加了對(duì)入侵的響應(yīng)能力.對(duì)未知攻擊，入侵檢測(cè)子系統(tǒng)將無(wú)法識(shí)別可以安全通過(guò)檢測(cè)，而蜜網(wǎng)子系統(tǒng)能夠誘引通過(guò)檢測(cè)進(jìn)入內(nèi)部的攻擊者，減少對(duì)真正目標(biāo)的攻擊.蜜網(wǎng)子系統(tǒng)能夠捕獲攻擊數(shù)據(jù)包進(jìn)行分析，如果發(fā)現(xiàn)新的入侵行為，則提取攻擊特征并寫(xiě)入日志記錄，并通過(guò)聯(lián)動(dòng)控制中心的處理生成規(guī)則，使入侵檢測(cè)系統(tǒng)動(dòng)態(tài)的加載這些新規(guī)則，從而使得入侵檢測(cè)子系統(tǒng)可以檢測(cè)到這些未知攻擊，減少檢測(cè)的漏報(bào)率，提高主動(dòng)防御能力.

2.2 第三方系統(tǒng)開(kāi)放互聯(lián)方式的優(yōu)點(diǎn)

2.2.1 系統(tǒng)可靠性高、響應(yīng)速度快.入侵檢測(cè)子系統(tǒng)和蜜網(wǎng)子系統(tǒng)相互獨(dú)立放置，獨(dú)立運(yùn)行相互影響小.

2.2.2 實(shí)現(xiàn)了聯(lián)動(dòng)的主動(dòng)防御.由于在入侵檢測(cè)子系統(tǒng)和蜜網(wǎng)子系統(tǒng)之間加入了聯(lián)動(dòng)控制中心，使二者信息共享和交互更加方便，檢測(cè)未知攻擊的能力更強(qiáng).

2.2.3 入侵檢測(cè)系統(tǒng)的漏報(bào)率降低.由于蜜網(wǎng)系統(tǒng)能夠捕獲攻擊者的攻擊行為、識(shí)別攻擊特征，第三方聯(lián)動(dòng)控制中心可以利用攻擊特征更新入侵檢測(cè)的規(guī)則庫(kù)，使檢測(cè)能力大為提高.

3 入侵檢測(cè)系統(tǒng)與蜜網(wǎng)系統(tǒng)的聯(lián)動(dòng)模型構(gòu)建

3.1 聯(lián)動(dòng)模型的總體設(shè)計(jì)

基于以上研究分析，本文設(shè)計(jì)了一個(gè)聯(lián)動(dòng)模型，它主要有四部分組成，分別是入侵檢測(cè)子系統(tǒng)，蜜網(wǎng)子系統(tǒng)，聯(lián)動(dòng)控制中心一，聯(lián)動(dòng)控制中心二.系統(tǒng)聯(lián)動(dòng)模型如圖1所示.

由圖1可知，聯(lián)動(dòng)過(guò)程實(shí)現(xiàn)如下：

3.1.1 當(dāng)入侵者攻擊網(wǎng)絡(luò)時(shí)，被入侵檢測(cè)子系統(tǒng)檢測(cè)到，即產(chǎn)生報(bào)警，進(jìn)而生成報(bào)警事件.聯(lián)動(dòng)控制中心二經(jīng)過(guò)報(bào)警事件分析，決定采取不同的響應(yīng)策略.對(duì)未拒絕的攻擊行為則通過(guò)訪問(wèn)重定向功能把入侵者引入蜜網(wǎng)子系統(tǒng)，從而保護(hù)真實(shí)目標(biāo)免受攻擊.對(duì)于一些報(bào)警事件，經(jīng)過(guò)報(bào)警事件分析采取了拒絕訪問(wèn)的響應(yīng)策略，則響應(yīng)策略生成模塊將直接阻斷此次網(wǎng)絡(luò)訪問(wèn).

圖1 入侵檢測(cè)子系統(tǒng)與蜜網(wǎng)子系統(tǒng)聯(lián)動(dòng)模型

3.1.2 蜜網(wǎng)子系統(tǒng)通過(guò)對(duì)入侵者攻擊行為的分析，如若發(fā)現(xiàn)未知的入侵行為，則通過(guò)聯(lián)動(dòng)控制中心一生成新的規(guī)則，并把這些新規(guī)則加載到入侵檢測(cè)子系統(tǒng)的入侵規(guī)則庫(kù)中.

3.2 聯(lián)動(dòng)模型的具體設(shè)計(jì)

3.2.1 入侵檢測(cè)子系統(tǒng)

入侵檢測(cè)子系統(tǒng)主要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問(wèn)的檢測(cè)，若發(fā)現(xiàn)攻擊行為，則產(chǎn)生報(bào)警，并將報(bào)警信息寫(xiě)入日志.入侵檢測(cè)子系統(tǒng)結(jié)構(gòu)如圖2所示，它主要有五部分組成，分別為：捕獲數(shù)據(jù)包模塊、規(guī)則匹配模塊、入侵報(bào)警模塊、日志記錄模塊、入侵檢測(cè)規(guī)則庫(kù)模塊.

圖2 入侵檢測(cè)子系統(tǒng)結(jié)構(gòu)圖

3.2.1.1 捕獲數(shù)據(jù)包模塊

該模塊獲取網(wǎng)絡(luò)訪問(wèn)中的數(shù)據(jù)包，經(jīng)過(guò)分析提取到訪問(wèn)行為特征值，為規(guī)則匹配做準(zhǔn)備.

3.2.1.2 規(guī)則匹配模塊

該模塊采用誤用檢測(cè)的方法把提取到的訪問(wèn)行為特征值與入侵檢測(cè)規(guī)則庫(kù)中的規(guī)則進(jìn)行逐條比較，匹配結(jié)果將決定此次網(wǎng)絡(luò)訪問(wèn)是否成功.

3.2.1.3 入侵報(bào)警模塊

該模塊根據(jù)匹配結(jié)果，決定是否產(chǎn)生報(bào)警.若是非法訪問(wèn)，則產(chǎn)生的報(bào)警應(yīng)包含一些攻擊者的相關(guān)信息，例如入侵類型，攻擊者的IP地址，攻擊目標(biāo)的IP地址等.

3.2.1.4 日志記錄模塊

該模塊把報(bào)警信息寫(xiě)入系統(tǒng)的日志文件，便于以后的分析和處理.

3.2.1.5 入侵規(guī)則庫(kù)模塊

該模塊中存放異常行為特征，供匹配模塊使用.同時(shí)，入侵規(guī)則庫(kù)模塊還接受規(guī)則加載模塊對(duì)其進(jìn)行新規(guī)則的動(dòng)態(tài)加載和更新.

3.2.2 聯(lián)動(dòng)控制中心二

聯(lián)動(dòng)控制中心二負(fù)責(zé)將入侵檢測(cè)子系統(tǒng)檢測(cè)到的非法訪問(wèn)引入到蜜網(wǎng)子系統(tǒng)中，在實(shí)現(xiàn)保護(hù)真實(shí)攻擊目標(biāo)的同時(shí)，便于獲取入侵者更多的攻擊行為特征.聯(lián)動(dòng)控制中心二的結(jié)構(gòu)如圖1所示，主要有三部分組成，分別是報(bào)警分析模塊、響應(yīng)策略生成模塊、訪問(wèn)重定向模塊.

3.2.2.1 報(bào)警分析模塊

該模塊訪問(wèn)入侵檢測(cè)子系統(tǒng)的日志文件，對(duì)其中的報(bào)警信息進(jìn)行分析，提取攻擊者重要的信息，供響應(yīng)策略生成模塊處理.

3.2.2.2 響應(yīng)策略生成模塊

該模塊根據(jù)報(bào)警分析模塊的分析結(jié)果，決定對(duì)報(bào)警事件采用何種響應(yīng)策略.可以對(duì)入侵檢測(cè)子系統(tǒng)產(chǎn)生的報(bào)警信息進(jìn)行評(píng)估，根據(jù)評(píng)估等級(jí)采取不同的響應(yīng)策略，例如拒絕訪問(wèn)，接受訪問(wèn)等.

3.2.2.3 訪問(wèn)重定向模塊

該模塊把未拒絕的攻擊者誘引到蜜網(wǎng)子系統(tǒng)中，即改變?cè)瓉?lái)的訪問(wèn)目標(biāo).

3.2.3 蜜網(wǎng)子系統(tǒng)

蜜網(wǎng)子系統(tǒng)負(fù)責(zé)誘騙入侵者訪問(wèn)虛假目標(biāo)，通過(guò)監(jiān)視其行為獲取未知攻擊特征，把識(shí)別到的新特征寫(xiě)入日志文件，便于進(jìn)一步的分析和處理.蜜網(wǎng)子系統(tǒng)的結(jié)構(gòu)如圖3所示，主要有三部分組成，分別是數(shù)據(jù)包采集模塊、行為分析模塊、日志記錄模塊.

圖3 蜜網(wǎng)子系統(tǒng)的結(jié)構(gòu)圖

3.2.3.1 數(shù)據(jù)包采集模塊

該模塊采集攻擊者的數(shù)據(jù)包，提取重要攻擊行為信息供行為分析模塊處理.

3.2.3.2 行為分析模塊

該模塊對(duì)提取到的重要信息進(jìn)行行為分析，獲取未知的攻擊行為特征.

3.2.3.3 日志記錄模塊

該模塊把獲取到的未知攻擊行為特征值寫(xiě)入日志文件，便于進(jìn)一步的分析和生成規(guī)則.

3.2.4 聯(lián)動(dòng)控制中心一

聯(lián)動(dòng)控制中心一負(fù)責(zé)將蜜網(wǎng)子系統(tǒng)識(shí)別到的未知攻擊行為特征轉(zhuǎn)化為規(guī)則，并把這些新規(guī)則動(dòng)態(tài)加載到入侵檢測(cè)子系統(tǒng)的入侵檢測(cè)規(guī)則庫(kù)中，動(dòng)態(tài)更新規(guī)則庫(kù)便于入侵檢測(cè)子系統(tǒng)能及時(shí)捕獲新型攻擊.聯(lián)動(dòng)控制中心一的結(jié)構(gòu)如圖1所示，主要有三部分組成，分別是日志分析模塊、規(guī)則生成模塊、規(guī)則加載模塊.

3.2.4.1 日志分析模塊

該模塊對(duì)蜜網(wǎng)子系統(tǒng)中的日志文件進(jìn)行分析，提取未知攻擊行為特征供規(guī)則生成模塊處理.

3.2.4.2 規(guī)則生成模塊

該模塊把日志分析模塊提取到的重要行為特征轉(zhuǎn)化成相應(yīng)的規(guī)則，這些新規(guī)則用以更新入侵檢測(cè)規(guī)則庫(kù).

3.2.4.3 規(guī)則加載模塊

該模塊把生成的新規(guī)則動(dòng)態(tài)的加載到入侵檢測(cè)規(guī)則庫(kù)中，及時(shí)更新規(guī)則庫(kù)，增強(qiáng)其檢測(cè)未知攻擊的能力.

4 結(jié)束語(yǔ)

本文提出了一種入侵檢測(cè)系統(tǒng)與蜜網(wǎng)系統(tǒng)聯(lián)動(dòng)的模型，該模型能夠使二者優(yōu)勢(shì)互補(bǔ)，相互協(xié)作，不但降低了入侵檢測(cè)系統(tǒng)的漏報(bào)率，而且增強(qiáng)了檢測(cè)未知攻擊行為的能力.這種通過(guò)聯(lián)動(dòng)相結(jié)合的主動(dòng)防御系統(tǒng)，可以大大提高網(wǎng)絡(luò)的安全保護(hù)性能.

〔1〕SchwabelJ,RohringN,HaliM,etal.LessonsLearned from DePloying a HoneypotInformation Security Bulletin,2009.

〔2〕Neil Desai,Increasing Performance in High Speed NIDS,2008.

〔3〕余鵬，王浩.蜜網(wǎng)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].微計(jì)算機(jī)信息,2009.

〔4〕張超,霍紅衛(wèi),錢秀檳，等.入侵檢測(cè)系統(tǒng)概述[J].計(jì)算機(jī)工程與應(yīng)用,2004.

TP393

A

1673-260X（2012）06-0020-03

安徽高校省級(jí)自然科學(xué)研究項(xiàng)目(KJ2011B001，KJ2011B002，KJ2012Z003)；安徽高等學(xué)校優(yōu)秀青年人才基金項(xiàng)目(2011SQRL164)；蚌埠學(xué)院自然科學(xué)研究項(xiàng)目(2010ZR13)