基于蜜罐的入侵检测系统模型研究.doc

技术创新《微计算机信息》(管控一体化2010年第26卷第11-3期年邮局订阅号现场总线技术应用200例》博士论坛基于蜜罐的入侵检测系统模型研究HoneypotbasedIntrusionDetectionSystemModel(空军工程大学朱参世安利ZHUCan-shiANLi摘要:蜜罐是一种主动防御的网络安全技术,它通过监视入侵者的活动,能够分析研究入侵者所掌握的技术、使用的工具以及入侵的动机,将蜜罐技术融入到入侵检测系统中,可以提高系统的防御能力。本文提出一种基于蜜罐的入侵检测系统模型,并对模型的原型系统进行了仿真验证,达到了比较满意的效果。关键词:密罐;入侵检测;模型中图分类号:TP391文献标识码:AAbstract:worksecuritytechnology,whichbymonitoringtheactivitiesofanintruder,theintrudercananalyzetheavailableresearchtechniques,useoftoolsandmotivationfortheinvasion,willhoneypottechnologyintoIntrusionDetectionSystem,youcanimprovethesystem'-basedintrusiondetectionsystemmodel,:densecans;intrusiondetection;model文章编号:1008-0570(201011-3-0004-02引言随着网络技术的迅猛发展,其应用面已渗透到政治、经济、军事和文化等各个领域,人类在享受网络带来便利的同时,也不得不为网络的安全而烦劳。目前,安全防御一般采用防火墙、入侵检测技术等,这些技术都是基于被动的防御策略。也就是说,对于已知的攻击方式是比较有效,而对新的攻击行为则毫无防守能力。因此,由被动防御转为主动防御是目前网络安全研究的重点和热点。蜜罐技术是一种对攻击者进行欺骗的技术,通过布置诱饵的主机、网络服务及敏感信息诱使攻击者对其进行攻击,减少对实际系统所造成的安全威胁,更重要的是蜜罐技术可以对攻击行为进行监控和分析,了解攻击者所使用的攻击工具和攻击方法,推测攻击者的意图和动机,从而能够让防御者清晰地了解他们所面对的安全威胁。本文提出一种基于密罐技术的入侵检测系统模型。将密罐技术应用到入侵检测系统,以提高系统的防御能力。1入侵检测系统分析入侵检测系统(IDS是一种被动检测网络连接以发现可疑行为或未授权的行为,一旦发现类似行为,就发出警报。入侵检测分为异常检测和误用检测两种,基于误用检测的IDS有一个庞大的规则库,每条规则就是一个标记某种可疑行为的字符串。一旦某个试图进入网络的行为包含了规则库中的一个或者多个规则,IDS就判断该网络连接是可疑的或者未授权的行为而发出报警信息。但IDS会产生大量的误报和漏报信息。另外,IDS还存在及时更新规则库问题。一旦有新的攻击出现,就要定义相应的规则,否则IDS就会漏报。并且更新规则的过程永无止境,如同新攻击层出不穷一样。基于异常的IDS是通过学****正常的网络行为对不正常的网络行为发出报警信息。因此,基于异常的IDS关键就是学****什么是正常行为。然而,新的程序和技术不断涌现,建立一个基于某种正常行为的IDS非常困难。2蜜罐技术蜜罐技术是设置一个包含漏洞的诱骗系统,通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。蜜罐的作用是为外界提供虚假的服务,拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。蜜罐的价值在于被扫描、攻击和攻陷,也就是说它并不提供具备信息价值服务,所有流入和流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷,其目的是尽可能详尽地捕捉、收集、监视并控制入侵者的活动。蜜罐的所有设计、部署和实施都是围绕这一目标进行。蜜罐与其它安全防御技术不同,它不限于解决某个具体问题,因此,可以应用蜜罐技术实现不同的目标,譬如,阻止攻击,类似防火墙的功能;检测攻击,类似于入侵检测系统的功能;充当预警传感器研究攻击者活动、捕获攻击信息等。蜜罐既是一个监视系统,也是一个牢笼系统,在诱捕攻击者、收集数据,延缓入侵者攻击其他系统的同时,还需要对入侵者的行为进行控制,将他们的活动限制在一定范围内,避免入侵者利用蜜罐攻击其它网络系统。,其主要目的就是防御外部对