小研一种与入侵诱骗技术相结合的网络防护机制【摘要】:近几年来,计算机技术和网络技术已深入到社会的各个领域给人们的学习、工作和生活带来了极大的方便。与此相伴的是,网络安全问题却变得日益严重。传统的安全技术已经不能适应动态变化的、多维的网络空间。近年来,入侵检测系统和以Honeypot为代表的入侵诱骗技术发展迅速,初步改变了以往网络防护中的被动局面。本文结合入侵检测和入侵诱骗技术相结合的优势,并在此基础上引入入侵响应机制,使三者有机结合,形成一个完整的防御系统。【关键词】:入侵诱骗系统;Honeypot;入侵检测系统;入侵响应系统一、入侵诱骗系统入侵诱骗系统是基于“Honeypot”理论[1],该理论研究如何设计、建立一个跟实际系统类似的“欺骗网络”。该系统对外呈现出许多脆弱性,并很容易被访问,从而吸引入侵者对其进行攻击。其重点是诱骗、吸引、继而监视入侵者,并防止在实际运行的系统中出现这样的攻击。通常的入侵检测系统能够实时地检测网络的信息,防止入侵者的恶意攻击,但是由于其在攻击未发生与发生时使用的是同样的数据采集机制,不能有效地平衡网络负载,因此为了节省不必要的系统资源浪费,在遭受攻击时又能强化入侵检测系统的功能,必须引入一种可根据网络安全状态,动态调整实时监控的技术。入侵诱骗系统就是一个分析、学习工具,是专门设计用来引诱入侵者的系统。它位于内部网内,模拟内部网的日常活动进行常规工作,把入侵者的注意力吸引到自己身上,从而达到保护内部网其它主机的作用。1、Honeypot的优点(1)轻巧灵活。资源占用率少,不会出现资源耗尽的情况。(2)使用简单。相对其他安全工具来说,Honeypot不涉及复杂的计算,它所需要做的工作就是只要有人试图访问Honeypot,就把他的行为记录下来。(3)数据价值高。Honeypot虽然收集的数据量不多,但这些数据都是具有很高价值的,因为任何对它的访问都是可疑的。2、Honeypot的缺点(1)能力较弱。Honeypot仅仅可以检测到对它进行的攻击,如果没有人攻击它,它就变得毫无用处。一旦攻击者绕开了Honeypot,Honeypot将无能为力。(2)风险性与交互性矛盾。不同级别的Honeypot会给所处的网络环境带来不同的风险,Honeypot越简单,风险性越小,但交互性就降低了。设计Honeypot系统时,要根据实际网络环境的需要,充分考虑风险性和交互性的适配问题。(3)自身安全系数不高。Honeypot一旦被攻击者攻破,攻击者就会以此为跳板攻击网络中的其他系统,造成更大的危害。Honeypot不能单独使用,必须要与其他安全工具结合才行。3、入侵检测系统入侵检测系统是一个能够对网络或计算机系统的活动进行实时检测的系统。它能够实时地检测网络的信息,发现并报告网络或系统中存在的可疑迹象,防止入侵者的恶意攻击,为网络安全管理人员及时采取对策提供有价值的信息。入侵检测技术大体上可以分为异常检测和滥用检测两类。3.1异常检测异常入侵检测系统首先尽可能地收集与安全相关的信息,通过分析,从中提取用户的行为模式,构建用户行为模式库。检测过程中一旦发现用户行为有异,就认为当前的用户行为非法,从而采取进一步的行动。优点:无需获取攻击特征。适用于已知攻击和未知攻击的检测。缺点:阈值不易确定,攻击者可以通过渐进方式改变用户的模型,检测错误率高,无法识别攻击类型,故无法采取有针对性的响应措施。3.2滥用检测滥用入侵检测是将那些预先定义好的入侵模式与观察到的情况进行模式匹配来进行检测。滥用检测误检率低,但只能检测已知的攻击。这种模式依靠攻击特征来判断入侵行为,从而要求攻击特征库是最新的。然而,特征库的更新需要安全管理人员总结新出现的攻击方式特征,有明显的时间滞后。在目前的网络攻击爆发频繁、蔓延迅速的环境下会有大量的入侵攻击难以检测。优点:与异常检测相比,滥用检测准确率高,能够识别攻击类型,可采取有针对性的措施。缺点:滥用检测不能检测未知攻击,需要经常更新攻击特征库。4、入侵诱骗系统和入侵检测系统相结合的优势从以上的分析中可以看出,将两种技术相结合,可以互相弥补不足,优势互补,形成一种较好的网络安全机制。第一,Honeypot...