2012年第4期 入侵与攻击的主体的隐蔽化。c)入侵检测技术多样 化。d)入侵技术由以往的用单机执行向分布式拒绝 服务攻击(DDoS)发展.它可在很短时问内使被攻击 主机瘫痪。e)过去入侵与攻击常以网络为侵犯的主 体.现在发生了策略性的改变.由攻击网络改为攻击 量仿真、网络动态配置、组织信息欺骗及网络服务。 数据捕获是蜜罐的核心功能模块.它的目标是捕获 攻击者的每一步动作。数据分析包括网络协议分析、 网络行为分析和攻击特征分析等。蜜罐系统作为网 络攻击者的攻击目标。其自身的安全尤为重要.如果 蜜罐系统被攻破,将得不到任何有价值的信息,同时 蜜罐系统还会被入侵者利用作为攻击其他系统的跳 板。数据控制是蜜罐系统必需的核心功能之一。用于 保障蜜罐系统自身的安全。 蜜罐系统简单部署如图l所示。 在实际部署中,根据蜜罐要防范的攻击范围.蜜 罐系统既可部署在防火墙外也可部署在防火墙内。 网络的防护系统,并有逐渐加强的趋势。 入侵检测系统存在很多不足,有些问题很难解 决。例如:a)攻击者知识不断完善,入侵工具日趋成 熟、多样化、自动化,入侵攻击手段越来越复杂。入侵 检测系统必须不断跟踪最新的安全技术,才不会被 超越。b)恶意信息采用加密的方法传输,入侵检测系 统往往假设攻击信息是通过明文传输的,因此对信 息稍加改变便可能骗过入侵检测系统的检测。c)网 络及其中的设备越来越多样化,入侵检测系统需要 能满足多样的环境要求。d)随着网络流量增大,尤其 是对百兆以上的流量,单一的入侵检测系统很难应 要使蜜罐能充分发挥作用.就必须大量部署.并且蜜 罐使用的IP地址要与现网运营设备的IP地址在一 个号段内,最好是连续的,起到迷惑攻击者的目的。 2.2蜜罐技术的优势和缺点 付,使入侵检测系统面I临更大的挑战。e)入侵检测系 统自身的安全问题.人侵检测系统自身及安装的操 作系统也存在漏洞威胁。f)存在大量的误报和漏报。 蜜罐的实现主要依赖于低层网络技术的支持和 运用,这个特点决定了它的部署非常方便.简单的蜜 罐只需要一台操作系统没有打补丁的主机就可以做 到。但是蜜罐技术同其他技术一样都有利有弊,其优 点是:a)误报率低。因为任何到蜜罐的连接都应该是 2.1技术原理 侦听或攻击的一种,这样就大大简化了检测过程,从 蜜罐通常是指一个受到严密监控和监听的网络 诱骗系统,攻击者往往会被这个真实或模拟的网络 和服务所诱惑。安全专家和防护人员可以在攻击者 攻击蜜罐期间对其行为和过程进行分析,搜集所需要 而极大降低误报率和漏报率。b)可以做到对未知攻 击的检测。使用蜜罐技术能收集到新的攻击工具和 攻击方法。它不用像入侵检测系统一样只能根据特 征适配的方法检测已经知道的攻击工具和方法。c) 成本非常低。 蜜罐也存在着不足之处:a)有被识破的风险。b) 的信息。蜜罐这时可以对新攻击发出预警,同时还可 以延缓攻击,诱骗攻击者转移攻击目标,从而保护网 络和信息的安全。蜜罐系统的核心价值就是对攻击 活动进行监视、检测和分析。只有具备了强大的监视 局限性。蜜罐技术只能对针对蜜罐的攻击行为进行 检测和分析,不像入侵检测系统那样通过旁路侦听 等技术对整个网络进行监控。c)风险性。蜜罐系统可 能被破坏。成为恶意攻击者的跳板。 能力,才能更好地捕获攻击者或黑客的行踪和信息。 网络欺骗技术是蜜罐技术体系中最为关键的核 心技术和难题,它的强弱从一个侧面反映了蜜罐本 身的价值。目前蜜罐主要的网络欺骗技术有:模拟服 务端口、模拟系统漏洞和应用服务、IP空间欺骗、流 蜜罐技术防攻击功能的实现主要依赖于低层网 蜜罐 图1蜜罐系统简单部署图 11 lf('rnlall(】” .. 2012年第4期 络技术的支持和运用,蜜罐成本很低,并且对业务网 络的正常通信不会有任何影响,目前阶段运营商若 想在其网络中充分发挥蜜罐的作用,必须采用大量 部署的方法。IDS系统应该部署在防火墙之后,蜜罐 可以部署在防火墙之前。基于蜜罐可以记录可疑攻 击IP地址和方式并传导给IDS。做为防御参考数据 的重要技术联合优势.我们提出一种入侵检测系统 与蜜罐联合部署.提高运营商基于互联网业务的网 络安全性解决方案。部署情况如图2所示。 图4蜜罐系统将检测到的新攻击方法和工具 更新至IDS特征库 和工具,将其记录在蜜罐系统的日志系统中。将IDS 蜜罐群 IDS 蜜簟群 检测未通过的用户通信行为与蜜罐系统中存放的日 志系统进行比对,如果不符合蜜罐捕获的非法攻击 行为和攻击工具特征,就可以判断为合法用户通信 行为,让其进入业务网络正常通信,并告知IDS这 是合法用户的正常访问。如果符合蜜罐捕获的非法 攻击行为和工具特征,将其记录下来,不允许其进行 下一步动作。 图2 IDS与蜜罐在网络上配合应用 此种部署使IDS与蜜罐系统之间可以组成一 个功能互补较完善的入侵检测系统。其中IDS与蜜 罐系统之间的关键联动关系如图3和图4所示。 图4演示的情况是蜜罐系统在防火墙之外感知 到新攻击的情况下与IDS的联动。当蜜罐感知到入 侵攻击.就会将其攻击方法和攻击工具记录在日志 内,然后与已有的日志特征进行匹配,如果是已有的 攻击方法和工具时,仅仅上报受到的攻击方法和工 具即可。如果遭受到的是新类型的攻击方法和攻击 工具,蜜罐系统会更新Et志特征库,同时通知IDS 更新IDS的特征库。 人侵检测技术和蜜罐技术都是抵御恶意攻击的 有效手段,技术上有各自的优缺点,为了能更好地应 对黑客攻击能力的提高和木马病毒的大量变种.将 这两种技术在各自不断发展演进的同时结合起来应 用,是运营商业务网络更为有效的防病毒和防黑客 图3霉罐系统辅助IDS校正检测合法性 攻击的未来发展趋势。 李岳梦(1978一),女,工程师,硕士,主要从事核 心网设备、信息安全设备的规划及方案制定和咨询 设计工作。 图3演示的情况是对用户发起的访问业务 网络行为经过防火墙至IDS进行检测,由于IDS系 统本身的特点造成其存在一定的误报率,如果IDS 检测未通过,交由蜜罐系统进行进一步的特征匹配。 蜜罐系统的特点之一是可以监测出未知的入侵行为 收稿日期:2012.0l—l0 12
