1 引言
近几年来,计算机技术和网络技术已深入到社会的各个领域,给人们的学习、工作和生活带来了极大的方便。与此相伴的是,网络安全问题却变得日益严重。传统的安全技术已经不能适应动态变化的、多维的网络空间。近年来,入侵检测系统和以Honeypot 为代表的入侵诱骗技术发展迅速,初步改变了以往网络防护中的被动局面。本文结合入侵检测和入侵诱骗技术相结合的优势,并在此基础上引入入侵响应机制,使三者有机结合,形成一个完整的防御系统。
2 入侵诱骗系统
入侵诱骗系统是基于“Honeypot”理论[1],该理论研究如何设计、建立一个跟实际系统类似的“欺骗网络”。该系统对外呈现出许多脆弱性,并很容易被访问,从而吸引入侵者对其进行攻击。其重点是诱骗、吸引、继而监视入侵者,并防止在实际运行的系统中出现这样的攻击。
通常的入侵检测系统能够实时地检测网络的信息,防止入侵者的恶意攻击,但是由于其在攻击未发生与发生时使用的是同样的数据采集机制,不能有效地平衡网络负载,因此为了节省不必要的系统资源浪费,在遭受攻击时又能强化入侵检测系统的功能,必须引入一种可根据网络安全状态,动态调整实时监控的技术。入侵诱骗系统就是一个分析、学习工具,是专门设计用来引诱入侵者的系统。它位于内部网内,模拟内部网的日常活动,进行常规工作,把入侵者的注意力吸引到自己身上,从而达到保护内部网其它主机的作用[2]。
Honeypot 的优点:
(1)轻巧灵活。资源占用率少,不会出现资源耗尽的情况。
(2)使用简单。相对其他安全工具来说,Honeypot 不涉及复杂的计算,它所需要做的工作就是只要有人试图访问Honeypot,就把他的行为记录下来。
(3)数据价值高。Honeypot 虽然收集的数据量不多,但这些数据都是具有很高价值的,因为任何对它的访问都是可疑的。
Honeypot 的缺点:
(1)能力较弱。Honeypot 仅仅可以检测到对它进行的攻击,如果没有人攻击它,它就变得毫无用处。一旦攻击者绕开了Honeypot,Honeypot 将无能为力。
(2)风险性与交互性矛盾。不同级别的Honeypot 会给所处的网络环境带来不同的风险,Honeypot 越简单,风险性越小,但交互性就降低了。设计Honeypot 系统时,要根据实际网络环境的需要,充分考虑风险性和交互性的适配问题。
(3)自身安全系数不高。Honeypot 一旦被攻击者攻破,攻击者就会以此为跳板攻击网络中的其他系统,造成更大的危害。Honeypot 不能单独使用,必须要与其他安全工具结合才行。
3 入侵检测系统
入侵检测系统是一个能够对网络或计算机系统的活动进行实时检测的系统[3]
。它能够实时地检测网络的信息,发现并报告网络或系统中存在的可疑迹象,防止入侵者的恶意攻击,为网络安全管理人员及时采取对策提供有价值的信息。入侵检测技术大体上可以分为异常检测和滥用检测两类。
3.1 异常检测
异常入侵检测系统首先尽可能地收集与安全相关的信息,通过分析,从中提取用户的行为模式,构建用户行为模式库。检测过程中一旦发现用户行为有异,就认为当前的用户行为非法,从而采取进一步的行动。
优点:无需获取攻击特征。适用于已知攻击和未知攻击的检测。
缺点:阈值不易确定,攻击者可以通过渐进方式改变用户的模型,检测错误率高,无法识别攻击类型,故无法采取有针对性的响应措施。
3.2 滥用检测
滥用入侵检测是将那些预先定义好的入侵模式与观察到的情况进行模式匹配来进行检测。滥用检测误检率低,但只能检测已知的攻击。这种模式依靠攻击特征来判断入侵行为,从而要求攻击特征库是最新的。然而,特征库的更新需要安全管理人员总结新出现的攻击方式特征,有明显的时间滞后。在目前的网络攻击爆发频繁、蔓延迅速的环境下会有大量的入侵攻击难以检测。
优点:与异常检测相比,滥用检测准确率高,能够识别攻击类型,可采取有针对性的措施。
缺点:滥用检测不能检测未知攻击,需要经常更新攻击特征库。
4 入侵诱骗系统和入侵检测系统相结合的优势
从以上的分析中可以看出,将两种技术相结合,可以互相弥补不足,优势互补,形成一种较好的网络安全机制。
第一,Honeypot 解决了入侵检测面临的常见的三个难题:错报、漏报和数据过载。由于Honeypot 本身并没有任何目的,没有授权任何人对它进行访问,所以任何对Honeypot的访问都可能是检测扫描或者是攻击,因此就解决了错报和漏报的问题。Honeypot 仅仅收集那些对它进行访问的数据,通常情况下,Honeypot 只会产生几兆的数据,也不会产生数据过载的情况。
第二,Honeypot 也是一个研究性质的系统,通过它可以发现新型入侵方式和入侵工具,从而弥补入侵检测系统无法对新型入侵进行迅速反应的缺点。
第三,因 Honeypot 为了诱骗入侵者而充当了入侵诱骗系统的牺牲品,其自身就有很多的安全漏洞。因此,Honeypot 不能单独使用,通过与入侵检测系统相结合,将大大提高系统的生存能力。
这两种技术相结合的重要意义在于它弥补了单纯的入侵检测系统的不足,变被动为主动,增加了系统的安全性。它为系统节省了不必要的资源浪费,在遭受攻击时又能强化入侵检测系统的功能,将网络安全状态进行了动态调整,使攻击者受骗上当,从而保护了正在运行的真正系统,并对攻击者的行为进行实时监控,供网络安全人员分析和学习攻击者的思路和方法。
5 入侵响应系统
若仅采取入侵诱骗和入侵检测,对入侵行为不采取相应的安全措施,一旦入侵者不断进攻,用户将疲于应付。另外,入侵者将肆无忌惮地入侵网络,而用户将一直处于被动挨打的局面,缺乏相应的还击手段。因此笔者认为:在入侵诱骗和入侵检测相结合的基础上引进入侵响应系统,构成响应和预警互补的综合安全系统,其主要功能是在检测到入侵行为后,与其它的设备或系统协同响应,阻止其进一步的入侵,减少入侵造成的损失[4]
。下图给出了入侵诱骗系统、入侵检测系统和入侵响应系统三者相结合的系统模型。入侵响应系统主要包含以下几个方面。
5.1 入侵响应系统与防火墙的协同
防火墙与入侵响应系统可以很好的互补。这种互补体现在静态和动态两个层面上。静态方面是入侵响应系统可以通过了解防火墙的策略,对网络上的安全事件进行更有效的分析,从而实现准确的报警,减少误报;动态方面是当入侵响应系统发现攻击时,可以通知防火墙对已经建立的连接进行有效的阻断,同时通知防火墙修改策略,防止潜在的进一步攻击发生。
5.2 入侵响应系统与路由器、交换机的协同
由于交换机和路由器与防火墙一样,一般串接在网络上,同时都有预定的策略,可以决定网络上的数据流,所以入侵响应系统与交换机、路由器的响应和同防火墙的响应相似,都有动态和静态两个方面,过程也大致相同。
5.3 入侵响应系统与防病毒系统的协同
对防病毒系统来讲,查和杀是不可或缺的两个方面,在查的层面有数据采集机制,在杀的层面有响应机制。如果说入侵响应系统还可以通过发送大量RST 报文阻断已经建立的连接,某种程度上代替防火墙的响应机制的话,在防止计算机遭受病毒袭击方面就无能无力。
目前由于病毒攻击占所有攻击的比例不断增加,入侵响应系统与防病毒系统的响应也变得越来越重要。
6 总结
入侵诱骗技术是网络安全中的一个新兴领域,这是一个极有力的安全措施,是对现有的安全体系的一次全面升级和重要扩充,对提高网络的可生存性起着重要的作用,具有广阔的应用前景。该安全机制改变了以前网络安全中那种守株待兔式的安全策略,变被动为主动,具有极大的优势[5]。一旦有入侵者侵犯,系统就自动将其引诱到已经设置好的陷阱中(Honeypot),然后入侵检测系统对其侦查、分析、判断,最后再由入侵响应系统采取相应措施对其实施处罚。
本文作者创新点:本文对入侵诱骗和入侵检测技术作了较详细的分析研究,并在这两者相结合的基础上引入了入侵响应的概念,建立了较为完善的系统模型,从而形成了入侵诱骗、入侵检测、入侵响应三位一体的安全防护机制,并构建了系统模型。这三种技术相互协作,共同作战,为我们在以后处理网络入侵事件提供了一种重要策略,其必将成为信息战理论的基础。 |
