1、中南大学本科生毕业设计调研报告题 目 基于蜜罐的入侵检测技术的研究学生姓名 陈海宁指导老师 汪 洁学 院 信息科学与工程学院专业班级 信息安全 0301 班完成时间 2007.03.25摘 要随着计算机网络的普遍使用,借助于网络的入侵行为的数量和破坏性也不断增加。传统的入侵检测技术由于具有误报率和漏报率较高、不能识别未知攻击等缺点,已经不能满足人们的需求。将蜜罐技术和入侵检测技术相结合,并在此基础上发展而来的入侵诱骗技术,可以较好地解决上述问题。本文首先依次介绍了入侵检测技术和蜜罐技术的基础知识,其次在讲述了入侵诱骗技术的发展背景之后,分别介绍了入侵诱骗模型的防火墙模块、入侵检测模块、数据控制
2、模块、数据捕获模块和数据分析模块,最后对入侵诱骗技术的研究现状做了简略的介绍。第二部分是关于对课题设计计划的阐述。本次设计的重点是实现入侵诱骗系统的数据分析模块。首先,对几种典型的攻击类型进行分析和比较,得到进入Honeypot 网络的攻击所具有的特征。搭建蜜罐,获得若干样本,其中每个样本都包括了分析得出的特征上的取值。然后,利用感知器学习方法建立入侵检测模型,并用捕获到的样本进行训练。最后,设置实验对所得的入侵检测模型进行测试,评估其检测能力。关键词:入侵诱骗 入侵检测 蜜罐 入侵检测模型 感知器3目 录第一章 设计任务及背景 .41.1 设计任务 .41.2 设计背景 .41.2.1 入侵
3、检测技术概述 .41.2.2 蜜罐技术概述 .81.2.3 入侵诱骗技术的发展背景 .111.2.4 入侵诱骗系统模型 .111.2.5 入侵诱骗技术的研究现状 .12第二章 研究与应用 .142.1 题目要求 .142.2 课题设计思路与分析 .142.2.1 分析典型攻击及其特征 .142.2.2 利用蜜罐捕获数据 .152.2.3 建立入侵检测模型 .152.2.4 设置实验评估入侵检测模型 .192.3 工作进度 .20第三章 结论 .21参考文献 .22基于蜜罐的入侵检测技术的研究调研报告4第一章 设计任务及背景1.1 设计任务随着计算机网络的普遍使用,借助于网络的入侵行为的数量和破
4、坏性也不断增加。以入侵检测技术为核心之一的动态主动防御技术极大地提高了系统和网络的安全性,但是它仍然存在其固有的缺点,例如误报率和漏报率较高、对未知类型的攻击无能为力等。另一方面,蜜罐技术可以检测到未知的攻击,并且收集入侵信息,借以观察入侵者行为,记录其活动,以便分析入侵者的水平、目的、所用工具和入侵手段等。入侵诱骗技术通过将蜜罐引入入侵检测技术当中,结合两者的优点,对入侵行为具有更好的检测能力。本次毕业设计的任务就是,建立入侵检测模型,搭建蜜罐以获取攻击数据来训练该入侵检测模型,使其能够识别出未知攻击,并对已知攻击进行正确分类。1.2 设计背景1.2.1 入侵检测技术概述1基本概念早在20世
5、纪80年代初期,Anderson将入侵定义为:未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用 1。Heady认为入侵是指试图破坏资源的完整性、机密性及可用性的行为集合 2。Smaha从分类角度指出 3,入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。卡内基-梅隆大学的研究人员将入侵定义为非法进入信息系统,包括违反信息系统的安全策略或法律保护条例的动作 4。可以认为,入侵的定义应与受害目标相关联,该受害目标可以是一个大的系统或单个对象。判断与目标相关的操作是入侵的依据是:对目标的操作超出了目标的安全策略范围。因此,入侵是指违背访问目标的安全策略的行为
6、。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为 5。具有入侵检测功能的系统称为入侵检测系统,简称IDS。2入侵检测模型最早的入侵检测模型是由Denning 6给出的,该模型主要根据主机系统审计记录数据,生成有关系统的若干轮廓,并监测轮廓的变化差异发现系统的入侵行为,基于蜜罐的入侵检测技术的研究调研报告5如图1.1所示。入侵行为的种类不断增多,涉及的范围不断扩大,而且许多攻击是经过长时期准备,通过网上协作进行的。面对这种情况,入侵检测系统的不同功能组件之间、不同IDS之间共享这类攻击信息是十分重要的。为此,Chen等提出一种通用的入侵检测
7、框架模型,简称CIDF 7。该模型认为入侵检测系统由事件产生器(event generators)、事件分析器(event analyzers)、响应单元(response units)和事件数据库(event databases)组成,如图1.2所示。图1.1 IDES入侵检测模型图1.2 CIDF各组件之间的关系图CIDF将入侵检测系统需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统日志等其它途径得到的信息。事件产生器是从整个计算环境中获得事件,并向系统的其它部分提供事件。事件分析器分析所得到的数据,并产生分析结果。响应单元对分析结果做出反应,如切断网络连接、改变文件属性、
8、简单报警等应急响应。事件数据库存放各种中间和最终数据,数据存放的形式既可以是复杂的数据库,也可以是简单的文本文件。CIDF模型具有很强的扩展性,目前已经得到基于蜜罐的入侵检测技术的研究调研报告6广泛认同。3入侵检测技术入侵检测技术传统上分为两大类型:异常入侵检测(anomaly detection)和误用入侵检测(misuse detection) 8。异常入侵检测系指建立系统的正常模式轮廓,若实时获得的系统或用户的轮廓值与正常值的差异超出指定的阈值,就进行入侵报警。异常入侵检测方法的优点是不依赖于攻击特征,立足于受检测的目标发现入侵行为。但是,如何对检测建立异常指标,如何定义正常模式轮廓,降
9、低误报率,都是难以解决的课题。误用入侵检测系指根据已知的攻击特征检测入侵,可以直接检测出入侵行为。误用检测方法的优点是误报率低,可以发现已知的攻击行为。但是,这种方法检测的效果取决于检测知识库的完备性。为此,特征库必须及时更新。此外,这种方法无法发现未知的入侵行为。下面具体介绍这两类入侵检测技术 5。1)异常入侵检测异常检测依赖于异常模型的建立,不同模型构成不同的检测方法。不同的异常入侵检测方法主要有: 基于神经网络的异常检测方法基于神经网络入侵检测方法是训练神经网络连续的信息单元,信息单元指的是命令。网络的输入层是用户当前输入的命令和已经执行过的W个命令;用户执行过的命令被神经网络使用来预测
10、用户输入的下一个命令。若神经网络被训练成预测用户输入命令序列集合,则神经网络就构成用户的轮廓框架。当用这个神经网络预测不出某用户正确的后继命令,即在某种程度上表明了用户行为与其轮廓框架的偏离,这时有异常事件发生,以此就能进行异常入侵检测。 基于特征选择的异常检测方法基于特征选择的异常检测方法,是指从一组度量中选择能够检测出入侵的度量,构成子集,从而预测或分类入侵行为。异常入侵检测方法的关键是,在异常行为和入侵行为之间做出正确判断。选择合适的度量是困难的,因为选择度量子集依赖于所检测的入侵类型,一个度量集并不能适应所有的入侵类型。预先确定特定的度量,可能会漏报入侵行为。理想的入侵检测度量集,必须
11、能够动态地进行判断和决策。假设与入侵潜在相关的度量有n个,则n个度量构成 个子集。由于搜索空间同度量2n数之间是指数关系,所以穷尽搜索理想的度量子集,其开销是无法容忍的。Maccabe提出应用遗传方法搜索整个度量子空间,以寻找正确的度量子集。其方法是通过学习分类器方案,生成遗传交叉算子和基因突变算子,允许搜索的空间大小比其它启发式搜索技术更加有效。还有很多其它的异常检测方法,例如基于机器学习、贝叶斯网络、模式预测、数据挖掘、应用模式以及统计的异常检测方法。基于蜜罐的入侵检测技术的研究调研报告72)误用入侵检测误用入侵检测的前提是,入侵行为能按某种方式进行特征编码。入侵检测的过程,主要是模式匹配
12、的过程。入侵特征描述了安全事件或其它误用事件的特征、条件、排列和关系。特征构造方式有多种,因此误用检测方法也多种多样。下面列举主要的误用检测方法。 基于条件概率的误用检测方法基于条件概率的误用检测方法,系指将入侵方式对应一个事件序列,然后观测事件发生序列,应用贝叶斯定理进行推理,推测入侵行为 6。令 表示事件序列,ES先验概率为 ,后验概率为 ,事件出现概率为 ,则()PIntrsio()PESIntrusio()P公式(1.1)()(ESItsi通常网络安全员可以给出先验概率 ,对入侵报告数据统计处理得出(ntruio和 ,于是可以计算出()PESIntrsio()PIntrsio)()()
13、SuSItsiPIntrusioESIntrusio公式(1.2)因此,可以通过事件序列的观测推算出 。基于条件概率的误用检测(triES方法,是基于概率论的一种通用方法。它是对贝叶斯方法的改进,其缺点是先验概率难以给出,而且事件的独立性难以满足。2)基于规则的误用检测方法基于规则的误用检测方法(rule-based misuse detection),系指将攻击行为或入侵模式表示成一种规则,只要符合规则就认定它是一种入侵行为。Snort入侵检测系统就采用了基于规则的误用检测方法 9。基于规则的误用检测按规则组成方式,进一步分为向前推理规则和向后推理规则两类。此外,还有很多其它的误用检测方法,
14、比如基于专家系统、模型误用推理以及Petri网状态转换等误用检测方法。3)其它这里重点介绍诱骗技术。诱骗技术通过伪造的敏感信息和有意暴露的系统漏洞来引诱入侵者,其主要目的是收集和分析入侵者的行为、保护真正重要的系统。蜜罐就是这样一种信息系统资源。密网(Honeynet)是一种网络化的蜜罐技术,其特点是采用真实而非虚拟的系统和应用程序引诱入侵者,可以更准确地分析入侵行为。衬垫病室(padded cel1)是另一种通过伪装环境来记录并分析入侵行为的方法。不过,它并不直接引诱入侵者,而是由IDS发现入侵行为后将入侵者转移至其中,然后再进行分析。诱骗技术是一种间接的检测方法,它使入侵者的精力集中于虚假
15、环境,增加了入侵者的工作量、入侵复杂度以及不确定性,并对入侵行为进行分析。诱骗技术的使用对安全管理人员提出了更高的要求。基于蜜罐的入侵检测技术的研究调研报告81.2.2 蜜罐技术概述1蜜罐技术的发展背景网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。网络安全防护涉及面很广,从技术层面上讲主要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。在这些安全技术中,大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护。而蜜罐技术可以采取主动的方式。顾名思义,就是用特有的特征吸引攻击者,诱敌深入,同时对攻击者的各种攻击行为进行分析并找到有效的对付办法。2蜜罐的基本概
16、念和工作原理“蜜罐”这一概念最初出现在1990 年出版的一本小说The Cuckoos Egg中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。“蜜网项目组”(The Honeynet Project)的创始人Lance Spitzner 给出了对蜜罐的权威定义 10:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。蜜罐上的资源可以是仿效的操作系统或应用程序,也可以是真实的系统或者程序,总之是建立一个诱
17、骗环境,吸引攻击者或入侵者,观察其在里面所作的一切行为,并把这些行为记录下来形成日志,对此进行研究和分析攻击者所使用的工具、策略及其目的。黑客所做的行为越多,学的东西也就越多,当然面临的风险也就越大。蜜罐一般要审计入侵者的行为,保存日志文件,并记录例如进程开始、编译、增加文件、删除文件、修改以及击键等事件。通过收集这样的数据可以提高部门整体的安全性。收集的数据就可用来测量黑客的技术级别,也可以用来追踪,甚至识别其身份。总之,蜜罐帮助公司和个人来对付黑客并从所收集的数据中学习来提高自身的安全,从而可以应付更高级的攻击。3蜜罐的分类根据最终的部署目的不同,我们可以将蜜罐分为产品型蜜罐和研究型蜜罐两
18、类11。1)产品型蜜罐目的在于为一个组织的网络提供安全保护,包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署,而且不需要管理员投入大量的工作。较具代表性的产品型蜜罐包括DTK、honeyd 等开源工具和KFSensor、ManTraq 等一系列的商业产品。基于蜜罐的入侵检测技术的研究调研报告92)研究型蜜罐专门用于对黑客攻击的捕获和分析,通过部署研究型蜜罐,对黑客攻击进行追踪和分析,能够捕获黑客的键击记录,了解到黑客所使用的攻击工具及攻击方法,甚至能够监听到黑客之间的交谈,从而掌握他们的心理状态等信息。研究型蜜罐需要研究人员投入大量的时间和精力
19、进行攻击监视和分析工作,具有代表性的工具是“蜜网项目组” 12所推出的第二代蜜网技术 13。蜜罐还可以按照其交互度的等级划分为三类:低交互蜜罐、中交互蜜罐和高交互蜜罐 14。其中交互度反应了黑客在蜜罐上进行攻击活动的自由度。1)低交互蜜罐一般仅模拟操作系统和网络服务,较容易部署且风险较小,但黑客在低交互蜜罐中能够进行的攻击活动较为有限,因此通过低交互蜜罐能够收集的信息也比较有限,同时由于低交互蜜罐通常是模拟的虚拟蜜罐,或多或少存在着一些容易被黑客所识别的指纹(Fingerprinting)信息。产品型蜜罐一般属于低交互蜜罐。2)中交互蜜罐对真正的操作系统的各种行为的模拟,它提供了更多的交互信息
20、,同时也可以从攻击者的行为中获得更多的信息。在这个模拟行为的系统中,蜜罐可以看起来和一个真正的操作系统没有区别。它们是真正系统还要诱人的攻击目标。3)高交互蜜罐完全提供真实的操作系统和网络服务,没有任何的模拟,从黑客角度上看,高交互蜜罐完全是其垂涎已久的“活靶子” ,因此在高交互蜜罐中,我们能够获得许多黑客攻击的信息。高交互蜜罐在提升黑客活动自由度的同时,自然地加大了部署和维护的复杂度及风险的扩大。研究型蜜罐一般都属于高交互蜜罐,也有部分蜜罐产品,如 ManTrap,属于高交互蜜罐。蜜罐还可以按照其实现方法区分成物理蜜罐与虚拟蜜罐。物理蜜罐是真实的网络上存在的主机,运行着真实的操作系统,提供真
21、实的服务,拥有自己的IP地址;虚拟蜜罐则是由一台机器模拟的,这台机器会响应发送到虚拟蜜罐的网络数据流,提供模拟的网络服务等。4蜜罐的配置模式1)诱骗服务诱骗服务是指在特定的 IP 服务端口侦听并像应用服务程序那样对各种网络请求进行应答的应用程序。DTK 就是这样的一个服务性产品。DTK 吸引攻击者的诡计就是可执行性,但是它与攻击者进行交互的方式是模仿那些具有可攻击弱点的系统进行的,所以可以产生的应答非常有限。在这个过程中对所有的行为进行记录,同时提供较为合理的应答,并给闯入系统的攻击者带来系统并不安全的错觉。例如,基于蜜罐的入侵检测技术的研究调研报告10当我们将诱骗服务配置为 FTP 服务的模
22、式。当攻击者连接到 TCP/21 端口的时候,就会收到一个由蜜罐发出的 FTP 的标识。如果攻击者认为诱骗服务就是他要攻击的FTP,他就会采用攻击 FTP 服务的方式进入系统。这样,系统管理员便可以记录攻击的细节。2)弱化系统只要在外部因特网上有一台计算机运行没有打上补丁的微软 Windows 或者 Red Hat Linux 即行。这样的特点是攻击者更加容易进入系统,系统可以收集有效的攻击数据。因为黑客可能会设陷阱,以获取计算机的日志和审查功能,需要运行其他额外记录系统,实现对日志记录的异地存储和备份。它的缺点是“高维护低收益”。因为,获取已知的攻击行为是毫无意义的。3)强化系统强化系统同弱
23、化系统一样,提供一个真实的环境。不过此时的系统已经武装成看似足够安全的。当攻击者闯入时,蜜罐就开始收集信息,它能在最短的时间内收集最多有效数据。用这种蜜罐需要系统管理员具有更高的专业技术。如果攻击者具有更高的技术,那么,他很可能取代管理员对系统的控制,从而对其它系统进行攻击。4)用户模式服务器用户模式服务器实际上是一个用户进程,它运行在主机上,并且模拟成一个真实的服务器。在真实主机中,每个应用程序都当作一个具有独立 IP 地址的操作系统和服务的特定是实例。而用户模式服务器这样一个进程就嵌套在主机操作系统的应用程序空间中,当 INTERNET 用户向用户模式服务器的 IP 地址发送请求,主机将接
24、受请求并且转发到用户模式服务器上。 (我们用这样一个图形来表示一下他们之间的关系):这种模式的成功与否取决于攻击者的进入程度和受骗程度。它的优点体现在系统管理员对用户主机有绝对的控制权。即使蜜罐被攻陷,由于用户模式服务器是一个用户进程,那么 Administrator 只要关闭该进程就可以了。另外就是可以将 FIREWALL,IDS 集中于同一台服务器上。当然,其局限性是不适用于所有的操作系统。5蜜网蜜网是在蜜罐技术上逐步发展起来的一个新的概念,又可成为诱捕网络。蜜网技术实质上还是一类研究型的高交互蜜罐技术,其主要目的是收集黑客的攻击信息。但与传统蜜罐技术的差异在于,蜜网构成了一个黑客诱捕网络
25、体系架构,在这个架构中,我们可以包含一个或多个蜜罐,同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。此外,虚拟蜜网通过应用虚拟操作系统软件(如VMWare 和User Mode Linux等)使得我们可以在单一的主机上实现整个蜜网的体系架构。虚拟蜜网的引入使得架设基于蜜罐的入侵检测技术的研究调研报告11蜜网的代价大幅降低,也较容易部署和管理,但同时也带来了更大的风险,黑客有可能识别出虚拟操作系统软件的指纹,也可能攻破虚拟操作系统软件从而获得对整个虚拟蜜网的控制权。1.2.3 入侵诱骗技术的发展背景随着计算机网络的普遍使用,借助于网络的入侵行为的数量和破坏性也不断增加。
26、传统的静态安全防御技术如防火墙、漏洞扫描、加密和认证等,对网络环境下日新月异的攻击手段缺乏主动的反应。因此,人们提出了以入侵检测技术为核心之一的动态主动防御技术。入侵检测技术极大地提高了系统和网络的安全性,但是它仍然存在其固有的缺点,例如误报率和漏报率较高、对未知类型的攻击无能为力。我们可以将蜜罐(Honeypot)引入到入侵检测技术中。蜜罐的研究在于如何设计一个严格的欺骗环境(真实的网络主机或者用软件模拟网络和主机) ,诱骗入侵者对其进行攻击或在检测出对实际系统的攻击行为后作出预警,从而保护实际运行的系统。蜜罐可以检测到未知的攻击,并且收集入侵信息,借以观察入侵者行为,记录其活动,以便分析入
27、侵者的水平、目的、所用工具和入侵手段等。蜜罐技术和入侵检测技术的结合,不但有可能减少传统入侵检测系统的漏报和误报,而且还能识别未知的攻击,极大地增强了检测能力。这就产生了入侵诱骗技术。1.2.4 入侵诱骗系统模型一个具体的入侵诱骗系统模型 15如图 1.3 所示。整个实现模型可分为以下几个主要模块:图 1.3 入侵诱骗系统模型基于蜜罐的入侵检测技术的研究调研报告121)防火墙模块主要完成对数据流量进行粗略的过滤;2)入侵检测模块主要用来监视数据流量中的异常行为,一旦发现可疑的攻击行为,就发出报警;3)数据控制模块对于进出诱骗网络的数据流量进行控制。首先,对于流入诱骗网络的数据流量根据入侵检测模
28、块的告警信息决定哪些数据流量需要进行目的地址的重定向;其次,对于流出诱骗网络的数据流量,限制其最大外发连接数;最后,为了防止被攻击的诱骗机作为入侵者攻击其他系的跳板,采用拦截并更改可疑信息的手段进行防范;4)数据捕获模块主要是指防火墙日志、IDS日志包和honeypot主机的系统日志“三重捕获”。该模块记录了入侵者在诱骗网络中的所有攻击行为. 为了在不被入侵者发现的情况下,捕获尽可能多的入侵者攻击行为,该模块在诱骗系统的设计中十分重要。 数据捕获还可以通过监听网络接口来记录诱骗主机上的入侵动作(如击键记录);5)数据分析模块 存放所捕获到的数据信息,并进行分析。存放这些信息的目的是为了防止入侵
29、者发现而对其进行修改或销毁,同时也便于分析入侵者的攻击行为,学习他们的工具、策略以及动机,挑选出新的有价值的规则添加到入侵检测模块规则库中。1.2.5 入侵诱骗技术的发展现状国外对入侵诱骗的研究刚刚起步,在学术界,目前仅有一个“Honey Pot”理论16。该理论研究如何设计、建立一个跟实际系统类似的“欺骗”系统。该系统对外呈现出许多脆弱性,并且很容易被访问,从而吸引入侵者对其进行攻击。其重点不在捕获入侵者,而是欺骗、吸引,进而监视入侵者,发现他们怎样刺探、攻击一个网络,怎样在实际运行的系统中防止这样的攻击。该理论的重点在如何使系统看起来更真实,怎样进行信息收集,对攻击行为做记录。通常用一台真
30、实的服务器,真实的操作系统,上面存放看起来真实的虚假数据来充当“Honey Pot”,然后将其置于DMZ(DeMilitarized Zone,非军事区) ,记录以下行为:进程的启动,文件的增、删、改、编译,甚至是击键行为。目前对信息收集的研究、讨论较多,不外乎三种方法:防火墙日志、系统日志和嗅探器(Sniffer)。当前对“Honey Pot”的研究正处于探索阶段,没有成熟的理论、模型,只是各自提出了一些具体实现的方法。但这些方法提供的欺骗质量普遍较差,而且是一种请君入瓮的方法,是通过把系统的脆弱性暴露给入侵者或是故意使用一些具有强烈诱惑性的信息(如战略目标、年度报表) 的假信息来诱骗入侵者
31、,这样虽然可以对入基于蜜罐的入侵检测技术的研究调研报告13侵者进行跟踪,但也引来了更多的潜在的入侵者(他们因好奇而来) 。而更进一步,应该是在实际的系统中运行入侵检测系统,当检测到入侵行为时,才进行入侵诱骗,这样才能更好地保护自己。目前的研究大多集中于入侵检测,而在入侵诱骗方面研究则很少。国内在这方面的研究刚刚起步,尚没有形成自己的理论体系及流派,在产品上也大多限于模仿。14第二章 研究与应用2.1 题目要求首先,对几种典型的攻击类型进行分析和比较,得到进入 Honeypot 网络的攻击所具有的特征。搭建蜜罐,获得若干样本,其中每个样本都包括了分析得出的特征上的取值。然后,利用感知器学习方法建
32、立入侵检测模型这是本次设计的重点部分,并用从蜜罐中捕获到的样本进行训练。最后,设置实验对所得的入侵检测模型进行测试,评估其检测能力。2.2 课题设计思路与分析2.2.1 分析典型攻击及其特征目前,网络攻击大致上分为 4 类 17:1)Probing扫描,监视和其它探测活动,如端口扫描和主机扫描等;2)DOS(Denial of Service)拒绝服务攻击,典型有:连接洪泛、响应索取、死亡之 ping、smurf 和同步泛洪等;3)R2L(Remote to local)来自远程机器的非法访问,如口令破解等;4)U2R(User to Root)普通用户对本地超级用户特权的非法访问,如各种bu
33、ffer overflow攻击。对于上述4类攻击,前面两类攻击在一次攻击中一般需要进行多次连接,因此入侵特征多抽取为流量统计数据;后面的两类攻击一般只需要一次连接即可完成,因此一般使用基于内容的入侵特征。为了简单性,可以从4个攻击类中选出具有代表性的几个攻击进行分析,比如扫描类中的端口扫描、DOS类中的分布式拒绝服务攻击、R2L类中的口令破解,以及U2R类中缓冲区溢出攻击。通过进一步学习这几种典型的攻击,分析和比较它们的特征。然后,提取出它们发生时在网络上的共有属性,构造所需样本的结构,以此为根据从蜜罐中获取样本。基于蜜罐的入侵检测技术的研究调研报告152.2.2 利用蜜罐捕获数据搭建蜜罐有很
34、多方法,本次设计可以采用以弱化系统的方式配置高交互的蜜罐系统的方法。在宿主机上使用虚拟操作系统软件VMWare 虚拟出一个没有打最新漏洞补丁的操作系统Windows2000 Professional,其配置包括 18:1)安装虚拟操作系统。使用虚拟机软件VMWare安装Windows 2000 Professional操作系统和SP4 补丁;2)安装系统补丁程序和杀毒软件。给宿主机系统装上补丁程序,防止宿主机被攻破。安装杀毒软件且升级到最新的病毒库,并启动实时监控;3)安装日志服务器和相关记录软件。在宿主机上安装日志服务器,如Kiwi 的Syslog Daemon 7。同时,在虚拟主机上安装日
35、志记录工具如evtsys。这样蜜罐上的应用程序日志、系统日志和安全日志会发到日志服务器,我们便可以真实地了解到蜜罐的运行情况,从中发现攻击者的蛛丝马迹。最后,使用cmdlog工具记录cmd.exe。cmdlog 的特点是它可以记录cmd.exe,且不在进程列表中显示出来,这对于实时监控黑客在本机上的攻击行为十分有效;4)安装数据包捕获软件。在宿主机上安装网络数据包嗅探软件,通过捕获并分析虚拟机上流进和流出的网络数据包,可了解攻击者的攻击技术、利用的系统漏洞和使用的工具等。按照以上配置搭建好一个蜜罐后,就可以开始收集数据了:通过在分析攻击特征时构造出的攻击样本的结构,在日志服务器和数据包捕获软件
36、中获取相应的属性值。例如,可以取一段固定时间内,在网络流量、用户连接访问次数等属性上的取值,构造一个样本。最后,再将数据样本进行标准化处理。需要注意的是,为了训练建立起来的入侵检测模型,除了攻击行为的样本外,还需要对系统进行访问的正常行为的数据样本。2.2.3 建立入侵检测模型为了建立入侵检测模型,可以采用异常入侵检测方法或误用检测方法。本次设计的要求是能够识别未知攻击,区分正常行为和攻击行为,并将攻击行为进一步分类。据此,应该选用异常入侵检测方法来建立入侵检测模型。前向神经网络中的感知器学习方法可以用于异常入侵检测方法。在神经网络中,对外部环境提供的模式样本进行学习训练,并能存储这种模式,基
37、于蜜罐的入侵检测技术的研究调研报告16则称为感知器 19。神经网络在学习中,一般分为有教师和无教师学习两种。感知器采用有教师信号进行学习。所谓教师信号,就是在神经网络学习中由外部提供的模式样本信号。1感知器的学习结构感知器的学习是神经网络最典型的学习。一个有教师的学习系统可以用图 2.1表示。这种学习系统分成三个部分:输入部,训练部和输出部。图 2.1 有教师的学习系统输入部接收外来的输入样本 ,由训练部进行网络的权系数 调整,然后由输XW出部输出结果。在这个过程中,期望的输出信号可以作为教师信号输入,由该教师信号与实际输出进行比较,产生的误差去控制修改权系数 W。 学习机构可用图 2.2 所
38、示的结构表示。在图中, 是输入样本信号,12,.nX是权系数。输入样本信号 可以取离散值“0”或“1”。输入样本信12,.nWiX号通过权系数作用,在 产生输出结果 ,即有:ui公式(2.1)12.i nW再把期望输出信号 和 进行比较,从而产生误差信号 。即权值调整机构()Yt e根据误差 去对学习系统的权系数进行修改,修改方向应使误差 变小,不断进行e下去,使到误差 为零,这时实际输出值 和期望输出值 完全一样,则学习过u()Yt程结束。基于蜜罐的入侵检测技术的研究调研报告17图 2.2 学习机构神经网络的学习一般需要多次重复训练,使误差值逐渐向零趋近,最后到达零。则这时才会使输出与期望一
39、致。故而神经网络的学习是消耗一定时期的,有的学习过程要重复很多次,甚至达万次级。原因在于神经网络的权系数 有很多分量W;也即是一个多参数修改系统。系统的参数的调整就必定耗时耗量。目12,.nW前,提高神经网络的学习速度,减少学习重复次数是十分重要的研究课题,也是实时控制中的关键问题。2感知器的学习算法感知器是有单层计算单元的神经网络,由线性元件及阀值元件组成。感知器如图 2.3 示。图 2.3 感知器结构基于蜜罐的入侵检测技术的研究调研报告18感知器的数学模型为:公式(2.2)1niiYfWX其中: 是阶跃函数,并且有f公式(2.3)10niiiiufX其中 是阀值。 感知器的最大作用就是可以
40、对输入的样本分类,故它可作分类器,感知器对输入信号的分类如下:公式(2.4)1AYB类类即是,当感知器的输出为 1 时,输入样本称为 A 类;输出为-1 时,输入样本称为 B 类。从上可知感知器的分类边界是:公式(2.5)10niiWX在输入样本只有两个分量 X1,X2 时,则有分类边界条件:公式(2.6)210ii即公式(2.7)12WX感知器的学习算法目的在于找寻恰当的权系数 ,使系统对一12(,.)nw个特定的样本 能产生期望值 。当 x 分类为 A 类时,期望值 ;12(,.)nxxd1dx 为 B 类时, 。为了方便说明感知器学习算法,把阀值 并人权系数 中,d w同时,样本 也相应
41、增加一个分量 。故令:0公式(2.8),1wx则感知器的输出可表示为:公式(2.9)0niiYfWX感知器学习算法步骤如下:1)对权系数 置初值。w基于蜜罐的入侵检测技术的研究调研报告19对权系数 的各个分量置一个(-1,1)之前的非零随机值,012(,.)nww并记为 ,同时有 。这里 为 时刻在第 个输入上12(),.n0()iwti的权系数, 。 为 时刻时的阀值。,i0(t2)输入一个样本 )以及它的期望输出 。 12,.nxxd期望输出值 在样本的类属不同时取值不同。如果 x 是 A 类,则取 ,如果d 1dx 是 B 类,则取 。期望输出 也即是教师信号。d3)计算实际输出值 。Y
42、公式(2.10)0()()niiitfWtX4)根据实际输出求误差 。e公式(2.11)()dYt5)用误差 去修改权系数。e公式(2.12)1iiitteX其中, 称为权重变化率,满足 。01在公式(2.12)中, 的取值不能太大。如果 取值太大,会影响 的稳定;()iWt的取值也不能太小,否则会使 的求取过程收敛速度太慢。()iWt当实际输出和期望值 相同时有:d)(iitt6)转到第 2 点,一直执行到一切样本均稳定为止。3训练感知器模型利用在 2.2.2 节中获得的样本,分别将其中的数据以及该样本的类别(即教师信息,例如正常行为或者攻击行为)输入到已建立的感知器模型中。最后,经过感知其
43、模型的自学习,将得到权值向量 以及阀值 。至此,用感知器学12(,.)nW习方法建立的入侵检测模型完成了。2.2.4 设置实验评估入侵检测模型首先,对蜜罐进行一些正常的访问,获取正常行为的数据样本并输入在 2.2.3节中得到的入侵检测模型当中,观察模型是否可以将该样本归为正常类;其次,根据 2.2.1 节中所分析的几种攻击类,选取具有代表性的攻击软件对蜜罐系统进行攻击,捕获攻击数据后输入至入侵检测模型中,观察模型是否可以将该样本划分到正确的攻击类别当中;最后,对于在 2.2.1 节中没有提及的攻击类型,选取相应的攻击软件来攻击蜜罐系统,观察模型是否能识别该未知攻击。基于蜜罐的入侵检测技术的研究
44、调研报告202.3 工作进度表 3.1 工作进度安排表阶段 阶 段 内 容 起止时间资料收集 收集资料,翻译相关外文文献并完成调研报告;配 置简单的 Honeypot 网络 3.43.11初步设计 分析进入 Honeypot 网络的攻击所具有的特征 3.123.25详细设计 利用感知器学习方法建立检测模型并设置实验进行 测试 3.264.29整理文档 编写和整理相关文档 4.305.6撰写论文 修改完善,撰写毕业论文,准备答辩 5.66.16基于蜜罐的入侵检测技术的研究调研报告21第三章 结论随着计算机网络的普遍使用,借助于网络的入侵行为的数量和破坏性也不断增加。传统的入侵检测技术由于具有误报
45、率和漏报率较高、不能识别未知攻击等缺点,已经不能满足人们的需求。将蜜罐技术和入侵检测技术相结合,并在此基础上发展而来的入侵诱骗技术,可以较好地解决上述问题。本文首先依次介绍了入侵检测技术和蜜罐技术的基础知识,其次在讲述了入侵诱骗技术的发展背景之后,分别介绍了入侵诱骗模型的防火墙模块、入侵检测模块、数据控制模块、数据捕获模块和数据分析模块,最后对入侵诱骗技术的研究现状做了简略的介绍。第二部分是关于对课题设计计划的阐述。本次设计的重点是实现入侵诱骗系统的数据分析模块。首先,对几种典型的攻击类型进行分析和比较,得到进入Honeypot 网络的攻击所具有的特征。搭建蜜罐,获得若干样本,其中每个样本都包
46、括了分析得出的特征上的取值。然后,利用感知器学习方法建立入侵检测模型,并用捕获到的样本进行训练。最后,设置实验对所得的入侵检测模型进行测试,评估其检测能力。基于蜜罐的入侵检测技术的研究调研报告22参考文献1 ANDERSON J E Computer Security Threat Monitoring and SurveillanceRJames P Anderson Co,Fort Washington,Pennsylvania,19802 SPAFFORD ECrisis and aftermathJCommunications of the ACM,1989,32(6):6786873
47、 STEVEN E,SMAHAHaystack:an intrusion detection systemA.Proceedings of the Fourth Aerospace Computer Security Applications ConferenceCWashington:IEEE Computer Society Press,198837_444 ELLIS J,et a1State of the practice of intrusion detection technologiesEBOL http:/wwwSei.cmu.edu/publicationsdocuments
48、99.reports/99tr028/99tr028abstract.html5 卿斯汉等入侵检测技术研究综述J通信学 报 ,2004,25(7):19296 DOROTHY EDenning,an intrusion-detection modelJIEEE Transactions on Software Engineering,1987,13(2):2222327 CHEN STUNG B,SCHNACKENBERG DThe Common Intrusion Detection Framework-data FormatsRIntemet draft draft-ietf-cidf-d
49、ata-form ats-00.txt,19988 KUMAR SClassification and Detection of Computer IntrusionsDDissertation,Purdue University,19959 The open source network intrusion detection systemEB/OLhttp:/www.Snort.org/10 L. Spitzner, “Honeypot - Definitions and Value of Honeypots” 2003/05/29Available from http:/www.tracking- 诸葛建伟 蜜罐与蜜罐技术介绍 http:/www.hone
