调研报告格式参考文档

1、中南大学中南大学 本科生毕业设计调研报告本科生毕业设计调研报告 题 目 基于蜜罐的入侵检测技术的研究 学生姓名 陈海宁 指导老师 汪 洁 学 院 信息科学与工程学院 专业班级 信息安全 0301 班 完成时间 2007.03.25 摘 要 随着计算机网络的普遍使用，借助于网络的入侵行为的数量和破坏性也不断增 加。传统的入侵检测技术由于具有误报率和漏报率较高、不能识别未知攻击等缺点， 已经不能满足人们的需求。将蜜罐技术和入侵检测技术相结合，并在此基础上发展 而来的入侵诱骗技术，可以较好地解决上述问题。 本文首先依次介绍了入侵检测技术和蜜罐技术的基础知识，其次在讲述了入侵 诱骗技术的发展背景之后，

2、分别介绍了入侵诱骗模型的防火墙模块、入侵检测模块、 数据控制模块、数据捕获模块和数据分析模块，最后对入侵诱骗技术的研究现状做 了简略的介绍。 第二部分是关于对课题设计计划的阐述。本次设计的重点是实现入侵诱骗系统 的数据分析模块。首先，对几种典型的攻击类型进行分析和比较，得到进入 Honeypot 网络的攻击所具有的特征。搭建蜜罐，获得若干样本，其中每个样本都包 括了分析得出的特征上的取值。然后，利用感知器学习方法建立入侵检测模型，并 用捕获到的样本进行训练。最后，设置实验对所得的入侵检测模型进行测试，评估 其检测能力。 关键词：关键词：入侵诱骗 入侵检测 蜜罐 入侵检测模型 感知器 3 目目

3、录录 第一章第一章 设计任务及背景设计任务及背景 .4 1.1 设计任务 .4 1.2 设计背景 .4 1.2.1 入侵检测技术概述 .4 1.2.2 蜜罐技术概述 .8 1.2.3 入侵诱骗技术的发展背景 .11 1.2.4 入侵诱骗系统模型 .11 1.2.5 入侵诱骗技术的研究现状 .12 第二章第二章 研究与应用研究与应用 .14 2.1 题目要求 .14 2.2 课题设计思路与分析 .14 2.2.1 分析典型攻击及其特征 .14 2.2.2 利用蜜罐捕获数据 .15 2.2.3 建立入侵检测模型 .15 2.2.4 设置实验评估入侵检测模型 .19 2.3 工作进度.20 第三章第

4、三章 结论结论 .21 参考文献参考文献 .22 基于蜜罐的入侵检测技术的研究调研报告 4 第一章 设计任务及背景 1.1 设计任务 随着计算机网络的普遍使用，借助于网络的入侵行为的数量和破坏性也不断增 加。以入侵检测技术为核心之一的动态主动防御技术极大地提高了系统和网络的安 全性，但是它仍然存在其固有的缺点，例如误报率和漏报率较高、对未知类型的攻 击无能为力等。另一方面，蜜罐技术可以检测到未知的攻击，并且收集入侵信息， 借以观察入侵者行为，记录其活动，以便分析入侵者的水平、目的、所用工具和入 侵手段等。入侵诱骗技术通过将蜜罐引入入侵检测技术当中，结合两者的优点，对 入侵行为具有更好的检测能力

5、。 本次毕业设计的任务就是，建立入侵检测模型，搭建蜜罐以获取攻击数据来训 练该入侵检测模型，使其能够识别出未知攻击，并对已知攻击进行正确分类。 1.2 设计背景 1.2.1 入侵检测技术概述 1基本概念 早在20世纪80年代初期，Anderson将入侵定义为：未经授权蓄意尝试访问信息、 篡改信息、使系统不可靠或不能使用1。Heady认为入侵是指试图破坏资源的完整 性、机密性及可用性的行为集合2。Smaha从分类角度指出3，入侵包括尝试性闯 入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。卡内基 -梅隆大学的研究人员将入侵定义为非法进入信息系统，包括违反信息系统的安全 策略或法

6、律保护条例的动作4。可以认为，入侵的定义应与受害目标相关联，该受 害目标可以是一个大的系统或单个对象。判断与目标相关的操作是入侵的依据是： 对目标的操作超出了目标的安全策略范围。因此，入侵是指违背访问目标的安全策 略的行为。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息，发 现系统中违背安全策略或危及系统安全的行为5。具有入侵检测功能的系统称为入 侵检测系统，简称IDS。 2入侵检测模型 最早的入侵检测模型是由Denning6给出的，该模型主要根据主机系统审计记 录数据，生成有关系统的若干轮廓，并监测轮廓的变化差异发现系统的入侵行为， 基于蜜罐的入侵检测技术的研究调研报告 5 如图

7、1.1所示。 入侵行为的种类不断增多，涉及的范围不断扩大，而且许多攻击是经过长时期 准备，通过网上协作进行的。面对这种情况，入侵检测系统的不同功能组件之间、 不同IDS之间共享这类攻击信息是十分重要的。为此，Chen等提出一种通用的入侵 检测框架模型，简称CIDF7。该模型认为入侵检测系统由事件产生器(event generators)、事件分析器(event analyzers)、响应单元(response units)和事件 数据库(event databases)组成，如图1.2所示。 图1.1 IDES入侵检测模型 图1.2 CIDF各组件之间的关系图 CIDF将入侵检测系统需要分析的

8、数据统称为事件，它可以是网络中的数据包， 也可以是从系统日志等其它途径得到的信息。事件产生器是从整个计算环境中获得 事件，并向系统的其它部分提供事件。事件分析器分析所得到的数据，并产生分析 结果。响应单元对分析结果做出反应，如切断网络连接、改变文件属性、简单报警 等应急响应。事件数据库存放各种中间和最终数据，数据存放的形式既可以是复杂 的数据库，也可以是简单的文本文件。CIDF模型具有很强的扩展性，目前已经得到 基于蜜罐的入侵检测技术的研究调研报告 6 广泛认同。 3入侵检测技术 入侵检测技术传统上分为两大类型：异常入侵检测(anomaly detection)和误 用入侵检测(misuse

9、detection)8。异常入侵检测系指建立系统的正常模式轮廓， 若实时获得的系统或用户的轮廓值与正常值的差异超出指定的阈值，就进行入侵报 警。异常入侵检测方法的优点是不依赖于攻击特征，立足于受检测的目标发现入侵 行为。但是，如何对检测建立异常指标，如何定义正常模式轮廓，降低误报率，都 是难以解决的课题。误用入侵检测系指根据已知的攻击特征检测入侵，可以直接检 测出入侵行为。误用检测方法的优点是误报率低，可以发现已知的攻击行为。但是， 这种方法检测的效果取决于检测知识库的完备性。为此，特征库必须及时更新。此 外，这种方法无法发现未知的入侵行为。 下面具体介绍这两类入侵检测技术5。 1）异常入侵检

10、测 异常检测依赖于异常模型的建立，不同模型构成不同的检测方法。不同的异常 入侵检测方法主要有： 基于神经网络的异常检测方法 基于神经网络入侵检测方法是训练神经网络连续的信息单元，信息单元指的是 命令。网络的输入层是用户当前输入的命令和已经执行过的W个命令；用户执行过 的命令被神经网络使用来预测用户输入的下一个命令。若神经网络被训练成预测用 户输入命令序列集合，则神经网络就构成用户的轮廓框架。当用这个神经网络预测 不出某用户正确的后继命令，即在某种程度上表明了用户行为与其轮廓框架的偏离， 这时有异常事件发生，以此就能进行异常入侵检测。 基于特征选择的异常检测方法 基于特征选择的异常检测方法，是指

11、从一组度量中选择能够检测出入侵的度量， 构成子集，从而预测或分类入侵行为。异常入侵检测方法的关键是，在异常行为和 入侵行为之间做出正确判断。选择合适的度量是困难的，因为选择度量子集依赖于 所检测的入侵类型，一个度量集并不能适应所有的入侵类型。预先确定特定的度量， 可能会漏报入侵行为。理想的入侵检测度量集，必须能够动态地进行判断和决策。 假设与入侵潜在相关的度量有n个，则n个度量构成个子集。由于搜索空间同度量2n 数之间是指数关系，所以穷尽搜索理想的度量子集，其开销是无法容忍的。 Maccabe提出应用遗传方法搜索整个度量子空间，以寻找正确的度量子集。其方法 是通过学习分类器方案，生成遗传交叉算

12、子和基因突变算子，允许搜索的空间大小 比其它启发式搜索技术更加有效。 还有很多其它的异常检测方法，例如基于机器学习、贝叶斯网络、模式预测、 数据挖掘、应用模式以及统计的异常检测方法。 基于蜜罐的入侵检测技术的研究调研报告 7 2）误用入侵检测 误用入侵检测的前提是，入侵行为能按某种方式进行特征编码。入侵检测的过 程，主要是模式匹配的过程。入侵特征描述了安全事件或其它误用事件的特征、条 件、排列和关系。特征构造方式有多种，因此误用检测方法也多种多样。下面列举 主要的误用检测方法。 基于条件概率的误用检测方法 基于条件概率的误用检测方法，系指将入侵方式对应一个事件序列，然后观测 事件发生序列，应用

13、贝叶斯定理进行推理，推测入侵行为6。令表示事件序列，ES 先验概率为，后验概率为，事件出现概率为，则()P Intrsion()P ES Intrusion()P ES 公式（1.1） () ()() () P Intrusion P Intrsion ESP ES Intrsion P ES 通常网络安全员可以给出先验概率，对入侵报告数据统计处理得出()P Intrusion 和，于是可以计算出()P ES Intrsion()P ESIntrsion ()( ()()()()P ESP ES IntrusionP ESIntrusionP IntrusionP ESIntrusion 公式

14、（1.2） 因此，可以通过事件序列的观测推算出。基于条件概率的误用检测()P Intrsion ES 方法，是基于概率论的一种通用方法。它是对贝叶斯方法的改进，其缺点是先验概 率难以给出，而且事件的独立性难以满足。 2）基于规则的误用检测方法 基于规则的误用检测方法(rule-based misuse detection)，系指将攻击行为 或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为。Snort入侵 检测系统就采用了基于规则的误用检测方法9。基于规则的误用检测按规则组成方 式，进一步分为向前推理规则和向后推理规则两类。 此外，还有很多其它的误用检测方法，比如基于专家系统、模型误

15、用推理以及 Petri网状态转换等误用检测方法。 3）其它 这里重点介绍诱骗技术。诱骗技术通过伪造的敏感信息和有意暴露的系统漏洞 来引诱入侵者，其主要目的是收集和分析入侵者的行为、保护真正重要的系统。蜜 罐就是这样一种信息系统资源。密网(Honeynet)是一种网络化的蜜罐技术，其特点 是采用真实而非虚拟的系统和应用程序引诱入侵者，可以更准确地分析入侵行为。 衬垫病室(padded cel1)是另一种通过伪装环境来记录并分析入侵行为的方法。不 过，它并不直接引诱入侵者，而是由IDS发现入侵行为后将入侵者转移至其中，然 后再进行分析。诱骗技术是一种间接的检测方法，它使入侵者的精力集中于虚假环 境

16、，增加了入侵者的工作量、入侵复杂度以及不确定性，并对入侵行为进行分析。 诱骗技术的使用对安全管理人员提出了更高的要求。 基于蜜罐的入侵检测技术的研究调研报告 8 1.2.2 蜜罐技术概述 1蜜罐技术的发展背景 网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。网络 安全防护涉及面很广，从技术层面上讲主要包括防火墙技术、入侵检测技术，病毒 防护技术，数据加密和认证技术等。在这些安全技术中，大多数技术都是在攻击者 对网络进行攻击时对系统进行被动的防护。而蜜罐技术可以采取主动的方式。顾名 思义，就是用特有的特征吸引攻击者，诱敌深入，同时对攻击者的各种攻击行为进 行分析并找到有效的对付办

17、法。 2蜜罐的基本概念和工作原理 “蜜罐”这一概念最初出现在1990 年出版的一本小说The Cuckoos Egg 中，在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并发现一起商 业间谍案的故事。“蜜网项目组”（The Honeynet Project）的创始人Lance Spitzner 给出了对蜜罐的权威定义10：蜜罐是一种安全资源，其价值在于被扫描、 攻击和攻陷。这个定义表明蜜罐并无其他实际作用，因此所有流入/流出蜜罐的网 络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动 进行监视、检测和分析。 蜜罐上的资源可以是仿效的操作系统或应用程序，也可以是真实

18、的系统或者程 序，总之是建立一个诱骗环境，吸引攻击者或入侵者，观察其在里面所作的一切行 为，并把这些行为记录下来形成日志，对此进行研究和分析攻击者所使用的工具、 策略及其目的。黑客所做的行为越多，学的东西也就越多，当然面临的风险也就越 大。 蜜罐一般要审计入侵者的行为，保存日志文件，并记录例如进程开始、编译、 增加文件、删除文件、修改以及击键等事件。通过收集这样的数据可以提高部门整 体的安全性。收集的数据就可用来测量黑客的技术级别，也可以用来追踪，甚至识 别其身份。总之，蜜罐帮助公司和个人来对付黑客并从所收集的数据中学习来提高 自身的安全，从而可以应付更高级的攻击。 3蜜罐的分类 根据最终的部

19、署目的不同，我们可以将蜜罐分为产品型蜜罐和研究型蜜罐两类 11。 1）产品型蜜罐 目的在于为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏 及帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署，而 且不需要管理员投入大量的工作。较具代表性的产品型蜜罐包括DTK、honeyd 等开 源工具和KFSensor、ManTraq 等一系列的商业产品。 基于蜜罐的入侵检测技术的研究调研报告 9 2）研究型蜜罐 专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐，对黑客攻击进行追 踪和分析，能够捕获黑客的键击记录，了解到黑客所使用的攻击工具及攻击方法， 甚至能够监听到黑客之间的

20、交谈，从而掌握他们的心理状态等信息。研究型蜜罐需 要研究人员投入大量的时间和精力进行攻击监视和分析工作，具有代表性的工具是 “蜜网项目组”12所推出的第二代蜜网技术13。 蜜罐还可以按照其交互度的等级划分为三类：低交互蜜罐、中交互蜜罐和高交互蜜 罐14。 其中交互度反应了黑客在蜜罐上进行攻击活动的自由度。 1）低交互蜜罐 一般仅模拟操作系统和网络服务，较容易部署且风险较小，但黑客在低交互蜜 罐中能够进行的攻击活动较为有限，因此通过低交互蜜罐能够收集的信息也比较有 限，同时由于低交互蜜罐通常是模拟的虚拟蜜罐，或多或少存在着一些容易被黑客 所识别的指纹（Fingerprinting）信息。产品型蜜

21、罐一般属于低交互蜜罐。 2）中交互蜜罐 对真正的操作系统的各种行为的模拟，它提供了更多的交互信息，同时也可以 从攻击者的行为中获得更多的信息。在这个模拟行为的系统中，蜜罐可以看起来和 一个真正的操作系统没有区别。它们是真正系统还要诱人的攻击目标。 3）高交互蜜罐 完全提供真实的操作系统和网络服务，没有任何的模拟，从黑客角度上看，高 交互蜜罐完全是其垂涎已久的“活靶子” ，因此在高交互蜜罐中，我们能够获得许 多黑客攻击的信息。高交互蜜罐在提升黑客活动自由度的同时，自然地加大了部署 和维护的复杂度及风险的扩大。研究型蜜罐一般都属于高交互蜜罐，也有部分蜜罐 产品，如 ManTrap，属于高交互蜜罐。

22、 蜜罐还可以按照其实现方法区分成物理蜜罐与虚拟蜜罐。物理蜜罐是真实的网 络上存在的主机，运行着真实的操作系统，提供真实的服务，拥有自己的IP地址； 虚拟蜜罐则是由一台机器模拟的，这台机器会响应发送到虚拟蜜罐的网络数据流， 提供模拟的网络服务等。 4蜜罐的配置模式 1）诱骗服务 诱骗服务是指在特定的 IP 服务端口侦听并像应用服务程序那样对各种网络请 求进行应答的应用程序。DTK 就是这样的一个服务性产品。DTK 吸引攻击者的诡计 就是可执行性，但是它与攻击者进行交互的方式是模仿那些具有可攻击弱点的系统 进行的，所以可以产生的应答非常有限。在这个过程中对所有的行为进行记录，同 时提供较为合理的应

23、答，并给闯入系统的攻击者带来系统并不安全的错觉。例如， 基于蜜罐的入侵检测技术的研究调研报告 10 当我们将诱骗服务配置为 FTP 服务的模式。当攻击者连接到 TCP/21 端口的时候， 就会收到一个由蜜罐发出的 FTP 的标识。如果攻击者认为诱骗服务就是他要攻击的 FTP，他就会采用攻击 FTP 服务的方式进入系统。这样，系统管理员便可以记录攻 击的细节。 2）弱化系统 只要在外部因特网上有一台计算机运行没有打上补丁的微软 Windows 或者 Red Hat Linux 即行。这样的特点是攻击者更加容易进入系统，系统可以收集有效的攻 击数据。因为黑客可能会设陷阱，以获取计算机的日志和审查功

24、能，需要运行其他 额外记录系统，实现对日志记录的异地存储和备份。它的缺点是“高维护低收益”。 因为，获取已知的攻击行为是毫无意义的。 3）强化系统 强化系统同弱化系统一样，提供一个真实的环境。不过此时的系统已经武装成 看似足够安全的。当攻击者闯入时，蜜罐就开始收集信息，它能在最短的时间内收 集最多有效数据。用这种蜜罐需要系统管理员具有更高的专业技术。如果攻击者具 有更高的技术，那么，他很可能取代管理员对系统的控制，从而对其它系统进行攻 击。 4）用户模式服务器 用户模式服务器实际上是一个用户进程，它运行在主机上，并且模拟成一个真 实的服务器。在真实主机中，每个应用程序都当作一个具有独立 IP

25、地址的操作系 统和服务的特定是实例。而用户模式服务器这样一个进程就嵌套在主机操作系统的 应用程序空间中，当 INTERNET 用户向用户模式服务器的 IP 地址发送请求，主机将 接受请求并且转发到用户模式服务器上。 （我们用这样一个图形来表示一下他们之 间的关系）：这种模式的成功与否取决于攻击者的进入程度和受骗程度。它的优点 体现在系统管理员对用户主机有绝对的控制权。即使蜜罐被攻陷，由于用户模式服 务器是一个用户进程，那么 Administrator 只要关闭该进程就可以了。另外就是可 以将 FIREWALL，IDS 集中于同一台服务器上。当然，其局限性是不适用于所有的操 作系统。 5蜜网 蜜

26、网是在蜜罐技术上逐步发展起来的一个新的概念，又可成为诱捕网络。蜜网 技术实质上还是一类研究型的高交互蜜罐技术，其主要目的是收集黑客的攻击信息。 但与传统蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，在这个架 构中，我们可以包含一个或多个蜜罐，同时保证了网络的高度可控性，以及提供多 种工具以方便对攻击信息的采集和分析。 此外，虚拟蜜网通过应用虚拟操作系统软件（如VMWare 和User Mode Linux等） 使得我们可以在单一的主机上实现整个蜜网的体系架构。虚拟蜜网的引入使得架设 基于蜜罐的入侵检测技术的研究调研报告 11 蜜网的代价大幅降低，也较容易部署和管理，但同时也带来了更大

27、的风险，黑客有 可能识别出虚拟操作系统软件的指纹，也可能攻破虚拟操作系统软件从而获得对整 个虚拟蜜网的控制权。 1.2.3 入侵诱骗技术的发展背景 随着计算机网络的普遍使用，借助于网络的入侵行为的数量和破坏性也不断增 加。传统的静态安全防御技术如防火墙、漏洞扫描、加密和认证等，对网络环境下 日新月异的攻击手段缺乏主动的反应。因此，人们提出了以入侵检测技术为核心之 一的动态主动防御技术。入侵检测技术极大地提高了系统和网络的安全性，但是它 仍然存在其固有的缺点，例如误报率和漏报率较高、对未知类型的攻击无能为力。 我们可以将蜜罐（Honeypot）引入到入侵检测技术中。蜜罐的研究在于如何设 计一个严

28、格的欺骗环境（真实的网络主机或者用软件模拟网络和主机） ，诱骗入侵 者对其进行攻击或在检测出对实际系统的攻击行为后作出预警，从而保护实际运行 的系统。蜜罐可以检测到未知的攻击，并且收集入侵信息，借以观察入侵者行为， 记录其活动，以便分析入侵者的水平、目的、所用工具和入侵手段等。蜜罐技术和 入侵检测技术的结合，不但有可能减少传统入侵检测系统的漏报和误报,而且还能 识别未知的攻击,极大地增强了检测能力。这就产生了入侵诱骗技术。 1.2.4 入侵诱骗系统模型 一个具体的入侵诱骗系统模型15如图 1.3 所示。整个实现模型可分为以下几个 主要模块： 图 1.3 入侵诱骗系统模型 基于蜜罐的入侵检测技术

29、的研究调研报告 12 1）防火墙模块 主要完成对数据流量进行粗略的过滤； 2）入侵检测模块 主要用来监视数据流量中的异常行为,一旦发现可疑的攻击行为,就发出报警； 3）数据控制模块 对于进出诱骗网络的数据流量进行控制。首先,对于流入诱骗网络的数据流量 根据入侵检测模块的告警信息决定哪些数据流量需要进行目的地址的重定向；其次,对 于流出诱骗网络的数据流量,限制其最大外发连接数；最后,为了防止被攻击的诱骗 机作为入侵者攻击其他系的跳板,采用拦截并更改可疑信息的手段进行防范； 4）数据捕获模块 主要是指防火墙日志、IDS日志包和honeypot主机的系统日志“三重捕获”。 该模块记录了入侵者在诱骗网

30、络中的所有攻击行为. 为了在不被入侵者发现的情况 下,捕获尽可能多的入侵者攻击行为,该模块在诱骗系统的设计中十分重要。 数据 捕获还可以通过监听网络接口来记录诱骗主机上的入侵动作(如击键记录)； 5）数据分析模块 存放所捕获到的数据信息,并进行分析。存放这些信息的目的是为了防止入侵 者发现而对其进行修改或销毁,同时也便于分析入侵者的攻击行为,学习他们的工具、 策略以及动机,挑选出新的有价值的规则添加到入侵检测模块规则库中。 1.2.5 入侵诱骗技术的发展现状 国外对入侵诱骗的研究刚刚起步,在学术界,目前仅有一个“Honey Pot”理论 16。该理论研究如何设计、建立一个跟实际系统类似的“欺骗

31、”系统。该系统对外 呈现出许多脆弱性,并且很容易被访问,从而吸引入侵者对其进行攻击。其重点不在 捕获入侵者,而是欺骗、吸引,进而监视入侵者,发现他们怎样刺探、攻击一个网络, 怎样在实际运行的系统中防止这样的攻击。该理论的重点在如何使系统看起来更真 实,怎样进行信息收集,对攻击行为做记录。通常用一台真实的服务器,真实的操作 系统,上面存放看起来真实的虚假数据来充当“Honey Pot”,然后将其置于 DMZ(DeMilitarized Zone，非军事区) ,记录以下行为:进程的启动,文件的增、删、 改、编译,甚至是击键行为。目前对信息收集的研究、讨论较多,不外乎三种方法: 防火墙日志、系统日志

32、和嗅探器(Sniffer)。 当前对“Honey Pot”的研究正处于探索阶段,没有成熟的理论、模型,只是各 自提出了一些具体实现的方法。但这些方法提供的欺骗质量普遍较差,而且是一种 请君入瓮的方法,是通过把系统的脆弱性暴露给入侵者或是故意使用一些具有强烈 诱惑性的信息(如战略目标、年度报表) 的假信息来诱骗入侵者,这样虽然可以对入 基于蜜罐的入侵检测技术的研究调研报告 13 侵者进行跟踪,但也引来了更多的潜在的入侵者(他们因好奇而来) 。而更进一步, 应该是在实际的系统中运行入侵检测系统,当检测到入侵行为时,才进行入侵诱骗, 这样才能更好地保护自己。目前的研究大多集中于入侵检测,而在入侵诱骗

33、方面研 究则很少。 国内在这方面的研究刚刚起步,尚没有形成自己的理论体系及流派,在产品上也 大多限于模仿。 14 第二章 研究与应用 2.1 题目要求 首先，对几种典型的攻击类型进行分析和比较，得到进入 Honeypot 网络的攻 击所具有的特征。搭建蜜罐，获得若干样本，其中每个样本都包括了分析得出的特 征上的取值。然后，利用感知器学习方法建立入侵检测模型这是本次设计的重 点部分，并用从蜜罐中捕获到的样本进行训练。最后，设置实验对所得的入侵检测 模型进行测试，评估其检测能力。 2.2 课题设计思路与分析 2.2.1 分析典型攻击及其特征 目前，网络攻击大致上分为 4 类17： 1）Probin

34、g 扫描，监视和其它探测活动，如端口扫描和主机扫描等； 2）DOS（Denial of Service） 拒绝服务攻击，典型有：连接洪泛、响应索取、死亡之 ping、smurf 和同步泛 洪等； 3）R2L（Remote to local） 来自远程机器的非法访问，如口令破解等； 4）U2R（User to Root） 普通用户对本地超级用户特权的非法访问，如各种buffer overflow攻击。 对于上述4类攻击，前面两类攻击在一次攻击中一般需要进行多次连接，因此 入侵特征多抽取为流量统计数据；后面的两类攻击一般只需要一次连接即可完成， 因此一般使用基于内容的入侵特征。 为了简单性，可以从

35、4个攻击类中选出具有代表性的几个攻击进行分析，比如 扫描类中的端口扫描、DOS类中的分布式拒绝服务攻击、R2L类中的口令破解，以及 U2R类中缓冲区溢出攻击。通过进一步学习这几种典型的攻击，分析和比较它们的 特征。然后，提取出它们发生时在网络上的共有属性，构造所需样本的结构，以此 为根据从蜜罐中获取样本。 基于蜜罐的入侵检测技术的研究调研报告 15 2.2.2 利用蜜罐捕获数据 搭建蜜罐有很多方法，本次设计可以采用以弱化系统的方式配置高交互的蜜罐 系统的方法。在宿主机上使用虚拟操作系统软件VMWare 虚拟出一个没有打最新漏 洞补丁的操作系统Windows2000 Professional，其

36、配置包括18： 1）安装虚拟操作系统。 使用虚拟机软件VMWare安装Windows 2000 Professional操作系统和SP4 补丁； 2）安装系统补丁程序和杀毒软件。 给宿主机系统装上补丁程序，防止宿主机被攻破。安装杀毒软件且升级到最新 的病毒库，并启动实时监控； 3）安装日志服务器和相关记录软件。 在宿主机上安装日志服务器，如Kiwi 的Syslog Daemon 7。同时，在虚拟主机 上安装日志记录工具如evtsys。这样蜜罐上的应用程序日志、系统日志和安全日志 会发到日志服务器，我们便可以真实地了解到蜜罐的运行情况，从中发现攻击者的 蛛丝马迹。最后，使用cmdlog工具记录c

37、md.exe。cmdlog 的特点是它可以记录 cmd.exe，且不在进程列表中显示出来，这对于实时监控黑客在本机上的攻击行为 十分有效； 4）安装数据包捕获软件。 在宿主机上安装网络数据包嗅探软件，通过捕获并分析虚拟机上流进和流出的 网络数据包，可了解攻击者的攻击技术、利用的系统漏洞和使用的工具等。 按照以上配置搭建好一个蜜罐后，就可以开始收集数据了：通过在分析攻击特 征时构造出的攻击样本的结构，在日志服务器和数据包捕获软件中获取相应的属性 值。例如，可以取一段固定时间内，在网络流量、用户连接访问次数等属性上的取 值，构造一个样本。最后，再将数据样本进行标准化处理。 需要注意的是，为了训练建

38、立起来的入侵检测模型，除了攻击行为的样本外， 还需要对系统进行访问的正常行为的数据样本。 2.2.3 建立入侵检测模型 为了建立入侵检测模型，可以采用异常入侵检测方法或误用检测方法。本次设 计的要求是能够识别未知攻击，区分正常行为和攻击行为，并将攻击行为进一步分 类。据此，应该选用异常入侵检测方法来建立入侵检测模型。前向神经网络中的感 知器学习方法可以用于异常入侵检测方法。 在神经网络中，对外部环境提供的模式样本进行学习训练，并能存储这种模式， 基于蜜罐的入侵检测技术的研究调研报告 16 则称为感知器19。神经网络在学习中，一般分为有教师和无教师学习两种。感知器 采用有教师信号进行学习。所谓教

39、师信号，就是在神经网络学习中由外部提供的模 式样本信号。 1感知器的学习结构 感知器的学习是神经网络最典型的学习。一个有教师的学习系统可以用图 2.1 表示。这种学习系统分成三个部分：输入部，训练部和输出部。 图 2.1 有教师的学习系统 输入部接收外来的输入样本，由训练部进行网络的权系数调整，然后由输XW 出部输出结果。在这个过程中，期望的输出信号可以作为教师信号输入，由该教师 信号与实际输出进行比较，产生的误差去控制修改权系数 W。 学习机构可用图 2.2 所示的结构表示。在图中，是输入样本信号， 12 ,., n XXX 是权系数。输入样本信号可以取离散值“0”或“1”。输入样本信 12

40、 ,., n W WW i X 号通过权系数作用，在产生输出结果 ，即有：u ii W X 公式（2.1） 1122 . iinn uW XW XW XW X 再把期望输出信号和进行比较，从而产生误差信号 。即权值调整机构( )Y tue 根据误差 去对学习系统的权系数进行修改，修改方向应使误差 变小，不断进行ee 下去，使到误差 为零，这时实际输出值和期望输出值完全一样，则学习过eu( )Y t 程结束。 基于蜜罐的入侵检测技术的研究调研报告 17 图 2.2 学习机构 神经网络的学习一般需要多次重复训练，使误差值逐渐向零趋近，最后到达零。 则这时才会使输出与期望一致。故而神经网络的学习是消

41、耗一定时期的，有的学习 过程要重复很多次，甚至达万次级。原因在于神经网络的权系数有很多分量W ；也即是一个多参数修改系统。系统的参数的调整就必定耗时耗量。目 12 ,., n W WW 前，提高神经网络的学习速度，减少学习重复次数是十分重要的研究课题，也是实 时控制中的关键问题。 2感知器的学习算法 感知器是有单层计算单元的神经网络，由线性元件及阀值元件组成。感知器如 图 2.3 示。 图 2.3 感知器结构 基于蜜罐的入侵检测技术的研究调研报告 18 感知器的数学模型为： 公式（2.2） 1 n ii i YfW X 其中：是阶跃函数，并且有f 公式（2.3） 1 1 10 10 n ii

42、i n ii i uW X f u uW X 其中是阀值。 感知器的最大作用就是可以对输入的样本分类，故它可作分类器，感知器对输 入信号的分类如下： 公式（2.4） 1 1 A Y B 类 类 即是，当感知器的输出为 1 时，输入样本称为 A 类；输出为-1 时，输入样本称 为 B 类。从上可知感知器的分类边界是： 公式（2.5） 1 0 n ii i W X 在输入样本只有两个分量 X1，X2 时，则有分类边界条件： 公式（2.6） 2 1 0 ii i W X 即 公式（2.7） 1122 0W XW X 感知器的学习算法目的在于找寻恰当的权系数，使系统对一 12 (,.,) n ww w

43、w 个特定的样本能产生期望值。当 x 分类为 A 类时，期望值； 12 ( ,.,) n xx xxd1d x 为 B 类时，。为了方便说明感知器学习算法，把阀值并人权系数中，1d w 同时，样本也相应增加一个分量。故令：x 0 x 公式（2.8） 00 ,1wx 则感知器的输出可表示为： 公式（2.9） 0 n ii i YfW X 感知器学习算法步骤如下： 1）对权系数置初值。w 基于蜜罐的入侵检测技术的研究调研报告 19 对权系数的各个分量置一个（-1，1）之前的非零随机值， 012 (,.,) n ww w ww 并记为，同时有。这里为 时刻在第 个输入上 12 (0),(0),.,(

44、0) n www 0(0) w ( ) i w tti 的权系数，。为 时刻时的阀值。0,1,.,in 0( ) w tt 2）输入一个样本)以及它的期望输出。 12 ( ,.,) n xx xxd 期望输出值在样本的类属不同时取值不同。如果 x 是 A 类，则取,如果d1d x 是 B 类，则取。期望输出也即是教师信号。1d d 3）计算实际输出值。Y 公式（2.10） 0 ( )( ) n ii i Y tfW t X 4）根据实际输出求误差 。e 公式（2.11）( )edY t 5）用误差 去修改权系数。e 公式（2.12）(1)( ) iii W tW te X 其中，称为权重变化率

45、，满足。01 在公式（2.12）中，的取值不能太大。如果取值太大，会影响的稳定；( ) i W t 的取值也不能太小，否则会使的求取过程收敛速度太慢。( ) i W t 当实际输出和期望值相同时有：d(1)( ) ii W tW t 6）转到第 2 点，一直执行到一切样本均稳定为止。 3训练感知器模型 利用在 2.2.2 节中获得的样本，分别将其中的数据以及该样本的类别（即教师 信息，例如正常行为或者攻击行为）输入到已建立的感知器模型中。最后，经过感 知其模型的自学习，将得到权值向量以及阀值。至此，用感知器学 12 (,.,) n W WW 习方法建立的入侵检测模型完成了。 2.2.4 设置实

46、验评估入侵检测模型 首先，对蜜罐进行一些正常的访问，获取正常行为的数据样本并输入在 2.2.3 节中得到的入侵检测模型当中，观察模型是否可以将该样本归为正常类；其次，根 据 2.2.1 节中所分析的几种攻击类，选取具有代表性的攻击软件对蜜罐系统进行攻 击，捕获攻击数据后输入至入侵检测模型中，观察模型是否可以将该样本划分到正 确的攻击类别当中；最后，对于在 2.2.1 节中没有提及的攻击类型，选取相应的攻 击软件来攻击蜜罐系统，观察模型是否能识别该未知攻击。 基于蜜罐的入侵检测技术的研究调研报告 20 2.3 工作进度 表 3.1 工作进度安排表 阶段阶 段 内 容起止时间 资料收集 收集资料，

47、翻译相关外文文献并完成调研报告；配 置简单的 Honeypot 网络 3.43.11 初步设计分析进入 Honeypot 网络的攻击所具有的特征3.123.25 详细设计 利用感知器学习方法建立检测模型并设置实验进行 测试 3.264.29 整理文档编写和整理相关文档4.305.6 撰写论文修改完善，撰写毕业论文，准备答辩5.66.16 基于蜜罐的入侵检测技术的研究调研报告 21 第三章 结论 随着计算机网络的普遍使用，借助于网络的入侵行为的数量和破坏性也不断增 加。传统的入侵检测技术由于具有误报率和漏报率较高、不能识别未知攻击等缺点， 已经不能满足人们的需求。将蜜罐技术和入侵检测技术相结合，

48、并在此基础上发展 而来的入侵诱骗技术，可以较好地解决上述问题。 本文首先依次介绍了入侵检测技术和蜜罐技术的基础知识，其次在讲述了入侵 诱骗技术的发展背景之后，分别介绍了入侵诱骗模型的防火墙模块、入侵检测模块、 数据控制模块、数据捕获模块和数据分析模块，最后对入侵诱骗技术的研究现状做 了简略的介绍。 第二部分是关于对课题设计计划的阐述。本次设计的重点是实现入侵诱骗系统 的数据分析模块。首先，对几种典型的攻击类型进行分析和比较，得到进入 Honeypot 网络的攻击所具有的特征。搭建蜜罐，获得若干样本，其中每个样本都包 括了分析得出的特征上的取值。然后，利用感知器学习方法建立入侵检测模型，并 用捕获到的样本进行训练。最后，设置实验对所得的入侵检测模型进行测试，评估 其检测能力。 基于蜜罐的入侵检测技术的研究调研报告 22 参考文献 1 ANDERSON J E Computer Security Threat Monitoring and SurveillanceRJames P Anderson