1 引言 随着现代科技和信息技术的发展，计算机网络迅速发展，但同时网络入侵的风险性和机会也相应增多，为了消除这种威胁，入侵检测系统（IDS）就相应而出现。 入侵检测技术（IDS）自80年代提出以来得到了极大的发展，典型的入侵检测系统（IDS）通常采用静态异常模型和规则的滥用模型来检测入侵，这些IDS的检测基本是基于服务器或网络的，即主机基和网络基。基于服务器的IDS采用服务器操作系统的检测序列作为主要输入源来检测入侵行为，而大多数基于网络的IDS则以监控网络故障作为检测机制，网络入侵检测系统是监视计算机网络系统中违背系统安全策略行为的过程。按照最为规范的形式来划分，入侵检测分为以下3个模块： ① 数据源：提供用于系统监视的审计记录流。 ② 分析引擎：用于对审计数据进行分析，发现入侵或异常行为。 ③ 响应：根据分析引擎的输出结果，产生适当的反应。 并且数据源、分析引擎和响应模块是相辅相成的。数据源为分析引擎提供原始数据进行入侵分析，分析引擎执行实际的入侵或异常行为检测，分析引擎的结果提交给响应模块，帮助采取必要和适当的动作，阻止进一步的入侵行为或恢复受损害的系统。同时响应模块作用的对象也包括数据源和分析引擎，对数据源来说，可以要求提供更为细致的信息，调整监视策略，收集其他类型的数据；对分析引擎，则可以增加、删除或更改系统的检测规则，修正检测过程中的参考模型，调整系统的运行参数等。随着入侵检测技术（IDS）的不断发展和完善，响应模块成为其中的关键部分，并得到充分发展。 在入侵检测系统（IDS）中，在完成系统安全状况分析并确定系统所出问题之后，就要让人们知道这些问题的存在(在特定情况下，还有采取行动) ，这在入侵检测处理过程模型中称为响应。响应包括被动响应和主动响应。被动响应就是系统仅仅简单地记录和报告所检测出的问题，而主动响应则是系统(自动地或与用户配合)要为阻塞或影响攻击进程而采取行动。在早期的入侵检测系统（IDS）中被动响应是唯一的响应模式，随着技术的不断发展和人们对安全性的不断提高主动响应成为现今入侵检测系统（IDS）的主要响应模式。 2 主动响应的类别及特点 在网络站点安全处理措施中，入侵检测的一个关键部分就是确定使用哪一种入侵检测响应方式以及根据响应结果来决定采取哪些行动，主动响应是主要方式。主动响应主要包括以下几种选项可供选择： 2．1 对入侵者采取反击行动 2．1．1入侵追踪技术 对入侵者采取反击行动的方式在一些组织和机构特别受欢迎，因为这些组织和机构的网络安全管理人员特别希望能够追踪入侵者的攻击来源，并采取行动切断入侵者的机器和网络连接。但是这一方式本身就存在安全纰漏，首先入侵者的常用攻击方法是先黑掉一个系统，然后在利用它作为攻击另外系统的平台；其次，即使入侵者来自一其合法控制的系统，但他也会利用IP地址欺骗技术使反击误伤到无辜者；并且反击的结果可能挑起最猛烈的攻击，因为入侵者会从常规监视和扫描演变成全面的攻击，从而是系统资源陷入危机；进一步来讲，由于反击行动涉及到重要法规和现实问题，所以这种响应方式也不应该成为最常用的主动响应。 2．1．2 入侵警告和预防 对付入侵者也可以采取比较温和的方式。一方面，入侵检测系统可以有意的断开与其的网络对话，例如向入侵者的计算机发送TCP的RESET包，或发送TCMP Destination Unreachable(目标不可达)包，系统也可以利用防火墙和网关阻止来自入侵的IP 地址的数据包；另一方面，系统可以发邮件给怀疑入侵者的系统的管理员请求协助以识别问题和处理问题。这种响应方式只能发现问题，处理问题，但对入侵检测系统的完善所起的作用并不明显，但在一些研究机构和院校得到一定应用。 这种响应方式是大部分商业入侵检测系统（IDS）所标榜和追求的，但由于应用起来涉及的问题比较多，发展相对比较慢。 2．2 修正系统环境 修正系统环境类似于自动控制的反馈环节，并具有自学习进化功能。修正系统环境以堵住导致入侵发生的漏洞的概念与一些研究者提出的关键系统耦合的观点是一致的，它可通过增加敏感水平来改变分析引擎的操作特征，或通过插入规则改变专家系统来提高对一些攻击的怀疑水平或增加监视范围以比通常更好的采样间隔来收集信息。 这种响应方式由于相对于上一种响应来说相比更为缓和，若与提供调查支持的响应相结合可称为是最佳响应配置，可广泛应用。 2．3 收集额外信息 当被保护的系统非常重要并且系统管理人员需不断的进行法则矫正时就需要收集入侵者的信息，并不断的改进和优化系统；并且可以将入侵者转移到专用服务器。这些专用服务器设置被称为欺骗网技术，欺骗网技术就是使入侵者相信信息系统存在有价值的、可利用的安全弱点，并具有一些可攻击窃取的资源（当然这些资源是伪造的或不重要的），并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性，从而使入侵者不知道其进攻是否奏效或成功。而且，它允许防护者跟踪入侵者的行为，在入侵者之前修补系统可能存在的安全漏洞。从原理上讲，每个有价值的网络系统都存在安全弱点，而且这些弱点都可能被入侵者所利用。网络欺骗主要有以下三个作用： ① 影响入侵者使之按照你的意志进行选择； ② 迅速地检测到入侵者的进攻并获知其进攻技术和意图； ③ 消耗入侵者的资源。 一个理想的欺骗网可以使入侵者感到他们不是很容易地达到了期望的目标（当然目标是假的），并使其相信入侵取得了成功。 HoneyPots（蜜罐）技术是现阶段欺骗网技术的主要应用。一个"HoneyPots"就是一个设计用来观测入侵者如何探测并最终入侵系统的一个系统，它意味着包含一些并不威胁公司机密的数据或应用程序同时对于入侵者来说又具有很大的诱惑力的这样的一个系统，也就是放置在你网络上的一台计算机表面看来象一台普通的机器但同时通过一些特殊配置来引诱潜在的黑客并捕获他们的踪迹。它并不是用来抓获入侵者，仅仅想知道他们在并不知道自己被观测的情况下如何工作，入侵者呆在"HoneyPots"的时间越长，他们所使用的技术就暴露的越多，而这些信息可以被用来评估他们的技术水平，了解他们使用的攻击工具。通过学习他们使用的工具和思路，可以更好的保护我们的系统和网络。 而且以这种方式收集的信息对那些从事网络安全威胁趋势分析的人来说也是有价值的。这种信息对那些必须在有敌意威胁的环境里运行或易遭受大量攻击的系统(例如政府Web 服务器或具有商业价值的电子商务网站)是特别重要的。 这种响应方式在一些国外大型研究机构得到充分重视，主要用途在于研究，而不在于商业价值，因此商业公司对这方面重视相对有限。HoneyPots技术充分体现了网络入侵检测系统的防御功能，尤其对收集入侵者的威胁信息或者收集证据来采取法律措施至关重要 以上三种响应模式是主动响应的主要表现形式，由于科研院所和商业公司所追求的目标和作用的不同，响应模式的应用也是互不相同，因此主动响应的发展就出现了多元化的发展方向，下面就主动响应的发展谈一下看法。 3． 主动响应的发展前景 主动响应的发展从目的来讲可从两方面谈起，但每一方面都离不开修正系统环境模式，由于修正系统环境模式总是与入侵检测分析方案相联系，在这里就不作论述。 3．1商业应用上 从商业角度讲，对入侵者采取反击行动，特别是网络追踪技术是其产品的卖点，因此网络追踪技术得到了一定发展。在国外，主要发展方向为两方面：主动式追踪和被动式追踪。 3．1．1 被动式追踪 在被动式追踪技术方面，国外已经有了一些产品，如Thumbprinting技术对应用层数据进行摘要，基于某种Hash算法，可根据摘要追踪；Timing-based系统使用连接的时间特性来区分各个连接；Deviation-based方法定义两次TCP连接之间最小延迟作为“deviation”。 这些技术和方法都有一个共同的缺点就是计算复杂，无论采取哪一种方法都涉及大量计算，由于现在的网络速度和发展，大规模采取任何一种方式都是不可能的。这类产品的发展前景并不被看好，一些产品已经不做进一步发展。 3．1．2 主动式追踪 主动式追踪技术研究主要涉及信息隐形技术，如针对http协议，在返回的http报文中加入用户不易察觉并且有特殊标记的内容，从而在网络中检测这些标记追踪定位。这种方法不需要计算每个数据包，并进行比较，因此有很大的优势，在国外主动式追踪技术已经有了一些实用化工具，如IDIP、SWT等，但基本还处于保密阶段。 随着信息隐形技术的发展，主动式追踪技术将得到进一步发展，在未来战争计算机对抗技术的迫切需求下，国家安全部门及一些军事科研机构将投入更大的精力于这方面技术的研究 3．2 研究应用中 在研究应用中,欺骗网技术是主动响应的主要发展方向。在现阶段欺骗网技术主要围绕HoneyPots技术和Honeynets技术不断发展。 3．2．1 HoneyPots技术 利用HoneyPots技术构建一个HoneyPots目的就是观察入侵者， 收集信息。因此HoneyPots的精髓就是它的监视功能——毕竟全 部意图就是将入侵者置于显微镜之下。考虑到老练的入侵者为了 掩盖自己的痕迹会无所不用其极，要想进行监视而不惊动他们 ，将十分困难。最安全的方法就是，从尽可能多的来源收集尽 量多的信息。虽然收集到的许多数据可能毫无用处，但监视系统 任一部分崩溃或是安全受到威胁，都不应该导致HoneyPots丧失 功能。事实上，来自某个来源但未在其它来源中反映出来的数 据，将可以有效地洞察一个攻击者的入侵方式。因此，一方面 ，构建HoneyPots从单一的模仿系统到散布在网络的正常系统 和资源中，利用闲置的服务端口来充当欺骗；另一方面，利用计 算机系统的多宿主能力（multi－homed capability）， 在只有一块以太网卡的计算机上就能实现具有众多IP地址的 主机，而且每个IP地址还具有它们自己的MAC地址，这项技术可 用于建立填充一大段地址空间的欺骗，使入侵者很难区分哪些 服务是真，哪些服务是假，增加入侵这者的入侵时间、消耗入 侵者的资源，从而可以更好的观察入侵的行为和方式。 并且，当入侵者进入HoneyPots，可通过网络流量仿真、网络动态配置、多重地址转换和组织信息欺骗等来增强网络欺骗，这些技术的应用和研究是HoneyPots技术不断发展的主要方向。当入侵者占领一个HoneyPots系统时，他的目的无非是获得系统信息或利用系统资源入侵别的系统，这时一方面可通过模仿网络流量（如采用实时方式或重现方式复制真正的网络流量并限制外发的数据包）来限制入侵者利用系统资源入侵别的系统；另一方面，可通过网络动态配置（如模仿实际网络工作时间，人员的登陆状况等）、多重地址转换（如动态设定IP地址或将欺骗服务绑定在与提供真实服务主机相同类型和配置的主机上）和组织信息欺骗（如构建DNS的虚拟管理系统、NFS的虚拟服务系统等）等，使入侵者获得的系统信息是设计者提供的，从而获得更多的入侵信息。 HoneyPots技术的发展前景将主要集中在构建HoneyPots的完善性和扩展性上，单一的HoneyPots将逐渐与真实系统完全一致，分布式HoneyPots将广泛应用，Honeynets技术成为另一种发展模式。 3．2．2 Honeynets技术 Honeynets可以说是一个学习工具，它是一个专门设计来让人“攻陷”的网络，一旦被入侵者所攻破，入侵者的一切信息、工具等都将被用来分析学习。其想法与honeypots相似，但两者之间还是有些不同。 一个Honeynets是一个网络系统，而并非某台单一主机，这一网络系统是隐藏在防火墙后面的，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据可以对我们研究分析入侵者们使用的工具、方法及动机。在这个Honeynets中，我们可以使用各种不同的操作系统及设备，如Solaris, Linux, Windows NT, Cisco Switch, 等等。这样建立的网络环境看上去会更加真实可信，同时我们还有不同的系统平台上面运行着不同的服务，比如Linux的DNS server，Windows NT的webserver或者一个Solaris的FTP server，我们可以学习不同的工具以及不同的策略——或许某些入侵者仅仅把目标定于几个特定的系统漏洞上，而我们这种多样化的系统，就可能更多了揭示出他们的一些特性。 在Honeynets中的所有系统都是标准的机器，上面运行的都是真实完整的操作系统及应用程序——就象你在互联网上找到的系统一样。我们没有刻意地模拟某种环境或者故意地使系统不安全。在Honeynets里面找到的存在风险的系统，与在互联网上一些公司组织的毫无二致。你可以简单地把你的操作系统放到Honeynets中，并不会对整个网络造成影响。 由于Honeynets 是一个由30余名安全专业组织成员组成，专门致力于了解黑客团体使用的工具、策略和动机以及共享他们所掌握的知识的项目。这个组织使用他们自己的时间和自己的资源来收集这方面的信息，其中最主要的方法是通过使用Honeynets来收集一些信息。因此Honeynets技术的发展是一个自发的形式，由于成员都是利用业余时间和爱好来参与Honeynets技术的研究，它的发展前景既让人充满希望，又让人担忧，如果有一些网络安全的专业研究机构介入，在加上Honeynets技术在网上的公开和免费的性质，我认为Honeynets技术的研究和学习将更有力的推动网络入侵检测技术的发展。 虽然欺骗网技术的应用必然会成为网络入侵检测系统的强有力的响应，但无论HoneyPots技术或Honeynets技术都不能解决所有的网络安全问题，因此在应用欺骗网技术时最好先进行测试，仔细审核一下系统记录并且对系统安全状况做一个全面的审核。通过对各种安全策略及程序的适当优化，我们才能尽可能地降低风险，只有将可能发生的事件尽可能考虑周全并进行训练，它才可能发挥最大的效用。 4． 结束语 网络入侵检测技术的不断创新和发展将使系统会更有效的识别入侵者，识别入侵行为，检测和监视有意的安全突破，为对抗入侵及时提供信息，防止事件的发生和事态的扩大，而主动响应技术在其中扮演着重要的角色，无论主动跟踪技术，还是欺骗网技术都将为获取入侵者信息、工具、方式等积累大量的经验，进一步完善网络入侵检测系统。