万方数据 基于入侵检测技术和诱骗技术的网络安全杨森，刘飞飞，黄海波l入侵检测技术2入侵诱骗技术摘要：该文介绍了基于诱骗技术的网络入侵检测系统(IDS)，它是传统入侵检测系统的延伸。首先讨论了基于网络的入侵检测系统，然后分析了入侵诱骗技术和Honeypot技术．最后讨论了基于诱骗技术的入侵检测系统的设计和实现。特别是重定向模块和诱骗网关键词：网络安全：入侵检测；诱骗技术；Honeypotand随着时代的不断发展。全球信息化已成为人类发展的大趋势．而网络环境变得越来越复杂。网络管理工作日益严峻。随着经济活动的展开，安全问题越来越不可忽视。该文将入侵检测技术和诱骗技术结合起来共同讨论网络的安全机制。1．1入侵检测预警系统入侵检测预警系统是一个能够对网络或计算机系统的活动进行实时检测的系统，它能够发现并报告网络或系统中存在的可疑迹象，为网络安全管理人员及时采取对策提供有价值的信息，是近来较热门的新型网络安全技术。它能够对付来自内部网络的攻击。能阻止黑客的入侵并防止病毒的蔓延．弥补了防火墙技术在这方面的不足。利用审计记录，入侵检测系统(IDS)能够识别出任何不希望有的活动，从而达到限制这些活动，以保护系统的安全。入侵检测系统的应用，能在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中．能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库。以增强系统的防范能力。1．2基于网络的入侵检测系统入侵检测系统可分为两类：基于主机的人侵检测系统和基于网络的入侵检测系统。我们在此研究基于网络的人侵检测系统，它用于实时监控网络关键路径的信息，放置在比较重要的网段内，不停地监视网段的各种数据包。如果数据包与已知的攻击模式匹配，入侵检测系统就会发出警报甚至直接切断网络连接。入侵检测技术有这么两方面的优势：首先，它能快速地检测到非授权行为，这样才能对任何潜在可能的攻击采取应急措施；第二，及时的检测能够大最减少可能成功攻击的黑客行为。一旦你及时地发现某个资源或者系统被接管，就可以迅速地将该资源或系统隔离并重新恢复到未被接管前的状态。但不幸的是，检测未授权的行为并发出报警并不总是件很容易的事。最为常见的检测措施就是网络入侵检测系统(N1DS)。NIDS被动检测网络连接已发现的可疑行为或者末授权的行为。_旦发现类似行为。就发出报警。入侵诱骗技术是网络安全理论中一个新的研究领域，是对现有安全体系的一个扩充，具有较广阔的应用前景。入侵检测系统能够实时地检测网络的信息，防止入侵者的恶意攻击。但这始终是种被动的局面：如果网络处于安全状态下．入侵监测系统仍将收集大量与系统正常业务无关的数据．并对此数据进行分析，占用了系统资源，对系统安全帮助不大：如果网络遭受到入侵者的攻击，系统也会像上述情况那样工作，没有适时加大监控的程度，即对网络所遭受的安全威胁程度不敏感。为了节省不必要的系统资源浪费，在遭受攻击时又能强化入侵检测系统的功能，必须引入一种可根据网络安全状态，动态调整实时监控程度的技术。入侵诱骗技术就是这样一种技术，它位于内部网内，模拟内部网的日常活动，进行常规工作，把入侵者的火力吸引到自己身上．从而达到保护内作者简介：扬森(1982一)，男，山西大学商务学院信息工程系，助教，研究方向网络与信息安全；刘飞飞，女。山西大学商务学院信息工程系，助教，研究方向网络应用；黄海波(1975-)，男，山西大学商务学院信息工程系。教学干事。Technology电雎知识与技术(山西大学商务学院，山西太原030031)E．．mail：info@eeee．net．cahttp：／／www．dnzs．net．caTel：+86-55络的设计和实现。中图分类号：TP393文献标识码：A文章编号：1009—3044(2010)10—2355-03SecurityFei—fei，HUNAGHai—bo(BusinessUniversity，Taiyuan030031，China)System(IDS)based20ntheimplementationu,ingtuque，particularlymodules．Keysecurity；intrusion2．I入侵诱骗技术概述收稿日期：2010-01-27本栏目黄任编辑：冯蕾····-·t·啊络囊讯厦安全··2355ComputerKnowledgeV01．6．No．10,Ap矗]20Jo,PP．2355-23571—56909635690964ResearchNetworkBasedIntrusionDetectionDeceptionTechniqueYANGSen，LIUCollegeofShanxiAbstract：Thepaperintroducesd