以低互动式Honeypot 改善IDS 之防护机制.PDF

以低互動式Honeypot改善 IDS 之防護機制 蔡昀璋 南台科技大學資訊傳播所 摘要 近年來入侵檢測系統 （Intrusion-detection system ，簡稱 「IDS 」）已經很廣泛 被使用在網路安全防護中 ，雖然 IDS 大大提昇了防護能力 ，但是 IDS仍有一些 缺點 ，例如 ：檢測效能有限與誤判率仍然偏高的問題 。故本研究 使用低互動式 Honeypot 來彌補 IDS 之缺點 ，並兼顧安全與誘捕的作用 。 關鍵字 ：IDS 、Honeypot 、誘捕系統 、資訊安全 、低互動式 Honeypot 研究問題 1. IDS誤判率 偏高之問題 2. 通常於現有網路環境中加入安全機制會改變網路配置 3. 僅能消極阻擋入侵者 ，沒有其他應對方式 研究目的 1. 結合低互動式 Honeypot藉以改善 IDS誤判 率過高的問題 ，並達到雙重 檢驗的功能 。 2. 發展出最小改變現有網路環境配置的佈署方式 。 3. 除了阻擋入侵者不法意圖攻擊外 ，亦能紀錄其入侵行為與過程，以提供 日後是否成為管理規則 。 研究方法 本研究主要分為兩大部份 ：一為 IDS規則設定 ，一為低互動式 Honeypot 佈署 與設定 。IDS規則設定主要是修改其預設值 ，將可疑封包處理動作為導 至低互動 Honeypot ，目的是為了降低誤判率過高的問題 ，另一方面則可誘 捕不法入侵的行為特徵 ，以便日後加入IDS規則設定中 。低互動式 Honeypot 採用 Honeyd建置 與設定 ，將活動模式更改至 Polite模式 ，可降低其 網路活 動 頻 率 。調整至 Polite模式時 ，Honeypot 並不會主動啟動網路掃描 ，僅接收 被 IDS 判斷為可疑的網路活動或是針對傳輸中的封包進行檢測 ，因此不會 對網路頻寬造成額外的負擔 。Honeyd 本身具備掃描封包功能 ，可利用 此功 能進行 二次確認是否有可疑的網路活動 ，但是其能力有限 ，故本研究將以 Shell Script 與 Plug-in 方式結合功能較完整的封包偵測軟體 ，如 ：Nessus或 Netflow ，最後進行最佳化 Honeyd的 運作 ，以避免產生無謂的誘導與Log 檔 。 在研究 架構中 除了正常與預設阻擋存取規則兩種情況外， ，將可疑的封 包導致低互動式 Honeypot 判斷 ，若由低互動式 Honeypot再次確認 為入侵者 或不法意圖時 ，便導入 Honeypot誘捕與紀錄其行為模式 。以下為本研究架 構圖 ： Internet 防火牆 IDS 低互動式 Honeypot LAN 以下為系統執行流程 ： Internet 防火牆 IDS