新型蜜罐提高入侵检测准确性

被人们称作“蜜罐”的诱骗服务器正在被用来研究新的威胁和诱骗攻击者离开真正的企业网络。现在,一种受欢迎的新型综合设备能够提高异常检测的准确性。

宾夕法尼亚州大学和哥伦比亚大学的研究人员最近披露了一种新的架构。这种架构通过使用蜜罐技术验证被错误分类的信息从而扩充了传统的入侵检测系统和入侵防御系统的功能。

哥伦比亚大学教授Stelirs Sidiroglou上个星期在巴尔的摩举行的Usenix安全论坛会议上对与会者说,这个机构把蜜罐功能与异常检测系统的功能结合在了一起。

蜜罐一般是用来诱骗对服务器应用程序中的已知的安全漏洞实施的攻击,而不是诱骗对未知的安全漏洞的攻击或者零日攻击。在流行的入侵防御系统软件和设备中的异常检测系统提供了强大的扫描功能,可以检测出已知的攻击和未知的攻击。但是,也会产生一些虚假的信息。

“影子蜜罐(Shadow honeypots)”与在网络的服务器和客户机两端运行的受到保护的应用程序的功能完全相同,并且与异常检测系统一起工作。当传感器检测到某些可疑的信息时,便把这些可疑的信息发给影子蜜罐进行进一步的分析。这样就减少了异常检测系统发出错误信息的数量。作为一种备份措施,影子蜜罐将对发送的数据再次进行随机的检查以提高准确性和防止真正的攻击进入网络。

这两所大学的科学家已经使用Apache网络服务器和Mozilla Firefox网络浏览器对他们的防御缓存溢出等内存攻击的技术进行实验。科学家们在实验中还使用了诸如抽象负载执行(Abstract Payload Execution)和“晨鸟”算法等异常检测技术。最初的结果是很有希望的:影子蜜罐创造了比单独使用入侵检测系统和入侵防御系统更准确的检测结果。但是,这种准确性付出了巨大的处理能力的代价。依据使用情况,监视通向Apache服务器通信的影子蜜罐耗费的处理能力要高出20%至50%。

学术专家认为,这个概念将推动传统蜜罐的应用,并且减少网络日志中的误报数量以及减少漏报可能被攻击的系统漏洞的次数。这个概念还能够更好地监视针对客户端计算机系统的应用程序的威胁。(