基于蜜罐技術(shù)的內(nèi)部威脅檢測模型的設計與實現(xiàn).pdf

1、自1983年計算機病毒概念出現(xiàn)以來,網(wǎng)絡安全事故頻繁發(fā)生,使得人們在享受通信網(wǎng)絡技術(shù)所帶來的方便的同時,也深受其帶來的威脅與傷害。因此,網(wǎng)絡安全問題逐漸引起了人們廣泛的關(guān)注。然而,人們所給予的關(guān)注更多傾向于外部威脅方面,卻忽視了網(wǎng)絡安全的另一重要組成部分——內(nèi)部威脅問題。在CSI與FBI聯(lián)合發(fā)布的《2010/2011 CSI Computer Crime and Security Survey》指出:自2007年起,內(nèi)部威脅的攻擊數(shù)量便

2、已超過了來自外部威脅的攻擊數(shù)量,并且內(nèi)部威脅引起的破壞要比外部威脅導致的更嚴重,經(jīng)濟損失也更大[1]。目前,人們集中對內(nèi)部威脅的檢測模型進行研究,旨在能夠有效抵御這一網(wǎng)絡難題。
　　本文基于當前內(nèi)部威脅檢測模型存在漏報率以及誤報率高的問題,以及攻擊類型呈復雜化、多變化趨勢發(fā)展的難題展開研究,提出了具有自我學習能力的內(nèi)部威脅檢測模型解決方案。通過對檢測模型的研究,旨在能夠及時的檢測出內(nèi)部威脅,有效的抵御內(nèi)部威脅的攻擊,有力的緩解內(nèi)部

3、威脅引起的危害,極大的幫助企業(yè)、組織甚至國家保護重要的信息資產(chǎn)。
　　本文提出的內(nèi)部威脅檢測模型,通過參考眾多內(nèi)部威脅檢測模型的科研成果,并結(jié)合蜜罐技術(shù)進行設計與實現(xiàn)的。具體完成了以下內(nèi)容。
　　本文通過對內(nèi)部威脅危害進行介紹,從而指出研究內(nèi)部威脅檢測模型的意義;通過分別對國內(nèi)外內(nèi)部威脅檢測模型的研究現(xiàn)狀進行分析,指出現(xiàn)有的檢測模型的優(yōu)點與缺點;通過對內(nèi)部用戶定義、內(nèi)部威脅概念與分類、―蜜罐‖技術(shù)進行研究與闡述,確定了內(nèi)部威

4、脅檢測模型是基于蜜罐技術(shù)進行設計與實現(xiàn)。
　　本文通過對經(jīng)典內(nèi)部威脅檢測模型進行研究,確定了該內(nèi)部威脅檢測模型的工作原理。從內(nèi)部用戶惡意通信流中提取樣本數(shù)據(jù)包,依據(jù)特征值生成算法得出攻擊特征基準值構(gòu)造攻擊特征庫;獲取真實內(nèi)部用戶數(shù)據(jù)包特征,結(jié)合攻擊特征庫的特征值,實時對數(shù)據(jù)包進行匹配度計算,識別出惡意數(shù)據(jù)包;無法及時識別的未知數(shù)據(jù)包,利用蜜罐技術(shù)進行合法性判斷;利用蜜罐技術(shù),及時獲取并計算新攻擊類型的特征基準值,補充至攻擊特征庫中