入侵檢測與蜜罐協(xié)作模型的研究.pdf

1、隨著計算機網(wǎng)絡的快速發(fā)展，入侵檢測這種傳統(tǒng)的被動防御技術，已不能滿足日益復雜的網(wǎng)絡安全的需求。它急需與其它技術進行融合與協(xié)作。一方面目前入侵檢測系統(tǒng)還不是很完善，如何降低入侵檢測的誤報率和漏報率的問題亟待解決。另一方面，蜜罐作為一種新興的主動防御技術，具有收集數(shù)據(jù)量小、價值高，能檢測到未知攻擊等優(yōu)點。因此，蜜罐與入侵檢測系統(tǒng)之間的協(xié)作是一個非常值得研究的問題。
　　 針對當前入侵檢測存在的缺陷和不足，本文分析了蜜罐、決策樹以及入

2、侵檢測的工作原理，并對三者之間進行協(xié)作的關鍵技術方面做了重點研究。本文的主要工作和成果如下：
　　 ①針對蜜罐和決策樹算法的優(yōu)勢結合現(xiàn)有入侵檢測的問題，提出了基于決策樹的入侵檢測與蜜罐協(xié)作模型IDMDT（Intrusion Detection Model based on Decision Tree and Honeypot）。在該模型中，通過引入蜜墻在保證了內部網(wǎng)絡安全的同時可以很好的迷惑入侵者；蜜罐系統(tǒng)由真實蜜罐和虛擬蜜罐組

3、合而成，可以使兩者取長補短，并有效地避免了單點失效；在數(shù)據(jù)安全存儲方面，把捕獲后的數(shù)據(jù)通過網(wǎng)絡傳到遠程的日志服務器中存儲；在提取規(guī)則方面，選用提取規(guī)則迅速可靠的C4.5算法，加快了捕獲數(shù)據(jù)轉換為入侵規(guī)則同時加速了入侵檢測規(guī)則庫的更新。
　　 ②考慮到目前入侵檢測收集的數(shù)據(jù)中連續(xù)屬性存在較多不相關和冗余屬性，且對連續(xù)屬性的分析較為困難等問題，提出了基于粗糙集的連續(xù)屬性選取，減少了要分析的連續(xù)屬性數(shù)量，方便了挖掘算法的執(zhí)行。針對C4

4、.5算法在進行連續(xù)屬性入侵判定時準確率不高的問題而提出改進算法K-C4.5。為了驗證改進算法的性能，對提出的改進算法進行了實驗分析。實驗結果表明所提出的算法在針對連續(xù)屬性較多、數(shù)據(jù)量較大的情況下較C4.5的算法有一定性能上的提高。
　　 ③結合常用的工具如Honeyd、Snort、Sebek等，在現(xiàn)有條件下搭建實驗環(huán)境，并對本文的協(xié)作模型進行了模擬實驗。模擬結果顯示本文設計的入侵檢測與蜜罐的協(xié)作模型可以較迅速的將入侵數(shù)據(jù)轉化為入