入侵檢測(cè)與蜜罐交互系統(tǒng)研究.pdf

1、網(wǎng)絡(luò)安全防護(hù)與入侵檢測(cè)技術(shù)領(lǐng)域的發(fā)展日新月異。但是，該領(lǐng)域的研究工作因存在著檢測(cè)目的不明確，檢測(cè)方法落后，防護(hù)手段仍處在被動(dòng)式靜態(tài)防御技術(shù)層面，以及系統(tǒng)存在著“漏洞”和“后門”不嚴(yán)實(shí)等弊端而面臨巨大的考驗(yàn)。入侵檢測(cè)系統(tǒng)的誤報(bào)率和漏報(bào)率仍然居高不下，不能預(yù)測(cè)新漏洞，無法防范未知攻擊；新型攻擊方式(如分布式拒絕服務(wù)攻擊等)的出現(xiàn)，為未來網(wǎng)絡(luò)安全防護(hù)和入侵檢測(cè)技術(shù)研究提出新的挑戰(zhàn)。 如何使網(wǎng)絡(luò)安全防御體系由靜態(tài)轉(zhuǎn)為動(dòng)態(tài)，防御措施從被動(dòng)

2、變?yōu)橹鲃?dòng)是我們要研究的新課題。由此，另一種更主動(dòng)的有效的信息安全技術(shù)正漸漸地進(jìn)入人們的視野，那就是蜜罐技術(shù)。蜜罐是網(wǎng)絡(luò)安全的一個(gè)全新領(lǐng)域。它通過構(gòu)造一個(gè)有著明顯安全漏洞的系統(tǒng)來引誘入侵者對(duì)其進(jìn)行攻擊，并在攻擊的過程中對(duì)入侵者的入侵動(dòng)機(jī)、入侵手段、使用工具等信息進(jìn)行詳細(xì)地記錄。根據(jù)收集到的入侵者信息，我們就可以分析得到入侵者所使用的最新技術(shù)、發(fā)現(xiàn)系統(tǒng)中的安全漏洞，從而對(duì)系統(tǒng)中存在的問題及時(shí)予以解決。 更進(jìn)一步，本文在仔細(xì)分析和深入

3、研究上述問題的基礎(chǔ)上，提出了一種新的基于蜜罐技術(shù)與入侵檢測(cè)技術(shù)取長補(bǔ)短的防護(hù)系統(tǒng)，主要研究及創(chuàng)新點(diǎn)如下： 1.介紹入侵檢測(cè)的基本知識(shí)，從分析入侵檢測(cè)策略入手，提出了新的層次化入侵檢測(cè)模型。該模型可以充分利用主機(jī)和網(wǎng)絡(luò)兩種數(shù)據(jù)源，將異常檢測(cè)和誤用檢測(cè)結(jié)合起來，有效地降低入侵檢測(cè)系統(tǒng)的誤報(bào)和漏報(bào)率。 2.傳統(tǒng)的入侵檢測(cè)系統(tǒng)，往往都是被動(dòng)的。所以本課題提出在入侵檢測(cè)系統(tǒng)中引入蜜罐，化被動(dòng)防御為主動(dòng)防御。蜜罐技術(shù)的引入大大減少了