Honeypot在入侵檢測中的應(yīng)用研究.pdf

1、隨著網(wǎng)絡(luò)安全越來越受到重視，入侵檢測系統(tǒng)( IDS)成為目前網(wǎng)絡(luò)安全領(lǐng)域內(nèi)一個活躍的研究課題。目前各種IDS普遍存在的問題是漏報(bào)和誤報(bào)現(xiàn)象嚴(yán)重，響應(yīng)能力不足。蜜罐是一種沒有任何產(chǎn)品價值的安全資源，具有轉(zhuǎn)移攻擊者視線，收集攻擊信息的作用。相對于防火墻日志、系統(tǒng)日志以及入侵檢測預(yù)警等，蜜罐所產(chǎn)生的數(shù)據(jù)量少而精，這些數(shù)據(jù)對研究新型攻擊具有重要價值。本文的研究目的是如何利用蜜罐發(fā)現(xiàn)未知攻擊特征，提高入侵檢測系統(tǒng)的響應(yīng)能力和檢測能力。 本

2、文分析了入侵檢測技術(shù)與蜜罐技術(shù)的工作機(jī)制及優(yōu)缺點(diǎn)，設(shè)計(jì)了一種動態(tài)混合蜜罐模型，應(yīng)用該模型改進(jìn)入侵檢測系統(tǒng)，并對其關(guān)鍵技術(shù)進(jìn)行了實(shí)現(xiàn)。 本文采用多層數(shù)據(jù)捕獲機(jī)制：網(wǎng)絡(luò)捕獲、蜜罐捕獲和內(nèi)核捕獲。用多層捕獲機(jī)制可以充分記錄攻擊的網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)數(shù)據(jù)，確保數(shù)據(jù)的完備性。內(nèi)核捕獲主要是針對入侵?jǐn)?shù)據(jù)加密的情況，是在偽裝服務(wù)中的高交互蜜罐主機(jī)上實(shí)現(xiàn)的。采用XML語言設(shè)計(jì)規(guī)范的入侵信息描述格式。在對IP、TCP、UDP和ICMP等常用協(xié)議分析的基