基于蜜罐技術(shù)的網(wǎng)絡(luò)攻擊特征提取研究.pdf

1、蜜罐(Honeypot)技術(shù)作為防火墻、入侵檢測系統(tǒng)的一個有益補充，通過與入侵者進行交互能獲得更多有關(guān)入侵者的信息。目前，蜜罐技術(shù)主要應(yīng)用于網(wǎng)絡(luò)欺騙，并使入侵檢測由被動追蹤轉(zhuǎn)入主動響應(yīng)。蜜罐系統(tǒng)是一種網(wǎng)絡(luò)資源，它的資料和數(shù)據(jù)可能是偽造的，使它看上去更像一臺真正提供重要服務(wù)的主機，使它對黑客更具有誘惑力。通過其對黑客的吸引和被攻擊，可以讓我們獲得更多攻擊信息。當(dāng)攻擊者與該服務(wù)器進行交互時，通過執(zhí)行后臺軟件，以記錄與蜜罐主機的交互數(shù)據(jù)。然后

2、，使用分析工具分析這些數(shù)據(jù)，以發(fā)現(xiàn)攻擊者進入系統(tǒng)的方法和動機。如果這種攻擊方法是IDS不能發(fā)現(xiàn)的，那么這種記錄和分析就更有意義了。
　　 由于，絕大多數(shù)網(wǎng)絡(luò)攻擊對相同目標(biāo)的攻擊具有相同或類似的負(fù)載流量，因此可疑的負(fù)載隨著可疑活動的傳播將會頻繁的出現(xiàn)。根據(jù)這一特點，本文深入研究了國內(nèi)外有關(guān)蜜罐和蜜網(wǎng)技術(shù)以及相關(guān)的開源項目，對蜜罐發(fā)展的里程、相關(guān)技術(shù)和產(chǎn)品進行了全面的總結(jié)，并在此基礎(chǔ)上本文做了如下工作：
　　 1.分析了在網(wǎng)

3、絡(luò)攻擊特征提取過程中廣泛使用的最長公共子串(LCS)的幾種經(jīng)典算法，并對其空間復(fù)雜度、時間復(fù)雜度和編程實現(xiàn)難易進行了比較分析。在此基礎(chǔ)上本文提出一種新的算法DPSA（Dynamic ProgrammingSimilar Algorithm)。
　　 2．使用Honeyd工具搭建了一個低交互蜜罐，并應(yīng)用DPSA算法分析蜜罐日志文件，提取出攻擊特征。驗證了自動產(chǎn)生的規(guī)則添加到snort規(guī)則庫后與snort規(guī)則庫中原有的規(guī)則一樣能被同