基于蜜罐的入侵检测技术研究

论文摘要

随着计算机网络的迅速发展及广泛应用,网络安全技术己经成为计算机技术中一个重要的研究领域。在众多的网络安全技术中,入侵检测系统以其快速的检测方法成为防火墙技术的一个有效补充手段己经在业界取得了不俗的表现。但当前的入侵检测系统的检测方法都是基于攻击特征库的特征匹配检测,只能检测己知的网络攻击,对未知的网络攻击则无能为力。为此,本文提出将蜜罐技术引入入侵检测系统的设计思路,蜜罐系统通过故意向攻击者示弱来引诱攻击者对它进行攻击,而在攻击的过程中,蜜罐系统将记录攻击者的攻击操作并通过安全通道将事件信息传递给入侵检测系统,入侵检测系统收到事件信息后对其进行分析及攻击特征提取,最后将新的攻击特征添加到入侵检测系统攻击特征库,从而使得入侵检测系统可以检测出未知的攻击手段。本文的主要工作如下:1.提出了蜜罐技术与入侵检测技术联动的设计思路,提高了入侵检测系统检测未知攻击的准确度。2.提出基于会话的攻击特征检查方法,提高了检测的准确性。3.提出将钩子回调机制应用于蜜罐系统思路,可以提供更加详细的攻击日志记录。4.提出独立日志主机设计思路,加强攻击日志的保护强度。5.引入可扩展的XML加密通信协议,保证了入侵检测系统与蜜罐系统的安全通信。本文所提出的基于蜜罐的入侵检测技术,经实验证明,可以比较成功地解决入侵检测系统不能检测未知攻击的问题。后续研究工作主要集中在提高入侵检测系统与其它安全技术的联动方面。入侵检测系统有其固有缺陷,依靠自身技术难以克服,后续研究希望可以通过其它安全技术辅助入侵检测系统来打造一个更加全面、更加安全的防御体系。

论文目录

摘要

Abstract

第一章绪论

1.1 背景

1.2 研究现状

1.3 本文工作及结构

第二章网络安全

2.1 网络安全

2.2 网络安全威胁

2.2.1 信息泄漏

2.2.2 拒绝服务

2.2.3 信息破坏

2.3 网络安全模型

2.3.1 PPDR安全模型

2.3.2 PDRR安全模型

2.4 小结

第三章入侵检测系统与蜜罐技术

3.1 入侵检测系统

3.1.1 发展历史与概念

3.1.2 分类

3.1.3 技术原理

3.1.4 体系结构

3.2 蜜罐技术

3.2.1 概念

3.2.2 分类

3.2.3 技术原理

3.2.4 作用

3.3 小结

第四章基于会话的入侵检测方法

4.1 系统框架

4.2 会话事件产生器

4.2.1 数据包的抓取

4.2.2 协议分析

4.2.3 实现

4.3 会话事件分析器

4.3.1 特征字的定义

4.3.2 特征匹配方法

4.3.3 实现

4.4 会话响应系统

4.4.1 日志输出模块

4.4.2 策略处理模块

4.4.3 实现

4.5 小结

第五章基于钩子函数的蜜罐技术

5.1 蜜罐技术

5.2 攻击诱骗

5.2.1 攻击诱骗技术

5.2.2 攻击诱骗实现

5.3 基于钩子函数的数据收集

5.3.1 数据收集技术

5.3.2 基于钩子函数的数据收集实现

5.4 日志系统

5.5 小结

第六章入侵检测系统与蜜罐系统的联动

6.1 联动原理

6.2 系统结构图

6.3 内网各系统的通讯规则

6.4 通信协议格式及加密

6.4.1 通信协议

6.4.2 通信加密

6.5 独立主机日志系统

6.5.1 日志系统功能

6.5.2 实现

6.6 联动实现

6.7 小结

第七章结束语

致谢

参考文献

研究成果

基于蜜罐的入侵检测技术研究

论文摘要

论文目录

相关论文文献

猜你喜欢