基于蜜罐的入侵檢測技術(shù)研究.pdf

1、隨著計算機網(wǎng)絡(luò)的迅速發(fā)展及廣泛應(yīng)用，網(wǎng)絡(luò)安全技術(shù)已經(jīng)成為計算機技術(shù)中一個重要的研究領(lǐng)域。在眾多的網(wǎng)絡(luò)安全技術(shù)中，入侵檢測系統(tǒng)以其快速的檢測方法成為防火墻技術(shù)的一個有效補充手段已經(jīng)在業(yè)界取得了不俗的表現(xiàn)。但當(dāng)前的入侵檢測系統(tǒng)的檢測方法都是基于攻擊特征庫的特征匹配檢測，只能檢測已知的網(wǎng)絡(luò)攻擊，對未知的網(wǎng)絡(luò)攻擊則無能為力。 為此，本文提出將蜜罐技術(shù)引入入侵檢測系統(tǒng)的設(shè)計思路，蜜罐系統(tǒng)通過故意向攻擊者示弱來引誘攻擊者對它進行攻擊，而在攻

2、擊的過程中，蜜罐系統(tǒng)將記錄攻擊者的攻擊操作并通過安全通道將事件信息傳遞給入侵檢測系統(tǒng)，入侵檢測系統(tǒng)收到事件信息后對其進行分析及攻擊特征提取，最后將新的攻擊特征添加到入侵檢測系統(tǒng)攻擊特征庫，從而使得入侵檢測系統(tǒng)可以檢測出未知的攻擊手段。本文的主要工作如下： 1．提出了蜜罐技術(shù)與入侵檢測技術(shù)聯(lián)動的設(shè)計思路，提高了入侵檢測系統(tǒng)檢測未知攻擊的準(zhǔn)確度。 2．提出基于會話的攻擊特征檢查方法，提高了檢測的準(zhǔn)確性。 3．提出將鉤

3、子回調(diào)機制應(yīng)用于蜜罐系統(tǒng)思路，可以提供更加詳細的攻擊日志記錄。 4．提出獨立日志主機設(shè)計思路，加強攻擊日志的保護強度。 5．引入可擴展的XML加密通信協(xié)議，保證了入侵檢測系統(tǒng)與蜜罐系統(tǒng)的安全通信。 本文所提出的基于蜜罐的入侵檢測技術(shù)，經(jīng)實驗證明，可以比較成功地解決入侵檢測系統(tǒng)不能檢測未知攻擊的問題。 后續(xù)研究工作主要集中在提高入侵檢測系統(tǒng)與其它安全技術(shù)的聯(lián)動方面。入侵檢測系統(tǒng)有其固有缺陷，依靠自身技術(shù)難以