基于蜜罐的入侵檢測技術研究.pdf

1、隨著計算機網絡的迅速發(fā)展及廣泛應用，網絡安全技術已經成為計算機技術中一個重要的研究領域。在眾多的網絡安全技術中，入侵檢測系統(tǒng)以其快速的檢測方法成為防火墻技術的一個有效補充手段已經在業(yè)界取得了不俗的表現(xiàn)。但當前的入侵檢測系統(tǒng)的檢測方法都是基于攻擊特征庫的特征匹配檢測，只能檢測已知的網絡攻擊，對未知的網絡攻擊則無能為力。 為此，本文提出將蜜罐技術引入入侵檢測系統(tǒng)的設計思路，蜜罐系統(tǒng)通過故意向攻擊者示弱來引誘攻擊者對它進行攻擊，而在攻

2、擊的過程中，蜜罐系統(tǒng)將記錄攻擊者的攻擊操作并通過安全通道將事件信息傳遞給入侵檢測系統(tǒng)，入侵檢測系統(tǒng)收到事件信息后對其進行分析及攻擊特征提取，最后將新的攻擊特征添加到入侵檢測系統(tǒng)攻擊特征庫，從而使得入侵檢測系統(tǒng)可以檢測出未知的攻擊手段。本文的主要工作如下： 1．提出了蜜罐技術與入侵檢測技術聯(lián)動的設計思路，提高了入侵檢測系統(tǒng)檢測未知攻擊的準確度。 2．提出基于會話的攻擊特征檢查方法，提高了檢測的準確性。 3．提出將鉤

3、子回調機制應用于蜜罐系統(tǒng)思路，可以提供更加詳細的攻擊日志記錄。 4．提出獨立日志主機設計思路，加強攻擊日志的保護強度。 5．引入可擴展的XML加密通信協(xié)議，保證了入侵檢測系統(tǒng)與蜜罐系統(tǒng)的安全通信。 本文所提出的基于蜜罐的入侵檢測技術，經實驗證明，可以比較成功地解決入侵檢測系統(tǒng)不能檢測未知攻擊的問題。 后續(xù)研究工作主要集中在提高入侵檢測系統(tǒng)與其它安全技術的聯(lián)動方面。入侵檢測系統(tǒng)有其固有缺陷，依靠自身技術難以