基于蜜罐技術的網(wǎng)絡攻擊特征提取研究.pdf

1、蜜罐(Honeypot)技術作為防火墻、入侵檢測系統(tǒng)的一個有益補充，通過與入侵者進行交互能獲得更多有關入侵者的信息。目前，蜜罐技術主要應用于網(wǎng)絡欺騙，并使入侵檢測由被動追蹤轉入主動響應。蜜罐系統(tǒng)是一種網(wǎng)絡資源，它的資料和數(shù)據(jù)可能是偽造的，使它看上去更像一臺真正提供重要服務的主機，使它對黑客更具有誘惑力。通過其對黑客的吸引和被攻擊，可以讓我們獲得更多攻擊信息。當攻擊者與該服務器進行交互時，通過執(zhí)行后臺軟件，以記錄與蜜罐主機的交互數(shù)據(jù)。然后

2、，使用分析工具分析這些數(shù)據(jù)，以發(fā)現(xiàn)攻擊者進入系統(tǒng)的方法和動機。如果這種攻擊方法是IDS不能發(fā)現(xiàn)的，那么這種記錄和分析就更有意義了。
　　 由于，絕大多數(shù)網(wǎng)絡攻擊對相同目標的攻擊具有相同或類似的負載流量，因此可疑的負載隨著可疑活動的傳播將會頻繁的出現(xiàn)。根據(jù)這一特點，本文深入研究了國內外有關蜜罐和蜜網(wǎng)技術以及相關的開源項目，對蜜罐發(fā)展的里程、相關技術和產品進行了全面的總結，并在此基礎上本文做了如下工作：
　　 1.分析了在網(wǎng)

3、絡攻擊特征提取過程中廣泛使用的最長公共子串(LCS)的幾種經(jīng)典算法，并對其空間復雜度、時間復雜度和編程實現(xiàn)難易進行了比較分析。在此基礎上本文提出一種新的算法DPSA（Dynamic ProgrammingSimilar Algorithm)。
　　 2．使用Honeyd工具搭建了一個低交互蜜罐，并應用DPSA算法分析蜜罐日志文件，提取出攻擊特征。驗證了自動產生的規(guī)則添加到snort規(guī)則庫后與snort規(guī)則庫中原有的規(guī)則一樣能被同