入侵檢測與蜜罐交互系統(tǒng)研究.pdf

1、網(wǎng)絡(luò)安全防護與入侵檢測技術(shù)領(lǐng)域的發(fā)展日新月異。但是，該領(lǐng)域的研究工作因存在著檢測目的不明確，檢測方法落后，防護手段仍處在被動式靜態(tài)防御技術(shù)層面，以及系統(tǒng)存在著“漏洞”和“后門”不嚴實等弊端而面臨巨大的考驗。入侵檢測系統(tǒng)的誤報率和漏報率仍然居高不下，不能預(yù)測新漏洞，無法防范未知攻擊；新型攻擊方式(如分布式拒絕服務(wù)攻擊等)的出現(xiàn)，為未來網(wǎng)絡(luò)安全防護和入侵檢測技術(shù)研究提出新的挑戰(zhàn)。 如何使網(wǎng)絡(luò)安全防御體系由靜態(tài)轉(zhuǎn)為動態(tài)，防御措施從被動

2、變?yōu)橹鲃邮俏覀円芯康男抡n題。由此，另一種更主動的有效的信息安全技術(shù)正漸漸地進入人們的視野，那就是蜜罐技術(shù)。蜜罐是網(wǎng)絡(luò)安全的一個全新領(lǐng)域。它通過構(gòu)造一個有著明顯安全漏洞的系統(tǒng)來引誘入侵者對其進行攻擊，并在攻擊的過程中對入侵者的入侵動機、入侵手段、使用工具等信息進行詳細地記錄。根據(jù)收集到的入侵者信息，我們就可以分析得到入侵者所使用的最新技術(shù)、發(fā)現(xiàn)系統(tǒng)中的安全漏洞，從而對系統(tǒng)中存在的問題及時予以解決。 更進一步，本文在仔細分析和深入

3、研究上述問題的基礎(chǔ)上，提出了一種新的基于蜜罐技術(shù)與入侵檢測技術(shù)取長補短的防護系統(tǒng)，主要研究及創(chuàng)新點如下： 1.介紹入侵檢測的基本知識，從分析入侵檢測策略入手，提出了新的層次化入侵檢測模型。該模型可以充分利用主機和網(wǎng)絡(luò)兩種數(shù)據(jù)源，將異常檢測和誤用檢測結(jié)合起來，有效地降低入侵檢測系統(tǒng)的誤報和漏報率。 2.傳統(tǒng)的入侵檢測系統(tǒng)，往往都是被動的。所以本課題提出在入侵檢測系統(tǒng)中引入蜜罐，化被動防御為主動防御。蜜罐技術(shù)的引入大大減少了