入侵檢測與蜜罐協(xié)作模型的研究.pdf

1、隨著計算機(jī)網(wǎng)絡(luò)的快速發(fā)展，入侵檢測這種傳統(tǒng)的被動防御技術(shù)，已不能滿足日益復(fù)雜的網(wǎng)絡(luò)安全的需求。它急需與其它技術(shù)進(jìn)行融合與協(xié)作。一方面目前入侵檢測系統(tǒng)還不是很完善，如何降低入侵檢測的誤報率和漏報率的問題亟待解決。另一方面，蜜罐作為一種新興的主動防御技術(shù)，具有收集數(shù)據(jù)量小、價值高，能檢測到未知攻擊等優(yōu)點。因此，蜜罐與入侵檢測系統(tǒng)之間的協(xié)作是一個非常值得研究的問題。
　　 針對當(dāng)前入侵檢測存在的缺陷和不足，本文分析了蜜罐、決策樹以及入

2、侵檢測的工作原理，并對三者之間進(jìn)行協(xié)作的關(guān)鍵技術(shù)方面做了重點研究。本文的主要工作和成果如下：
　　 ①針對蜜罐和決策樹算法的優(yōu)勢結(jié)合現(xiàn)有入侵檢測的問題，提出了基于決策樹的入侵檢測與蜜罐協(xié)作模型IDMDT（Intrusion Detection Model based on Decision Tree and Honeypot）。在該模型中，通過引入蜜墻在保證了內(nèi)部網(wǎng)絡(luò)安全的同時可以很好的迷惑入侵者；蜜罐系統(tǒng)由真實蜜罐和虛擬蜜罐組

3、合而成，可以使兩者取長補(bǔ)短，并有效地避免了單點失效；在數(shù)據(jù)安全存儲方面，把捕獲后的數(shù)據(jù)通過網(wǎng)絡(luò)傳到遠(yuǎn)程的日志服務(wù)器中存儲；在提取規(guī)則方面，選用提取規(guī)則迅速可靠的C4.5算法，加快了捕獲數(shù)據(jù)轉(zhuǎn)換為入侵規(guī)則同時加速了入侵檢測規(guī)則庫的更新。
　　 ②考慮到目前入侵檢測收集的數(shù)據(jù)中連續(xù)屬性存在較多不相關(guān)和冗余屬性，且對連續(xù)屬性的分析較為困難等問題，提出了基于粗糙集的連續(xù)屬性選取，減少了要分析的連續(xù)屬性數(shù)量，方便了挖掘算法的執(zhí)行。針對C4

4、.5算法在進(jìn)行連續(xù)屬性入侵判定時準(zhǔn)確率不高的問題而提出改進(jìn)算法K-C4.5。為了驗證改進(jìn)算法的性能，對提出的改進(jìn)算法進(jìn)行了實驗分析。實驗結(jié)果表明所提出的算法在針對連續(xù)屬性較多、數(shù)據(jù)量較大的情況下較C4.5的算法有一定性能上的提高。
　　 ③結(jié)合常用的工具如Honeyd、Snort、Sebek等，在現(xiàn)有條件下搭建實驗環(huán)境，并對本文的協(xié)作模型進(jìn)行了模擬實驗。模擬結(jié)果顯示本文設(shè)計的入侵檢測與蜜罐的協(xié)作模型可以較迅速的將入侵?jǐn)?shù)據(jù)轉(zhuǎn)化為入