黑客監(jiān)控技術(shù)研究.pdf

1、論文選題來源于國家高技術(shù)研究發(fā)展計(jì)劃(863計(jì)劃)資助項(xiàng)目“黑客監(jiān)控技術(shù)研究”、國家教育部博士學(xué)科點(diǎn)基金項(xiàng)目“智能分布實(shí)時(shí)網(wǎng)絡(luò)入侵防御技術(shù)研究”。 隨著網(wǎng)絡(luò)對(duì)抗技術(shù)的發(fā)展，入侵檢測系統(tǒng)作為一種新興的主動(dòng)式動(dòng)態(tài)防御技術(shù)，成為網(wǎng)絡(luò)安全研究中的熱點(diǎn)。然而，現(xiàn)有的入侵檢測系統(tǒng)尚存在不少缺陷。為了能更完善地實(shí)現(xiàn)網(wǎng)絡(luò)安全，論文提出了“黑客監(jiān)控系統(tǒng)”的概念。 論文主要研究工作涉及黑客監(jiān)控技術(shù)的理論與黑客監(jiān)控系統(tǒng)的開發(fā)技術(shù)，具體研究成果

2、與創(chuàng)新點(diǎn)如下：(1)首次提出了“黑客監(jiān)控系統(tǒng)”的概念，以區(qū)別于當(dāng)前流行的入侵檢測系統(tǒng)。黑客監(jiān)控系統(tǒng)是一個(gè)綜合的防御系統(tǒng)，它將實(shí)時(shí)入侵檢測、報(bào)警、響應(yīng)、反擊、黑客誘騙、電子取證、安全評(píng)估等七大功能集成于一體，構(gòu)成多層立體主動(dòng)監(jiān)控體系。相比單純的入侵檢測系統(tǒng)，黑客監(jiān)控系統(tǒng)既可實(shí)現(xiàn)對(duì)黑客的實(shí)時(shí)監(jiān)控與誘捕，又能對(duì)業(yè)務(wù)網(wǎng)提供可靠的主動(dòng)性保護(hù)。虛擬仿真網(wǎng)的引入，使得監(jiān)控機(jī)制對(duì)內(nèi)部、外部及潛在黑客同樣有效，解決了入侵檢測系統(tǒng)無法應(yīng)對(duì)潛在黑客和內(nèi)部攻擊

3、的問題。 (2)在研究各種攻擊行為的基礎(chǔ)上，設(shè)計(jì)了一種安全脆弱點(diǎn)描述語言，克服了枚舉法、CVE法等現(xiàn)有脆弱點(diǎn)描述方法的局限性。 (3)為了使分類更加科學(xué)實(shí)用，提出了一種基于星型網(wǎng)模型的安全漏洞分類方法，將所有漏洞構(gòu)造成一個(gè)七維數(shù)據(jù)空間，每一維都有具體的粒度劃分，可以利用多維數(shù)據(jù)模型上的數(shù)據(jù)挖掘?qū)β┒催M(jìn)行較全面的多維度數(shù)據(jù)分析與知識(shí)發(fā)現(xiàn)。 (4)提出了攻擊模式的概念，通過使用基于UML的攻擊模式，描述了攻擊的靜態(tài)結(jié)

4、構(gòu)和動(dòng)態(tài)行為。攻擊模式對(duì)于多階段攻擊和協(xié)同攻擊尤其適用。對(duì)于近期出現(xiàn)的新型攻擊，研究了分布式反射拒絕服務(wù)攻擊，并指出了這種新型攻擊區(qū)別于傳統(tǒng)的分布式拒絕服務(wù)攻擊的三個(gè)根本特征。 (5)在入侵檢測及響應(yīng)技術(shù)的研究中，提出了基于多傳感器數(shù)據(jù)融合與挖掘的分布式入侵檢測模型，將多傳感器數(shù)據(jù)融合與數(shù)據(jù)挖掘技術(shù)應(yīng)用到分布式入侵檢測中，可連續(xù)和全面地提供網(wǎng)絡(luò)攻防戰(zhàn)場環(huán)境態(tài)勢的綜合評(píng)估。 (6)提出并實(shí)現(xiàn)了基于快速模式匹配與多層協(xié)議分析

5、的特征檢測方法，采用了自主改進(jìn)的Boyer-Moore模式匹配算法。相比原算法，改進(jìn)的Boyer-Moore算法在性能、效率、資源消耗等方面都取得了更好的結(jié)果。 (7)在網(wǎng)絡(luò)仿真及黑客誘騙技術(shù)研究中，結(jié)合離散事件仿真和面向?qū)ο蠹夹g(shù)，設(shè)計(jì)了基于面向?qū)ο箅x散事件驅(qū)動(dòng)的網(wǎng)絡(luò)仿真系統(tǒng)框架。在HoneyPot和Honeynet兩種誘騙技術(shù)的基礎(chǔ)上，發(fā)展出了基于嵌入式Honeynet的欺騙空間技術(shù)，提高了欺騙質(zhì)量。 在黑客監(jiān)控技術(shù)理