文档介绍：天津大学
硕士学位论文
基于虚拟蜜罐的入侵检测系统设计
姓名:惠伟
申请学位级别:硕士
专业:信息与通信工程
指导教师:鹿凯宁
2011-12
摘要穷的网络攻击不仅对当前的网络技术提出了挑战,还给用户造成了重大的经济损失。传统的网络防御技术已经越来越不能满足信息安全保护的需求。入侵检测作蜜罐作为保护网络安全的新技术,不但能够检测未知攻击,还可以采集到入搭建模拟系统测试该设计方案的数据捕获、控制功能以及安全功能,验证了其在关键词:入侵检测:虚拟蜜罐:煌绨踩随着互联网的快速普及,计算机网络安全问题日益引起人们的关注。层出不为动态的保护网络安全的技术,采用基于规则匹配的方法来检测入侵和攻击,对于已知攻击特征的入侵行为具有良好的检测效果,但传统的入侵检测系统也存在显著的缺陷:漏报率和误报率比较高、对未知攻击行为无能为力等。侵检测系统无法获得的信息,在一定程度上克服了入侵检测技术的不足。本文将虚拟机技术引入蜜罐系统中,在对比分析入侵检测技术和蜜罐技术的典型应用的基础上,对这两种技术进行融合,提出了一种新的基于虚拟蜜罐技术的入侵检测系统设计方案,并对此方案的各个模块进行了详细的分析设计。通过现实应用中的可行性。实验表明,这种基于虚拟蜜罐的入侵检测系统完全满足当前网络对入侵者信息捕获的需求,能够对用户网络提供全面的保护,不但可以检测到已知攻击特征的入侵行为,还能够捕获到未知的攻击。此外,模拟系统还能在一定程度上抵御攻击和僵尸病毒攻击。因此,这种混合设计方案在实际应用中具有一定的价值。
.甀,篒;;;琾.—琭.,甌,.瑃,琤,...,.琾,.瑃’
研究背景及问题提出第一章绪论根据国家互联网应急中心中国互联网网络安全报告【浚绨踩录要集中在恶意代码、漏洞、网页仿冒等事件,其中,恶意代码事件和漏洞事件是毒木马呈现“互联网化”趋势,高度依赖联网传播;%的病毒传播渠道被病毒破坏性超传统倍:病毒木马与钓鱼网站相互“勾结”越发突出。新,会互联网带来越来越严重的危害。传统的网络安全技术主要有:认证技术、加密技术、数字签名、防火墙技术、“静态”的保护,不能应对未知的攻击。因此,越来越多的研究机构正在致力于具。它通常维护着一个数据库,保存着已知攻击行为的特征,并且以此特征库的管理员发出报警信息,并根据事先设定的规则自动地做出响应,例如,记录攻击互联网的飞速发展极大的满足了人们信息交流的需要,促进了科技、教育、文化等各方面的快速发展,并成为人们工作、学习、生活的重要组成部分,但诟嗣谴幢憷耐保膊欢系牟髦治侍猓孕畔踩斐裳重的威胁。影响企业和用户网络安全的主要威胁,而且年上半年所接收的网络安全事件报告数量比去年同期大幅增加。互联网安全威胁呈现以下五个特征:病集团所操纵,危害更深入;网络购物人群成为入侵重点对象;新型木马不断出现,由此可以得出,互联网威胁事件不但在数量上增加,而且在技术上也不断创入侵检测技术等。这些网络安全技术都极大的促进了互联网的健康发展,但这些传统的技术也存在固有的缺陷,例如,只考虑系统自身的安全保护,主要侧重于研究主动的网络安全防御技术。入侵检测技术侵竿ü韵低橙罩尽⑿为、审计数据以及网络其它可以获取的数据进行操作,检测到对系统的入侵或入侵的企图【。入侵检测系统‘梢约虻サ睦斫獬梢个能够读取和解释防火墙、服务器、路由器以及其它网络设备日志文件内容的工内容匹配所监视的网络流量,如果出现匹配内容,入侵检测系统可以向网络安全行为,追查入侵者信息,切断网络连接等。随着入侵者使用越来越复杂的逃避技术,以及通过加密技术保护网络通信止被窃听的协议越来越多肭旨觳庀低衬芄惶峁┯杏眯畔⒃嚼丛缴佟U攵哉
国内外发展现状些缺陷,人们提出了很多新技术,本文采用的虚拟蜜罐技术就是其中的一种。蜜罐是一个被严密监控的计算机资源,希望被入侵者探测、攻击或者攻陷【俊R桓蜜罐的价值可以用其获得的信息量来衡量,通过检测进出蜜罐的数据来收集本文基于入侵检测系统,结合蜜罐技术,同时使用了透明网桥、防火墙、虚拟机等技术,设计了一个基于虚拟蜜罐的入侵检测系统,不但能够确保自身的安瓵谝淮翁岢鋈肭旨觳獾母拍睿一文中详细论述了入侵检测,提出了计算机系统威胁分类以及通过审计入侵行为日志来监控入侵活动的思想,被公认为是入侵芯砍隽艘恢质凳比肭旨觳庀低衬P停肭旨觳庾ḿ蚁低,该系统第一次将网络数据流纳入审计数据来源,优势是不用进行数据格式转换即可监控主机,由此,入侵检测系统的发展进入了新的历史阶段,并使基于网络的晌V髁鞯,箍Q芯浚⑷诤匣谥骰突谕绲募错性,等人建议采用自治代理。世纪初,国际上一些研究机构开始对入侵检测系统进行标准化工作,目前主要有两个标准组织:的。是一个开放的组织,其制定的规范对姆⒄棺龀隽送怀的贡献。入侵检测技术为信息资源提供保护,是一种检测计算机系统中恶意行为无法获得