调研报告格式考参文档.docVIP

中南大学 本科生毕业设计调研报告 题 目 基于蜜罐的入侵检测技术的研究 学生姓名 陈海宁 指导老师 汪 洁 学 院 信息科学与工程学院 专业班级 信息安全0301班 完成时间 2007.03.25 摘 要 随着计算机网络的普遍使用，借助于网络的入侵行为的数量和破坏性也不断增加。传统的入侵检测技术由于具有误报率和漏报率较高、不能识别未知攻击等缺点，已经不能满足人们的需求。将蜜罐技术和入侵检测技术相结合，并在此基础上发展而来的入侵诱骗技术，可以较好地解决上述问题。 本文首先依次介绍了入侵检测技术和蜜罐技术的基础知识，其次在讲述了入侵诱骗技术的发展背景之后，分别介绍了入侵诱骗模型的防火墙模块、入侵检测模块、数据控制模块、数据捕获模块和数据分析模块，最后对入侵诱骗技术的研究现状做了简略的介绍。 第二部分是关于对课题设计计划的阐述。本次设计的重点是实现入侵诱骗系统的数据分析模块。首先，对几种典型的攻击类型进行分析和比较，得到进入Honeypot网络的攻击所具有的特征。搭建蜜罐，获得若干样本，其中每个样本都包括了分析得出的特征上的取值。然后，利用感知器学习方法建立入侵检测模型，并用捕获到的样本进行训练。最后，设置实验对所得的入侵检测模型进行测试，评估其检测能力。 关键词：入侵诱骗 入侵检测 蜜罐 入侵检测模型 感知器 目 录 第一章 设计任务及背景 4 1.1设计任务 4 1.2设计背景 4 1.2.1 入侵检测技术概述 4 1.2.2 蜜罐技术概述 8 1.2.3 入侵诱骗技术的发展背景 11 1.2.4 入侵诱骗系统模型 11 1.2.5 入侵诱骗技术的研究现状 12 第二章 研究与应用 14 2.1题目要求 14 2.2课题设计思路与分析 14 2.2.1 分析典型攻击及其特征 14 2.2.2 利用蜜罐捕获数据 15 2.2.3 建立入侵检测模型 15 2.2.4 设置实验评估入侵检测模型 19 2.3 工作进度 20 第三章 结论 21 参考文献 22 第一章 设计任务及背景 1.1设计任务 随着计算机网络的普遍使用，借助于网络的入侵行为的数量和破坏性也不断增加。以入侵检测技术为核心之一的动态主动防御技术极大地提高了系统和网络的安全性，但是它仍然存在其固有的缺点，例如误报率和漏报率较高、对未知类型的攻击无能为力等。另一方面，蜜罐技术可以检测到未知的攻击，并且收集入侵信息，借以观察入侵者行为，记录其活动，以便分析入侵者的水平、目的、所用工具和入侵手段等。入侵诱骗技术通过将蜜罐引入入侵检测技术当中，结合两者的优点，对入侵行为具有更好的检测能力。 本次毕业设计的任务就是，建立入侵检测模型，搭建蜜罐以获取攻击数据来训练该入侵检测模型，使其能够识别出未知攻击，并对已知攻击进行正确分类。 1.2设计背景 1.2.1入侵检测技术概述 1．基本概念 早在20世纪80年代初期，Anderson将入侵定义为：未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用[1]。Heady认为入侵是指试图破坏资源的完整性、机密性及可用性的行为集合[2]。Smaha从分类角度指出[3]，入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。卡内基-梅隆大学的研究人员将入侵定义为非法进入信息系统，包括违反信息系统的安全策略或法律保护条例的动作[4]。可以认为，入侵的定义应与受害目标相关联，该受害目标可以是一个大的系统或单个对象。判断与目标相关的操作是入侵的依据是：对目标的操作超出了目标的安全策略范围。因此，入侵是指违背访问目标的安全策略的行为。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为[5]。具有入侵检测功能的系统称为入侵检测系统，简称IDS。 2．入侵检测模型 最早的入侵检测模型是由Denning[6]给出的，该模型主要根据主机系统审计记录数据，生成有关系统的若干轮廓，并监测轮廓的变化差异发现系统的入侵行为，如图1.1所示。 入侵行为的种类不断增多，涉及的范围不断扩大，而且许多攻击是经过长时期准备，通过网上协作进行的。面对这种情况，入侵检测系统的不同功能组件之间、不同IDS之间共享这类攻击信息是十分重要的。为此，Chen等提出一种通用的入侵检测框架模型，简称CIDF[7]。该模型认为入侵检测系统由事件产生器(event generators)、事件分析器(event analyzers)、响应单元(response units)和事件数据库(event databases)组成，如图1.2所示。 图1.1 IDES入侵检测模型 图1.2 CIDF各组件之间的关系图 C