新型蜜网体系结构及告警聚类的关键_胥小波剖析.doc

密级： 保密期限： 博士研究生学位论文 题目： 新型蜜网体系结构及告警聚类 的关键技术研究 学 号： 098123 姓 名： 胥小波 专 业： 信息安全 导 师： 杨义先 教授 学 院： 计算机学院 2012年 4 月 6 日  Doctoral Dissertation of Beijing University of Posts and Telecommunications Research on Key Technologies of a New Honeynet Architecture and Alert Clustering Student Number: 098123 Candidate: Xu Xiaobo Speciality: Information Security Supervisor: Prof. Yang Yixian Academic Degree Applied for: Doctor of Engineering Institute: School of Computer April 6, 2012  独创性（或创新性）声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 日期： 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即：研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存、汇编学位论文。（保密的学位论文在解密后遵守此规定） 保密论文注释：本学位论文属于保密在 年解密后适用本授权书。非保密论文注释：本学位论文不属于保密范围，适用本授权书。 本人签名： 日期： 导师签名： 日期： 新型蜜网体系结构及告警聚类的关键技术研究 摘 要 随着互联网技术的飞速发展，其应用已经融入到各行各业，网络已经成为人们日常生活的基础设施。同时由于网络的开放性，伴随着各种安全威胁，被木马、病毒和僵尸程序感染的主机数量逐年大幅增加，危害信息安全的事件不断发生，形势相当严峻。传统的被动网络防御技术可以在一定程度上防护我们的网络，却只能在攻击发生之后进行弥补，无法扭转攻防两端在时间、信息获取、代价上极不对称的局面。 传统的网络安全防御系统主要是建立在网络隔离、安全检测、安全恢复等技术基础之上，只能进行被动防御，无法对未知的攻击进行主动防御。面对如此严重的威胁和攻防的不对称，急需一种新型的主动网络防御技术，它能够提供虚假信息吸引黑客对其进行攻击，主动了解攻击者使用的技术与方法。同时减小真实网络遭受的攻击强度，以便给管理员足够的反应时间来防御攻击，尽最大努力保护网络并减少损失。这种新兴的主动网络防御技术就是蜜网技术，主要研究如何伪装真实的目标环境，对网络攻击进行诱骗，以便收集攻击信息进行分析和研究。 网络处理器是新一代专用网络数据处理和转发的高速处理器，对数据处理能力强，能够较好地实现数据控制、数据采集和路由模拟的功能。本文基于IXP2400搭建了新型高速蜜网系统，解决了新型蜜网体系架构和部署、大规模网络拓扑仿真、高速路由查找、入侵检测告警聚类等问题。本文主要创新工作如下： 1. 提出了基于网络处理器的新型蜜网体系架构。对蜜网的关键技术进行了研究和总结，针对现有蜜网体系的不足之处，提出了基于网络处理器的新型蜜网体系结构。解决了蜜网网关部署、大规模网络的伪装、服务映射蜜罐、数据捕获和分析等问题。该系统能够动态部署蜜网，模拟大规模网络拓扑和高交互服务，提供可视化的攻击场景以减少人工分析。提高了蜜网系统的自动化和智能化程度，同时具有高速处理性能、较好的安全性和可控性。 2. 基于高