返回
的网络入侵模式挖掘.pdf

的网络入侵模式挖掘.pdf

ID:52440440

大小:117.60 KB

页数:8页

时间:2020-03-27

的网络入侵模式挖掘.pdf_第1页
的网络入侵模式挖掘.pdf_第2页
的网络入侵模式挖掘.pdf_第3页
的网络入侵模式挖掘.pdf_第4页
的网络入侵模式挖掘.pdf_第5页
资源描述:

《的网络入侵模式挖掘.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、*基于Honeynet的网络入侵模式挖掘1,211印鉴,张钢,陈忆群1(中山大学计算机科学系广州510275)2(南京大学计算机软件新技术国家重点实验室南京210093)摘要随着互联网的扩张和基于互联网应用的发展,网络安全越来越受到人们的关注。网络入侵的检测和防范也越来越受到人们的重视。构建一个安全的网络,就要对攻击者的行为模式和攻击手段进行分析。本文提出了一个基于Honeynet的网络安全系统,通过Honeynet中的机器收集攻击者的有效信息,然后使用数据挖掘算法从这些数据中找出入侵者的攻击模式,从而提高入侵检测

2、系统和防火墙的检测和防范能力。关键词:网络安全,入侵检测,Honeynet,数据挖掘1.引言Honeynet的概念是由Honeypot发展起来的。起初人们为了研究黑客的入侵行为,在网络上放置了一些专门的计算机,并在上面运行专用的模拟软件,使得在外界看来这些计算机就是网络上运行某些操作系统的主机。把这些计算机放在网络上,并为之设置较低的安全防护等级,使入侵者可以比较容易地进入系统。入侵者进入系统后一切行为都在系统软件的监控和记录之下,通过系统软件收集描述入侵者行为的数据,对入侵者的行为进行分析。目前Honeypot的

3、软件已经有很多,可以模拟各种各样的操作系统,如Windows、RedHat、FreeBSD甚至Cisco路由器的IOS。但是模拟软件不能完全反映真实的网络状况,也不可能模拟实际网络中所出现的各种情况,在其上所收集到的数据有很大的局限性,所以就出现了由真实计算机组成的网络Honeynet。Honeynet是一个真实的网络,其中的主机与网络中的其它主机并没有什么两样。这样收集到的数据就具有真实性,可以反映在各种环境下的网络运行状况。Honeynet是一个经过精心设计的网络,入侵者在其中的行为被记录并被保存到安全的地方,

4、同时系统的监视行为对入侵者来说是透明的,此外,最重要的一点是要防止入侵者利用Honeynet中被入侵的机器去攻击Honeynet之外的机器。因此,要使Honeynet有效地工作,就需要利用网络设备如路由器、防火墙、入侵检测系统(IDS)以及远程的日志服务器(LogServer)。从Honeynet收集到的数据是多种多样的,要使用数据挖掘方法对所收集的数据进行有效分析,就要进行数据清理、整理和分类。同时,针对不同的攻击方式,所收集到数据无论从结构上还是语义上,都会有很大的差别,所以对于不同类型的数据要采取不同的数据挖

5、掘方法进行分析。2.Honeynet的设计方案*本文研究得到国家自然科学基金资助(60205007)、广东省自然科学基金资助(001264)、广东省教育厅《软件技术》重点实验室研究基金资助、南京大学计算机软件新技术国家重点实验室研究基金资助1设计一个有效的Honeynet,要考虑以下四个关键因素:1.有效地收集尽可能多的入侵者信息及攻击行为数据只有收集到足够多的入侵者行为信息,才能进行数据挖掘。所以有必要记录入侵者入侵系统时以及入侵系统后尽可能多的细节。但是数据的有效性必须考虑。比如说,在防火墙主机上把进出Hone

6、ynet的每一个字节都记录下来,并存放在一个二进制文件中。这样做毫无意义,因为它不是有效的数据。为了得到有效的数据,需要在一些网络监控软件的帮助下完成数据的收集过程。为了尽可能多地收集入侵者的信息,需要把Honeynet设置成一个末节网络(StubNetwork),这种网络只有一个对外的出口,在出口处放置一个防火墙就可以捕获所有进出网络的数据包,但是对Honeynet内部所发生的事情仍然一无所知。所以,在Honeynet内部安全的地方放置一个入侵检测系统是非常必要的,它的功能是捕获网内的所有信息。同时,为了得知任一

7、时刻Honeynet中的计算机系统内部所发生的事情,需要把Honeynet中机器的系统日志实时备份到一台安全的日志服务器上。日志服务器是一台非常安全的计算机,它被防火墙分隔,只有Honeynet中计算机的日志信息可以到达它。2.收集到的信息能存放在安全的地方把从Honeynet中收集到的信息放在Honeynet的某台机器中是不明智的,因为Honeynet的机器随时都有被攻陷的可能,也就是说,入侵者随时都可能会得到Honeynet中计算机的最高权限,为了能安全保存收集到的信息,应该把这些信息放在Honeynet之外的

8、机器上。为了达到这一目的,采取的方法是利用网络设备本身的安全防御能力并借助一些网络安全软件的功能。第一个安全的网络设备是防火墙。通过把一个Honeynet配置成一个末节网络,在网络出口处加上一个防火墙,就可以监控进出网络的每一个数据包。而且,最重要的是,防火墙的安全级别是很高的,数据放在上面相对而言比较安全。第二个安全的地方是Honeynet的入侵检测系统。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。