学位论文 > 优秀研究生学位论文题录展示
新型蜜网体系结构及告警聚类的关键技术研究
作 者: 胥小波
导 师: 杨义先
学 校: 北京邮电大学
专 业: 信息安全
关键词: 网络处理器 主动防御 蜜网 网络仿真 路由查找 告警聚类
分类号: TP393.08
类 型: 博士论文
年 份: 2012年
下 载: 261次
引 用: 0次
阅 读: 论文下载
内容摘要
随着互联网技术的飞速发展,其应用已经融入到各行各业,网络已经成为人们日常生活的基础设施。同时由于网络的开放性,伴随着各种安全威胁,被木马、病毒和僵尸程序感染的主机数量逐年大幅增加,危害信息安全的事件不断发生,形势相当严峻。传统的被动网络防御技术可以在一定程度上防护我们的网络,却只能在攻击发生之后进行弥补,无法扭转攻防两端在时间、信息获取、代价上极不对称的局面。传统的网络安全防御系统主要是建立在网络隔离、安全检测、安全恢复等技术基础之上,只能进行被动防御,无法对未知的攻击进行主动防御。面对如此严重的威胁和攻防的不对称,急需一种新型的主动网络防御技术,它能够提供虚假信息吸引黑客对其进行攻击,主动了解攻击者使用的技术与方法。同时减小真实网络遭受的攻击强度,以便给管理员足够的反应时间来防御攻击,尽最大努力保护网络并减少损失。这种新兴的主动网络防御技术就是蜜网技术,主要研究如何伪装真实的目标环境,对网络攻击进行诱骗,以便收集攻击信息进行分析和研究。网络处理器是新一代专用网络数据处理和转发的高速处理器,对数据处理能力强,能够较好地实现数据控制、数据采集和路由模拟的功能。本文基于IXP2400搭建了新型高速蜜网系统,解决了新型蜜网体系架构和部署、大规模网络拓扑仿真、高速路由查找、入侵检测告警聚类等问题。本文主要创新工作如下:1.提出了基于网络处理器的新型蜜网体系架构。对蜜网的关键技术进行了研究和总结,针对现有蜜网体系的不足之处,提出了基于网络处理器的新型蜜网体系结构。解决了蜜网网关部署、大规模网络的伪装、服务映射蜜罐、数据捕获和分析等问题。该系统能够动态部署蜜网,模拟大规模网络拓扑和高交互服务,提供可视化的攻击场景以减少人工分析。提高了蜜网系统的自动化和智能化程度,同时具有高速处理性能、较好的安全性和可控性。2.基于高性能网络处理器提出了一种大规模网络拓扑实时仿真模型,以用于伪装蜜网系统中的虚拟网络拓扑。实时仿真要求仿真系统的时钟与外界时钟同步,使得虚拟网络能够与真实网络协议、服务和应用进行交互。该方案利用离散事件仿真模型来模拟大规模网络,并描述了基于IXP2400平台的实现。实验结果表明该模型能够模拟大规模网络拓扑,能够对探测数据包进行响应,能够自动学习路由条目和线速转发网络数据包。3.为了提高蜜网网关的路由查找速度,提出了一种新的BFBP路由查找算法。现有的基于神经网络的路由查找算法需要学习路由条目包含的所有IP地址,学习量巨大,在训练阶段收敛时间长,阻碍了神经网络在路由查找中的应用。为了解决这个问题,本文结合Bloom-Filter算法和并行反向传播神经网络,提出基于并行神经网络的路由查找算法(BFBP)。 Bloom-Filter算法将神经网络分解为多个并行的神经网络,每个神经网络只需学习路由条目的网络ID,而不需要学习路由条目包含的所有IP地址,从而加速路由学习过程。研究结果表明,相比于已有的神经网络路由查找方法,BFBP算法需要学习的条目数平均减少了520倍,提高了学习效率,为神经网络应用于路由查找创造了有利条件。4.提出了一种新的混沌粒子群算法,以用于蜜网告警优化问题。传统粒子群优化算法初期收敛速度快,但在后期容易陷入局部最优和早熟。为了解决这个问题,本文提出了一种新的混沌粒子群优化算法,不同于现有的混沌粒子群算法的简单粒子序列替换,该算法将混沌融入到粒子运动过程中,使粒子群在混沌与稳定之间交替运动,逐步向最优点靠近。并提出了一种新的混沌粒子群数学模型,进行了非线性动力学分析。数值测试结果表明该方法能跳出局部最优,极大提高了计算精度,进一步提高了全局寻优能力。5.提出了基于混沌粒子群的蜜网告警聚类算法。由于现有的蜜网系统告警数量过多,使网络安全分析人员淹没在大量无用的告警中。为了提高蜜网中入侵检测系统(IDS)的告警质量,减少冗余报警,提出了一种基于混沌粒子群的IDS告警聚类算法。该算法能够克服粒子群算法的早熟、局部最优等缺点,指导聚类中心寻找到全局最优解。通过分析与实验测试,验证了该算法在入侵检测系统中能够减少告警数量,提高告警质量,具有较高的检测率和较低的误报率。
|
全文目录
摘要 5-8 ABSTRACT 8-15 第一章 绪论 15-27 1.1 引言 15-16 1.2 蜜网技术研究背景 16-18 1.2.1 蜜网技术起源——蜜罐技术 16-17 1.2.2 蜜网项目组 17-18 1.3 蜜网技术研究发展与分析 18-23 1.3.1 蜜网技术基本概念 18 1.3.2 第一代蜜网技术 18-20 1.3.3 第二代蜜网技术 20-21 1.3.4 集中式虚拟蜜网技术 21-22 1.3.5 蜜场与动态蜜罐技术 22-23 1.4 本文的主要工作 23-25 1.5 本文结构 25-27 第二章 基于网络处理器的新型蜜网体系结构 27-46 2.1 网络处理器技术 27-29 2.2 蜜网模型研究 29-30 2.3 基于网络处理器的新型蜜网体系结构 30-32 2.4 基于网络处理器的蜜网部署结构 32-37 2.4.1 蜜网网关紧耦合部署模式 33-35 2.4.2 蜜网网关松耦合部署模式 35-37 2.5 基于网络处理器的蜜网技术研究 37-42 2.5.1 基于网络处理器的蜜网网关 37-38 2.5.2 低交互网络伪装 38 2.5.3 服务映射蜜罐 38-40 2.5.4 基于网络处理器的数据捕获 40-41 2.5.5 综合数据分析 41-42 2.6 新型蜜网系统实现及性能测试 42-45 2.7 本章小结 45-46 第三章 基于网络处理器的蜜网伪装模型 46-66 3.1 引言 46-47 3.2 大规模网络拓扑仿真框架 47-48 3.3 大规模网络拓扑仿真技术研究 48-56 3.3.1 离散事件仿真 48-49 3.3.2 XScale仿真模型 49-51 3.3.3 路由表构建 51-53 3.3.4 微引擎处理数据包流程 53-55 3.3.5 队列管理与调度 55-56 3.3.6 多网络处理器并行仿真 56 3.4 仿真系统测试结果 56-64 3.4.1 仿真拓扑 57-58 3.4.2 实验结果 58-64 3.5 结束语 64-66 第四章 蜜网网关BFBP路由查找算法 66-88 4.1 引言 66-67 4.2 路由查找算法相关研究 67-70 4.3 BFBP路由查找模型 70-81 4.3.1 路由查找问题 70 4.3.2 BFBP算法模型 70-72 4.3.3 Kbit-BF模块 72-75 4.3.4 K bit-BP模块 75-79 4.3.5 BFBP算法流程 79-81 4.3.6 BFBP算法复杂性分析 81 4.4 BFBP算法性能分析 81-86 4.5 本章小结 86-88 第五章 蜜网告警优化混沌粒子群算法 88-114 5.1 引言 88-89 5.2 PSO算法基本思想 89-90 5.3 混沌粒子群算法模型 90-95 5.3.1 混沌粒子群算法的数学模型 90-91 5.3.2 混沌变量与粒子群结合过程 91-93 5.3.3 混沌与稳定的交替 93-94 5.3.4 粒子位置更新 94-95 5.4 混沌粒子群算法流程 95-97 5.5 混沌粒子群模型的非线性动力学行为 97-106 5.6 混沌粒子群算法性能数值测试 106-113 5.7 本章小结 113-114 第六章 基于混沌粒子群的蜜网告警聚类算法 114-126 6.1 引言 114-115 6.2 IDS告警聚类相关研究 115-116 6.3 告警聚类算法 116-123 6.3.1 K均值聚类算法 116-117 6.3.2 模糊C均值聚类算法 117-118 6.3.3 告警空间定义 118-119 6.3.4 在线告警聚类算法 119-120 6.3.5 离线告警聚类算法 120-123 6.4 告警聚类算法测试 123-125 6.5 本章小结 125-126 第七章 结论与展望 126-129 7.1 本论文研究工作的总结 126-127 7.2 研究工作的展望 127-129 参考文献 129-141 致谢 141-142 攻读博士学位期间发表的学术论文目录 142-143 攻读博士学位期间参与的科研项目目录 143
|
相似论文
- 基于BP神经网络的水稻干燥智能控制研究,S226.6
- 基于NP的高端路由器流量控制方案的研究与实现,TP393.06
- 基于多核网络处理器P4080的IPSec协议研究与实现,TP393.08
- 一种基于蜜罐技术的主动防御系统模型研究,TP393.08
- 基于网络效用最大化的DDoS攻击主动防御机制研究,TP393.08
- 一种对等网络流媒体直播算法的设计与仿真实现,TN919.8
- 基于网络处理器的Web用户体验测量研究,TP393.09
- 基于Windows平台的Rootkit技术研究与应用,TP393.08
- 基于多核网络处理器的数据包分类算法研究,TP301.6
- 桌面安全防御系统关键技术的研究与实现,TP309
- 中职学校校园网的研究与设计,TP393.18
- 多模式网络流量生成技术研究,TP393.06
- 业务感知的互联网流量管理关键技术研究,TP393.06
- 基于主动防御的校园网研究与实现,TP393.18
- 基于多分支trie的快速路由查找算法,TP393.02
- 业务感知的互联网流量管理关键技术研究,TP393.06
- 蜜罐网络防御系统的设计与实现,TP393.08
- 多网网关的高速串行接口与流量控制技术研究,TP393.05
- 白名单主动防御系统的设计与实现,TP393.08
- 基于TRIE的软转发路由查找模块的设计实现,TP393.02
- 高端路由器POS接口卡与主控卡间通信协议的设计与实现,TP393.05
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|