学位论文 > 优秀研究生学位论文题录展示

新型蜜网体系结构及告警聚类的关键技术研究

作　者: 胥小波
导　师: 杨义先
学　校: 北京邮电大学
专　业: 信息安全
关键词: 网络处理器主动防御蜜网网络仿真路由查找告警聚类
分类号: TP393.08
类　型: 博士论文
年　份: 2012年
下　载: 261次
引　用: 0次
阅　读: 论文下载

内容摘要

随着互联网技术的飞速发展,其应用已经融入到各行各业,网络已经成为人们日常生活的基础设施。同时由于网络的开放性,伴随着各种安全威胁,被木马、病毒和僵尸程序感染的主机数量逐年大幅增加,危害信息安全的事件不断发生,形势相当严峻。传统的被动网络防御技术可以在一定程度上防护我们的网络,却只能在攻击发生之后进行弥补,无法扭转攻防两端在时间、信息获取、代价上极不对称的局面。传统的网络安全防御系统主要是建立在网络隔离、安全检测、安全恢复等技术基础之上,只能进行被动防御,无法对未知的攻击进行主动防御。面对如此严重的威胁和攻防的不对称,急需一种新型的主动网络防御技术,它能够提供虚假信息吸引黑客对其进行攻击,主动了解攻击者使用的技术与方法。同时减小真实网络遭受的攻击强度,以便给管理员足够的反应时间来防御攻击,尽最大努力保护网络并减少损失。这种新兴的主动网络防御技术就是蜜网技术,主要研究如何伪装真实的目标环境,对网络攻击进行诱骗,以便收集攻击信息进行分析和研究。网络处理器是新一代专用网络数据处理和转发的高速处理器,对数据处理能力强,能够较好地实现数据控制、数据采集和路由模拟的功能。本文基于IXP2400搭建了新型高速蜜网系统,解决了新型蜜网体系架构和部署、大规模网络拓扑仿真、高速路由查找、入侵检测告警聚类等问题。本文主要创新工作如下：1.提出了基于网络处理器的新型蜜网体系架构。对蜜网的关键技术进行了研究和总结,针对现有蜜网体系的不足之处,提出了基于网络处理器的新型蜜网体系结构。解决了蜜网网关部署、大规模网络的伪装、服务映射蜜罐、数据捕获和分析等问题。该系统能够动态部署蜜网,模拟大规模网络拓扑和高交互服务,提供可视化的攻击场景以减少人工分析。提高了蜜网系统的自动化和智能化程度,同时具有高速处理性能、较好的安全性和可控性。2.基于高性能网络处理器提出了一种大规模网络拓扑实时仿真模型,以用于伪装蜜网系统中的虚拟网络拓扑。实时仿真要求仿真系统的时钟与外界时钟同步,使得虚拟网络能够与真实网络协议、服务和应用进行交互。该方案利用离散事件仿真模型来模拟大规模网络,并描述了基于IXP2400平台的实现。实验结果表明该模型能够模拟大规模网络拓扑,能够对探测数据包进行响应,能够自动学习路由条目和线速转发网络数据包。3.为了提高蜜网网关的路由查找速度,提出了一种新的BFBP路由查找算法。现有的基于神经网络的路由查找算法需要学习路由条目包含的所有IP地址,学习量巨大,在训练阶段收敛时间长,阻碍了神经网络在路由查找中的应用。为了解决这个问题,本文结合Bloom-Filter算法和并行反向传播神经网络,提出基于并行神经网络的路由查找算法(BFBP)。 Bloom-Filter算法将神经网络分解为多个并行的神经网络,每个神经网络只需学习路由条目的网络ID,而不需要学习路由条目包含的所有IP地址,从而加速路由学习过程。研究结果表明,相比于已有的神经网络路由查找方法,BFBP算法需要学习的条目数平均减少了520倍,提高了学习效率,为神经网络应用于路由查找创造了有利条件。4.提出了一种新的混沌粒子群算法,以用于蜜网告警优化问题。传统粒子群优化算法初期收敛速度快,但在后期容易陷入局部最优和早熟。为了解决这个问题,本文提出了一种新的混沌粒子群优化算法,不同于现有的混沌粒子群算法的简单粒子序列替换,该算法将混沌融入到粒子运动过程中,使粒子群在混沌与稳定之间交替运动,逐步向最优点靠近。并提出了一种新的混沌粒子群数学模型,进行了非线性动力学分析。数值测试结果表明该方法能跳出局部最优,极大提高了计算精度,进一步提高了全局寻优能力。5.提出了基于混沌粒子群的蜜网告警聚类算法。由于现有的蜜网系统告警数量过多,使网络安全分析人员淹没在大量无用的告警中。为了提高蜜网中入侵检测系统(IDS)的告警质量,减少冗余报警,提出了一种基于混沌粒子群的IDS告警聚类算法。该算法能够克服粒子群算法的早熟、局部最优等缺点,指导聚类中心寻找到全局最优解。通过分析与实验测试,验证了该算法在入侵检测系统中能够减少告警数量,提高告警质量,具有较高的检测率和较低的误报率。

全文目录

摘要  5-8
ABSTRACT  8-15
第一章绪论  15-27
  1.1 引言  15-16
  1.2 蜜网技术研究背景  16-18
    1.2.1 蜜网技术起源——蜜罐技术  16-17
    1.2.2 蜜网项目组  17-18
  1.3 蜜网技术研究发展与分析  18-23
    1.3.1 蜜网技术基本概念  18
    1.3.2 第一代蜜网技术  18-20
    1.3.3 第二代蜜网技术  20-21
    1.3.4 集中式虚拟蜜网技术  21-22
    1.3.5 蜜场与动态蜜罐技术  22-23
  1.4 本文的主要工作  23-25
  1.5 本文结构  25-27
第二章基于网络处理器的新型蜜网体系结构  27-46
  2.1 网络处理器技术  27-29
  2.2 蜜网模型研究  29-30
  2.3 基于网络处理器的新型蜜网体系结构  30-32
  2.4 基于网络处理器的蜜网部署结构  32-37
    2.4.1 蜜网网关紧耦合部署模式  33-35
    2.4.2 蜜网网关松耦合部署模式  35-37
  2.5 基于网络处理器的蜜网技术研究  37-42
    2.5.1 基于网络处理器的蜜网网关  37-38
    2.5.2 低交互网络伪装  38
    2.5.3 服务映射蜜罐  38-40
    2.5.4 基于网络处理器的数据捕获  40-41
    2.5.5 综合数据分析  41-42
  2.6 新型蜜网系统实现及性能测试  42-45
  2.7 本章小结  45-46
第三章基于网络处理器的蜜网伪装模型  46-66
  3.1 引言  46-47
  3.2 大规模网络拓扑仿真框架  47-48
  3.3 大规模网络拓扑仿真技术研究  48-56
    3.3.1 离散事件仿真  48-49
    3.3.2 XScale仿真模型  49-51
    3.3.3 路由表构建  51-53
    3.3.4 微引擎处理数据包流程  53-55
    3.3.5 队列管理与调度  55-56
    3.3.6 多网络处理器并行仿真  56
  3.4 仿真系统测试结果  56-64
    3.4.1 仿真拓扑  57-58
    3.4.2 实验结果  58-64
  3.5 结束语  64-66
第四章蜜网网关BFBP路由查找算法  66-88
  4.1 引言  66-67
  4.2 路由查找算法相关研究  67-70
  4.3 BFBP路由查找模型  70-81
    4.3.1 路由查找问题  70
    4.3.2 BFBP算法模型  70-72
    4.3.3 Kbit-BF模块  72-75
    4.3.4 K bit-BP模块  75-79
    4.3.5 BFBP算法流程  79-81
    4.3.6 BFBP算法复杂性分析  81
  4.4 BFBP算法性能分析  81-86
  4.5 本章小结  86-88
第五章蜜网告警优化混沌粒子群算法  88-114
  5.1 引言  88-89
  5.2 PSO算法基本思想  89-90
  5.3 混沌粒子群算法模型  90-95
    5.3.1 混沌粒子群算法的数学模型  90-91
    5.3.2 混沌变量与粒子群结合过程  91-93
    5.3.3 混沌与稳定的交替  93-94
    5.3.4 粒子位置更新  94-95
  5.4 混沌粒子群算法流程  95-97
  5.5 混沌粒子群模型的非线性动力学行为  97-106
  5.6 混沌粒子群算法性能数值测试  106-113
  5.7 本章小结  113-114
第六章基于混沌粒子群的蜜网告警聚类算法  114-126
  6.1 引言  114-115
  6.2 IDS告警聚类相关研究  115-116
  6.3 告警聚类算法  116-123
    6.3.1 K均值聚类算法  116-117
    6.3.2 模糊C均值聚类算法  117-118
    6.3.3 告警空间定义  118-119
    6.3.4 在线告警聚类算法  119-120
    6.3.5 离线告警聚类算法  120-123
  6.4 告警聚类算法测试  123-125
  6.5 本章小结  125-126
第七章结论与展望  126-129
  7.1 本论文研究工作的总结  126-127
  7.2 研究工作的展望  127-129
参考文献  129-141
致谢  141-142
攻读博士学位期间发表的学术论文目录  142-143
攻读博士学位期间参与的科研项目目录  143

新型蜜网体系结构及告警聚类的关键技术研究

内容摘要

全文目录

相似论文