基于遗传算法的拟态蜜罐系统研究

发布时间：2018-08-26 19:55

【摘要】：蜜罐技术能够通过诱骗入侵者,主动了解黑客组织的攻击策略、工具和目的,弥补了入侵检测、防火墙等被动防御的不足,对防范他们的入侵具有极高的价值。然而,面对日益多样化的攻击,研究如何提高蜜罐主动性、自适应性是蜜罐持续有效的关键。首先,本文分别从防御者、入侵者角度阐述了蜜罐和反蜜罐技术研究热点。伴随着反蜜罐技术的应用,防御者引入伪蜜罐技术进行对抗。从中我们发现,单一的蜜罐技术或伪蜜罐技术对入侵者的诱骗程度有限。借鉴生物中拟态现象,课题组前期提出拟态蜜罐,将蜜罐和伪蜜罐技术结合,通过模拟服务环境的保护色机制(蜜罐)和模拟蜜罐特征的警戒色机制(伪蜜罐),进行拟态特征构建和动态演化,可以达到持续迷惑和诱骗攻击者的目的,本文主要针对拟态蜜罐特征的演化进行研究。借鉴生物进化中“优胜劣汰,适者生存”的思想,遗传算法已在入侵检测规则、服务组合优化中广泛应用。本文在阐述遗传算法流程和优点后,重点研究遗传算法在蜜罐优化问题上的应用,并提出了基于自适应遗传算法的蜜罐演化算法(GA-MHEA),该算法借助遗传算法的随机搜索策略和优质个体的可继承性。首先定义蜜罐/伪蜜罐服务诱骗QoS,然后针对蜜罐(保护色)和伪蜜罐(警戒色)服务特征和内容,提取并形式化关键服务特征进行编码。并依据蜜罐/伪蜜罐服务的诱骗QoS设计适应度函数,自适应调整遗传算子的操作空间,优化蜜罐的服务特征和服务内容,以应对不断变化的网络环境及攻击者的蜜罐识别扫描,为蜜罐系统的自适应性的提高提供新的技术路线。然后,在分析拟态蜜罐中警戒色失效后果的严重性基础上,提出了服务器逃逸机制,即攻击者一旦识破系统中的伪蜜罐,进行伪蜜罐服务迁移,蜜罐候补,增加拟态蜜罐系统的抗攻击能力。在研究的最后,本文针对基于遗传算法的拟态式蜜演化系统的NS2仿真及Linux系统QT平台下的原型实现,分别设计带有蜜罐识别的Syn-Flood攻击实验。通过实验验证了拟态蜜罐服务演化扫描攻击特性,证明了GA-MHEA演化策略可行性和有效性。
[Abstract]:Honeypot technology can deceive intruders and actively understand the attack strategies tools and purposes of hacker organizations and make up for the shortcomings of passive defense such as intrusion detection firewall and so on. It is of great value to prevent their intrusion. However, in the face of increasingly diverse attacks, the study of how to improve the honeypot initiative, self-adaptability is the key to the continued effectiveness of honeypot. Firstly, the research focus of honeypot and anti-honeypot technology are discussed from the point of view of defenses and intruders respectively. With the application of anti-honeypot technology, defenders introduce pseudo-honeypot technology to counter. We find that the single honeypot technology or pseudo honeypot technology is limited in the degree of invaders. Drawing lessons from the mimicry phenomenon in biology, the research group put forward the pseudo honeypot in the early stage, combining honeypot and pseudo honeypot technology. By simulating the protective color mechanism of serving environment (honeypot) and the warning mechanism of simulated honeypot feature (pseudo honeypot), the pseudo feature can be constructed and dynamically evolved, and the purpose of continually confusing and deceiving the attacker can be achieved. In this paper, the evolution of the characteristics of simulated honeypot is studied. Based on the idea of "survival of the fittest and survival of the fittest" in biological evolution, genetic algorithm has been widely used in intrusion detection rules and service composition optimization. After expounding the flow and advantages of genetic algorithm, this paper focuses on the application of genetic algorithm in honeypot optimization. A honeypot evolutionary algorithm (GA-MHEA) based on adaptive genetic algorithm (AGA) is proposed. The algorithm is based on the random search strategy of genetic algorithm and the inheritance of high-quality individuals. Firstly, the honeypot / pseudo honeypot service decoy QoS, is defined, and then the key service features are extracted and coded according to the honeypot (protective color) and pseudo honeypot (alert color) service features and contents. According to the QoS of honeypot / pseudo honeypot service, the fitness function is designed, the operation space of genetic operator is adjusted adaptively, and the service features and contents of honeypot are optimized to deal with the changing network environment and the honeypot identification scan of the attacker. It provides a new technical route for improving the adaptability of honeypot system. Then, on the basis of analyzing the severity of warning color failure in simulated honeypot, a mechanism of server escape is proposed, that is, once the attacker detects the pseudo honeypot in the system, the false honeypot service is migrated and the honeypot alternate. Increases the ability to resist attack of a simulated honeypot system. At the end of the study, aiming at the NS2 simulation of pseudo-honey evolution system based on genetic algorithm and the prototype implementation of Linux system based on QT platform, the Syn-Flood attack experiment with honeypot recognition is designed respectively. The characteristics of evolution scan attack of simulated honeypot service are verified by experiments, and the feasibility and effectiveness of GA-MHEA evolution strategy are proved.
【学位授予单位】：中国石油大学(华东)
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP393.08;TP18

【相似文献】

相关期刊论文 前10条

1 李红霞;;基于“蜜罐技术”的企业管理技术创新探索[J];世界科技研究与发展;2008年05期

2 程晓伟;杨百龙;;基于蜜罐特征的蜜罐识别技术[J];现代电子技术;2009年15期

3 陈超;妙全兴;;蜜罐识别与反识别技术研究[J];计算机安全;2009年12期

4 石乐义;姜蓝蓝;贾春福;王晓蕊;;蜜罐诱骗防御机理的博弈理论分析[J];电子与信息学报;2012年06期

5 石乐义;姜蓝蓝;刘昕;贾春福;;拟态式蜜罐诱骗特性的博弈理论分析[J];电子与信息学报;2013年05期

6 张文科,张文政,陈雷霆;蜜罐技术在防御分布式拒绝服务攻击中的应用[J];通信技术;2003年05期

7 马莉波;段海新;李星;;蜜罐部署分析[J];大连理工大学学报;2005年S1期

8 纪佩宇;;“蜜罐”取证及其法律属性[J];江苏警官学院学报;2005年06期

9 李之棠,徐晓丹;动态蜜罐技术分析与设计[J];华中科技大学学报(自然科学版);2005年02期

10 应锦鑫,曹元大;利用蜜罐技术捕捉来自内部的威胁[J];网络安全技术与应用;2005年01期

相关会议论文 前10条

1 张鑫;;蜜罐技术与计算机犯罪的取证[A];第二十次全国计算机安全学术交流会论文集[C];2005年

2 张新宇;卿斯汉;刘卫东;李琦;;蜜罐研究与进展[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

3 陈江锋;孙斌;;基于高交互度蜜罐的识别模型[A];2006通信理论与技术新进展——第十一届全国青年通信学术会议论文集[C];2006年

4 刘涛;王晓光;刘露;;基于蜜罐防御体系的研究[A];信息时代——科技情报研究学术论文集（第三辑）[C];2008年

5 张基温;江森林;严俊;;HONEYD解析[A];第十九次全国计算机安全学术交流会论文集[C];2004年

6 曾启铭;赵伟锋;;蜜罐技术在信息安全中的作用[A];第十八次全国计算机安全学术交流会论文集[C];2003年

7 诸葛建伟;韩心慧;周勇林;宋程昱;郭晋鹏;邹维;;HoneyBow：一个基于高交互式蜜罐技术的恶意代码自动捕获器[A];全国网络与信息安全技术研讨会论文集（上册）[C];2007年

8 程杰仁;殷建平;唐勇;吕绍和;;基于代理的Honeypot系统的分布式模型[A];2005年全国理论计算机科学学术年会论文集[C];2005年

9 李岳梦;田盛泰;;入侵检测技术在电信网中的部署方案研究[A];第十七届全国青年通信学术年会论文集[C];2012年

10 尚立;孙斌;;Honeypot识别技术的研究[A];2005通信理论与技术新进展——第十届全国青年通信学术会议论文集[C];2005年

相关重要报纸文章 前5条

1 闫冰;无线蜜罐—另类安全技术[N];网络世界;2006年

2 沈生;蜜罐诱敌深入[N];中国计算机报;2003年

3 山林;蜜罐 保障网络安全的新式武器[N];中国城乡金融报;2012年

4 北京大学计算机科学技术研究所 诸葛建伟;网络恐怖与信息战使网络成为第四战场[N];计算机世界;2005年

5 ;主动诱捕入侵[N];网络世界;2003年

相关博士学位论文 前2条

1 温杰;基于动机的网络个体研究[D];华中科技大学;2012年

2 温杰;基于动机的网络个体研究[D];华中科技大学;2010年

相关硕士学位论文 前10条

1 项家齐;面向智能挂马网页的自动化追踪解析系统[D];上海交通大学;2015年

2 张天明;基于honeyd的入侵监控平台的设计与实现[D];电子科技大学;2014年

3 王传极;基于蜜罐技术捕获的电子数据的证据效力研究[D];华东政法大学;2015年

4 冯冈夫;基于蜜罐的联动安全防护体系研究[D];国防科学技术大学;2014年

5 刘德莉;基于遗传算法的拟态蜜罐系统研究[D];中国石油大学(华东);2014年

6 许显月;关于蜜罐的两种机制研究和设计[D];哈尔滨理工大学;2009年

7 王晓东;蜜罐技术研究[D];四川大学;2005年

8 郭文举;反蜜罐技术的研究与实践[D];重庆大学;2005年

9 蔡岚岚;蜜罐指纹技术的研究与实现[D];南京理工大学;2006年

10 马腾云;基于蜜罐技术的网络安全预警系统[D];山东大学;2013年

，

本文编号：2205991