基于蜜罐技术的内部威胁检测模型的设计与实现

发布时间：2019-09-04 16:40

【摘要】：自1983年计算机病毒概念出现以来，网络安全事故频繁发生，使得人们在享受通信网络技术所带来的方便的同时，也深受其带来的威胁与伤害。因此，网络安全问题逐渐引起了人们广泛的关注。然而，人们所给予的关注更多倾向于外部威胁方面，却忽视了网络安全的另一重要组成部分——内部威胁问题。在CSI与FBI联合发布的《2010/2011CSI Computer Crime and Security Survey》指出：自2007年起，内部威胁的攻击数量便已超过了来自外部威胁的攻击数量，并且内部威胁引起的破坏要比外部威胁导致的更严重，经济损失也更大[1]。目前，人们集中对内部威胁的检测模型进行研究，旨在能够有效抵御这一网络难题。本文基于当前内部威胁检测模型存在漏报率以及误报率高的问题，以及攻击类型呈复杂化、多变化趋势发展的难题展开研究，，提出了具有自我学习能力的内部威胁检测模型解决方案。通过对检测模型的研究，旨在能够及时的检测出内部威胁，有效的抵御内部威胁的攻击，有力的缓解内部威胁引起的危害，极大的帮助企业、组织甚至国家保护重要的信息资产。本文提出的内部威胁检测模型，通过参考众多内部威胁检测模型的科研成果，并结合蜜罐技术进行设计与实现的。具体完成了以下内容。本文通过对内部威胁危害进行介绍，从而指出研究内部威胁检测模型的意义；通过分别对国内外内部威胁检测模型的研究现状进行分析，指出现有的检测模型的优点与缺点；通过对内部用户定义、内部威胁概念与分类、“蜜罐”技术进行研究与阐述，确定了内部威胁检测模型是基于蜜罐技术进行设计与实现。本文通过对经典内部威胁检测模型进行研究，确定了该内部威胁检测模型的工作原理。从内部用户恶意通信流中提取样本数据包，依据特征值生成算法得出攻击特征基准值构造攻击特征库；获取真实内部用户数据包特征，结合攻击特征库的特征值，实时对数据包进行匹配度计算，识别出恶意数据包；无法及时识别的未知数据包，利用蜜罐技术进行合法性判断；利用蜜罐技术，及时获取并计算新攻击类型的特征基准值，补充至攻击特征库中。本文结合软件工程的专业知识，对基于蜜罐技术的内部威胁检测模型进行设计与实现；并通过一系列的功能测试，分析测试结果显示该检测模型具有良好的内部威胁检测效果。
【学位授予单位】：重庆大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP393.08

【参考文献】