论文部分内容阅读
随着计算机网络资源共享的进一步加强,信息安全问题也日益突出:系统漏洞更快地被发现、攻击过程自动化、攻击工具快速更新与不断复杂化、网络威胁传播速度越来越快,由此使得各国都面临着同样一个挑战:信息防御的成本越来越高,而攻击的成本越来越低。然而,当前入侵检测防护技术却显得力不从心,“兵来将挡,水来土掩”的被动防御让我们疲于防范,因为一个对风险责任人缺乏震慑力的防御体系必定是低效的。这意味着仅仅防范是远远不够的,更重要的是找到入侵者和侦测入侵者,获知其攻击行为的特征与证据,让他们付出应有的代价,并以此警示后人。这种诱捕黑客行为的主动防御技术就是蜜罐技术。
本文研究了当前入侵检测及响应方式的技术特点及其局限性、入侵检测与响应的一般过程,进一步剖析了入侵检测系统的约束条件、局限性问题的本质;同样研究了蜜罐的技术特点、约束条件与局限性问题。继而创新性的提出了在结合网络入侵检测与主机协议入侵检测的纵深防御框架中引入重定向机制和自适应机制、并利用蜜罐进行积极防御的系统思想,并给出了基于蜜罐的自适应主动入侵防护系统(HSAIPS)。进而探讨了系统设计所面临的问题和技术路线、系统部署的环境,进行了体系结构与数据流的设计、各功能模块的设计与实现。最后,通过实验验证了HSAIPS系统设计与技术实现的有效性,具有较好的实用价值。
研究工作的主要创新在于将以往蜜罐技术引入到结合网络与主机入侵检测的入侵防护体系中,既突破了入侵检测系统的较高漏报、误报以及被动防御的局限性,又能够解决传统蜜罐不能有效保护应用系统和面临取证合法性的问题,提出了一种基于蜜罐的、具有重定向转移机制与自适应回归机制相结合的主动防护系统模型。该系统能够实现:对目标系统的网络入侵早期预报结合应用层协议入侵检测与防护的纵深防御;对入侵者重定向后进行攻击缓和、伪装服务、深入分析与取证以对罪犯起到震慑作用从而降低防御成本的积极防御;对误操作用户和被仿冒用户自动进行回归以避免拒绝服务的精确防御。
研究工作的所取得的成果主要有:
1. 提出了一种重定向转移机制、蜜罐缓和与伪装观测机制、自适应回归机制相结合的主动入侵防护安全模型,并进行了技术路线、部署环境、系统结构的分析与设计:
2. 开发了相关的网络入侵检测与主机应用层协议入侵检测功能模块,包括从Snort到重定向器的内联插件、嵌入Web服务器的HTTP协议入侵检测与防护模块、以及HTTP-DoS检测与防护模块;
3. 开发了重定向器转移控制程序、通讯接口,以及对误操作和被仿冒用户的鉴别功能模块、实施告知功能模块。