随着网络安全越来越受到重视,入侵检测系统(Intrusion DetectionSystem,IDS)成为目前网络安全领域内一个活跃的研究课题。目前各种IDS普遍存在的问题是漏报和误报现象严重,响应能力不足。蜜罐是一种没有任何产品价值的安全资源,具有转移攻击者视线,收集攻击信息的作用。相对于防火墙日志、系统日志以及入侵检测预警等,蜜罐所产生的数据量少而精,这些数据对研究新型攻击具有重要价值。本文的研究目的是如何利用蜜罐发现未知攻击特征,提高入侵检测系统的响应能力和检测能力。本文首先分析了入侵检测技术与蜜罐技术的工作机制及优缺点,然后设计了一种动态混合蜜罐模型,应用该模型改进入侵检测系统,并对其关键技术进行了实现。动态混合蜜罐模型主要包括诱骗模块和伪装服务模块,两个模块之间通过转发机制协同工作。诱骗模块由低交互蜜罐组成,模拟网络中的操作系统和服务,主要作用是充分吸引攻击者,扩大蜜罐被攻击的概率;伪装服务由高交互蜜罐组成,采用真实的有漏洞的操作系统和服务,作用是给攻击者提供更加真实的环境,充分调动攻击者的热情,以充分捕获未知攻击的信息。诱骗模块具有部署简单和低风险的特点,可以分布在网络的各个角落,使入侵者陷于虚实结合的网络环境;伪装服务模块部署代价高、风险大,所以被部署在一个单独的高度受控的子网内,接收多个诱骗模块转发的连接,在与攻击者交互的过程中捕获攻击信息。本文采用多层数据捕获机制:网络捕获、蜜罐捕获和内核捕获。用多层捕获机制可以充分记录攻击的网络数据和主机数据,确保数据的完备性。内核捕获主要是针对入侵数据加密的情况,是在伪装服务中的高交互蜜罐主机上实现的。采用XML语言设计规范的入侵信息描述格式。在对IP、TCP、UDP和ICMP等常用协议分析的基础上,提出了在各种数据包中可选的参考特征。采用攻击树的方法重构攻击过程,提取复杂入侵特征。采用SQL蠕虫测试系统的收集能力和分析能力,试验表明该模型可以扩大蜜罐的视野,生成入侵特征,降低入侵检测系统的漏报率,提高入侵检测系统的性能。该系统还存在一些不足之处,未来应进一步研究如何实现高交互蜜罐的自动设置和管理;如何实现入侵数据的标准化表示,以便实现与其它安全产品的信息交互。