论文部分内容阅读
论文选题来源于国家高技术研究发展计划(863计划)资助项目“黑客监控技术研究”、国家教育部博士学科点基金项目“智能分布实时网络入侵防御技术研究”。
随着网络对抗技术的发展,入侵检测系统作为一种新兴的主动式动态防御技术,成为网络安全研究中的热点。然而,现有的入侵检测系统尚存在不少缺陷。为了能更完善地实现网络安全,论文提出了“黑客监控系统”的概念。
论文主要研究工作涉及黑客监控技术的理论与黑客监控系统的开发技术,具体研究成果与创新点如下:(1)首次提出了“黑客监控系统”的概念,以区别于当前流行的入侵检测系统。黑客监控系统是一个综合的防御系统,它将实时入侵检测、报警、响应、反击、黑客诱骗、电子取证、安全评估等七大功能集成于一体,构成多层立体主动监控体系。相比单纯的入侵检测系统,黑客监控系统既可实现对黑客的实时监控与诱捕,又能对业务网提供可靠的主动性保护。虚拟仿真网的引入,使得监控机制对内部、外部及潜在黑客同样有效,解决了入侵检测系统无法应对潜在黑客和内部攻击的问题。
(2)在研究各种攻击行为的基础上,设计了一种安全脆弱点描述语言,克服了枚举法、CVE法等现有脆弱点描述方法的局限性。
(3)为了使分类更加科学实用,提出了一种基于星型网模型的安全漏洞分类方法,将所有漏洞构造成一个七维数据空间,每一维都有具体的粒度划分,可以利用多维数据模型上的数据挖掘对漏洞进行较全面的多维度数据分析与知识发现。
(4)提出了攻击模式的概念,通过使用基于UML的攻击模式,描述了攻击的静态结构和动态行为。攻击模式对于多阶段攻击和协同攻击尤其适用。对于近期出现的新型攻击,研究了分布式反射拒绝服务攻击,并指出了这种新型攻击区别于传统的分布式拒绝服务攻击的三个根本特征。
(5)在入侵检测及响应技术的研究中,提出了基于多传感器数据融合与挖掘的分布式入侵检测模型,将多传感器数据融合与数据挖掘技术应用到分布式入侵检测中,可连续和全面地提供网络攻防战场环境态势的综合评估。
(6)提出并实现了基于快速模式匹配与多层协议分析的特征检测方法,采用了自主改进的Boyer-Moore模式匹配算法。相比原算法,改进的Boyer-Moore算法在性能、效率、资源消耗等方面都取得了更好的结果。
(7)在网络仿真及黑客诱骗技术研究中,结合离散事件仿真和面向对象技术,设计了基于面向对象离散事件驱动的网络仿真系统框架。在HoneyPot和Honeynet两种诱骗技术的基础上,发展出了基于嵌入式Honeynet的欺骗空间技术,提高了欺骗质量。
在黑客监控技术理论成果的指导下,成功研制出黑客监控系统。该系统已通过国家863专家组的验收和国防科工委组织的成果鉴定,并在多家企事业单位试用,取得了较为满意的效果。论文在最后论述了黑客监控系统的设计、实现、部署、评估、技术总结等内容。