數據挖掘在蜜罐日志分析中的應用研究.pdf

1、蜜罐(Honeypot)是一種新型的主動防御的安全技術。它是一個專門為了被攻擊或入侵而設置的欺騙系統;它既可以用于保護產品系統,又可用于搜集黑客信息,是一種配置靈活、形式多樣的網絡安全技術。蜜罐只收集少量且有價值的數據。與入侵檢測系統相比,大大降低了漏報、誤報的發(fā)生,這就可以將注意力集中在數據分析方面。隨著網絡攻擊數量和種類的不斷增加,基于蜜罐的海量攻擊日志分析變得更加困難和耗時,而在分析中使用數據挖掘技術可以有效提高分析效率。數據挖掘

2、方法可以是無指導的知識發(fā)現過程(KDD: Knowledge Discovery in Databases),從大量的網絡數據包中提取出人們感興趣的、事先未知的知識和規(guī)律。采用數據挖掘的方法對蜜罐收集的數據進行分析,利用得到的模式或規(guī)律,還可以進行趨勢分析、攻擊預測,從而發(fā)現攻擊行為的特征和規(guī)律。文中首先以開源蜜罐系統Honeyd為例闡述了蜜罐的原理和發(fā)展現狀,然后詳細介紹了對進行了預處理的日志數據進行聚類分析、關聯規(guī)則挖掘和序列模式挖