数据挖掘在蜜罐日志分析中的应用研究.pdf

申请上海交通大学工学硕士学位论文



数据挖掘数据挖掘在在在在蜜罐蜜罐蜜罐蜜罐日志分析中的应用研究日志分析中的应用研究





学学学 校校校：校：：： 上海交通大学
院院院 系系系：系：：： 信息安全工程学院
专专专 业业业：业：：： 通信与信息系统
班班班 级级级：级：：： B0803691
学学学 号号号：号：：： 1080369023
工学工学工学硕士生工学 硕士生硕士生：：：：金涛
研究方向研究方向：：：： 网络攻防与信息安全
导导导 师师师：师：：： 何德全




上海交通大学上海交通大学信息安全信息安全信息安全工程学院工程学院
2010 年年年 12 月月月
A Dissertation Submitted to Shanghai Jiao Tong University for the
Degree of Master

RESEARCH ON APPLICATION OF DATA MINING
IN HONEYPOT LOG ANALYSIS



Specialty: Telecommunications and Information Systems
Author: Tao Jin
Student ID: 1080369023
Advisor: Prof. Dequan He



School of Information Security Engineering
Shanghai Jiao Tong University
Shanghai,
December 15 th , 2010
上海交通大学工学硕士学位论文 摘要
数据挖掘数据挖掘在蜜罐日志分析中的应用研究在蜜罐日志分析中的应用研究
摘摘摘 要要要
蜜罐 (Honeypot)是一种新型的主动防御的安全技术。它是一个专门为
了被攻击或入侵而设置的欺骗系统；它既可以用于保护产品系统，又可
用于搜集黑客信息，是一种配置灵活、形式多样的网络安全技术。蜜罐
只收集少量且有价值的数据。与入侵检测系统相比，大大降低了漏报、
误报的发生，这就可以将注意力集中在数据分析方面。
随着网络攻击数量和种类的不断增加，基于蜜罐的海量攻击日志分
析变得更加困难和耗时，而在分析中使用数据挖掘技术可以有效提高分
析效率。数据挖掘方法可以是无指导的知识发现过程 (KDD: Knowledge
Discovery in Databases) ，从大量的网络数据包中提取出人们感兴趣的、事
先未知的知识和规律。采用数据挖掘的方法对蜜罐收集的数据进行分析，
利用得到的模式或规律，还可以进行趋势分析、攻击预测，从而发现攻
击行为的特征和规律。
文中首先以开源蜜罐系统 Ho