汽車品牌調(diào)研報告文檔5700字

汽車品牌調(diào)研報告文檔5700字

汽車品牌調(diào)研報告世界級主要品牌歐洲1.德系——大眾集團(tuán)大眾集團(tuán)無疑是當(dāng)今世界最具實力的汽車制造集團(tuán)，旗下?lián)碛?大著名汽車品牌：大眾汽車（德國）、奧迪（德國）、蘭博基尼（意大利）、賓利（英國）、布加迪（法國）、西亞特（西班牙）、斯柯達(dá)（捷克）、斯卡尼亞（瑞典）。當(dāng)然，除汽車產(chǎn)業(yè)外，還涉及金融服務(wù)、保險、銀行、IT等。年產(chǎn)量734萬輛。a大眾汽車起步于二戰(zhàn)前后，汽車領(lǐng)域覆蓋低、中、高各個檔次。其經(jīng)典車系一次次創(chuàng)造奇跡，2150萬輛甲殼蟲、2300萬輛高爾夫、1300萬輛帕薩特和900萬輛Polo。b甲殼蟲因其外形設(shè)計酷似甲殼蟲而得名。充滿個性的經(jīng)典設(shè)計、時尚的打磨以及緊湊型小排量打入了大多都市女性的芳心。目前甲殼蟲推出1.6—2.0T的6檔手自一體，其售價在17萬元到30萬元之間。c高爾夫最為全世界最成功的車型之一，高爾夫問世已經(jīng)38年，擁有全球2600萬的用戶，經(jīng)歷6代的革新。因其性能、油耗、價格等多方面因素受到消費(fèi)者喜愛。目前市場推出1.4T-2.0T車系，其售價在13萬—24萬元之間。帕薩特在中級轎車領(lǐng)域無疑是真正的王者，綜合系數(shù)贏得消費(fèi)者喜a所有品牌年產(chǎn)量數(shù)據(jù)取自汽車工業(yè)協(xié)會，下同。b大眾暢銷車銷量數(shù)據(jù)取自百度百科。c所有汽車售價數(shù)據(jù)取自汽車之家，下同。第1頁，共17頁愛。目前市場推出1.4T—3.0T手、自動檔，其售價在19萬-33萬元之間。Polo作為微型車的王者，Polo目前推出1.4T和1.6T，售價在8萬—16萬元之間。奧迪汽車是國際著名的豪華汽車品牌，其車標(biāo)為相連的四個圓環(huán)，代表著最初組合成的四個公司團(tuán)結(jié)一致。經(jīng)典車型如A4、A6、A8、R8等。20xx年奧迪超越奔馳成為全球第二大豪華汽車品牌。20xx年1奧迪收購意大利著名摩托車品牌杜卡迪。A4目前A4推出1.8T、2.0T、3.0T三個排量的車系，其售價在27萬—60萬元之間。A6目前A6推出2.0T到3.0T多個排量，其售價在35萬元—75萬元之間。A8目前A8只有進(jìn)口車，從2.5L到6.3L多個排量，其售價在87萬元—270萬元之間。屬于頂級豪華車。其中除2.5為兩驅(qū)外，其他均為四驅(qū)車型。Q5、Q7為SUV車型，其售價分別在38萬—57萬元之間和82萬—258萬元之間。其中Q7只有進(jìn)口車。R8頂級跑車，排量在5.2L，售價為250萬元左右。此外，奧迪還有著名的改裝高性能品牌奧迪RS。——寶馬集團(tuán)寶馬集團(tuán)作為世界知名的豪華汽車品牌，目前其旗下?lián)碛袑汃R汽車、MINI、勞斯萊斯（英國）三個品牌，占據(jù)從小型車到頂級豪華車各個領(lǐng)域的高端市場。年產(chǎn)149萬輛。主要車型：轎車：1系，3系，4系，5系，7系。兩門四座跑車：6系，8系。兩座跑車：Z4?！ぁぁavid···第2頁，共17頁SUV：X1，X3，X5，X6；X6為混合動力。高性能：M系列。車型附加符號釋義：D代表柴油發(fā)動機(jī)，I代表電子控制燃油噴射，L代表加長版，X代表四輪驅(qū)動版。1系售價25萬——38萬元左右。進(jìn)口3系售價在30萬——80萬元左右。進(jìn)口5系售價45萬——80萬元之間。5系GT售價在80萬——186萬元之間。730Li售價在70萬——90萬元之間；740Li售價在100萬——130萬元之間（除限量版180萬左右）；750Li在200萬左右；760Li在250萬元左右。Z4售價在60萬——90萬元之間。華晨寶馬：3系售價在30萬——60萬元之間。5系40萬——80萬元之間。X1售價在30——50萬左右。2——梅賽德斯·奔馳梅賽德斯奔馳汽車是戴姆勒集團(tuán)下的一個著名高端車品牌?，F(xiàn)目前戴姆勒集團(tuán)共擁有奔馳、邁巴赫、邁凱輪、Smart等世界著名汽車品牌。梅賽德斯是元奧匈帝國住德國大使小女兒的名字。邁巴赫是曾與戴姆勒一起創(chuàng)業(yè)的工程師。由于業(yè)績較差，邁巴赫將于20xx年正式停產(chǎn)。邁凱輪擁有著名的方程式賽車隊。Smart是S代表Swatch和M代表戴姆勒集團(tuán)（mercedes-Benz）。戴姆勒集團(tuán)年產(chǎn)190萬輛。標(biāo)志釋義為，海陸空三個方向上的機(jī)械化，象征奔馳公司想海陸空發(fā)展的信念。目前奔馳汽車在中國有兩家合資，北京奔馳和福建奔馳。其中北京奔馳主要車型為C級（30-40萬元）、E級（40-80萬元）、GLK級（40-55萬元）奔馳豪華車系S級售價在90萬元到250萬元之間。奔馳四大著名改裝廠:AMG、brabus（巴博斯）、lorinser、carlsson（凱森），其中前兩個較為出名，后兩個較為少見。現(xiàn)了解到凡帶AMG的奔馳車售價至少上百萬。第3頁，共17頁2.法系——雪鐵龍雪鐵龍汽車是法國第三大汽車公司，以操控性為訴求。由安德烈·雪鐵龍創(chuàng)立于19xx年，主要產(chǎn)品為小客車和輕載貨車。標(biāo)志為人字形齒輪。主要車型DS系列雪鐵龍DS系列是法國標(biāo)致雪鐵龍集團(tuán)（PSA）旗下的高端車系。DS來自法語中的Deesse，中文為“女神”的意思；又作DifferentSpirit縮寫。DS5為目前較喜歡的一款車。1.6T手自一體渦輪增壓；于2012-06-28在我國上市，售價在29.88萬元—34.88萬元。第4頁，共17頁東風(fēng)雪鐵龍C5東風(fēng)雪鐵龍于20xx年底推出本款車型，共6款不同配置和動力車型，售價在17.69—29.89萬元不等。其中，最受關(guān)注的是6AT自動變速箱的2.0L自動尊雅型，3售價為18.99萬元左右。雪鐵龍愛麗舍之所以選擇這款車的原因在于，“愛麗舍”讓我想起了法國總統(tǒng)府。而這款車作為家庭用車，1.6自動檔、低價、合資品牌凸顯器較高的性價比。共推出多款1.6L款型，其售價在6.58—7.68萬元。第5頁，共17頁——標(biāo)致標(biāo)致汽車法國第一大汽車制造廠商，1848年由阿爾芒·別儒家族創(chuàng)立于法國巴黎，是世界四大歷史最悠久的汽車之一。公司采用站立的獅子作為汽車商標(biāo)，同時這也是別儒家族的徽章。1976年，標(biāo)致汽車兼并雪鐵龍汽車，成立標(biāo)致—雪鐵龍集團(tuán)（PSA集團(tuán)），成為歐洲僅次于德國大眾集團(tuán)的第二大汽車制造商。PSA集團(tuán)年產(chǎn)360萬輛。標(biāo)致408此款車系是東風(fēng)標(biāo)致于20xx年1月推出的一款車型，以時尚大氣的外觀較受消費(fèi)者喜歡，但又由于器不變動力系統(tǒng)而受到自責(zé)。目前本款車系推出多款車型，其售價在10.19萬元—17.00萬元。第6頁，共17頁標(biāo)致508分為進(jìn)口與國產(chǎn)東風(fēng)標(biāo)致508，這里以東風(fēng)標(biāo)致508為題材。國產(chǎn)東風(fēng)標(biāo)致508，于20xx年7月正式下線。簡約大氣的設(shè)計是博得眾多車主喜愛的亮點，同時一改以往動力系統(tǒng)，加入6AT動力滿足一般家用車主。同時作為中檔轎車，不高的定價是戰(zhàn)勝同級轎車法寶。其售價在14—21萬元。···David···第7頁，共17頁標(biāo)致3008標(biāo)致SUV車系，目前本款車系為進(jìn)口車，采用1.6T4缸柴油渦輪增速動力。售價在24.68-26.68萬元?！字Z1898年，路易斯·雷諾三兄弟在法國創(chuàng)建了雷諾公司。四個菱形拼成的車標(biāo)，象征這三兄弟于汽車工業(yè)融為一體，同時也象征著雷諾汽車在無限四維空間中生存、競爭、發(fā)展。以轎車產(chǎn)業(yè)為主，同時涉足農(nóng)機(jī)、卡車、發(fā)動機(jī)制造等行業(yè)。19xx年，雷諾以54億美元收購日第8頁，共17頁產(chǎn)36.8%股權(quán)，形成雷諾-日產(chǎn)聯(lián)盟。2010年，與戴姆勒集團(tuán)達(dá)成協(xié)議，形成戴姆勒-雷諾-日產(chǎn)聯(lián)盟。雷諾年產(chǎn)270萬輛。雷諾—科雷傲四驅(qū)SUV，售價在22-30萬元左右。4——布加迪布加迪是法國最具特色的超級跑車汽車制造商之一，以生產(chǎn)世界上最好、最快的跑車文明于世。同時布加迪還是古典老式車中保有量最多的汽車之一。目前布加迪已成為大眾集團(tuán)旗下的一個品牌。此外，法系車品牌中還有西姆卡。3.英系英系車多為豪華車品牌，且多被外國有實力的集團(tuán)并購，如：Rolls-Royce、bentley、skoda、捷豹、路虎、邁凱輪、阿什頓·馬丁、羅浮、LOTUS。第9頁，共17頁4.意系意大利汽車品牌除擁有全球十大汽車公司之一的菲亞特汽車外，還有蘭博基尼、瑪莎拉蒂、法拉利、帕加尼、阿爾法羅米歐、藍(lán)旗亞等豪華汽車品牌，其中，瑪莎拉蒂、法拉利、阿爾法羅米歐、藍(lán)旗亞屬于菲亞特集團(tuán)子公司。蘭博基尼屬于大眾集團(tuán)子公司。菲亞特汽車公司在20xx年完成對美國汽車克萊斯勒汽車公司的收購。第10頁，共17頁5.其他歐洲國家——瑞典VOLVOVOLVO是全球汽車行業(yè)安全的代名詞，其在汽車安全領(lǐng)域擁有多項前瞻性的發(fā)明，最典型的如：三點式安全帶的發(fā)明。目前VOLVO汽車于20xx年被浙江吉利控股集團(tuán)以18億美元完成收購。但VOLVO集團(tuán)仍獨立運(yùn)行，旗下生產(chǎn)卡車、貨車仍是安全的象征。VOLVO在中國與長安汽車合資長安VOLVO，目前有暢銷車型如，S40售價在20萬元左右。S80L售價在35萬——70萬元之間。日前，VOLVO新推出車型S60，在中國上市，其售價在30-60萬元左右。此外，旗下SUV車型XC60售價在40-65萬元之間。年產(chǎn)20萬輛。第11頁，共17頁美洲美系美國汽車主要以三大汽車集團(tuán)展開，通用汽車、克萊斯勒、福特?！ㄓ闷囃ㄓ闷嚬境闪⒂?9xx年，先后聯(lián)合或兼并別克、凱迪拉克、雪5弗蘭、奧茲比爾、龐蒂克、悍馬等公司。自19xx年起一直是世界上最大的汽車公司。目前公司生產(chǎn)轎車的有本土的七個分部和三個子公司：GMC商用車分部、別克分部、雪弗蘭分部、龐蒂亞克分部、奧茲莫比爾分部、土星分部（豪華車分部）；澳大利亞霍頓、德國歐寶、英國伏克斯豪爾。年產(chǎn)量847萬輛?！Ｌ馗Ｌ仄囀鞘澜缰钠嚻放?，同時也是四大歷史最悠久的汽車品牌之一，旗下?lián)碛懈Ｌ仄嚒⒘挚掀?、水星汽車三大汽車品牌。年?2頁，共17頁產(chǎn)500萬輛。福特?？怂梗╢ocus）是經(jīng)典兩廂車型，誕生于19xx年，售價在11萬-16萬元之間。20xx年該車型獲年銷量91余萬輛，獲世界排名第四的驕人成績。——克萊斯勒作為美國三大汽車公司之一，其主營范圍在高端汽車市場，旗下?lián)碛锌巳R斯勒、道奇、吉普汽車品牌。年餐157萬輛。亞洲1.日系日本汽車在世界汽車市場上占據(jù)著舉足輕重的地位。擁有豐田、本田、···David···第13頁，共17頁日產(chǎn)、三菱汽車、馬自達(dá)、鈴木、大發(fā)等世界著名汽車公司?！S田豐田汽車隸屬于日本三井財閥，自20xx年金融危機(jī)之后，豐田汽車逐漸取代通用成為世界排行第一位的汽車生產(chǎn)商，年產(chǎn)近900萬輛汽車。目前通用旗下?lián)碛胸S田、雷克薩斯、斯巴魯、大發(fā)、Scion、日野等知名汽車品牌。其中雷克薩斯是其打入高端汽車市場的品牌；Scion是針對新生代汽車消費(fèi)者的品牌；日野主要集中柴油動力汽車、公共汽車領(lǐng)域。豐田年產(chǎn)855萬輛。——本田本田是全球最大的摩托車生產(chǎn)廠商，同時也是全球十大汽車生產(chǎn)廠商之一。就轎車領(lǐng)域，本田目前擁有本田及謳歌兩大汽車品牌，其中謳歌為器進(jìn)軍高端汽車市場品牌。本田年產(chǎn)360萬輛。下圖為謳歌車標(biāo)：6第14頁，共17頁——日產(chǎn)曾經(jīng)的尼?，F(xiàn)在的日產(chǎn)汽車隸屬于日本富士財閥，除自身汽車品牌外，還擁有豪華汽車品牌英菲尼迪。19xx年于法國雷諾組成雷諾-日產(chǎn)聯(lián)盟。20xx年雷諾-日產(chǎn)聯(lián)盟于戴姆勒集團(tuán)互持對方3.1%的股份，組成戴姆勒-雷諾-日產(chǎn)聯(lián)盟。日產(chǎn)年產(chǎn)400萬輛車左右。下圖為英菲尼迪車標(biāo)。鈴木、馬自達(dá)、三菱年產(chǎn)量分別為：289萬輛、130萬輛、117萬輛。第15頁，共17頁2.韓系現(xiàn)代-起亞集團(tuán)目前已躋身世界前五大汽車生產(chǎn)商。集團(tuán)旗下?lián)碛鞋F(xiàn)代、起亞兩大獨立運(yùn)營的汽車品牌?！F(xiàn)代（??）雖說以現(xiàn)代-起亞集團(tuán)的身份躋身世界五大汽車生產(chǎn)商，但單就現(xiàn)代汽車的年產(chǎn)量就已排到了世界第4位（576萬輛），足可見其實力。現(xiàn)代汽車與中國北京汽車合資北京現(xiàn)代，現(xiàn)目前擁有多種車型。索納塔已革新至第八代，全球累積售量已超過350萬輛。其售價在13萬-20萬元之間。伊蘭特作為現(xiàn)代汽車海外最受歡迎的車型，自19xx年問世以來已經(jīng)歷經(jīng)6代。全球累積銷售量已超過400萬輛。其售價在10萬左右。Veloster飛思是日前較喜歡的一輛兩廂車型，主要在于其時尚個性的外形設(shè)計，棱角清晰的線條感。于20xx年引進(jìn)中國，其售價在14萬-20萬元之間。其圖片如下圖。第16頁，共17頁——起亞（??）起亞汽車是韓國最早生產(chǎn)汽車的廠商，由于19xx年的亞洲金融風(fēng)暴導(dǎo)致起亞汽車面臨破產(chǎn)，進(jìn)入清算狀態(tài)。后由政府出面，指令現(xiàn)代汽車收購起亞汽車，這就形成后來的現(xiàn)代-起亞汽車集團(tuán)。起亞-銳歐被公認(rèn)為入門級轎車中成本最低的車型，主要定位于活力時尚的青年消費(fèi)者。自20xx年推出以來，一直倍受關(guān)注，單20xx年年銷量躋身世界前五，銷售80多萬輛。7——雙龍汽車(??)雙龍汽車隸屬韓國雙龍集團(tuán)，旗下主要以生產(chǎn)四輪驅(qū)動汽車為主?！笥钇???)大宇汽車是美國通用公司旗下品牌之一，總部位于韓國仁川，也是僅次于現(xiàn)代起亞集團(tuán)的韓國第二大汽車制造公司，年產(chǎn)60多萬輛汽車。3.其他——塔塔汽車是印度最大的集團(tuán)公司塔塔集團(tuán)旗下子公司。也是印度最大的汽車公司。20xx年，塔塔汽車公司以23億美元從福特汽車購得捷豹連同路虎品牌。8

第二篇：調(diào)研報告格式參考文檔18600字中南大學(xué)本科生畢業(yè)設(shè)計調(diào)研報告題目基于蜜罐的入侵檢測技術(shù)的研究學(xué)生姓名陳海寧指導(dǎo)老師汪潔學(xué)院信息科學(xué)與工程學(xué)院專業(yè)班級信息安全0301班完成時間2007.03.25摘要隨著計算機(jī)網(wǎng)絡(luò)的普遍使用，借助于網(wǎng)絡(luò)的入侵行為的數(shù)量和破壞性也不斷增加。傳統(tǒng)的入侵檢測技術(shù)由于具有誤報率和漏報率較高、不能識別未知攻擊等缺點，已經(jīng)不能滿足人們的需求。將蜜罐技術(shù)和入侵檢測技術(shù)相結(jié)合，并在此基礎(chǔ)上發(fā)展而來的入侵誘騙技術(shù)，可以較好地解決上述問題。本文首先依次介紹了入侵檢測技術(shù)和蜜罐技術(shù)的基礎(chǔ)知識，其次在講述了入侵誘騙技術(shù)的發(fā)展背景之后，分別介紹了入侵誘騙模型的防火墻模塊、入侵檢測模塊、數(shù)據(jù)控制模塊、數(shù)據(jù)捕獲模塊和數(shù)據(jù)分析模塊，最后對入侵誘騙技術(shù)的研究現(xiàn)狀做了簡略的介紹。第二部分是關(guān)于對課題設(shè)計計劃的闡述。本次設(shè)計的重點是實現(xiàn)入侵誘騙系統(tǒng)的數(shù)據(jù)分析模塊。首先，對幾種典型的攻擊類型進(jìn)行分析和比較，得到進(jìn)入Honeypot網(wǎng)絡(luò)的攻擊所具有的特征。搭建蜜罐，獲得若干樣本，其中每個樣本都包括了分析得出的特征上的取值。然后，利用感知器學(xué)習(xí)方法建立入侵檢測模型，并用捕獲到的樣本進(jìn)行訓(xùn)練。最后，設(shè)置實驗對所得的入侵檢測模型進(jìn)行測試，評估其檢測能力。關(guān)鍵詞：入侵誘騙入侵檢測蜜罐入侵檢測模型感知器目錄第一章設(shè)計任務(wù)及背景......................................................................................................................................41.1設(shè)計任務(wù).............................................................................................................................................................41.2設(shè)計背景.............................................................................................................................................................41.2.1入侵檢測技術(shù)概述..................................................................................................................................41.2.2蜜罐技術(shù)概述...........................................................................................................................................81.2.3入侵誘騙技術(shù)的發(fā)展背景...................................................................................................................1.2.4入侵誘騙系統(tǒng)模型................................................................................................................................111.2.5入侵誘騙技術(shù)的研究現(xiàn)狀...................................................................................................................12第二章研究與應(yīng)用.............................................................................................................................................142.1題目要求...........................................................................................................................................................142.2課題設(shè)計思路與分析.....................................................................................................................................142.2.1分析典型攻擊及其特征.......................................................................................................................2.2.2利用蜜罐捕獲數(shù)據(jù)................................................................................................................................2.2.3建立入侵檢測模型................................................................................................................................2.2.4設(shè)置實驗評估入侵檢測模型...............................................................................................................2.3工作進(jìn)度..........................................................................................................................................................20第三章結(jié)論...........................................................................................................................................................21參考文獻(xiàn).................................................................................................................................................................223基于蜜罐的入侵檢測技術(shù)的研究調(diào)研報告第一章設(shè)計任務(wù)及背景1.1設(shè)計任務(wù)隨著計算機(jī)網(wǎng)絡(luò)的普遍使用，借助于網(wǎng)絡(luò)的入侵行為的數(shù)量和破壞性也不斷增加。以入侵檢測技術(shù)為核心之一的動態(tài)主動防御技術(shù)極大地提高了系統(tǒng)和網(wǎng)絡(luò)的安全性，但是它仍然存在其固有的缺點，例如誤報率和漏報率較高、對未知類型的攻擊無能為力等。另一方面，蜜罐技術(shù)可以檢測到未知的攻擊，并且收集入侵信息，借以觀察入侵者行為，記錄其活動，以便分析入侵者的水平、目的、所用工具和入侵手段等。入侵誘騙技術(shù)通過將蜜罐引入入侵檢測技術(shù)當(dāng)中，結(jié)合兩者的優(yōu)點，對入侵行為具有更好的檢測能力。本次畢業(yè)設(shè)計的任務(wù)就是，建立入侵檢測模型，搭建蜜罐以獲取攻擊數(shù)據(jù)來訓(xùn)練該入侵檢測模型，使其能夠識別出未知攻擊，并對已知攻擊進(jìn)行正確分類。1.2設(shè)計背景1.2.1入侵檢測技術(shù)概述1．基本概念早在20世紀(jì)80年代初期，Anderson將入侵定義為：未經(jīng)授權(quán)蓄意嘗試訪問信息、篡改信息、使系統(tǒng)不可靠或不能使用。Heady認(rèn)為入侵是指試圖破壞資源的完整性、機(jī)密性及可用性的行為集合[2]。Smaha從分類角度指出[3]，入侵包括嘗試性闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄漏、拒絕服務(wù)、惡意使用六種類型?？▋?nèi)基-梅隆大學(xué)的研究人員將入侵定義為非法進(jìn)入信息系統(tǒng)，包括違反信息系統(tǒng)的安全策略或法律保護(hù)條例的動作[4]。可以認(rèn)為，入侵的定義應(yīng)與受害目標(biāo)相關(guān)聯(lián)，該受害目標(biāo)可以是一個大的系統(tǒng)或單個對象。判斷與目標(biāo)相關(guān)的操作是入侵的依據(jù)是：對目標(biāo)的操作超出了目標(biāo)的安全策略范圍。因此，入侵是指違背訪問目標(biāo)的安全策略的行為。入侵檢測通過收集操作系統(tǒng)、系統(tǒng)程序、應(yīng)用程序、網(wǎng)絡(luò)包等信息，發(fā)現(xiàn)系統(tǒng)中違背安全策略或危及系統(tǒng)安全的行為[5]。具有入侵檢測功能的系統(tǒng)稱為入侵檢測系統(tǒng)，簡稱IDS。2．入侵檢測模型最早的入侵檢測模型是由Denning[6]給出的，該模型主要根據(jù)主機(jī)系統(tǒng)審計記錄數(shù)據(jù)，生成有關(guān)系統(tǒng)的若干輪廓，并監(jiān)測輪廓的變化差異發(fā)現(xiàn)系統(tǒng)的入侵行為，如4[1]基于蜜罐的入侵檢測技術(shù)的研究調(diào)研報告圖1.1所示。入侵行為的種類不斷增多，涉及的范圍不斷擴(kuò)大，而且許多攻擊是經(jīng)過長時期準(zhǔn)備，通過網(wǎng)上協(xié)作進(jìn)行的。面對這種情況，入侵檢測系統(tǒng)的不同功能組件之間、不同IDS之間共享這類攻擊信息是十分重要的。為此，Chen等提出一種通用的入侵檢測框架模型，簡稱CIDF[7]。該模型認(rèn)為入侵檢測系統(tǒng)由事件產(chǎn)生器(eventgenerators)、事件分析器(eventanalyzers)、響應(yīng)單元(responseunits)和事件數(shù)據(jù)庫(eventdatabases)組成，如圖1.2所示。圖1.1IDES入侵檢測模型圖1.2CIDF各組件之間的關(guān)系圖CIDF將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件，它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其它途徑得到的信息。事件產(chǎn)生器是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其它部分提供事件。事件分析器分析所得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元對分析結(jié)果做出反應(yīng)，如切斷網(wǎng)絡(luò)連接、改變文件屬性、簡單報警等應(yīng)急響應(yīng)。事件數(shù)據(jù)庫存放各種中間和最終數(shù)據(jù)，數(shù)據(jù)存放的形式既可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。CIDF模型具有很強(qiáng)的擴(kuò)展性，目前已經(jīng)得到5基于蜜罐的入侵檢測技術(shù)的研究調(diào)研報告廣泛認(rèn)同。3．入侵檢測技術(shù)入侵檢測技術(shù)傳統(tǒng)上分為兩大類型：異常入侵檢測(anomalydetection)和誤用入侵檢測(misusedetection)[8]。異常入侵檢測系指建立系統(tǒng)的正常模式輪廓，若實時獲得的系統(tǒng)或用戶的輪廓值與正常值的差異超出指定的閾值，就進(jìn)行入侵報警。異常入侵檢測方法的優(yōu)點是不依賴于攻擊特征，立足于受檢測的目標(biāo)發(fā)現(xiàn)入侵行為。但是，如何對檢測建立異常指標(biāo)，如何定義正常模式輪廓，降低誤報率，都是難以解決的課題。誤用入侵檢測系指根據(jù)已知的攻擊特征檢測入侵，可以直接檢測出入侵行為。誤用檢測方法的優(yōu)點是誤報率低，可以發(fā)現(xiàn)已知的攻擊行為。但是，這種方法檢測的效果取決于檢測知識庫的完備性。為此，特征庫必須及時更新。此外，這種方法無法發(fā)現(xiàn)未知的入侵行為。下面具體介紹這兩類入侵檢測技術(shù)[5]。1）異常入侵檢測異常檢測依賴于異常模型的建立，不同模型構(gòu)成不同的檢測方法。不同的異常入侵檢測方法主要有：①基于神經(jīng)網(wǎng)絡(luò)的異常檢測方法基于神經(jīng)網(wǎng)絡(luò)入侵檢測方法是訓(xùn)練神經(jīng)網(wǎng)絡(luò)連續(xù)的信息單元，信息單元指的是命令。網(wǎng)絡(luò)的輸入層是用戶當(dāng)前輸入的命令和已經(jīng)執(zhí)行過的W個命令；用戶執(zhí)行過的命令被神經(jīng)網(wǎng)絡(luò)使用來預(yù)測用戶輸入的下一個命令。若神經(jīng)網(wǎng)絡(luò)被訓(xùn)練成預(yù)測用戶輸入命令序列集合，則神經(jīng)網(wǎng)絡(luò)就構(gòu)成用戶的輪廓框架。當(dāng)用這個神經(jīng)網(wǎng)絡(luò)預(yù)測不出某用戶正確的后繼命令，即在某種程度上表明了用戶行為與其輪廓框架的偏離，這時有異常事件發(fā)生，以此就能進(jìn)行異常入侵檢測。②基于特征選擇的異常檢測方法基于特征選擇的異常檢測方法，是指從一組度量中選擇能夠檢測出入侵的度量，構(gòu)成子集，從而預(yù)測或分類入侵行為。異常入侵檢測方法的關(guān)鍵是，在異常行為和入侵行為之間做出正確判斷。選擇合適的度量是困難的，因為選擇度量子集依賴于所檢測的入侵類型，一個度量集并不能適應(yīng)所有的入侵類型。預(yù)先確定特定的度量，可能會漏報入侵行為。理想的入侵檢測度量集，必須能夠動態(tài)地進(jìn)行判斷和決策。假設(shè)與入侵潛在相關(guān)的度量有n個，則n個度量構(gòu)成2n個子集。由于搜索空間同度量數(shù)之間是指數(shù)關(guān)系，所以窮盡搜索理想的度量子集，其開銷是無法容忍的。Maccabe提出應(yīng)用遺傳方法搜索整個度量子空間，以尋找正確的度量子集。其方法是通過學(xué)習(xí)分類器方案，生成遺傳交叉算子和基因突變算子，允許搜索的空間大小比其它啟發(fā)式搜索技術(shù)更加有效。還有很多其它的異常檢測方法，例如基于機(jī)器學(xué)習(xí)、貝葉斯網(wǎng)絡(luò)、模式預(yù)測、數(shù)據(jù)挖掘、應(yīng)用模式以及統(tǒng)計的異常檢測方法。6基于蜜罐的入侵檢測技術(shù)的研究調(diào)研報告2）誤用入侵檢測誤用入侵檢測的前提是，入侵行為能按某種方式進(jìn)行特征編碼。入侵檢測的過程，主要是模式匹配的過程。入侵特征描述了安全事件或其它誤用事件的特征、條件、排列和關(guān)系。特征構(gòu)造方式有多種，因此誤用檢測方法也多種多樣。下面列舉主要的誤用檢測方法。①基于條件概率的誤用檢測方法基于條件概率的誤用檢測方法，系指將入侵方式對應(yīng)一個事件序列，然后觀測事件發(fā)生序列，應(yīng)用貝葉斯定理進(jìn)行推理，推測入侵行為[6]。令ES表示事件序列，先驗概率為P(Intrsion)，后驗概率為P(ESIntrusion)，事件出現(xiàn)概率為P(ES)，則P(IntrsionES)?P(ESIntrsion)P(Intrusion)公式（1.1）P(ES)通常網(wǎng)絡(luò)安全員可以給出先驗概率P(Intrusion)，對入侵報告數(shù)據(jù)統(tǒng)計處理得出P(ESIntrsion)和P(ES?Intrsion)，于是可以計算出P(ES)?((P(ESIntrusion)?P(ES?Intrusion))?P(Intrusion)?P(ES?Intrusion)公式（1.2）因此，可以通過事件序列的觀測推算出P(IntrsionES)。基于條件概率的誤用檢測方法，是基于概率論的一種通用方法。它是對貝葉斯方法的改進(jìn)，其缺點是先驗概率難以給出，而且事件的獨立性難以滿足。2）基于規(guī)則的誤用檢測方法基于規(guī)則的誤用檢測方法(rule-basedmisusedetection)，系指將攻擊行為或入侵模式表示成一種規(guī)則，只要符合規(guī)則就認(rèn)定它是一種入侵行為。Snort入侵檢測系統(tǒng)就采用了基于規(guī)則的誤用檢測方法[9]?；谝?guī)則的誤用檢測按規(guī)則組成方式，進(jìn)一步分為向前推理規(guī)則和向后推理規(guī)則兩類。此外，還有很多其它的誤用檢測方法，比如基于專家系統(tǒng)、模型誤用推理以及Petri網(wǎng)狀態(tài)轉(zhuǎn)換等誤用檢測方法。3）其它這里重點介紹誘騙技術(shù)。誘騙技術(shù)通過偽造的敏感信息和有意暴露的系統(tǒng)漏洞來引誘入侵者，其主要目的是收集和分析入侵者的行為、保護(hù)真正重要的系統(tǒng)。蜜罐就是這樣一種信息系統(tǒng)資源。密網(wǎng)(Honeynet)是一種網(wǎng)絡(luò)化的蜜罐技術(shù)，其特點是采用真實而非虛擬的系統(tǒng)和應(yīng)用程序引誘入侵者，可以更準(zhǔn)確地分析入侵行為。襯墊病室(paddedcel1)是另一種通過偽裝環(huán)境來記錄并分析入侵行為的方法。不過，它并不直接引誘入侵者，而是由IDS發(fā)現(xiàn)入侵行為后將入侵者轉(zhuǎn)移至其中，然后再進(jìn)行分析。誘騙技術(shù)是一種間接的檢測方法，它使入侵者的精力集中于虛假環(huán)境，增加了入侵者的工作量、入侵復(fù)雜度以及不確定性，并對入侵行為進(jìn)行分析。誘騙技術(shù)的使用對安全管理人員提出了更高的要求。7基于蜜罐的入侵檢測技術(shù)的研究調(diào)研報告1.2.2蜜罐技術(shù)概述1．蜜罐技術(shù)的發(fā)展背景網(wǎng)絡(luò)與信息安全技術(shù)的核心問題是對計算機(jī)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行有效的防護(hù)。網(wǎng)絡(luò)安全防護(hù)涉及面很廣，從技術(shù)層面上講主要包括防火墻技術(shù)、入侵檢測技術(shù)，病毒防護(hù)技術(shù)，數(shù)據(jù)加密和認(rèn)證技術(shù)等。在這些安全技術(shù)中，大多數(shù)技術(shù)都是在攻擊者對網(wǎng)絡(luò)進(jìn)行攻擊時對系統(tǒng)進(jìn)行被動的防護(hù)。而蜜罐技術(shù)可以采取主動的方式。顧名思義，就是用特有的特征吸引攻擊者，誘敵深入，同時對攻擊者的各種攻擊行為進(jìn)行分析并找到有效的對付辦法。2．蜜罐的基本概念和工作原理“蜜罐”這一概念最初出現(xiàn)在1990年出版的一本小說《TheCuckoo’sEgg》中，在這本小說中描述了作者作為一個公司的網(wǎng)絡(luò)管理員，如何追蹤并發(fā)現(xiàn)一起商業(yè)間諜案的故事?！懊劬W(wǎng)項目組”（TheHoneynetProject）的創(chuàng)始人LanceSpitzner給出了對蜜罐的權(quán)威定義[10]：蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷。這個定義表明蜜罐并無其他實際作用，因此所有流入/流出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)示了掃描、攻擊和攻陷。而蜜罐的核心價值就在于對這些攻擊活動進(jìn)行監(jiān)視、檢測和分析。蜜罐上的資源可以是仿效的操作系統(tǒng)或應(yīng)用程序，也可以是真實的系統(tǒng)或者程序，總之是建立一個誘騙環(huán)境，吸引攻擊者或入侵者，觀察其在里面所作的一切行為，并把這些行為記錄下來形成日志，對此進(jìn)行研究和分析攻擊者所使用的工具、策略及其目的。黑客所做的行為越多，學(xué)的東西也就越多，當(dāng)然面臨的風(fēng)險也就越大。蜜罐一般要審計入侵者的行為，保存日志文件，并記錄例如進(jìn)程開始、編譯、增加文件、刪除文件、修改以及擊鍵等事件。通過收集這樣的數(shù)據(jù)可以提高部門整體的安全性。收集的數(shù)據(jù)就可用來測量黑客的技術(shù)級別，也可以用來追蹤，甚至識別其身份?？傊?，蜜罐幫助公司和個人來對付黑客并從所收集的數(shù)據(jù)中學(xué)習(xí)來提高自身的安全，從而可以應(yīng)付更高級的攻擊。3．蜜罐的分類根據(jù)最終的部署目的不同，我們可以將蜜罐分為產(chǎn)品型蜜罐和研究型蜜罐兩類[11]。1）產(chǎn)品型蜜罐目的在于為一個組織的網(wǎng)絡(luò)提供安全保護(hù)，包括檢測攻擊、防止攻擊造成破壞及幫助管理員對攻擊做出及時正確的響應(yīng)等功能。一般產(chǎn)品型蜜罐較容易部署，而且不需要管理員投入大量的工作。較具代表性的產(chǎn)品型蜜罐包括DTK、honeyd等開源工具和KFSensor、ManTraq等一系列的商業(yè)產(chǎn)品。8基于蜜罐的入侵檢測技術(shù)的研究調(diào)研報告2）研究型蜜罐專門用于對黑客攻擊的捕獲和分析，通過部署研究型蜜罐，對黑客攻擊進(jìn)行追蹤和分析，能夠捕獲黑客的鍵擊記錄，了解到黑客所使用的攻擊工具及攻擊方法，甚至能夠監(jiān)聽到黑客之間的交談，從而掌握他們的心理狀態(tài)等信息。研究型蜜罐需要研究人員投入大量的時間和精力進(jìn)行攻擊監(jiān)視和分析工作，具有代表性的工具是“蜜網(wǎng)項目組”所推出的第二代蜜網(wǎng)技術(shù)。蜜罐還可以按照其交互度的等級劃分為三類：低交互蜜罐、中交互蜜罐和高交互蜜罐[14]。其中交互度反應(yīng)了黑客在蜜罐上進(jìn)行攻擊活動的自由度。1）低交互蜜罐一般僅模擬操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，較容易部署且風(fēng)險較小，但黑客在低交互蜜罐中能夠進(jìn)行的攻擊活動較為有限，因此通過低交互蜜罐能夠收集的信息也比較有限，同時由于低交互蜜罐通常是模擬的虛擬蜜罐，或多或少存在著一些容易被黑客所識別的指紋（Fingerprinting）信息。產(chǎn)品型蜜罐一般屬于低交互蜜罐。2）中交互蜜罐對真正的操作系統(tǒng)的各種行為的模擬，它提供了更多的交互信息，同時也可以從攻擊者的行為中獲得更多的信息。在這個模擬行為的系統(tǒng)中，蜜罐可以看起來和一個真正的操作系統(tǒng)沒有區(qū)別。它們是真正系統(tǒng)還要誘人的攻擊目標(biāo)。3）高交互蜜罐完全提供真實的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，沒有任何的模擬，從黑客角度上看，高交互蜜罐完全是其垂涎已久的“活靶子”，因此在高交互蜜罐中，我們能夠獲得許多黑客攻擊的信息。高交互蜜罐在提升黑客活動自由度的同時，自然地加大了部署和維護(hù)的復(fù)雜度及風(fēng)險的擴(kuò)大。研究型蜜罐一般都屬于高交互蜜罐，也有部分蜜罐產(chǎn)品，如ManTrap，屬于高交互蜜罐。蜜罐還可以按照其實現(xiàn)方法區(qū)分成物理蜜罐與虛擬蜜罐。物理蜜罐是真實的網(wǎng)絡(luò)上存在的主機(jī)，運(yùn)行著真實的操作系統(tǒng)，提供真實的服務(wù)，擁有自己的IP地址；虛擬蜜罐則是由一臺機(jī)器模擬的，這臺機(jī)器會響應(yīng)發(fā)送到虛擬蜜罐的網(wǎng)絡(luò)數(shù)據(jù)流，提供模擬的網(wǎng)絡(luò)服務(wù)等。4．蜜罐的配置模式1）誘騙服務(wù)誘騙服務(wù)是指在特定的IP服務(wù)端口偵聽并像應(yīng)用服務(wù)程序那樣對各種網(wǎng)絡(luò)請求進(jìn)行應(yīng)答的應(yīng)用程序。DTK就是這樣的一個服務(wù)性產(chǎn)品。DTK吸引攻擊者的詭計就是可執(zhí)行性，但是它與攻擊者進(jìn)行交互的方式是模仿那些具有可攻擊弱點的系統(tǒng)進(jìn)行的，所以可以產(chǎn)生的應(yīng)答非常有限。在這個過程中對所有的行為進(jìn)行記錄，同時提供較為合理的應(yīng)答，并給闖入系統(tǒng)的攻擊者帶來系統(tǒng)并不安全的錯覺。例如，9[12][13]基于蜜罐的入侵檢測技術(shù)的研究調(diào)研報告當(dāng)我們將誘騙服務(wù)配置為FTP服務(wù)的模式。當(dāng)攻擊者連接到TCP/21端口的時候，就會收到一個由蜜罐發(fā)出的FTP的標(biāo)識。如果攻擊者認(rèn)為誘騙服務(wù)就是他要攻擊的FTP，他就會采用攻擊FTP服務(wù)的方式進(jìn)入系統(tǒng)。這樣，系統(tǒng)管理員便可以記錄攻擊的細(xì)節(jié)。2）弱化系統(tǒng)只要在外部因特網(wǎng)上有一臺計算機(jī)運(yùn)行沒有打上補(bǔ)丁的微軟Windows或者RedHatLinux即行。這樣的特點是攻擊者更加容易進(jìn)入系統(tǒng)，系統(tǒng)可以收集有效的攻擊數(shù)據(jù)。因為黑客可能會設(shè)陷阱，以獲取計算機(jī)的日志和審查功能，需要運(yùn)行其他額外記錄系統(tǒng)，實現(xiàn)對日志記錄的異地存儲和備份。它的缺點是“高維護(hù)低收益”。因為，獲取已知的攻擊行為是毫無意義的。3）強(qiáng)化系統(tǒng)強(qiáng)化系統(tǒng)同弱化系統(tǒng)一樣，提供一個真實的環(huán)境。不過此時的系統(tǒng)已經(jīng)武裝成看似足夠安全的。當(dāng)攻擊者闖入時，蜜罐就開始收集信息，它能在最短的時間內(nèi)收集最多有效數(shù)據(jù)。用這種蜜罐需要系統(tǒng)管理員具有更高的專業(yè)技術(shù)。如果攻擊者具有更高的技術(shù)，那么，他很可能取代管理員對系統(tǒng)的控制，從而對其它系統(tǒng)進(jìn)行攻擊。4）用戶模式服務(wù)器用戶模式服務(wù)器實際上是一個用戶進(jìn)程，它運(yùn)行在主機(jī)上，并且模擬成一個真實的服務(wù)器。在真實主機(jī)中，每個應(yīng)用程序都當(dāng)作一個具有獨立IP地址的操作系統(tǒng)和服務(wù)的特定是實例。而用戶模式服務(wù)器這樣一個進(jìn)程就嵌套在主機(jī)操作系統(tǒng)的應(yīng)用程序空間中，當(dāng)INTERNET用戶向用戶模式服務(wù)器的IP地址發(fā)送請求，主機(jī)將接受請求并且轉(zhuǎn)發(fā)到用戶模式服務(wù)器上。（我們用這樣一個圖形來表示一下他們之間的關(guān)系）：這種模式的成功與否取決于攻擊者的進(jìn)入程度和受騙程度。它的優(yōu)點體現(xiàn)在系統(tǒng)管理員對用戶主機(jī)有絕對的控制權(quán)。即使蜜罐被攻陷，由于用戶模式服務(wù)器是一個用戶進(jìn)程，那么Administrator只要關(guān)閉該進(jìn)程就可以了。另外就是可以將FIREWALL，IDS集中于同一臺服務(wù)器上。當(dāng)然，其局限性是不適用于所有的操作系統(tǒng)。5．蜜網(wǎng)蜜網(wǎng)是在蜜罐技術(shù)上逐步發(fā)展起來的一個新的概念，又可成為誘捕網(wǎng)絡(luò)。蜜網(wǎng)技術(shù)實質(zhì)上還是一類研究型的高交互蜜罐技術(shù)，其主要目的是收集黑客的攻擊信息。但與傳統(tǒng)蜜罐技術(shù)的差異在于，蜜網(wǎng)構(gòu)成了一個黑客誘捕網(wǎng)絡(luò)體系架構(gòu)，在這個架構(gòu)中，我們可以包含一個或多個蜜罐，同時保證了網(wǎng)絡(luò)的高度可控性，以及提供多種工具以方便對攻擊信息的采集和分析。此外，虛擬蜜網(wǎng)通過應(yīng)用虛擬操作系統(tǒng)軟件（如VMWare和UserModeLinux等）使得我們可以在單一的主機(jī)上實現(xiàn)整個蜜網(wǎng)的體系架構(gòu)。虛擬蜜網(wǎng)的引入使得架設(shè)10基于蜜罐的入侵檢測技術(shù)的研究調(diào)研報告蜜網(wǎng)的代價大幅降低，也較容易部署和管理，但同時也帶來了更大的風(fēng)險，黑客有可能識別出虛擬操作系統(tǒng)軟件的指紋，也可能攻破虛擬操作系統(tǒng)軟件從而獲得對整個虛擬蜜網(wǎng)的控制權(quán)。1.2.3入侵誘騙技術(shù)的發(fā)展背景隨著計算機(jī)網(wǎng)絡(luò)的普遍使用，借助于網(wǎng)絡(luò)的入侵行為的數(shù)量和破壞性也不斷增加。傳統(tǒng)的靜態(tài)安全防御技術(shù)如防火墻、漏洞掃描、加密和認(rèn)證等，對網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動的反應(yīng)。因此，人們提出了以入侵檢測技術(shù)為核心之一的動態(tài)主動防御技術(shù)。入侵檢測技術(shù)極大地提高了系統(tǒng)和網(wǎng)絡(luò)的安全性，但是它仍然存在其固有的缺點，例如誤報率和漏報率較高、對未知類型的攻擊無能為力。我們可以將蜜罐（Honeypot）引入到入侵檢測技術(shù)中。蜜罐的研究在于如何設(shè)計一個嚴(yán)格的欺騙環(huán)境（真實的網(wǎng)絡(luò)主機(jī)或者用軟件模擬網(wǎng)絡(luò)和主機(jī)），誘騙入侵者對其進(jìn)行攻擊或在檢測出對實際系統(tǒng)的攻擊行為后作出預(yù)警，從而保護(hù)實際運(yùn)行的系統(tǒng)。蜜罐可以檢測到未知的攻擊，并且收集入侵信息，借以觀察入侵者行為，記錄其活動，以便分析入侵者的水平、目的、所用工具和入侵手段等。蜜罐技術(shù)和入侵檢測技術(shù)的結(jié)合，不但有可能減少傳統(tǒng)入侵檢測系統(tǒng)的漏報和誤報,而且還能識別未知的攻擊,極大地增強(qiáng)了檢測能力。這就產(chǎn)生了入侵誘騙技術(shù)。1.2.4入侵誘騙系統(tǒng)模型一個具體的入侵誘騙系統(tǒng)模型如圖1.3所示。整個實現(xiàn)模型可分為以下幾個主要模塊：[15]圖1.3入侵誘騙系統(tǒng)模型11基于蜜罐的入侵檢測技術(shù)的研究調(diào)研報告1）防火墻模塊主要完成對數(shù)據(jù)流量進(jìn)行粗略的過濾；2）入侵檢測模塊主要用來監(jiān)視數(shù)據(jù)流量中的異常行為,一旦發(fā)現(xiàn)可疑的攻擊行為,就發(fā)出報警；3）數(shù)據(jù)控制模塊對于進(jìn)出誘騙網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行控制。首先,對于流入誘騙網(wǎng)絡(luò)的數(shù)據(jù)流量根據(jù)入侵檢測模塊的告警信息決定哪些數(shù)據(jù)流量需要進(jìn)行目的地址的重定向；其次,對于流出誘騙網(wǎng)絡(luò)的數(shù)據(jù)流量,限制其最大外發(fā)連接數(shù)；最后,為了防止被攻擊的誘騙機(jī)作為入侵者攻擊其他系的跳板,采用攔截并更改可疑信息的手段進(jìn)行防范；4）數(shù)據(jù)捕獲模塊主要是指防火墻日志、IDS日志包和honeypot主機(jī)的系統(tǒng)日志“三重捕獲”。該模塊記錄了入侵者在誘騙網(wǎng)絡(luò)中的所有攻擊行為.為了在不被入侵者發(fā)現(xiàn)的情況下,捕獲盡可能多的入侵者攻擊行為,該模塊在誘騙系統(tǒng)的設(shè)計中十分重要。數(shù)據(jù)捕獲還可以通過監(jiān)聽網(wǎng)絡(luò)接口來記錄誘騙主機(jī)上的入侵動作(如擊鍵記錄)；5）數(shù)據(jù)分析模塊存放所捕獲到的數(shù)據(jù)信息,并進(jìn)行分析。存放這些信息的目的是為了防止入侵者發(fā)現(xiàn)而對其進(jìn)行修改或銷毀,同時也便于分析入侵者的攻擊行為,學(xué)習(xí)他們的工具、策略以及動機(jī),挑選出新的有價值的規(guī)則添加到入侵檢測模塊規(guī)則庫中。1.2.5入侵誘騙技術(shù)的發(fā)展現(xiàn)狀國外對入侵誘騙的研究剛剛起步,在學(xué)術(shù)界,目前僅有一個“HoneyPot”理論[16]。該理論研究如何設(shè)計、建立一個跟實際系統(tǒng)類似的“欺騙”系統(tǒng)。該系統(tǒng)對外呈現(xiàn)出許多脆弱性,并且很容易被訪問,從而吸引入侵者對其進(jìn)行攻擊。其重點不在捕獲入侵者,而是欺騙、吸引,進(jìn)而監(jiān)視入侵者,發(fā)現(xiàn)他們怎樣刺探、攻擊一個網(wǎng)絡(luò),怎樣在實際運(yùn)行的系統(tǒng)中防止這樣的攻擊。該理論的重點在如何使系統(tǒng)看起來更真實,怎樣進(jìn)行信息收集,對攻擊行為做記錄。通常用一臺真實的服務(wù)器,真實的操作系統(tǒng),上面存放看起來真實的虛假數(shù)據(jù)來充當(dāng)“HoneyPot”,然后將其置于DMZ(DeMilitarizedZone，非軍事區(qū)),記錄以下行為:進(jìn)程的啟動,文件的增、刪、改、編譯,甚至是擊鍵行為。目前對信息收集的研究、討論較多,不外乎三種方法:防火墻日志、系統(tǒng)日志和嗅探器(Sniffer)。當(dāng)前對“HoneyPot”的研究正處于探索階段,沒有成熟的理論、模型,只是各自提出了一些具體實現(xiàn)的方法。但這些方法提供的欺騙質(zhì)量普遍較差,而且是一種請君入甕的方法,是通過把系統(tǒng)的脆弱性暴露給入侵者或是故意使用一些具有強(qiáng)烈誘惑性的信息(如戰(zhàn)略目標(biāo)、年度報表)的假信息來誘騙入侵者,這樣雖然可以對入侵者12基于蜜罐的入侵檢測技術(shù)的研究調(diào)研報告進(jìn)行跟蹤,但也引來了更多的潛在的入侵者(他們因好奇而來)。而更進(jìn)一步,應(yīng)該是在實際的系統(tǒng)中運(yùn)行入侵檢測系統(tǒng),當(dāng)檢測到入侵行為時,才進(jìn)行入侵誘騙,這樣才能更好地保護(hù)自己。目前的研究大多集中于入侵檢測,而在入侵誘騙方面研究則很少。國內(nèi)在這方面的研究剛剛起步,尚沒有形成自己的理論體系及流派,在產(chǎn)品上也大多限于模仿。13第二章研究與應(yīng)用2.1題目要求首先，對幾種典型的攻擊類型進(jìn)行分析和比較，得到進(jìn)入Honeypot網(wǎng)絡(luò)的攻擊所具有的特征。搭建蜜罐，獲得若干樣本，其中每個樣本都包括了分析得出的特征上的取值。然后，利用感知器學(xué)習(xí)方法建立入侵檢測模型——這是本次設(shè)計的重點部分，并用從蜜罐中捕獲到的樣本進(jìn)行訓(xùn)練。最后，設(shè)置實驗對所得的入侵檢測模型進(jìn)行測試，評估其檢測能力。2.2課題設(shè)計思路與分析2.2.1分析典型攻擊及其特征目前，網(wǎng)絡(luò)攻擊大致上分為4類[17]：1）Probing掃描，監(jiān)視和其它探測活動，如端口掃描和主機(jī)掃描等；2）DOS（DenialofService）拒絕服務(wù)攻擊，典型有：連接洪泛、響應(yīng)索取、死亡之ping、smurf和同步泛洪等；3）R2L（Remotetolocal）來自遠(yuǎn)程機(jī)器的非法訪問，如口令破解等；4）U2R（UsertoRoot）普通用戶對本地超級用戶特權(quán)的非法訪問，如各種bufferoverflow攻擊。對于上述4類攻擊，前面兩類攻擊在一次攻擊中一般需要進(jìn)行多次連接，因此入侵特征多抽取為流量統(tǒng)計數(shù)據(jù)；后面的兩類攻擊一般只需要一次連接即可完成，因此一般使用基于內(nèi)容的入侵特征。為了簡單性，可以從4個攻擊類中選出具有代表性的幾個攻擊進(jìn)行分析，比如掃描類中的端口掃描、DOS類中的分布式拒絕服務(wù)攻擊、R2L類中的口令破解，以及U2R類中緩沖區(qū)溢出攻擊。通過進(jìn)一步學(xué)習(xí)這幾種典型的攻擊，分析和比較它們的特征。然后，提取出它們發(fā)生時在網(wǎng)絡(luò)上的共有屬性，構(gòu)造所需樣本的結(jié)構(gòu)，以此為根據(jù)從蜜罐中獲取樣本。14基于蜜罐的入侵檢測技術(shù)的研究調(diào)研報告2.2.2利用蜜罐捕獲數(shù)據(jù)搭建蜜罐有很多方法，本次設(shè)計可以采用以弱化系統(tǒng)的方式配置高交互的蜜罐系統(tǒng)的方法。在宿主機(jī)上使用虛擬操作系統(tǒng)軟件VMWare虛擬出一個沒有打最新漏洞補(bǔ)丁的操作系統(tǒng)Windows2000Professional，其配置包括[18]：1）安裝虛擬操作系統(tǒng)。使用虛擬機(jī)軟件VMWare安裝Windows2000Professional操作系統(tǒng)和SP4補(bǔ)??；2）安裝系統(tǒng)補(bǔ)丁程序和殺毒軟件。給宿主機(jī)系統(tǒng)裝上補(bǔ)丁程序，防止宿主機(jī)被攻破。安裝殺毒軟件且升級到最新的病毒庫，并啟動實時監(jiān)控；3）安裝日志服務(wù)器和相關(guān)記錄軟件。在宿主機(jī)上安裝日志服務(wù)器，如Kiwi的SyslogDaemon7。同時，在虛擬主機(jī)上安裝日志記錄工具如evtsys。這樣蜜罐上的應(yīng)用程序日志、系統(tǒng)日志和安全日志會發(fā)到日志服務(wù)器，我們便可以真實地了解到蜜罐的運(yùn)行情況，從中發(fā)現(xiàn)攻擊者的蛛絲馬跡。最后，使用cmdlog工具記錄cmd.exe。cmdlog的特點是它可以記錄cmd.exe，且不在進(jìn)程列表中顯示出來，這對于實時監(jiān)控黑客在本機(jī)上的攻擊行為十分有效；4）安裝數(shù)據(jù)包捕獲軟件。在宿主機(jī)上安裝網(wǎng)絡(luò)數(shù)據(jù)包嗅探軟件，通過捕獲并分析虛擬機(jī)上流進(jìn)和流出的網(wǎng)絡(luò)數(shù)據(jù)包，可了解攻擊者的攻擊技術(shù)、利用的系統(tǒng)漏洞和使用的工具等。按照以上配置搭建好一個蜜罐后，就可以開始收集數(shù)據(jù)了：通過在分析攻擊特征時構(gòu)造出的攻擊樣本的結(jié)構(gòu)，在日志服務(wù)器和數(shù)據(jù)包捕獲軟件中獲取相應(yīng)的屬性值。例如，可以取一段固定時間內(nèi)，在網(wǎng)絡(luò)流量、用戶連接訪問次數(shù)等屬性上的取值，構(gòu)造一個樣本。最后，再將數(shù)據(jù)樣本進(jìn)行標(biāo)準(zhǔn)化處理。需要注意的是，為了訓(xùn)練建立起來的入侵檢測模型，除了攻擊行為的樣本外，還需要對系統(tǒng)進(jìn)行訪問的正常行為的數(shù)據(jù)樣本。2.2.3建立入侵檢測模型為了建立入侵檢測模型，可以采用異常入侵檢測方法或誤用檢測方法。本次設(shè)計的要求是能夠識別未知攻擊，區(qū)分正常行為和攻擊行為，并將攻擊行為進(jìn)一步分類。據(jù)此，應(yīng)該選用異常入侵檢測方法來建立入侵檢測模型。前向神經(jīng)網(wǎng)絡(luò)中的感知器學(xué)習(xí)方法可以用于異常入侵檢測方法。在神經(jīng)網(wǎng)絡(luò)中，對外部環(huán)境提供的模式樣本進(jìn)行學(xué)習(xí)訓(xùn)練，并能存儲這種模式，則稱為感知器[19]。神經(jīng)網(wǎng)絡(luò)在學(xué)習(xí)中，一般分為有教師和無教師學(xué)習(xí)兩種。感知器15基于蜜罐的入侵檢測技術(shù)的研究調(diào)研報告采用有教師信號進(jìn)行學(xué)習(xí)。所謂教師信號，就是在神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)中由外部提供的模式樣本信號。1．感知器的學(xué)習(xí)結(jié)構(gòu)感知器的學(xué)習(xí)是神經(jīng)網(wǎng)絡(luò)最典型的學(xué)習(xí)。一個有教師的學(xué)習(xí)系統(tǒng)可以用圖2.1表示。這種學(xué)習(xí)系統(tǒng)分成三個部分：輸入部，訓(xùn)練部和輸出部。圖2.1有教師的學(xué)習(xí)系統(tǒng)輸入部接收外來的輸入樣本X，由訓(xùn)練部進(jìn)行網(wǎng)絡(luò)的權(quán)系數(shù)W調(diào)整，然后由輸出部輸出結(jié)果。在這個過程中，期望的輸出信號可以作為教師信號輸入，由該教師信號與實際輸出進(jìn)行比較，產(chǎn)生的誤差去控制修改權(quán)系數(shù)W。學(xué)習(xí)機(jī)構(gòu)可用圖2.2所示的結(jié)構(gòu)表示。在圖中，X1,X2,...,Xn是輸入樣本信號，W1,W2,...,Wn是權(quán)系數(shù)。輸入樣本信號Xi可以取離散值“0”或“1”。輸入樣本信號通過權(quán)系數(shù)作用，在u產(chǎn)生輸出結(jié)果?WiXi，即有：u??WiXi?W1X1?W2X2?...?WnXn公式（2.1）再把期望輸出信號Y(t)和u進(jìn)行比較，從而產(chǎn)生誤差信號e。即權(quán)值調(diào)整機(jī)構(gòu)根據(jù)誤差e去對學(xué)習(xí)系統(tǒng)的權(quán)系數(shù)進(jìn)行修改，修改方向應(yīng)使誤差e變小，不斷進(jìn)行下去，使到誤差e為零，這時實際輸出值u和期望輸出值Y(t)完全一樣，則學(xué)習(xí)過程結(jié)束。16基于蜜罐的入侵檢測技術(shù)的研究調(diào)研報告圖2.2學(xué)習(xí)機(jī)構(gòu)神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)一般需要多次重復(fù)訓(xùn)練，使誤差值逐漸向零趨近，最后到達(dá)零。則這時才會使輸出與期望一致。故而神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)是消耗一定時期的，有的學(xué)習(xí)過程要重復(fù)很多次，甚至達(dá)萬次級。原因在于神經(jīng)網(wǎng)絡(luò)的權(quán)系數(shù)W有很多分量W1,W2,...,Wn；也即是一個多參數(shù)修改系統(tǒng)。系統(tǒng)的參數(shù)的調(diào)整就必定耗時耗量。目前，提高神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)速度，減少學(xué)習(xí)重復(fù)次數(shù)是十分重要的研究課題，也是實時控制中的關(guān)鍵問題。2．感知器的學(xué)習(xí)算法感知器是有單層計算單元的神經(jīng)網(wǎng)絡(luò)，由線性元件及閥值元件組成。感知器如圖2.3示。圖2.3感知器結(jié)構(gòu)17基于蜜罐的入侵檢測技術(shù)的研究調(diào)研報告感知器的數(shù)學(xué)模型為：Y?f[?WiXi??]公式（2.2）i?1n其中：f[]是階躍函數(shù)，并且有n??1u??WiXi???0?i?1公式（2.3）f[u]??n??1u?WX???0?ii?i?1?其中?是閥值。感知器的最大作用就是可以對輸入的樣本分類，故它可作分類器，感知器對輸入信號的分類如下：?1A類公式（2.4）Y???1B類?即是，當(dāng)感知器的輸出為1時，輸入樣本稱為A類；輸出為-1時，輸入樣本稱為B類。從上可知感知器的分類邊界是：?WXii?12ni???0公式（2.5）在輸入樣本只有兩個分量X1，X2時，則有分類邊界條件：?WXii?1i???0公式（2.6）即W1X1?W2X2???0公式（2.7）感知器的學(xué)習(xí)算法目的在于找尋恰當(dāng)?shù)臋?quán)系數(shù)w?(w1,w2,...,wn)，使系統(tǒng)對一個特定的樣本x?(x1,x2,...,xn)能產(chǎn)生期望值d。當(dāng)x分類為A類時，期望值d?1；x為B類時，d??1。為了方便說明感知器學(xué)習(xí)算法，把閥值?并人權(quán)系數(shù)w中，同時，樣本x也相應(yīng)增加一個分量x0。故令：w0???,x0?1公式（2.8）則感知器的輸出可表示為：Y?f[?WiXi]公式（2.9）i?0n感知器學(xué)習(xí)算法步驟如下：1）對權(quán)系數(shù)w置初值。18基于蜜罐的入侵檢測技術(shù)的研究調(diào)研報告對權(quán)系數(shù)w?(w0,w1,w2,...,wn)的各個分量置一個（-1，1）之前的非零隨機(jī)值，并記為w1(0),w2(0),...,wn(0)，同時有w0(0)???。這里wi(t)為t時刻在第i個輸入上的權(quán)系數(shù)，i?0,1,....,n。w0(t)為t時刻時的閥值。2）輸入一個樣本x?(x1,x2,...,xn))以及它的期望輸出d。期望輸出值d在樣本的類屬不同時取值不同。如果x是A類，則取d?1,如果x是B類，則取d??1。期望輸出d也即是教師信號。3）計算實際輸出值Y。Y(t)?f[?Wi(t)Xi]公式（2.10）i?0n4）根據(jù)實際輸出求誤差e。e?d?Y(t)公式（2.11）5）用誤差e去修改權(quán)系數(shù)。Wi(t?1)?Wi(t)???e?Xi公式（2.12）其中，?稱為權(quán)重變化率，滿足0???1。在公式（2.12）中，?的取值不能太大。如果?取值太大，會影響Wi(t)的穩(wěn)定；?的取值也不能太小，否則會使Wi(t)的求取過程收斂速度太慢。當(dāng)實際輸出和期望值d相同時有：Wi(t?1)?Wi(t)6）轉(zhuǎn)到第2點，一直執(zhí)行到一切樣本均穩(wěn)定為止。3．訓(xùn)練感知器模型利用在2.2.2節(jié)中獲得的樣本，分別將其中的數(shù)據(jù)以及該樣本的類別（即教師信息，例如正常行為或者攻擊行為）輸入到已建立的感知器模型中。最后，經(jīng)過感知其模型的自學(xué)習(xí)，將得到權(quán)值向量(W1,W2,...,Wn)以及閥值?。至此，用感知器學(xué)習(xí)方法建立的入侵檢測模型完成了。2.2.4設(shè)置實驗評估入侵檢測模型首先，對蜜罐進(jìn)行一些正常的訪問，獲取正常行為的數(shù)據(jù)樣本并輸入在2.2.3節(jié)中得到的入侵檢測模型當(dāng)中，觀察模型是否可以將該樣本歸為正常類；其次，根據(jù)2.2.1節(jié)中所分析的幾種攻擊類，選取具有代表性的攻擊軟件對蜜罐系統(tǒng)進(jìn)行攻擊，捕獲攻擊數(shù)據(jù)后輸入至入侵檢測模型中，觀察模型是否可以將該樣本劃分到正確的攻擊類別當(dāng)中；最后，對于在2.2.1節(jié)中沒