新型蜜网体系结构及告警聚类的关键技术研究

2.基于高性能网络处理器提出了一种大规模网络拓扑实时仿真模型，以用于伪装蜜网系统中的虚拟网络拓扑。实时仿真要求仿真系统的时钟与外界时钟同步，使得虚拟网络能够与真实网络协议、服务和应用进行交互。该方案利用离散事件仿真模型来模拟大规模网络，并描述了基于XP2400平台的实现。实验结果表明该模型能够模拟大规模网络拓扑，能够对探测数据包进行响应，能够自动学习路由条目和线速转发网络数据包。3.为了提高蜜网网关的路由查找速度，提出了一种新的BFBP路由查找算法。现有的基于神经网络的路由查找算法需要学习路由条目包含的所有P地址，学习量巨大，在训练阶段收敛时间长，阻碍了神经网络在路由查找中的应用。为了解决这个问题，本文结合Bloom-Filter算法和并行反向传播神经网络，提出基于并行神经网络的路由查找算法(BFBP)。Bloom-Filter.算法将神经网络分解为多个并行的神经网络，每个神经网络只需学习路由条目的网络D,而不需要学习路由条目包含的所有P地址，从而加速路由学习过程。研究结果表明，相比于己有的神经网络路由查找方法，BFBP算法需要学习的条目数平均减少了520倍，提高了学习效率，为神经网络应用于路由查找创造了有利条件。4.提出了一种新的混沌粒子群算法，以用于蜜网告警优化问题。传统粒子群优化算法初期收敛速度快，但在后期容易陷入局部最优和早熟。为了解决这个问题，本文提出了一种新的混沌粒子群优化算法，不同于现有的混沌粒子群算法的简单粒子序列替换，该算法将混沌融入到粒子运动过程中，使粒子群在混沌与稳定之间交替运动，逐步向最优点靠近。并提出了一种新的混沌粒子群数学模型，进行了非线性动力学分析。数值测试结果表明该方法能跳出局部最优，极大提高了计算精度，进一步提高了全局寻优能力。5.提出了基于混沌粒子群的蜜网告警聚类算法。由于现有的蜜网系统告警数量过多，使网络安全分析人员淹没在大量无用的告警中。为了提高蜜网中入侵检测系统(DS)的告警质量，减少冗余报警，提出了一种基于混沌粒子群的DS告警聚类算法。该算法能够克服粒子群算法的早熟、局部最优等缺点，指导聚类中心寻找到全局最优解。通过分析与实验测试，验证了该算法在入侵检测系统中能够减少告警数量，提高告警