基于數(shù)據(jù)挖掘和蜜罐的新型入侵檢測(cè)系統(tǒng)研究

張辰，孟少卿，鹿凱寧

（天津大學(xué) 電子信息工程學(xué)院，天津 300072）

基于信息系統(tǒng)的計(jì)算機(jī)已經(jīng)成為人們生活的重要部分。用戶的計(jì)算機(jī)連接到了互聯(lián)網(wǎng)上，這就增大了其他人安裝惡意軟件并在互聯(lián)網(wǎng)上通過遠(yuǎn)程控制使用這些軟件來攻擊其他計(jì)算機(jī)的危險(xiǎn)。計(jì)算機(jī)安全是指保護(hù)計(jì)算機(jī)系統(tǒng)及其資源的機(jī)密性、完整性、可用性。人們用了許多協(xié)議和防火墻來抵御網(wǎng)絡(luò)威脅。如果計(jì)算機(jī)系統(tǒng)能夠保護(hù)它的數(shù)據(jù)和資源抵御非法訪問、修改和拒絕訪問，即可稱它為安全的。

目前，通過數(shù)據(jù)挖掘技術(shù)進(jìn)行的入侵檢測(cè)很常見。應(yīng)用數(shù)據(jù)挖掘中的一些算法，如序列式模式分析、關(guān)聯(lián)分析等來提取相關(guān)的訪客行為特征，并根據(jù)這些特征生成安全事件的分類模型，應(yīng)用于安全事件的自動(dòng)鑒別。一個(gè)完整的基于數(shù)據(jù)挖掘的入侵檢測(cè)模型要包括對(duì)審計(jì)數(shù)據(jù)的采集、數(shù)據(jù)預(yù)處理、特征變量選取、算法比較、挖掘結(jié)果處理等一系列過程。這種基于數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)有兩方面技術(shù)難點(diǎn)：第一點(diǎn)是如何根據(jù)實(shí)際應(yīng)用的需求萃取出可以有效地反映系統(tǒng)特性的特征屬性，以便于應(yīng)用合適的算法來進(jìn)行數(shù)據(jù)挖掘。第二點(diǎn)在于如何將挖掘結(jié)果自動(dòng)地應(yīng)用到實(shí)際的IDS中[1]。隨著蜜罐技術(shù)的出現(xiàn)和快速發(fā)展，及IDS技術(shù)和數(shù)據(jù)挖掘結(jié)合的安全系統(tǒng)的出現(xiàn)，把前者融入到后者體系中去的需求越來越明顯了。

1 相關(guān)技術(shù)介紹

1.1 入侵檢測(cè)系統(tǒng)

入侵是企圖破壞計(jì)算機(jī)平臺(tái)上資源的完整性、機(jī)密性、可用性的一系列行為。入侵檢測(cè)系統(tǒng)（IDS）是用于在網(wǎng)絡(luò)中檢測(cè)入侵行為的軟硬件的結(jié)合。入侵檢測(cè)系統(tǒng)可以檢測(cè)所有網(wǎng)絡(luò)行為，因此可以發(fā)現(xiàn)入侵行為的征兆。入侵檢測(cè)系統(tǒng)的主要目標(biāo)是警告系統(tǒng)管理員任何可疑行為。目前存在兩種入侵檢測(cè)系統(tǒng)。

1）異常檢測(cè) 根據(jù)與正常行為的偏差檢測(cè)出惡意行為，進(jìn)而認(rèn)定為攻擊。雖然這種方式能檢測(cè)出未知入侵，但是誤報(bào)率較高。

2）特征檢測(cè) 它是入侵檢測(cè)基于一個(gè)惡意行為的模式，它對(duì)已知的攻擊模式很有幫助，并且誤報(bào)率很低。與異常檢測(cè)相比特征檢測(cè)的一個(gè)缺點(diǎn)是，它只能檢測(cè)到包含已知攻擊模式的入侵檢測(cè)。

入侵檢測(cè)系統(tǒng)需要了解攻擊的特性，但不能檢測(cè)到未知的威脅。而蜜罐系統(tǒng)能夠檢測(cè)未知的攻擊，同時(shí)還可以了解系統(tǒng)漏洞。

1.2 蜜罐技術(shù)

蜜罐是一個(gè)被嚴(yán)密監(jiān)控的計(jì)算機(jī)資源，希望被探測(cè)、攻擊或者攻陷。更準(zhǔn)確的描述是，蜜罐是“一個(gè)信息系統(tǒng)資源，其價(jià)值在于未經(jīng)授權(quán)或非法使用該資源”。一個(gè)蜜罐的價(jià)值可以從它獲得的信息來衡量，通過檢測(cè)進(jìn)出蜜罐的數(shù)據(jù)來收集NIDS無法獲得的信息，通過觀察離開蜜罐的網(wǎng)絡(luò)流量，可以檢測(cè)到漏洞威脅，即使是使用從未見過的漏洞利用方法[2]。設(shè)置一個(gè)專門構(gòu)造的蜜罐系統(tǒng)來引誘入侵者，記錄其如何攻入系統(tǒng)，以及攻擊目的、所用工具等以獲取有用的信息。在蜜罐中常會(huì)故意放置一些黑客企圖獲取的信息，以此吸引入侵者攻陷蜜罐系統(tǒng)，攻擊者在蜜罐中停留的時(shí)間越長(zhǎng)，暴露的攻擊手段和技術(shù)就越多，網(wǎng)絡(luò)管理員就可以獲取更多的入侵者的有用信息，這樣可以發(fā)現(xiàn)系統(tǒng)更多的安全隱患，允許網(wǎng)絡(luò)安全人員采取相應(yīng)的措施來增強(qiáng)系統(tǒng)和網(wǎng)絡(luò)的安全性。

根據(jù)服務(wù)配置的不同，蜜罐可以分為高交互蜜罐和低交互蜜罐。

1）高交互蜜罐 提供給入侵者一個(gè)完全可交互的系統(tǒng)，它不模擬任何服務(wù)、功能或基礎(chǔ)操作系統(tǒng)，提供真實(shí)的系統(tǒng)服務(wù)。因此，入侵者能夠完全攻陷并控制它，這有助于網(wǎng)絡(luò)管理員了解更多的有關(guān)入侵者所用的工具、手段和動(dòng)機(jī)，加深對(duì)攻擊者的了解。

2）低交互蜜罐 模擬物理機(jī)器的有限功能，例如，服務(wù)、網(wǎng)絡(luò)和堆棧等。允許入侵者與其在特定范圍內(nèi)進(jìn)行有限的交互，有助于掌握系統(tǒng)攻擊的定量信息。

1.3 數(shù)據(jù)挖掘技術(shù)

從大量數(shù)據(jù)中提取有用信息的過程被稱為數(shù)據(jù)挖掘。數(shù)據(jù)挖掘分析已得到的大量數(shù)據(jù)，探索它們之間的未知關(guān)系，總結(jié)數(shù)據(jù)分析的結(jié)果，并以易理解的方式展示給數(shù)據(jù)所有者。因此數(shù)據(jù)挖掘問題也被看作是數(shù)據(jù)分析問題。數(shù)據(jù)挖掘技術(shù)可以在大量數(shù)據(jù)中檢測(cè)模式，并用這些模式捕捉大量的異常。

數(shù)據(jù)挖掘是以應(yīng)用為目的的，它被頻繁地應(yīng)用于各種領(lǐng)域中，用于從大型數(shù)據(jù)庫中發(fā)現(xiàn)明確的有用的東西，從數(shù)據(jù)中發(fā)現(xiàn)隱含的未知的規(guī)律。

針對(duì)以上情況，本文設(shè)計(jì)了一種基于數(shù)據(jù)挖掘和蜜罐技術(shù)的入侵檢測(cè)系統(tǒng)。在這個(gè)系統(tǒng)中，蜜罐技術(shù)通過真實(shí)的網(wǎng)絡(luò)資源為誘餌，吸引攻擊者的入侵行為，入侵行為發(fā)生后，在蜜罐環(huán)境下，入侵者將會(huì)被監(jiān)視和控制，此時(shí)，系統(tǒng)運(yùn)用數(shù)據(jù)挖掘技術(shù)收集攻擊行為的信息，并進(jìn)行分析，產(chǎn)生模式或規(guī)律，并以此進(jìn)行趨勢(shì)分析、攻擊預(yù)測(cè)等，以便于發(fā)現(xiàn)攻擊行為的特征和規(guī)律。之后將獲取的檢測(cè)規(guī)則存入IDS的規(guī)則庫，供未來的檢測(cè)使用。因此，它提高了IDS的檢測(cè)能力，尤其是檢測(cè)未知攻擊的能力。

2 基于蜜罐的入侵檢測(cè)系統(tǒng)

傳統(tǒng)的入侵檢測(cè)系統(tǒng)不能檢測(cè)到未知的攻擊，因此存在漏報(bào)和誤報(bào)。而蜜罐系統(tǒng)最大的優(yōu)勢(shì)就是可以檢測(cè)到未知的攻擊。通過捕獲黑客與蜜罐的交互行為，可以分析出未知的入侵方式、攻擊工具等，克服傳統(tǒng)入侵檢測(cè)系統(tǒng)的不足，有利于及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞。將這兩種技術(shù)結(jié)合，提出一種新的網(wǎng)絡(luò)安全解決方案，該方案既可以通過入侵檢測(cè)系統(tǒng)捕獲已知攻擊特征的入侵行為，又可以使用蜜罐系統(tǒng)采集攻擊者新的攻擊手段、工具等，從而全面捕獲入侵者的攻擊行為，更有效的保護(hù)網(wǎng)絡(luò)安全。基于蜜罐的入侵檢測(cè)系統(tǒng)設(shè)計(jì)如圖1所示。

圖1 基于蜜罐系統(tǒng)的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)圖Fig.1 System structure of intrusion detection based on Honeypot system

在這個(gè)系統(tǒng)中，可以包含多個(gè)蜜罐主機(jī)。關(guān)鍵部件是被稱為HoneyWall的蜜網(wǎng)網(wǎng)關(guān)，它是蜜網(wǎng)與其它網(wǎng)絡(luò)的惟一連接點(diǎn)，包含3個(gè)網(wǎng)卡，網(wǎng)絡(luò)接口eth0連接蜜網(wǎng)，網(wǎng)絡(luò)接口eth1配置了一個(gè)安全的內(nèi)部網(wǎng)絡(luò)地址，它轉(zhuǎn)發(fā)出入蜜罐系統(tǒng)的網(wǎng)絡(luò)包和系統(tǒng)日志進(jìn)入到一個(gè)單獨(dú)的機(jī)器，這個(gè)機(jī)器作為日志及管理控制中心，網(wǎng)絡(luò)接口eth2則連接內(nèi)網(wǎng)。日志及管理控制服務(wù)器安裝有監(jiān)控管理模塊，它負(fù)責(zé)提取新的攻擊模式，并和NIDS控制臺(tái)進(jìn)行通信，更新NIDS的入侵規(guī)則庫。它有3個(gè)主要任務(wù)，1）管理IDS模塊，Honeypot模塊和數(shù)據(jù)挖掘模塊，使它們協(xié)調(diào)工作；2）顯示IDS和Honeypot發(fā)送過來的警報(bào)消息；3）根據(jù)安全策略進(jìn)行一系列的響應(yīng)動(dòng)作來阻止非法行為以確保網(wǎng)絡(luò)安全[3]。

3 數(shù)據(jù)挖掘技術(shù)在蜜罐中的應(yīng)用

由于蜜罐只收集少量但極具價(jià)值的數(shù)據(jù)。正常情況下，蜜罐對(duì)網(wǎng)絡(luò)內(nèi)其他系統(tǒng)不提供任何服務(wù)，因此，所有與蜜罐系統(tǒng)的連接或探測(cè)都可視為對(duì)蜜罐系統(tǒng)的掃描或攻擊。這樣，就可以把所有流入蜜罐系統(tǒng)的網(wǎng)絡(luò)流量當(dāng)作惡意信息處理，而流出的流量是威脅更大的信息。因?yàn)橹挥挟?dāng)入侵者攻陷蜜罐后，利用蜜罐訪問外部網(wǎng)絡(luò)時(shí)才會(huì)出現(xiàn)流出的數(shù)據(jù)。對(duì)蜜罐系統(tǒng)收集的數(shù)據(jù)采用數(shù)據(jù)挖掘方面分析是提高分析效率的一種有效途徑。由于數(shù)據(jù)挖掘技術(shù)是一項(xiàng)通用的知識(shí)發(fā)現(xiàn)技術(shù)，所以可以采用數(shù)據(jù)挖掘的方法對(duì)蜜罐收集的數(shù)據(jù)進(jìn)行分析，利用得到的模式或規(guī)律，還可以進(jìn)行趨勢(shì)分析、攻擊預(yù)測(cè)，以便于發(fā)現(xiàn)攻擊行為的特征和規(guī)律。

對(duì)于蜜罐系統(tǒng)收集的信息，不論是系統(tǒng)中用戶的命令行輸入，還是其他任意的離散事件流，比如GUI事件、網(wǎng)絡(luò)數(shù)據(jù)包傳輸、系統(tǒng)調(diào)用跟蹤等，這些數(shù)據(jù)之間是存在聯(lián)系的，都可以看作是事件的序列集合。通常，系統(tǒng)或用戶的正常行為會(huì)有一定的規(guī)律，而攻擊者發(fā)起的攻擊過程也都是有前后關(guān)系的，例如，在攻擊者真正實(shí)施攻擊時(shí)，要先對(duì)目的系統(tǒng)的開放端口進(jìn)行掃描，然后實(shí)施具體的攻擊動(dòng)作。要對(duì)蜜罐系統(tǒng)收集的信息進(jìn)行分析，只憑孤立的事件對(duì)攻擊者的攻擊行為進(jìn)行判斷是很困難的，這就需要把攻擊者的行為聯(lián)系起來，當(dāng)作一個(gè)整體進(jìn)行分析[4]。

文中采用先關(guān)聯(lián)規(guī)則挖掘、再序列模式挖掘的數(shù)據(jù)挖掘方法對(duì)審計(jì)數(shù)據(jù)進(jìn)行挖掘。關(guān)聯(lián)規(guī)則挖掘的目的是發(fā)現(xiàn)大量數(shù)據(jù)項(xiàng)之間的關(guān)聯(lián)性。序列模式與關(guān)聯(lián)模式相仿，只不過把數(shù)據(jù)之間的關(guān)聯(lián)性與時(shí)間聯(lián)系起來。利用序列模式挖掘可以發(fā)現(xiàn)不同數(shù)據(jù)記錄之間的基于時(shí)間先后的相關(guān)性。

3.1 關(guān)聯(lián)規(guī)則挖掘數(shù)據(jù)相關(guān)性

在數(shù)據(jù)挖掘研究領(lǐng)域，對(duì)于關(guān)聯(lián)規(guī)則算法的研究開展得比較深入，人們提出了多種關(guān)聯(lián)規(guī)則的挖掘算法，如Apriori、STERM、AIS、DHP算法等。本文使用關(guān)聯(lián)規(guī)則中的Apriori算法。

Apriori算法是一種最有影響力的挖掘產(chǎn)生布爾關(guān)聯(lián)規(guī)則所需頻繁項(xiàng)集的基本算法。Apriori算法就是根據(jù)有關(guān)頻繁項(xiàng)集特性的先驗(yàn)知識(shí)（prior knowledge）而命名的。該算法利用了大項(xiàng)目集性質(zhì)。用偽代碼[5]將其描述如下：

L1=find_frequent_1-itemset（D）；

for（k=2； Lk-1≠；k++）{

Ck==apriori_gen（Lk-1，min_sup）；

For each customer-sequence t∈D{ //掃描D對(duì)項(xiàng)集計(jì)數(shù)

Ct=subset（Ck，t）； //取得候選集的子集

For each candidate C∈Ct

c.count++；

}

Lk={c∈Ck|c.count>=min_sup}

}

return Answer=UkLk；

function apriori_gen（Lk-1；min_sup）

For each itemset l1∈Lk-1

For each itemset l2∈Lk-1

If（l1[1]=l2[1]） （l1[1]=l2[2]） … （l1[k-2]=l2[k-2]） （ l1[k-1]=l2[k-1]）

Then{

C=l1；l2//連接產(chǎn)生候選集

If has_infrequent_subset（c， Lk-1） then

Delete C；//剪枝刪除非頻繁項(xiàng)集

else add c to Ck；

}

return；

function has_infrequent_subset（c； ）

for each（k-1）-subset s of c

if s∈Lk-1then return TRUE；

return FALSE；

注：所有算法表示中，代表所有k-序列組成的集合，代表候選k-序列組成的集合。

找到頻繁項(xiàng)集后，就可以產(chǎn)生強(qiáng)關(guān)聯(lián)規(guī)則。

3.2 序列模式挖掘數(shù)據(jù)時(shí)序性

在時(shí)序和序列數(shù)據(jù)庫中存放的數(shù)據(jù)具有時(shí)間上的先后關(guān)系，對(duì)這些數(shù)據(jù)可以進(jìn)行序列模式挖掘、趨勢(shì)分析、相似性搜索、周期模式挖掘等。本文對(duì)序列數(shù)據(jù)庫進(jìn)行挖掘的主要目的是找出序列記錄之間的聯(lián)系，發(fā)現(xiàn)攻擊模式和攻擊序列，所以主要針對(duì)序列模式挖掘進(jìn)行說明。

序列模式挖掘[6]是指挖掘相對(duì)時(shí)間出現(xiàn)頻率高的模式，也就是從序列組成的數(shù)據(jù)庫（sequence database）中找出出現(xiàn)頻繁的子序列（sub—sequences），它是一項(xiàng)重要的數(shù)據(jù)挖掘任務(wù)。近年來序列模式挖掘已經(jīng)成為數(shù)據(jù)挖掘的一個(gè)重要方面，其應(yīng)用范圍也不局限于數(shù)據(jù)庫，在DNA分析等尖端科學(xué)研究領(lǐng)域、Web訪問等新型應(yīng)用數(shù)據(jù)源等眾多方面都有針對(duì)性研究。

AprioriAll算法源于頻繁集算法Apriori，它把Apriori的基本思想擴(kuò)展到序列挖掘中，也是一個(gè)多遍掃描數(shù)據(jù)庫的算法。在每一遍掃描中都利用前一遍的大序列來產(chǎn)生候選序列，然后在完成對(duì)整個(gè)數(shù)據(jù)庫的遍歷后測(cè)試它們的支持度。在第一遍掃描中，利用大項(xiàng)集階段的輸出來初始化大小序列的集合。在每次遍歷中，從一個(gè)由大序列組成的種子集開始，利用這個(gè)種子集，可以產(chǎn)生新的潛在的大序列。在第一次遍歷前，所有在大項(xiàng)集階段得到的大小序列組成了種子集[7]。用偽代碼[8]將其描述如下：

L1={large 1-sequences}；//大項(xiàng)集階段得到的結(jié)果

For（k=2；Lk-1≠；k++） DO BEGIN

Ck=aprioriALL-generate（Lk-1）

For each customer—sequence c in DT DO//對(duì)于在數(shù)據(jù)庫中的每一個(gè)顧客序列c

Sum the count of all candidates in Ckthat are contained in C//對(duì)包含于C中Ck內(nèi)的所有候選者計(jì)數(shù)

Lk=Candidates in Ckwith minimum support； //Lk=Ck中滿足最小支持度的候選者

END

Answer=Maximal Sequences in UkLk；

3.3 關(guān)聯(lián)規(guī)則挖掘與序列模式挖掘相結(jié)合

文中關(guān)聯(lián)規(guī)則挖掘和序列模式挖掘算法的目的是挖掘數(shù)據(jù)倉庫中存放的攻擊信息記錄，尋找記錄中的關(guān)聯(lián)模式和序列模式，從而提取和發(fā)現(xiàn)有價(jià)值的攻擊模式和攻擊方法。

利用算法挖掘?qū)徲?jì)記錄的過程為：尋找審計(jì)記錄內(nèi)的大項(xiàng)集采用關(guān)聯(lián)規(guī)則Apriori算法；尋找審計(jì)記錄間的大項(xiàng)集序列采用序列模式AprioriAll算法進(jìn)行挖掘。進(jìn)行關(guān)聯(lián)規(guī)則挖掘結(jié)果下的序列模式再挖掘有如下幾步工作：首先要把數(shù)據(jù)庫按時(shí)間段進(jìn)行劃分，然后在每個(gè)被劃分的段中進(jìn)行關(guān)聯(lián)規(guī)則的挖掘，對(duì)挖掘出來的結(jié)果進(jìn)行整理并生成新的數(shù)據(jù)庫，最后對(duì)新的數(shù)據(jù)庫進(jìn)行序列模式挖掘。

4 基于數(shù)據(jù)挖掘和蜜罐的新型入侵檢測(cè)系統(tǒng)

蜜罐系統(tǒng)和入侵檢測(cè)系統(tǒng)在優(yōu)缺點(diǎn)上有著互補(bǔ)性。本文設(shè)計(jì)的新型入侵檢測(cè)系統(tǒng)結(jié)合兩者的優(yōu)勢(shì)，當(dāng)出現(xiàn)未知的攻擊時(shí)，則調(diào)用數(shù)據(jù)挖掘模塊，生成新的入侵檢測(cè)規(guī)則。這樣更有效的提高系統(tǒng)的檢測(cè)性從而增強(qiáng)系統(tǒng)的安全性。

基于主機(jī)的IDS過濾日志、分析日志、使用它自己的嚴(yán)重性級(jí)別系統(tǒng)來給異常消息標(biāo)簽[9]?；诰W(wǎng)絡(luò)的IDS在路由器或主機(jī)級(jí)別掃描分組、審查分組、并且把可疑的記錄在一個(gè)特殊的文件中詳細(xì)的記錄下來。然后根據(jù)網(wǎng)絡(luò)攻擊特征數(shù)據(jù)庫，為每個(gè)分組指定嚴(yán)重級(jí)別。對(duì)于已知的攻擊，根據(jù)攻擊類型與總控模塊通信，由總控模塊做出響應(yīng)。

系統(tǒng)框架模型如圖2所示。

圖2 新型入侵檢測(cè)系統(tǒng)模型圖Fig.2 System model of new IDS

當(dāng)蜜罐被進(jìn)入的時(shí)候．即為惡意入侵或者是入侵的前奏。若是已知的攻擊，則控制器會(huì)做出響應(yīng)。如果是未知的攻擊，系統(tǒng)并不知道其入侵模式，這就需要最大限度的拖延攻擊的入侵速度。蜜罐主機(jī)與未知的攻擊建立起TCP會(huì)話，并把會(huì)話的接受窗口大小始終保持為0[10]。這樣就能夠把攻擊阻擋在蜜罐中，為數(shù)據(jù)挖掘爭(zhēng)取更多的時(shí)間。當(dāng)面對(duì)未知的攻擊時(shí)，調(diào)用數(shù)據(jù)挖掘模塊。綜合利用分類、序列分析、關(guān)聯(lián)規(guī)則等各種數(shù)據(jù)挖掘方法。分析經(jīng)過預(yù)處理的數(shù)據(jù)，發(fā)現(xiàn)事件之間的時(shí)間和空間關(guān)系，從中提取相關(guān)的特征和規(guī)則。在此基礎(chǔ)上對(duì)行為集進(jìn)行數(shù)據(jù)挖掘，根據(jù)給定的信任度和支持度，找出一些攻擊的行為模式，建立異常模式，并存入IDS的規(guī)則庫中，從而實(shí)現(xiàn)對(duì)新型攻擊的有效抵御。

5 結(jié)束語

文中介紹了入侵檢測(cè)系統(tǒng)、蜜罐技術(shù)、數(shù)據(jù)挖掘技術(shù)的相關(guān)概念。通過分析入侵檢測(cè)系統(tǒng)和蜜罐系統(tǒng)的優(yōu)缺點(diǎn)，提出將兩者結(jié)合的方案，并將數(shù)據(jù)挖掘技術(shù)融入結(jié)合后的蜜罐模塊中，使用先關(guān)聯(lián)規(guī)則挖掘，后序列模式挖掘的方法，發(fā)現(xiàn)規(guī)則、模式等信息，并將其加入入侵檢測(cè)的規(guī)則庫，以便以后使用。與傳統(tǒng)入侵檢測(cè)系統(tǒng)相比，基于蜜罐和數(shù)據(jù)挖掘技術(shù)的新型入侵檢測(cè)系統(tǒng)完善了功能，提高了保護(hù)系統(tǒng)安全的能力。

[1]Denatious D K，John A.Survey on data mining techniques to enhance intrusion detection[J]．ICCC，2012（1）:1-5.

[2]Provos N，Holz T．虛擬蜜罐從僵尸網(wǎng)絡(luò)追蹤到入侵檢測(cè)[M].張浩軍，李景峰，等譯.北京：中國(guó)水利水電出版社，2011.

[3]夏磊，蔣建中，高志吳．入侵誘騙、入侵檢測(cè)、入侵響應(yīng)三位一體的網(wǎng)絡(luò)安全新機(jī)制[J]．計(jì)算機(jī)應(yīng)用與軟件，2007，24（4）：171-173．XIA Lei，JIANG Jian-zhong，Gao Zhi-wu.A new network security mechanism which containing honeypot IDS and intrusion response system[J].ComputerApplication and Software，2007，24（4）:171-173.

[4]鄭君杰，肖軍模．基于Honeypot技術(shù)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[J].電子科技大學(xué)學(xué)報(bào)，2007，36（2）：257-259.ZHENG Jun-jie，XIAO Jun-mo.Network intrusion detection system based on honeypot[J].Journal of University of Electronic Science and Technology of China，2007，36 （2）:257-259.

[5]姜染石.在蜜罐中應(yīng)用數(shù)據(jù)挖掘技術(shù)[D].長(zhǎng)春：長(zhǎng)春工業(yè)大學(xué)，2007.

[6]序列挖掘模式.[EB/OL].（2012-04-24）http://site.douban.com/widget/notes/108962/note/88480888.

[7]王金磊．?dāng)?shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[D].鄭州：鄭州大學(xué)，2005.

[8]馮萍，孫偉，姚艷秋．一種基于數(shù)據(jù)挖掘的入侵檢測(cè)方法[J]．長(zhǎng)春師范學(xué)院學(xué)報(bào)：自然科學(xué)版，2009，28（5）：30-32.FENG Ping，SUN Wei，YAO Yan-qiu.An intrusion detection method based on data mining[J].Journal of Changchun Normal University:Natural Science，2009，28（5）:30-32.

[9]翟光群，陳向東，胡貴江，等．蜜罐與入侵檢測(cè)技術(shù)聯(lián)動(dòng)系統(tǒng)的研究與設(shè)計(jì)[J]．計(jì)算機(jī)工程與設(shè)計(jì)，2009，30（21）：45-47.ZHAI Guang-qun，CHEN Xiang-dong，HU Gui-jiang，et al.Research and design on linkage system of honeypot and intrusion detected technology[J].Computer Engineering and Design，2009，30（21）:45-47.

[10]潘立武．基于IDS和DM的Honeypot系統(tǒng)的設(shè)計(jì)[J]．北京聯(lián)合大學(xué)學(xué)報(bào)，2010，24（1）：42-45.PAN Li-wu.A design of honeypot system based on IDS and DM[J].Journal of Beijing Union University，2010，24（1）:42-45.