汽车品牌调研报告文档5700字

汽车品牌调研报告文档5700字

汽车品牌调研报告世界级主要品牌欧洲1.德系——大众集团大众集团无疑是当今世界最具实力的汽车制造集团，旗下拥有9大著名汽车品牌：大众汽车（德国）、奥迪（德国）、兰博基尼（意大利）、宾利（英国）、布加迪（法国）、西亚特（西班牙）、斯柯达（捷克）、斯卡尼亚（瑞典）。当然，除汽车产业外，还涉及金融服务、保险、银行、IT等。年产量734万辆。a大众汽车起步于二战前后，汽车领域覆盖低、中、高各个档次。其经典车系一次次创造奇迹，2150万辆甲壳虫、2300万辆高尔夫、1300万辆帕萨特和900万辆Polo。b甲壳虫因其外形设计酷似甲壳虫而得名。充满个性的经典设计、时尚的打磨以及紧凑型小排量打入了大多都市女性的芳心。目前甲壳虫推出1.6—2.0T的6档手自一体，其售价在17万元到30万元之间。c高尔夫最为全世界最成功的车型之一，高尔夫问世已经38年，拥有全球2600万的用户，经历6代的革新。因其性能、油耗、价格等多方面因素受到消费者喜爱。目前市场推出1.4T-2.0T车系，其售价在13万—24万元之间。帕萨特在中级轿车领域无疑是真正的王者，综合系数赢得消费者喜a所有品牌年产量数据取自汽车工业协会，下同。b大众畅销车销量数据取自百度百科。c所有汽车售价数据取自汽车之家，下同。第1页，共17页爱。目前市场推出1.4T—3.0T手、自动档，其售价在19万-33万元之间。Polo作为微型车的王者，Polo目前推出1.4T和1.6T，售价在8万—16万元之间。奥迪汽车是国际著名的豪华汽车品牌，其车标为相连的四个圆环，代表着最初组合成的四个公司团结一致。经典车型如A4、A6、A8、R8等。20xx年奥迪超越奔驰成为全球第二大豪华汽车品牌。20xx年1奥迪收购意大利著名摩托车品牌杜卡迪。A4目前A4推出1.8T、2.0T、3.0T三个排量的车系，其售价在27万—60万元之间。A6目前A6推出2.0T到3.0T多个排量，其售价在35万元—75万元之间。A8目前A8只有进口车，从2.5L到6.3L多个排量，其售价在87万元—270万元之间。属于顶级豪华车。其中除2.5为两驱外，其他均为四驱车型。Q5、Q7为SUV车型，其售价分别在38万—57万元之间和82万—258万元之间。其中Q7只有进口车。R8顶级跑车，排量在5.2L，售价为250万元左右。此外，奥迪还有著名的改装高性能品牌奥迪RS。——宝马集团宝马集团作为世界知名的豪华汽车品牌，目前其旗下拥有宝马汽车、MINI、劳斯莱斯（英国）三个品牌，占据从小型车到顶级豪华车各个领域的高端市场。年产149万辆。主要车型：轿车：1系，3系，4系，5系，7系。两门四座跑车：6系，8系。两座跑车：Z4。···David···第2页，共17页SUV：X1，X3，X5，X6；X6为混合动力。高性能：M系列。车型附加符号释义：D代表柴油发动机，I代表电子控制燃油喷射，L代表加长版，X代表四轮驱动版。1系售价25万——38万元左右。进口3系售价在30万——80万元左右。进口5系售价45万——80万元之间。5系GT售价在80万——186万元之间。730Li售价在70万——90万元之间；740Li售价在100万——130万元之间（除限量版180万左右）；750Li在200万左右；760Li在250万元左右。Z4售价在60万——90万元之间。华晨宝马：3系售价在30万——60万元之间。5系40万——80万元之间。X1售价在30——50万左右。2——梅赛德斯·奔驰梅赛德斯奔驰汽车是戴姆勒集团下的一个著名高端车品牌。现目前戴姆勒集团共拥有奔驰、迈巴赫、迈凯轮、Smart等世界著名汽车品牌。梅赛德斯是元奥匈帝国住德国大使小女儿的名字。迈巴赫是曾与戴姆勒一起创业的工程师。由于业绩较差，迈巴赫将于20xx年正式停产。迈凯轮拥有著名的方程式赛车队。Smart是S代表Swatch和M代表戴姆勒集团（mercedes-Benz）。戴姆勒集团年产190万辆。标志释义为，海陆空三个方向上的机械化，象征奔驰公司想海陆空发展的信念。目前奔驰汽车在中国有两家合资，北京奔驰和福建奔驰。其中北京奔驰主要车型为C级（30-40万元）、E级（40-80万元）、GLK级（40-55万元）奔驰豪华车系S级售价在90万元到250万元之间。奔驰四大著名改装厂:AMG、brabus（巴博斯）、lorinser、carlsson（凯森），其中前两个较为出名，后两个较为少见。现了解到凡带AMG的奔驰车售价至少上百万。第3页，共17页2.法系——雪铁龙雪铁龙汽车是法国第三大汽车公司，以操控性为诉求。由安德烈·雪铁龙创立于19xx年，主要产品为小客车和轻载货车。标志为人字形齿轮。主要车型DS系列雪铁龙DS系列是法国标致雪铁龙集团（PSA）旗下的高端车系。DS来自法语中的Deesse，中文为“女神”的意思；又作DifferentSpirit缩写。DS5为目前较喜欢的一款车。1.6T手自一体涡轮增压；于2012-06-28在我国上市，售价在29.88万元—34.88万元。第4页，共17页东风雪铁龙C5东风雪铁龙于20xx年底推出本款车型，共6款不同配置和动力车型，售价在17.69—29.89万元不等。其中，最受关注的是6AT自动变速箱的2.0L自动尊雅型，3售价为18.99万元左右。雪铁龙爱丽舍之所以选择这款车的原因在于，“爱丽舍”让我想起了法国总统府。而这款车作为家庭用车，1.6自动档、低价、合资品牌凸显器较高的性价比。共推出多款1.6L款型，其售价在6.58—7.68万元。第5页，共17页——标致标致汽车法国第一大汽车制造厂商，1848年由阿尔芒·别儒家族创立于法国巴黎，是世界四大历史最悠久的汽车之一。公司采用站立的狮子作为汽车商标，同时这也是别儒家族的徽章。1976年，标致汽车兼并雪铁龙汽车，成立标致—雪铁龙集团（PSA集团），成为欧洲仅次于德国大众集团的第二大汽车制造商。PSA集团年产360万辆。标致408此款车系是东风标致于20xx年1月推出的一款车型，以时尚大气的外观较受消费者喜欢，但又由于器不变动力系统而受到自责。目前本款车系推出多款车型，其售价在10.19万元—17.00万元。第6页，共17页标致508分为进口与国产东风标致508，这里以东风标致508为题材。国产东风标致508，于20xx年7月正式下线。简约大气的设计是博得众多车主喜爱的亮点，同时一改以往动力系统，加入6AT动力满足一般家用车主。同时作为中档轿车，不高的定价是战胜同级轿车法宝。其售价在14—21万元。···David···第7页，共17页标致3008标致SUV车系，目前本款车系为进口车，采用1.6T4缸柴油涡轮增速动力。售价在24.68-26.68万元。——雷诺1898年，路易斯·雷诺三兄弟在法国创建了雷诺公司。四个菱形拼成的车标，象征这三兄弟于汽车工业融为一体，同时也象征着雷诺汽车在无限四维空间中生存、竞争、发展。以轿车产业为主，同时涉足农机、卡车、发动机制造等行业。19xx年，雷诺以54亿美元收购日第8页，共17页产36.8%股权，形成雷诺-日产联盟。2010年，与戴姆勒集团达成协议，形成戴姆勒-雷诺-日产联盟。雷诺年产270万辆。雷诺—科雷傲四驱SUV，售价在22-30万元左右。4——布加迪布加迪是法国最具特色的超级跑车汽车制造商之一，以生产世界上最好、最快的跑车文明于世。同时布加迪还是古典老式车中保有量最多的汽车之一。目前布加迪已成为大众集团旗下的一个品牌。此外，法系车品牌中还有西姆卡。3.英系英系车多为豪华车品牌，且多被外国有实力的集团并购，如：Rolls-Royce、bentley、skoda、捷豹、路虎、迈凯轮、阿什顿·马丁、罗浮、LOTUS。第9页，共17页4.意系意大利汽车品牌除拥有全球十大汽车公司之一的菲亚特汽车外，还有兰博基尼、玛莎拉蒂、法拉利、帕加尼、阿尔法罗米欧、蓝旗亚等豪华汽车品牌，其中，玛莎拉蒂、法拉利、阿尔法罗米欧、蓝旗亚属于菲亚特集团子公司。兰博基尼属于大众集团子公司。菲亚特汽车公司在20xx年完成对美国汽车克莱斯勒汽车公司的收购。第10页，共17页5.其他欧洲国家——瑞典VOLVOVOLVO是全球汽车行业安全的代名词，其在汽车安全领域拥有多项前瞻性的发明，最典型的如：三点式安全带的发明。目前VOLVO汽车于20xx年被浙江吉利控股集团以18亿美元完成收购。但VOLVO集团仍独立运行，旗下生产卡车、货车仍是安全的象征。VOLVO在中国与长安汽车合资长安VOLVO，目前有畅销车型如，S40售价在20万元左右。S80L售价在35万——70万元之间。日前，VOLVO新推出车型S60，在中国上市，其售价在30-60万元左右。此外，旗下SUV车型XC60售价在40-65万元之间。年产20万辆。第11页，共17页美洲美系美国汽车主要以三大汽车集团展开，通用汽车、克莱斯勒、福特。——通用汽车通用汽车公司成立于19xx年，先后联合或兼并别克、凯迪拉克、雪5弗兰、奥兹比尔、庞蒂克、悍马等公司。自19xx年起一直是世界上最大的汽车公司。目前公司生产轿车的有本土的七个分部和三个子公司：GMC商用车分部、别克分部、雪弗兰分部、庞蒂亚克分部、奥兹莫比尔分部、土星分部（豪华车分部）；澳大利亚霍顿、德国欧宝、英国伏克斯豪尔。年产量847万辆。——福特福特汽车是世界著名的汽车品牌，同时也是四大历史最悠久的汽车品牌之一，旗下拥有福特汽车、林肯汽车、水星汽车三大汽车品牌。年第12页，共17页产500万辆。福特福克斯（focus）是经典两厢车型，诞生于19xx年，售价在11万-16万元之间。20xx年该车型获年销量91余万辆，获世界排名第四的骄人成绩。——克莱斯勒作为美国三大汽车公司之一，其主营范围在高端汽车市场，旗下拥有克莱斯勒、道奇、吉普汽车品牌。年餐157万辆。亚洲1.日系日本汽车在世界汽车市场上占据着举足轻重的地位。拥有丰田、本田、···David···第13页，共17页日产、三菱汽车、马自达、铃木、大发等世界著名汽车公司。——丰田丰田汽车隶属于日本三井财阀，自20xx年金融危机之后，丰田汽车逐渐取代通用成为世界排行第一位的汽车生产商，年产近900万辆汽车。目前通用旗下拥有丰田、雷克萨斯、斯巴鲁、大发、Scion、日野等知名汽车品牌。其中雷克萨斯是其打入高端汽车市场的品牌；Scion是针对新生代汽车消费者的品牌；日野主要集中柴油动力汽车、公共汽车领域。丰田年产855万辆。——本田本田是全球最大的摩托车生产厂商，同时也是全球十大汽车生产厂商之一。就轿车领域，本田目前拥有本田及讴歌两大汽车品牌，其中讴歌为器进军高端汽车市场品牌。本田年产360万辆。下图为讴歌车标：6第14页，共17页——日产曾经的尼桑现在的日产汽车隶属于日本富士财阀，除自身汽车品牌外，还拥有豪华汽车品牌英菲尼迪。19xx年于法国雷诺组成雷诺-日产联盟。20xx年雷诺-日产联盟于戴姆勒集团互持对方3.1%的股份，组成戴姆勒-雷诺-日产联盟。日产年产400万辆车左右。下图为英菲尼迪车标。铃木、马自达、三菱年产量分别为：289万辆、130万辆、117万辆。第15页，共17页2.韩系现代-起亚集团目前已跻身世界前五大汽车生产商。集团旗下拥有现代、起亚两大独立运营的汽车品牌。——现代（??）虽说以现代-起亚集团的身份跻身世界五大汽车生产商，但单就现代汽车的年产量就已排到了世界第4位（576万辆），足可见其实力。现代汽车与中国北京汽车合资北京现代，现目前拥有多种车型。索纳塔已革新至第八代，全球累积售量已超过350万辆。其售价在13万-20万元之间。伊兰特作为现代汽车海外最受欢迎的车型，自19xx年问世以来已经历经6代。全球累积销售量已超过400万辆。其售价在10万左右。Veloster飞思是日前较喜欢的一辆两厢车型，主要在于其时尚个性的外形设计，棱角清晰的线条感。于20xx年引进中国，其售价在14万-20万元之间。其图片如下图。第16页，共17页——起亚（??）起亚汽车是韩国最早生产汽车的厂商，由于19xx年的亚洲金融风暴导致起亚汽车面临破产，进入清算状态。后由政府出面，指令现代汽车收购起亚汽车，这就形成后来的现代-起亚汽车集团。起亚-锐欧被公认为入门级轿车中成本最低的车型，主要定位于活力时尚的青年消费者。自20xx年推出以来，一直倍受关注，单20xx年年销量跻身世界前五，销售80多万辆。7——双龙汽车(??)双龙汽车隶属韩国双龙集团，旗下主要以生产四轮驱动汽车为主。——大宇汽车(??)大宇汽车是美国通用公司旗下品牌之一，总部位于韩国仁川，也是仅次于现代起亚集团的韩国第二大汽车制造公司，年产60多万辆汽车。3.其他——塔塔汽车是印度最大的集团公司塔塔集团旗下子公司。也是印度最大的汽车公司。20xx年，塔塔汽车公司以23亿美元从福特汽车购得捷豹连同路虎品牌。8

第二篇：调研报告格式参考文档18600字中南大学本科生毕业设计调研报告题目基于蜜罐的入侵检测技术的研究学生姓名陈海宁指导老师汪洁学院信息科学与工程学院专业班级信息安全0301班完成时间2007.03.25摘要随着计算机网络的普遍使用，借助于网络的入侵行为的数量和破坏性也不断增加。传统的入侵检测技术由于具有误报率和漏报率较高、不能识别未知攻击等缺点，已经不能满足人们的需求。将蜜罐技术和入侵检测技术相结合，并在此基础上发展而来的入侵诱骗技术，可以较好地解决上述问题。本文首先依次介绍了入侵检测技术和蜜罐技术的基础知识，其次在讲述了入侵诱骗技术的发展背景之后，分别介绍了入侵诱骗模型的防火墙模块、入侵检测模块、数据控制模块、数据捕获模块和数据分析模块，最后对入侵诱骗技术的研究现状做了简略的介绍。第二部分是关于对课题设计计划的阐述。本次设计的重点是实现入侵诱骗系统的数据分析模块。首先，对几种典型的攻击类型进行分析和比较，得到进入Honeypot网络的攻击所具有的特征。搭建蜜罐，获得若干样本，其中每个样本都包括了分析得出的特征上的取值。然后，利用感知器学习方法建立入侵检测模型，并用捕获到的样本进行训练。最后，设置实验对所得的入侵检测模型进行测试，评估其检测能力。关键词：入侵诱骗入侵检测蜜罐入侵检测模型感知器目录第一章设计任务及背景......................................................................................................................................41.1设计任务.............................................................................................................................................................41.2设计背景.............................................................................................................................................................41.2.1入侵检测技术概述..................................................................................................................................41.2.2蜜罐技术概述...........................................................................................................................................81.2.3入侵诱骗技术的发展背景...................................................................................................................1.2.4入侵诱骗系统模型................................................................................................................................111.2.5入侵诱骗技术的研究现状...................................................................................................................12第二章研究与应用.............................................................................................................................................142.1题目要求...........................................................................................................................................................142.2课题设计思路与分析.....................................................................................................................................142.2.1分析典型攻击及其特征.......................................................................................................................2.2.2利用蜜罐捕获数据................................................................................................................................2.2.3建立入侵检测模型................................................................................................................................2.2.4设置实验评估入侵检测模型...............................................................................................................2.3工作进度..........................................................................................................................................................20第三章结论...........................................................................................................................................................21参考文献.................................................................................................................................................................223基于蜜罐的入侵检测技术的研究调研报告第一章设计任务及背景1.1设计任务随着计算机网络的普遍使用，借助于网络的入侵行为的数量和破坏性也不断增加。以入侵检测技术为核心之一的动态主动防御技术极大地提高了系统和网络的安全性，但是它仍然存在其固有的缺点，例如误报率和漏报率较高、对未知类型的攻击无能为力等。另一方面，蜜罐技术可以检测到未知的攻击，并且收集入侵信息，借以观察入侵者行为，记录其活动，以便分析入侵者的水平、目的、所用工具和入侵手段等。入侵诱骗技术通过将蜜罐引入入侵检测技术当中，结合两者的优点，对入侵行为具有更好的检测能力。本次毕业设计的任务就是，建立入侵检测模型，搭建蜜罐以获取攻击数据来训练该入侵检测模型，使其能够识别出未知攻击，并对已知攻击进行正确分类。1.2设计背景1.2.1入侵检测技术概述1．基本概念早在20世纪80年代初期，Anderson将入侵定义为：未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。Heady认为入侵是指试图破坏资源的完整性、机密性及可用性的行为集合[2]。Smaha从分类角度指出[3]，入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。卡内基-梅隆大学的研究人员将入侵定义为非法进入信息系统，包括违反信息系统的安全策略或法律保护条例的动作[4]。可以认为，入侵的定义应与受害目标相关联，该受害目标可以是一个大的系统或单个对象。判断与目标相关的操作是入侵的依据是：对目标的操作超出了目标的安全策略范围。因此，入侵是指违背访问目标的安全策略的行为。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为[5]。具有入侵检测功能的系统称为入侵检测系统，简称IDS。2．入侵检测模型最早的入侵检测模型是由Denning[6]给出的，该模型主要根据主机系统审计记录数据，生成有关系统的若干轮廓，并监测轮廓的变化差异发现系统的入侵行为，如4[1]基于蜜罐的入侵检测技术的研究调研报告图1.1所示。入侵行为的种类不断增多，涉及的范围不断扩大，而且许多攻击是经过长时期准备，通过网上协作进行的。面对这种情况，入侵检测系统的不同功能组件之间、不同IDS之间共享这类攻击信息是十分重要的。为此，Chen等提出一种通用的入侵检测框架模型，简称CIDF[7]。该模型认为入侵检测系统由事件产生器(eventgenerators)、事件分析器(eventanalyzers)、响应单元(responseunits)和事件数据库(eventdatabases)组成，如图1.2所示。图1.1IDES入侵检测模型图1.2CIDF各组件之间的关系图CIDF将入侵检测系统需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志等其它途径得到的信息。事件产生器是从整个计算环境中获得事件，并向系统的其它部分提供事件。事件分析器分析所得到的数据，并产生分析结果。响应单元对分析结果做出反应，如切断网络连接、改变文件属性、简单报警等应急响应。事件数据库存放各种中间和最终数据，数据存放的形式既可以是复杂的数据库，也可以是简单的文本文件。CIDF模型具有很强的扩展性，目前已经得到5基于蜜罐的入侵检测技术的研究调研报告广泛认同。3．入侵检测技术入侵检测技术传统上分为两大类型：异常入侵检测(anomalydetection)和误用入侵检测(misusedetection)[8]。异常入侵检测系指建立系统的正常模式轮廓，若实时获得的系统或用户的轮廓值与正常值的差异超出指定的阈值，就进行入侵报警。异常入侵检测方法的优点是不依赖于攻击特征，立足于受检测的目标发现入侵行为。但是，如何对检测建立异常指标，如何定义正常模式轮廓，降低误报率，都是难以解决的课题。误用入侵检测系指根据已知的攻击特征检测入侵，可以直接检测出入侵行为。误用检测方法的优点是误报率低，可以发现已知的攻击行为。但是，这种方法检测的效果取决于检测知识库的完备性。为此，特征库必须及时更新。此外，这种方法无法发现未知的入侵行为。下面具体介绍这两类入侵检测技术[5]。1）异常入侵检测异常检测依赖于异常模型的建立，不同模型构成不同的检测方法。不同的异常入侵检测方法主要有：①基于神经网络的异常检测方法基于神经网络入侵检测方法是训练神经网络连续的信息单元，信息单元指的是命令。网络的输入层是用户当前输入的命令和已经执行过的W个命令；用户执行过的命令被神经网络使用来预测用户输入的下一个命令。若神经网络被训练成预测用户输入命令序列集合，则神经网络就构成用户的轮廓框架。当用这个神经网络预测不出某用户正确的后继命令，即在某种程度上表明了用户行为与其轮廓框架的偏离，这时有异常事件发生，以此就能进行异常入侵检测。②基于特征选择的异常检测方法基于特征选择的异常检测方法，是指从一组度量中选择能够检测出入侵的度量，构成子集，从而预测或分类入侵行为。异常入侵检测方法的关键是，在异常行为和入侵行为之间做出正确判断。选择合适的度量是困难的，因为选择度量子集依赖于所检测的入侵类型，一个度量集并不能适应所有的入侵类型。预先确定特定的度量，可能会漏报入侵行为。理想的入侵检测度量集，必须能够动态地进行判断和决策。假设与入侵潜在相关的度量有n个，则n个度量构成2n个子集。由于搜索空间同度量数之间是指数关系，所以穷尽搜索理想的度量子集，其开销是无法容忍的。Maccabe提出应用遗传方法搜索整个度量子空间，以寻找正确的度量子集。其方法是通过学习分类器方案，生成遗传交叉算子和基因突变算子，允许搜索的空间大小比其它启发式搜索技术更加有效。还有很多其它的异常检测方法，例如基于机器学习、贝叶斯网络、模式预测、数据挖掘、应用模式以及统计的异常检测方法。6基于蜜罐的入侵检测技术的研究调研报告2）误用入侵检测误用入侵检测的前提是，入侵行为能按某种方式进行特征编码。入侵检测的过程，主要是模式匹配的过程。入侵特征描述了安全事件或其它误用事件的特征、条件、排列和关系。特征构造方式有多种，因此误用检测方法也多种多样。下面列举主要的误用检测方法。①基于条件概率的误用检测方法基于条件概率的误用检测方法，系指将入侵方式对应一个事件序列，然后观测事件发生序列，应用贝叶斯定理进行推理，推测入侵行为[6]。令ES表示事件序列，先验概率为P(Intrsion)，后验概率为P(ESIntrusion)，事件出现概率为P(ES)，则P(IntrsionES)?P(ESIntrsion)P(Intrusion)公式（1.1）P(ES)通常网络安全员可以给出先验概率P(Intrusion)，对入侵报告数据统计处理得出P(ESIntrsion)和P(ES?Intrsion)，于是可以计算出P(ES)?((P(ESIntrusion)?P(ES?Intrusion))?P(Intrusion)?P(ES?Intrusion)公式（1.2）因此，可以通过事件序列的观测推算出P(IntrsionES)。基于条件概率的误用检测方法，是基于概率论的一种通用方法。它是对贝叶斯方法的改进，其缺点是先验概率难以给出，而且事件的独立性难以满足。2）基于规则的误用检测方法基于规则的误用检测方法(rule-basedmisusedetection)，系指将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为。Snort入侵检测系统就采用了基于规则的误用检测方法[9]。基于规则的误用检测按规则组成方式，进一步分为向前推理规则和向后推理规则两类。此外，还有很多其它的误用检测方法，比如基于专家系统、模型误用推理以及Petri网状态转换等误用检测方法。3）其它这里重点介绍诱骗技术。诱骗技术通过伪造的敏感信息和有意暴露的系统漏洞来引诱入侵者，其主要目的是收集和分析入侵者的行为、保护真正重要的系统。蜜罐就是这样一种信息系统资源。密网(Honeynet)是一种网络化的蜜罐技术，其特点是采用真实而非虚拟的系统和应用程序引诱入侵者，可以更准确地分析入侵行为。衬垫病室(paddedcel1)是另一种通过伪装环境来记录并分析入侵行为的方法。不过，它并不直接引诱入侵者，而是由IDS发现入侵行为后将入侵者转移至其中，然后再进行分析。诱骗技术是一种间接的检测方法，它使入侵者的精力集中于虚假环境，增加了入侵者的工作量、入侵复杂度以及不确定性，并对入侵行为进行分析。诱骗技术的使用对安全管理人员提出了更高的要求。7基于蜜罐的入侵检测技术的研究调研报告1.2.2蜜罐技术概述1．蜜罐技术的发展背景网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。网络安全防护涉及面很广，从技术层面上讲主要包括防火墙技术、入侵检测技术，病毒防护技术，数据加密和认证技术等。在这些安全技术中，大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护。而蜜罐技术可以采取主动的方式。顾名思义，就是用特有的特征吸引攻击者，诱敌深入，同时对攻击者的各种攻击行为进行分析并找到有效的对付办法。2．蜜罐的基本概念和工作原理“蜜罐”这一概念最初出现在1990年出版的一本小说《TheCuckoo’sEgg》中，在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并发现一起商业间谍案的故事。“蜜网项目组”（TheHoneynetProject）的创始人LanceSpitzner给出了对蜜罐的权威定义[10]：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用，因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。蜜罐上的资源可以是仿效的操作系统或应用程序，也可以是真实的系统或者程序，总之是建立一个诱骗环境，吸引攻击者或入侵者，观察其在里面所作的一切行为，并把这些行为记录下来形成日志，对此进行研究和分析攻击者所使用的工具、策略及其目的。黑客所做的行为越多，学的东西也就越多，当然面临的风险也就越大。蜜罐一般要审计入侵者的行为，保存日志文件，并记录例如进程开始、编译、增加文件、删除文件、修改以及击键等事件。通过收集这样的数据可以提高部门整体的安全性。收集的数据就可用来测量黑客的技术级别，也可以用来追踪，甚至识别其身份。总之，蜜罐帮助公司和个人来对付黑客并从所收集的数据中学习来提高自身的安全，从而可以应付更高级的攻击。3．蜜罐的分类根据最终的部署目的不同，我们可以将蜜罐分为产品型蜜罐和研究型蜜罐两类[11]。1）产品型蜜罐目的在于为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署，而且不需要管理员投入大量的工作。较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和KFSensor、ManTraq等一系列的商业产品。8基于蜜罐的入侵检测技术的研究调研报告2）研究型蜜罐专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐，对黑客攻击进行追踪和分析，能够捕获黑客的键击记录，了解到黑客所使用的攻击工具及攻击方法，甚至能够监听到黑客之间的交谈，从而掌握他们的心理状态等信息。研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作，具有代表性的工具是“蜜网项目组”所推出的第二代蜜网技术。蜜罐还可以按照其交互度的等级划分为三类：低交互蜜罐、中交互蜜罐和高交互蜜罐[14]。其中交互度反应了黑客在蜜罐上进行攻击活动的自由度。1）低交互蜜罐一般仅模拟操作系统和网络服务，较容易部署且风险较小，但黑客在低交互蜜罐中能够进行的攻击活动较为有限，因此通过低交互蜜罐能够收集的信息也比较有限，同时由于低交互蜜罐通常是模拟的虚拟蜜罐，或多或少存在着一些容易被黑客所识别的指纹（Fingerprinting）信息。产品型蜜罐一般属于低交互蜜罐。2）中交互蜜罐对真正的操作系统的各种行为的模拟，它提供了更多的交互信息，同时也可以从攻击者的行为中获得更多的信息。在这个模拟行为的系统中，蜜罐可以看起来和一个真正的操作系统没有区别。它们是真正系统还要诱人的攻击目标。3）高交互蜜罐完全提供真实的操作系统和网络服务，没有任何的模拟，从黑客角度上看，高交互蜜罐完全是其垂涎已久的“活靶子”，因此在高交互蜜罐中，我们能够获得许多黑客攻击的信息。高交互蜜罐在提升黑客活动自由度的同时，自然地加大了部署和维护的复杂度及风险的扩大。研究型蜜罐一般都属于高交互蜜罐，也有部分蜜罐产品，如ManTrap，属于高交互蜜罐。蜜罐还可以按照其实现方法区分成物理蜜罐与虚拟蜜罐。物理蜜罐是真实的网络上存在的主机，运行着真实的操作系统，提供真实的服务，拥有自己的IP地址；虚拟蜜罐则是由一台机器模拟的，这台机器会响应发送到虚拟蜜罐的网络数据流，提供模拟的网络服务等。4．蜜罐的配置模式1）诱骗服务诱骗服务是指在特定的IP服务端口侦听并像应用服务程序那样对各种网络请求进行应答的应用程序。DTK就是这样的一个服务性产品。DTK吸引攻击者的诡计就是可执行性，但是它与攻击者进行交互的方式是模仿那些具有可攻击弱点的系统进行的，所以可以产生的应答非常有限。在这个过程中对所有的行为进行记录，同时提供较为合理的应答，并给闯入系统的攻击者带来系统并不安全的错觉。例如，9[12][13]基于蜜罐的入侵检测技术的研究调研报告当我们将诱骗服务配置为FTP服务的模式。当攻击者连接到TCP/21端口的时候，就会收到一个由蜜罐发出的FTP的标识。如果攻击者认为诱骗服务就是他要攻击的FTP，他就会采用攻击FTP服务的方式进入系统。这样，系统管理员便可以记录攻击的细节。2）弱化系统只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者RedHatLinux即行。这样的特点是攻击者更加容易进入系统，系统可以收集有效的攻击数据。因为黑客可能会设陷阱，以获取计算机的日志和审查功能，需要运行其他额外记录系统，实现对日志记录的异地存储和备份。它的缺点是“高维护低收益”。因为，获取已知的攻击行为是毫无意义的。3）强化系统强化系统同弱化系统一样，提供一个真实的环境。不过此时的系统已经武装成看似足够安全的。当攻击者闯入时，蜜罐就开始收集信息，它能在最短的时间内收集最多有效数据。用这种蜜罐需要系统管理员具有更高的专业技术。如果攻击者具有更高的技术，那么，他很可能取代管理员对系统的控制，从而对其它系统进行攻击。4）用户模式服务器用户模式服务器实际上是一个用户进程，它运行在主机上，并且模拟成一个真实的服务器。在真实主机中，每个应用程序都当作一个具有独立IP地址的操作系统和服务的特定是实例。而用户模式服务器这样一个进程就嵌套在主机操作系统的应用程序空间中，当INTERNET用户向用户模式服务器的IP地址发送请求，主机将接受请求并且转发到用户模式服务器上。（我们用这样一个图形来表示一下他们之间的关系）：这种模式的成功与否取决于攻击者的进入程度和受骗程度。它的优点体现在系统管理员对用户主机有绝对的控制权。即使蜜罐被攻陷，由于用户模式服务器是一个用户进程，那么Administrator只要关闭该进程就可以了。另外就是可以将FIREWALL，IDS集中于同一台服务器上。当然，其局限性是不适用于所有的操作系统。5．蜜网蜜网是在蜜罐技术上逐步发展起来的一个新的概念，又可成为诱捕网络。蜜网技术实质上还是一类研究型的高交互蜜罐技术，其主要目的是收集黑客的攻击信息。但与传统蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，在这个架构中，我们可以包含一个或多个蜜罐，同时保证了网络的高度可控性，以及提供多种工具以方便对攻击信息的采集和分析。此外，虚拟蜜网通过应用虚拟操作系统软件（如VMWare和UserModeLinux等）使得我们可以在单一的主机上实现整个蜜网的体系架构。虚拟蜜网的引入使得架设10基于蜜罐的入侵检测技术的研究调研报告蜜网的代价大幅降低，也较容易部署和管理，但同时也带来了更大的风险，黑客有可能识别出虚拟操作系统软件的指纹，也可能攻破虚拟操作系统软件从而获得对整个虚拟蜜网的控制权。1.2.3入侵诱骗技术的发展背景随着计算机网络的普遍使用，借助于网络的入侵行为的数量和破坏性也不断增加。传统的静态安全防御技术如防火墙、漏洞扫描、加密和认证等，对网络环境下日新月异的攻击手段缺乏主动的反应。因此，人们提出了以入侵检测技术为核心之一的动态主动防御技术。入侵检测技术极大地提高了系统和网络的安全性，但是它仍然存在其固有的缺点，例如误报率和漏报率较高、对未知类型的攻击无能为力。我们可以将蜜罐（Honeypot）引入到入侵检测技术中。蜜罐的研究在于如何设计一个严格的欺骗环境（真实的网络主机或者用软件模拟网络和主机），诱骗入侵者对其进行攻击或在检测出对实际系统的攻击行为后作出预警，从而保护实际运行的系统。蜜罐可以检测到未知的攻击，并且收集入侵信息，借以观察入侵者行为，记录其活动，以便分析入侵者的水平、目的、所用工具和入侵手段等。蜜罐技术和入侵检测技术的结合，不但有可能减少传统入侵检测系统的漏报和误报,而且还能识别未知的攻击,极大地增强了检测能力。这就产生了入侵诱骗技术。1.2.4入侵诱骗系统模型一个具体的入侵诱骗系统模型如图1.3所示。整个实现模型可分为以下几个主要模块：[15]图1.3入侵诱骗系统模型11基于蜜罐的入侵检测技术的研究调研报告1）防火墙模块主要完成对数据流量进行粗略的过滤；2）入侵检测模块主要用来监视数据流量中的异常行为,一旦发现可疑的攻击行为,就发出报警；3）数据控制模块对于进出诱骗网络的数据流量进行控制。首先,对于流入诱骗网络的数据流量根据入侵检测模块的告警信息决定哪些数据流量需要进行目的地址的重定向；其次,对于流出诱骗网络的数据流量,限制其最大外发连接数；最后,为了防止被攻击的诱骗机作为入侵者攻击其他系的跳板,采用拦截并更改可疑信息的手段进行防范；4）数据捕获模块主要是指防火墙日志、IDS日志包和honeypot主机的系统日志“三重捕获”。该模块记录了入侵者在诱骗网络中的所有攻击行为.为了在不被入侵者发现的情况下,捕获尽可能多的入侵者攻击行为,该模块在诱骗系统的设计中十分重要。数据捕获还可以通过监听网络接口来记录诱骗主机上的入侵动作(如击键记录)；5）数据分析模块存放所捕获到的数据信息,并进行分析。存放这些信息的目的是为了防止入侵者发现而对其进行修改或销毁,同时也便于分析入侵者的攻击行为,学习他们的工具、策略以及动机,挑选出新的有价值的规则添加到入侵检测模块规则库中。1.2.5入侵诱骗技术的发展现状国外对入侵诱骗的研究刚刚起步,在学术界,目前仅有一个“HoneyPot”理论[16]。该理论研究如何设计、建立一个跟实际系统类似的“欺骗”系统。该系统对外呈现出许多脆弱性,并且很容易被访问,从而吸引入侵者对其进行攻击。其重点不在捕获入侵者,而是欺骗、吸引,进而监视入侵者,发现他们怎样刺探、攻击一个网络,怎样在实际运行的系统中防止这样的攻击。该理论的重点在如何使系统看起来更真实,怎样进行信息收集,对攻击行为做记录。通常用一台真实的服务器,真实的操作系统,上面存放看起来真实的虚假数据来充当“HoneyPot”,然后将其置于DMZ(DeMilitarizedZone，非军事区),记录以下行为:进程的启动,文件的增、删、改、编译,甚至是击键行为。目前对信息收集的研究、讨论较多,不外乎三种方法:防火墙日志、系统日志和嗅探器(Sniffer)。当前对“HoneyPot”的研究正处于探索阶段,没有成熟的理论、模型,只是各自提出了一些具体实现的方法。但这些方法提供的欺骗质量普遍较差,而且是一种请君入瓮的方法,是通过把系统的脆弱性暴露给入侵者或是故意使用一些具有强烈诱惑性的信息(如战略目标、年度报表)的假信息来诱骗入侵者,这样虽然可以对入侵者12基于蜜罐的入侵检测技术的研究调研报告进行跟踪,但也引来了更多的潜在的入侵者(他们因好奇而来)。而更进一步,应该是在实际的系统中运行入侵检测系统,当检测到入侵行为时,才进行入侵诱骗,这样才能更好地保护自己。目前的研究大多集中于入侵检测,而在入侵诱骗方面研究则很少。国内在这方面的研究刚刚起步,尚没有形成自己的理论体系及流派,在产品上也大多限于模仿。13第二章研究与应用2.1题目要求首先，对几种典型的攻击类型进行分析和比较，得到进入Honeypot网络的攻击所具有的特征。搭建蜜罐，获得若干样本，其中每个样本都包括了分析得出的特征上的取值。然后，利用感知器学习方法建立入侵检测模型——这是本次设计的重点部分，并用从蜜罐中捕获到的样本进行训练。最后，设置实验对所得的入侵检测模型进行测试，评估其检测能力。2.2课题设计思路与分析2.2.1分析典型攻击及其特征目前，网络攻击大致上分为4类[17]：1）Probing扫描，监视和其它探测活动，如端口扫描和主机扫描等；2）DOS（DenialofService）拒绝服务攻击，典型有：连接洪泛、响应索取、死亡之ping、smurf和同步泛洪等；3）R2L（Remotetolocal）来自远程机器的非法访问，如口令破解等；4）U2R（UsertoRoot）普通用户对本地超级用户特权的非法访问，如各种bufferoverflow攻击。对于上述4类攻击，前面两类攻击在一次攻击中一般需要进行多次连接，因此入侵特征多抽取为流量统计数据；后面的两类攻击一般只需要一次连接即可完成，因此一般使用基于内容的入侵特征。为了简单性，可以从4个攻击类中选出具有代表性的几个攻击进行分析，比如扫描类中的端口扫描、DOS类中的分布式拒绝服务攻击、R2L类中的口令破解，以及U2R类中缓冲区溢出攻击。通过进一步学习这几种典型的攻击，分析和比较它们的特征。然后，提取出它们发生时在网络上的共有属性，构造所需样本的结构，以此为根据从蜜罐中获取样本。14基于蜜罐的入侵检测技术的研究调研报告2.2.2利用蜜罐捕获数据搭建蜜罐有很多方法，本次设计可以采用以弱化系统的方式配置高交互的蜜罐系统的方法。在宿主机上使用虚拟操作系统软件VMWare虚拟出一个没有打最新漏洞补丁的操作系统Windows2000Professional，其配置包括[18]：1）安装虚拟操作系统。使用虚拟机软件VMWare安装Windows2000Professional操作系统和SP4补丁；2）安装系统补丁程序和杀毒软件。给宿主机系统装上补丁程序，防止宿主机被攻破。安装杀毒软件且升级到最新的病毒库，并启动实时监控；3）安装日志服务器和相关记录软件。在宿主机上安装日志服务器，如Kiwi的SyslogDaemon7。同时，在虚拟主机上安装日志记录工具如evtsys。这样蜜罐上的应用程序日志、系统日志和安全日志会发到日志服务器，我们便可以真实地了解到蜜罐的运行情况，从中发现攻击者的蛛丝马迹。最后，使用cmdlog工具记录cmd.exe。cmdlog的特点是它可以记录cmd.exe，且不在进程列表中显示出来，这对于实时监控黑客在本机上的攻击行为十分有效；4）安装数据包捕获软件。在宿主机上安装网络数据包嗅探软件，通过捕获并分析虚拟机上流进和流出的网络数据包，可了解攻击者的攻击技术、利用的系统漏洞和使用的工具等。按照以上配置搭建好一个蜜罐后，就可以开始收集数据了：通过在分析攻击特征时构造出的攻击样本的结构，在日志服务器和数据包捕获软件中获取相应的属性值。例如，可以取一段固定时间内，在网络流量、用户连接访问次数等属性上的取值，构造一个样本。最后，再将数据样本进行标准化处理。需要注意的是，为了训练建立起来的入侵检测模型，除了攻击行为的样本外，还需要对系统进行访问的正常行为的数据样本。2.2.3建立入侵检测模型为了建立入侵检测模型，可以采用异常入侵检测方法或误用检测方法。本次设计的要求是能够识别未知攻击，区分正常行为和攻击行为，并将攻击行为进一步分类。据此，应该选用异常入侵检测方法来建立入侵检测模型。前向神经网络中的感知器学习方法可以用于异常入侵检测方法。在神经网络中，对外部环境提供的模式样本进行学习训练，并能存储这种模式，则称为感知器[19]。神经网络在学习中，一般分为有教师和无教师学习两种。感知器15基于蜜罐的入侵检测技术的研究调研报告采用有教师信号进行学习。所谓教师信号，就是在神经网络学习中由外部提供的模式样本信号。1．感知器的学习结构感知器的学习是神经网络最典型的学习。一个有教师的学习系统可以用图2.1表示。这种学习系统分成三个部分：输入部，训练部和输出部。图2.1有教师的学习系统输入部接收外来的输入样本X，由训练部进行网络的权系数W调整，然后由输出部输出结果。在这个过程中，期望的输出信号可以作为教师信号输入，由该教师信号与实际输出进行比较，产生的误差去控制修改权系数W。学习机构可用图2.2所示的结构表示。在图中，X1,X2,...,Xn是输入样本信号，W1,W2,...,Wn是权系数。输入样本信号Xi可以取离散值“0”或“1”。输入样本信号通过权系数作用，在u产生输出结果?WiXi，即有：u??WiXi?W1X1?W2X2?...?WnXn公式（2.1）再把期望输出信号Y(t)和u进行比较，从而产生误差信号e。即权值调整机构根据误差e去对学习系统的权系数进行修改，修改方向应使误差e变小，不断进行下去，使到误差e为零，这时实际输出值u和期望输出值Y(t)完全一样，则学习过程结束。16基于蜜罐的入侵检测技术的研究调研报告图2.2学习机构神经网络的学习一般需要多次重复训练，使误差值逐渐向零趋近，最后到达零。则这时才会使输出与期望一致。故而神经网络的学习是消耗一定时期的，有的学习过程要重复很多次，甚至达万次级。原因在于神经网络的权系数W有很多分量W1,W2,...,Wn；也即是一个多参数修改系统。系统的参数的调整就必定耗时耗量。目前，提高神经网络的学习速度，减少学习重复次数是十分重要的研究课题，也是实时控制中的关键问题。2．感知器的学习算法感知器是有单层计算单元的神经网络，由线性元件及阀值元件组成。感知器如图2.3示。图2.3感知器结构17基于蜜罐的入侵检测技术的研究调研报告感知器的数学模型为：Y?f[?WiXi??]公式（2.2）i?1n其中：f[]是阶跃函数，并且有n??1u??WiXi???0?i?1公式（2.3）f[u]??n??1u?WX???0?ii?i?1?其中?是阀值。感知器的最大作用就是可以对输入的样本分类，故它可作分类器，感知器对输入信号的分类如下：?1A类公式（2.4）Y???1B类?即是，当感知器的输出为1时，输入样本称为A类；输出为-1时，输入样本称为B类。从上可知感知器的分类边界是：?WXii?12ni???0公式（2.5）在输入样本只有两个分量X1，X2时，则有分类边界条件：?WXii?1i???0公式（2.6）即W1X1?W2X2???0公式（2.7）感知器的学习算法目的在于找寻恰当的权系数w?(w1,w2,...,wn)，使系统对一个特定的样本x?(x1,x2,...,xn)能产生期望值d。当x分类为A类时，期望值d?1；x为B类时，d??1。为了方便说明感知器学习算法，把阀值?并人权系数w中，同时，样本x也相应增加一个分量x0。故令：w0???,x0?1公式（2.8）则感知器的输出可表示为：Y?f[?WiXi]公式（2.9）i?0n感知器学习算法步骤如下：1）对权系数w置初值。18基于蜜罐的入侵检测技术的研究调研报告对权系数w?(w0,w1,w2,...,wn)的各个分量置一个（-1，1）之前的非零随机值，并记为w1(0),w2(0),...,wn(0)，同时有w0(0)???。这里wi(t)为t时刻在第i个输入上的权系数，i?0,1,....,n。w0(t)为t时刻时的阀值。2）输入一个样本x?(x1,x2,...,xn))以及它的期望输出d。期望输出值d在样本的类属不同时取值不同。如果x是A类，则取d?1,如果x是B类，则取d??1。期望输出d也即是教师信号。3）计算实际输出值Y。Y(t)?f[?Wi(t)Xi]公式（2.10）i?0n4）根据实际输出求误差e。e?d?Y(t)公式（2.11）5）用误差e去修改权系数。Wi(t?1)?Wi(t)???e?Xi公式（2.12）其中，?称为权重变化率，满足0???1。在公式（2.12）中，?的取值不能太大。如果?取值太大，会影响Wi(t)的稳定；?的取值也不能太小，否则会使Wi(t)的求取过程收敛速度太慢。当实际输出和期望值d相同时有：Wi(t?1)?Wi(t)6）转到第2点，一直执行到一切样本均稳定为止。3．训练感知器模型利用在2.2.2节中获得的样本，分别将其中的数据以及该样本的类别（即教师信息，例如正常行为或者攻击行为）输入到已建立的感知器模型中。最后，经过感知其模型的自学习，将得到权值向量(W1,W2,...,Wn)以及阀值?。至此，用感知器学习方法建立的入侵检测模型完成了。2.2.4设置实验评估入侵检测模型首先，对蜜罐进行一些正常的访问，获取正常行为的数据样本并输入在2.2.3节中得到的入侵检测模型当中，观察模型是否可以将该样本归为正常类；其次，根据2.2.1节中所分析的几种攻击类，选取具有代表性的攻击软件对蜜罐系统进行攻击，捕获攻击数据后输入至入侵检测模型中，观察模型是否可以将该样本划分到正确的攻击类别当中；最后，对于在2.2.1节中没