基于网络蠕虫特征的检测技术研究
基于网络蠕虫特征的检测技术研究
作者:杨秀华, 李天博, 李振建, 杨玉芬
作者单位:吉林大学网络中心 长春 130012
相似文献(10条)
1.期刊论文汪伟.鲁东明.董亚波.陈宇峰.WANG Wei.LU Dongming.DONG Yabo.CHEN Yufeng面向内网的网络蠕虫检测系统设计与实现-
计算机工程2006,32(17)
随着计算机技术的迅速发展,互联网应用越来越普及和深入,开放的计算机网络也受到各种各样的安全威胁,尤其是网络蠕虫对计算机系统和网络安全的威胁日益增加,造成的损失也更加巨大.介绍了网络蠕虫的定义以及工作机制,基于网络蠕虫的工作原理,提出并实现了一种新的网络蠕虫检测方法,并进行了验证.实验结果表明,该系统能够准确地检测到网络蠕虫.
2.学位论文张宏琳网络蠕虫传播过程的系统动力学模型研究2007
随着互联网应用的普及,网络蠕虫对计算机系统安全和网络安全的威胁日益增加,给社会经济带来了巨大损失,网络蠕虫已经成为当今网络安全领域研究的重要课题。
网络蠕虫传播模型是分析和预防网络蠕虫的理论基础,但现有的网络蠕虫传播模型却忽略了网络蠕虫传播过程中许多细节因素的影响。随着网络系统变得越来越复杂,使得网络蠕虫传播系统成为一个非线性、动态反馈的复杂系统。系统动力学理论和方法十分适用于研究具有高阶次、非线性和多回路特点的复杂系统,因此本文利用系统动力学理论和方法来研究复杂的网络蠕虫传播系统是一种新的思路,对网络蠕虫传播模型的研究具有一定的指导意义。
在网络蠕虫对抗方面,利用良性蠕虫主动对抗网络恶性蠕虫是一个非常有效的方法,但是现有的利用良性蠕虫对抗网络蠕虫的模型却忽略了良性蠕虫本身的传播与其他限制因素的关系。由于生物免疫系统是一个具有高度分布性和很强的自学习能力的系统,能主动发现并迅速消灭外来病毒,网络蠕虫免疫系统则用来保护计算机网络免受网络蠕虫的攻击,二者在功能上具有很多相似性。因此本文通过借鉴生物免疫思想,在提出了成熟良性蠕虫、记忆良性蠕虫和疫苗良性蠕虫这三种良性蠕虫新概念的基础上,建立了新的网络蠕虫免疫模型。
因此本文基于系统动力学理论和方法,深入研究网络蠕虫传播过程的复杂影响因素,提出一个新的网络蠕虫传播模型(NWPM模型),并且借鉴生物免疫原理建立一个网络蠕虫免疫模型(IWIM模型)。借鉴生物免疫思想并利用多种良性蠕虫作为智能对抗主体来对抗日益复杂多变的网络恶意蠕虫,为抑制网络蠕虫的传播提供了一种新的思路,有一定的参考价值。
(1)对网络蠕虫传播机制进行深入分析,提出了网络蠕虫潜伏期新概念,建立了新的主机状态转移关系,运用系统动力学理论和方法,建立了一种新的网络蠕虫传播模型,深入刻画网络蠕虫快速传播阶段的网络特性,为动态防治网络蠕虫传播提供了新的理论依据。
(2)利用系统动力学软件Vensim模拟了一种新的网络蠕虫传播模型。根据三次网络蠕虫爆发的数据,对该模型分别进行模拟。通过仿真试验,从定性和定量两方面分析和预测网络蠕虫传播趋势,并对影响网络蠕虫传播过程的重要因素进行了分析讨论。
(3)在NWPM模型的基础上,基于生物免疫原理提出了成熟良性蠕虫、记忆良性蠕虫和疫苗良性蠕虫三种良性蠕虫的新概念,然后运用系统动力学方法建立了IWIM模型,为动态主动防治网络蠕虫传播提供了新的思路。
(4)利用系统动力学软件Vensim模拟了IWIM模型,分别考虑了三种良性蠕虫不会自行销亡、三种良性蠕虫自行销亡、三种良性蠕虫存在性三种不同情况,分析和预测网络蠕虫免疫过程。通过大量的实验仿真,研究了三种良性蠕虫与恶性蠕虫交互过程中,其对恶性蠕虫传播过程的影响,为动态防治网络蠕虫传播提供了有价值的数据以及指导方案。
3.会议论文丁晓峰.刘炳华.李承选局域网下网络蠕虫的检测控制研究
随着网络蠕虫的发生频率增高,网络蠕虫已经成为网络安全的重要威胁.本文总结了网络蠕虫的工作机制和传播特征,分析了网络蠕虫传播时的网络异常特征,并在此基础上提出一种在局域网下对网络蠕虫的检测控制方法.
4.学位论文周瑛基于P2P技术的网络蠕虫防御机制研究2007
随着Internet的迅速发展,网络安全问题日益严重,安全威胁事件逐年上升,近年来的增长态势变得尤为迅猛。其中,网络蠕虫由于危害严重、攻击范围大、爆发速度快,己经成为目前互联网所面临的最为严重的安全威胁之一。如何有效地遏制网络蠕虫在大规模网络中的传播成为非常迫切需要解决的问题。
现有网络蠕虫的防御系统主要利用了网络蠕虫的局部特征,对单机或局部网络因网络蠕虫引起的异常行为进行监控和分析,来识别潜在网络蠕虫的攻击行为。但网络蠕虫的传播往往是通过Internet进行的,其行为模式和传播媒介十分丰富,经局部的特征分析很难准确识别未知网络蠕虫的破坏活动和影响范围,一般的防御措施难以奏效。
目前,在Internet范围内研究网络蠕虫的传播模式和防御技术已经成为学术界的共识。这就需要建立一套全球范围的网络蠕虫应急机制,快速共享网络蠕虫的预警信息,达到联合遏制网络蠕虫传播和破坏的目的。然而,在当前的Internet环境下,依赖传统网络共享技术很难实现如此大规模的数据集中与分析。因此,本论文考虑到在文件共享领域已经获得巨大成功的P2P技术,它在分布式计算领域具有潜在的应用前景,这正是大规模网络蠕虫防御体系所需要的计算环境和模式。通过构建防御网络蠕虫的P2P重叠网,建立大规模网络环境下的网络蠕虫防御系统,继而对网络蠕虫进行有效的遏制。于是,本论文针对基于P2P技术的网络蠕虫防御机制进行了深入的研究。
首先,研究分析网络蠕虫的活动机理和传播模型。对网络蠕虫的活动机理和传播模型进行研究是寻找网络蠕虫传播特性和关键影响因素的重要手段,为进一步寻求对抗网络蠕虫入侵的方法打下基础,并且有可能发现已有网络基础设施的结构缺陷,为优化互联网的体系结构,使之具有更加安全和容错的能力而提供理论支持。论文拟从网络蠕虫的定义、活动模型、使用的技术手段、扫描策略等方面深入分析它区别于其他恶意代码的特点。在研究网络蠕虫传染病模型——Simple Epidemic 模型、Kermack-Mckendrick 模型、Two-Factor 模型、SIS (Susceptible- Infectious-Susceptible) 模型等的基础上,探讨P2P重叠网环境下的网络蠕虫传播模型,为进一步研究网络蠕虫的防御机制提供基础。
其次,研究防御网络蠕虫的层次化P2P重叠网的构建方案和数据聚合算法。针对当前基于P2P技术重叠网在网络蠕虫检测应用中存在的问题,论文提出一种防御网络蠕虫的层次化P2P重叠网模型(Hierarchical Peer-to-Peer Overlay Network for Worm Prevention,简称HPOWP)。通过层次式的P2P构架,HPOWP 提高了传统方法所架构的P2P重叠网的可缩放性,并可有效地与现有网络基础设施的拓扑结构相适应,而减少层次化P2P网络逻辑距离与实际网络物理距离不同所带来的问题;同时方便了各种安全措施的部署,特别是对网络蠕虫的防御策略可以按不同的层面采用合适的技术措施,更加适于应对实际网络环境下的网络蠕虫传播模式。以HPOWP为基础,进一步探讨P2P网络环境中网络蠕虫预警信息的分布式聚合算法。由于HPOWP是由两种类型的P2P重叠网,即随机重叠网和结构化重叠网组成,对于随机重叠网的拓扑不稳定性,是以容错性强、易于扩展的 Gossip算法为基础来设计聚类子网的分布式数据聚合算法;而对于HPOWP中基于DHT的高层结构化重叠网的网络蠕虫预警信息的汇聚,提出一种基于DHT的分布式数据聚合算法(Distilbuted Data Aggregation Algorithm Based on DHT,简称DAAD),以获得分散在网络局部特定数据的全局视图,为大规模网络环境的网络蠕虫防御机制研究打下基础。仿真实验的结果证明该模型能有效解决复杂网络环境下分散数据的快速聚合问题。再次,研究了应对网络蠕虫入侵的预警机制。HPOWP为通过网络协作防御蠕虫入侵提供了一个新的平台结构,使大规模网络环境下对网络蠕虫入侵的预警成为可能。论文讨论网络蠕虫的自相似特性,并以此为基础,研究基于内容指纹识别和行为特征序列的网络蠕虫识别技术;通过构建基于 HPOWP 的蜜罐网络,分别研究聚类子网中蠕虫的预警机制和高层DHT重叠网中蠕虫的预警机制。论文提出的基于P2P技术的网络蠕虫预警机制有效利用了P2P技术的分布式存储和计算的优势,仿真实验结果证明该方案对于整合已有蠕虫预警系统,实现Internet环境下对蠕虫入侵的大规模联动预警分析具有一定的意义。
最后,研究了网络蠕虫的免疫机制。对有漏洞的网络系统进行免疫是解决网络蠕虫传播和破坏活动的重要方案。要遏制并消灭网络蠕虫,缩短网络系统漏洞发布到获得相关安全更新之间的时间是关键。论文对网络系统漏洞、安全更新等网络蠕虫免疫机制的相关基础性问题进行简要分析,指出网络系统免疫的必要性和紧迫性。在此基础上,重点研究了三种不同类型的网络蠕虫免疫模型:基于中心服务器的网络蠕虫免疫模型、基于P2P的网络蠕虫免疫模型和基于良性蠕虫的免疫模型;深入探讨各种因素对网络蠕虫免疫机制的影响,为不同环境下选择合适的网络蠕虫免疫机制提供可以参考的理论依据。
5.会议论文荆涛.周庆国.武文忠基于SSFNet的网络蠕虫实验床2004
网络蠕虫实验床是研究网络蠕虫传播及网络安全的一个重要平台,它克服了传统实验方法中安全性低,成本高的不足,提出一个新的蠕虫仿真实验手段.介绍了SSFNet网络仿真软件,说明其在网络研究过程中的使用价值:重点介绍了利用SSFNet网络仿真软件的worm蠕虫包来设计和实现网络蠕虫实验床的方法,并在该实验床上模拟一种类Flash蠕虫,所得实验结果在可靠的数值范围内,说明该实验床是可行,有效的.
6.学位论文汪伟网络蠕虫检测技术研究与实现2006
随着计算机技术的发展和互联网应用的深入,各种恶意代码(计算机病毒、网络蠕虫等)成为计算机使用者遇到的最普遍问题。网络蠕虫的传播不仅可以占用被感染主机的大部分系统资源,对目标系统造成破坏,同时,还会抢占网络带宽,造成网络严重堵塞,甚至整个网络瘫痪。由于网络蠕虫泛滥产生的巨大危害,如何对网络蠕虫进行检测、预警和应对,已经成为计算机网络安全研究领域的一个重要课题。
本文首先回顾了计算机病毒、网络蠕虫的出现和发展,对网络蠕虫的定义进行了阐述,并综述了入侵检测技术和网络蠕虫检测技术的研究现状。
通过对网络蠕虫工作机制的研究和分析,提出了两种网络蠕虫检测方法:1)基于贝叶斯方法的网络蠕虫检测技术,该技术以失败连接概率作为网络蠕虫检测指标,当失败连接的概率值超过了网络蠕虫判断阈值时,则认为该主机是网络蠕虫主机,当失败连接概率值难以判断时,则将该概率值作为下一次计算的先验概率,这样保留了历史行为对当前行为的影响,使检测结果更加精确。2)基于信息熵的网络蠕虫检测技术,该技术以源地址主机的所有连接中的目标地址分布情况作为考察对象,当计算得到的目标地址熵值超过了设定的网络蠕虫判断阈值时,则认为该源地址异常。对于上述两种网络蠕虫检测技术,通过实验进行了验证和分析,实验结果说明这两种检测技术效果良好。
利用网络蠕虫检测技术的研究成果,设计和开发了一套实时网络蠕虫检测系统。该系统主要包括了网络蠕虫检测端、监控管理端和数据库系统三个组成部分,可以实现网络蠕虫检测策略修改、实时报警、历史记录查询等功能。
最后对研究工作进行了总结,本文提出的两种网络蠕虫检测技术具有较低漏报率和很高的有效性,基于这两种网络蠕虫检测技术开发的实时网络蠕虫检测系统具有很好的网络蠕虫检测能力。同时分析了存在的问题,并对下一步的研究工作做了展望,由于网络速度的提高、漏报率和误报率仍然存在,本文提出了几个研究工作的发展方向,包括:实时高速网络数据捕获、流量分析、提高检测精度、实时应对等。
7.期刊论文文伟平.卿斯汉.蒋建春.王业君网络蠕虫研究与进展-软件学报2004,15(8)
随着网络系统应用及复杂性的增加,网络蠕虫成为网络系统安全的重要威胁.在网络环境下,多样化的传播途径和复杂的应用环境使网络蠕虫的发生频率增高、潜伏性变强、覆盖面更广,网络蠕虫成为恶意代码研究中的首要课题.首先综合论述网络蠕虫的研究概况,然后剖析网络蠕虫的基本定义、功能结构和工作原理,讨论网络蠕虫的扫描策略和传播模型,归纳总结目前防范网络蠕虫的最新技术.最后给出网络蠕虫研究的若干热点问题与展望.
8.学位论文王方伟大规模网络蠕虫建模与防御研究2009
随着互联网的迅速发展,网络安全问题日益严重,安全威胁事件逐年上升,近年来的增长态势尤为迅猛。其中,自传播的网络蠕虫由于其传播速度快、影响范围大、造成的经济损失大,已经成为目前互联网面临的最为严重的安全威胁之一。网络蠕虫已经严重威胁了互联网中信息资源的保密性、完整性和可用性,可以通过删除数据、窃取信息、打开后门、形成僵尸网络、修改用户的正常操作和发动分布式拒绝服务攻击(DDoS)等方式破坏计算机系统。网络蠕虫的研究已经成为近年来国际上在网络安全和信息安全领域最活跃的研究方向之一。如何有效防御网络蠕虫传播成为非常迫切的问题。
通过研究网络蠕虫的扫描策略,建立大规模网络蠕虫的传播模型,找出制约其传播的关键因素,继而对网络蠕虫进行有效地防御。于是,本文针对大规模网络蠕虫建模与防御进行了深入的研究。包括下列内容:
1.构建了一个基于离散时间的简单蠕虫传播模型,以此模型为基础,详细分析了蠕虫的不同扫描策略,并给出了分治扫描模型、本地子网扫描模型、置换扫描模型。
2.根据易感主机的非均匀分布,提出了一种基于佳点集扫描策略(GPSS)的自学习蠕虫,大大提高了蠕虫的扫描速度。受生物动力系统研究领域中的捕食者/食饵模型的启发,利用数学模型研究了自学习蠕虫(食饵)和捕食者间的交互动态行为,提出了两种防御方案:感染驱动的交互模型和漏洞驱动的交互模型。利用这两个交互模型,得到了蠕虫灭绝与否的阈值——基本再生数,研究了捕食者相关参数对交互模型的影响,并探讨了捕食者安全性的相关技术。
3.提出了一个基于动态隔离和免疫的传染病模型——SEIQV模型,并研究了不同参数对SEIQV模型的影响。
4.建立了一个带有死亡率,离线率和在线率的时滞SEIRS模型,得到被动蠕虫灭绝与否的阈值——基本再生数。研究了不同参数对模型的影响,尤其是时滞对模型的影响。
5.给出了在非结构化对等网中多节点下载同一个文件所需的延时;利用流行病动力学仓室建模思想,提出了一个考虑网络吞吐量的数学模型来仿真被动蠕虫的传播,并根据非结构化对等网中文件的流行度服从幂率分布提出了用健康文件分发策略来防御被动蠕虫。
9.会议论文陈月玲.纪美霞.林龙涛.贾小珠网络蠕虫的工作原理及防范措施
本文论述了蠕虫对网络安全的威胁日益增加,多样化的传播途径和应用环境更使得蠕虫爆发率大为提高,覆盖面更加广泛,造成的损失也越来越大.本文分析了网络蠕虫的行为特征及工作原理,并给出了网络蠕虫防范的若干措施。
10.学位论文余水平网络蠕虫防御系统的设计与实现2009
近年来,随着互联网的快速发展,网络安全事件也层出不穷。在众多的网络安全威胁中,网络蠕虫以其快速的传播,巨大的危害,成为网络安全中最大的威胁。目前的网络蠕虫检测系统都是采用基于特征检测的方法,只能发现已知的攻击,当一种未知的网络蠕虫爆发时,由于人工提取特征的滞后性,难以对抗未知网络蠕虫。本文在对蠕虫检测技术和特征提取技术研究基础上,结合相关技术,采用三层架构的方式,设计并实现了蠕虫防御系统,可以有效的检测未知蠕虫。本文的主要工作有以下几个方面:
1.介绍蠕虫防御技术的基础,主要是蠕虫检测技术,特征提取技术及现有的蠕虫防御系统的介绍。
2.自主设计了蠕虫检测算法,可以有效的降低误报率,并根据蠕虫检测算法和特征提取算法,设计实现了基于三层架构的网络蠕虫防御系统。
3.设计并实现了数据包伪造引擎,用以模拟蠕虫流量,方便进行系统测试。
本文的创新点主要在于采用四种蠕虫检测策略相结合的方法检测蠕虫,及提出了三层蠕虫防御系统的框架,使用这个框架构建的蠕虫防御系统,有助于准确、自动、快速地检测蠕虫。
通过实验仿真,证实系统在发现未知蠕虫上具有很好的效果,但系统的可扩展性方面有待提高,以后将在这方面对系统加以改进。
本文链接:https://www.wendangku.net/doc/7919218573.html,/Conference_6495395.aspx
授权使用:中国科学院自动化研究所(中科院自动化研究所),授权号:70a4ed1d-a3cb-47e2-a1f7-9e8e00d0c0c3
下载时间:2011年2月18日