基于本地网保护的蠕虫防御系统研究

为了阻止外网蠕虫向本地网的传播,设计了一个基于本地网保护的蠕虫防御系统.该系统通过监测外部主机连接本地网的连接强度、端口相似度和失败比率等统计信息预警蠕虫扫描行为和可疑外部主机,通过检测和丢弃来自可疑主机的蠕虫攻击包防御蠕虫向本地网传播.为了提高系统效率和减少系统对正常网络活动的影响,蠕虫攻击包检测采用了源地址跟踪和蠕虫特征匹配两级检测.最后建立了该蠕虫防御系统保护下的本地网蠕虫传播模型,并通过仿真实验验证了系统的有效性.     

基于主机级别的蠕虫检测系统设计及实现

在分析蠕虫传播机制基础上,利用Linux内核态的Netfilter框架,以基于FCC(FirstContact Connections,第一次连接)失败概率和重尾特性的蠕虫检测算法为核心,设计并实现了基于主机级别的蠕虫检测系统,达到了降低误报率的目的.实验证明,该系统高效可行,能够迅速准确地检测出内网的蠕虫主机.     

基于动态检测隔离机制的网络蠕虫传播模型与分析

提出一种基于动态检测隔离机制的通用网络蠕虫传播模型,该模型定义了蠕虫在隔离阶段的可疑状态,显式地刻画了蠕虫动态检测隔离过程;并利用动态蠕虫感染率和动态主机移除率、主机自动免疫率分别描述了蠕虫传播造成的网络拥塞现象和人类在对抗蠕虫病毒过程中的主观能动性.分析表明,基于动态检测隔离机制系统可有效降低蠕虫传播速度,减少被感染主机数,延迟蠕虫传播峰值出现的时间.     

基于阳性选择的蠕虫检测系统

蠕虫通过发送网络服务请求搜寻感染目标,主机的异常网络服务请求可以作为蠕虫检测的依据.提出了一种蠕虫检测系统,基于阳性选择算法构造自体字符串集合描述主机的正常网络行为.自体字符串集合采用Bloom filter过滤器的形式表示,用于监视主机的网络行为以发现网络中可疑的网络服务请求.依据蠕虫的传播特征,采用二叉树的形式对所发现的可疑网络服务请求进行关联分析,通过无参CUSUM(cumulative sum)算法监视二叉树异常值的变化,从而及时、准确地发现蠕虫传播.GTNetS(Georgia Tech Network Simulation)平台的测试实验结果表明,所提出的蠕虫检测系统能够有效检测蠕虫,同时对于主机正常网络通信的影响较小.     

蠕虫检测技术研究进展

对蠕虫检测技术的进展进行了研究.由于能检测未知蠕虫,异常检测已成为蠕虫检测的重要发展方向.被动检测采用故意设计为有缺陷的系统HoneyPot,用来吸引攻击者、收集攻击信息并进行深度分析.主动检测对正常主机和蠕虫主机的混和流量进行处理,包括基于连接载荷和基于蠕虫行为的检测.分析并讨论了各类方法的特点和适用性,提出目前的检测技术需要更为有效的蠕虫检测指标,并基于正常主机和蠕虫主机在流量自相似性的差异,给出了相应的实时检测指标选择思路.     

基于网络行为模糊模式识别的蠕虫检测方法

网络蠕虫攻击由于危害大、攻击范围广、传播速度快而成为因特网危害最大的攻击方式之一.如何有效地检测网络蠕虫攻击是当前网络安全研究领域的一个重要方向.通过对网络蠕虫攻击行为的分析和研究,提出了一种根据蠕虫爆发时产生的典型网络行为来检测未知蠕虫的方法.该算法通过分别学习正常主机和受感染主机的网络行为建立相应的标准分类模糊子集,然后利用模糊模式识别法判定待测主机是否感染蠕虫.最后进行实验验证,结果表明,该方法对未知扫描类蠕虫有较好的检测效果.     

基于ARM的嵌入式蠕虫检测系统设计与实现

在分析蠕虫传播机制的基础上,设计并实现了基于主机级别的蠕虫检测系统,并将蠕虫检测系统移植到ARM开发板上,进行蠕虫检测.实验证明,Linux系统进行相关的裁减和编译,烧写到开发板后,能迅速准确地实现网络蠕虫检测和内核态的蠕虫检测系统与用户态的消息交互.     

基于有向图分析的蠕虫早期检测方法

网络蠕虫给互联网带来了巨大的损失,实践证明,越早发现蠕虫的传播行为,就越有利于对蠕虫的遏制。首先分析了网络蠕虫早期传播的特征,然后借鉴GrIDS入侵检测系统的图分析思想,提出了一种利用有向图对网络蠕虫早期传播行为进行检测的蠕虫早期检测方法,并设计了有向图分析算法,对网络蠕虫与P2P应用、网络扫描以及突发访问等类网络蠕虫行为进行了准确识别。实验证明,可以准确检测网络蠕虫的早期传播行为,并定位蠕虫源主机。     

基于扫描流量统计的本地网蠕虫检测方法

为了准确检测外网蠕虫对本地网的传播,在研究蠕虫扫描行为模式的基础上,提出一种基于扫描流量统计的本地网蠕虫检测方法,并给出蠕虫检测方法实现的总体思路、关键算法和检侧过程.该检侧方法分为异常流量检测和扫描包特征匹配检测两个步骤,即首先使用马尔科夫和坎泰利不等式在网络边界检测进入本地网的扫描流量,提取异常流量中的可疑扫描包的特征;然后监控本地网,检测与可疑扫描包特征相匹配的本地网扫描活动,进而判定本地网是否感染外网蠕虫.分析与初步实验证明,该方法能够检测准确检测外网蠕虫对本地网的传播.     

网络蠕虫检测技术研究与实现

近几年来网络蠕虫对因特网造成了严重威胁.由于蠕虫能在短时间内感染成千上万台主机,因此必须使用快速自动化的检测防御技术.文章首先分析了典型的蠕虫特征,接着提出了一种有效的蠕虫检测方案,最后对该方案进行了分析和评价.     

基于失败连接流量偏离度的蠕虫早期检测方法

通过分析网络蠕虫攻击的特点，定义了能够反映蠕虫攻击特征的失败连接流量偏离度（FCFD）的概念，并提出了一种基于FCFD时间序列分析的蠕虫早期检测方法。该方法利用小波变换对FCFD时间序列进行多尺度分析，利用高频分量模极大值进行奇异点检测，从而发现可能的蠕虫攻击。同时给出了一种基于失败连接分析的蠕虫感染主机定位和蠕虫扫描特征提取方法。实验结果显示，该方法能够有效检测未知蠕虫的攻击。和已有方法相比，该方法具有更高的检测效率和更低的误报率。     

一种混合的网络蠕虫检测方法

提出一种综合采用网络蠕虫行为检测和网络蠕虫反馈检测的混合蠕虫检测方法.在网络蠕虫行为检测方面,将一个局域网作为一个访问模型对于蠕虫进行检测.在网络反馈蠕虫检测方面,利用网络对于蠕虫攻击反馈的信息作为网络反馈检测方法的特征.然后,通过CUSUM(Cumu lative Sum)算法将以上两种检测方法综合考虑来提高网络蠕虫检测的准确性.实验结果表明本文提出的方法可以准确高效地检测网络蠕虫.     

面向内网的网络蠕虫检测系统设计与实现

随着计算机技术的迅速发展，互联网应用越来越普及和深入，开放的计算机网络也受到各种各样的安全威胁，尤其是网络蠕虫对计算机系统和网络安全的威胁日益增加，造成的损失也更加巨大。介绍了网络蠕虫的定义以及工作机制，基于网络蠕虫的工作原理，提出井实现了一种新的网络蠕虫检测方法，并进行了验证。     

蠕虫预警及非线性传播模型优化

目前已有一些蠕虫检测系统利用蠕虫传播特性进行检测,误报率高,不能对大范围网络进行检测。为此,首先对蠕虫传播模型进行了分析和优化,提出了新蠕虫分布式传播模型。针对该模型提出了分布式蠕虫检测技术,亦即采用基于规则的检测方法监控网络蠕虫,控制台管理和协调多个检测端的工作。实验结果表明,该方法能够很好地预警蠕虫的传播行为并进行监控和报警,具有高检测率和低误报率。     

DAW: A Distributed Antiworm System

A worm automatically replicates itself across networks and may infect millions of servers in a short period of time. It is conceivable that the cyberterrorists may use a widespread worm to cause major disruption to the Internet economy. Much recent research concentrates on propagation models and early warning, but the defense against worms is largely an open problem. We propose a distributed antiworm architecture (DAW) that automatically slows down or even halts the worm propagation within an Internet service provider (ISP) network. New defense techniques are developed based on the behavioral difference between normal hosts and worm-infected hosts. Particularly, a worm-infected host has a much higher connection-failure rate when it randomly scans the Internet. This property allows DAW to set the worms apart from the normal hosts. We propose a temporal rate-limit algorithm and a spatial rate-limit algorithm, which makes the speed of worm propagation configurable by the parameters of the defense system. The effectiveness of the new techniques is evaluated analytically and by simulations.     

基于netflow数据流的蠕虫探测算法

随着网络的迅速发展,随之而来的网络安全事件日益突出,特别是以网络蠕虫为代表的异常流量。由于网络蠕虫能够在数分钟内感染网络上绝大多数有漏洞的机器,因此蠕虫探测系统必须能快速鉴别和隔离已感染蠕虫病毒的机器,特别是对感染新型的未知的蠕虫病毒的机器。鉴于此,我们提出了一种基于Netflow数据流的蠕虫探测算法,该算法能够探测出大部分蠕虫扫描,而且拥有非常高的效率和非常低的误报率。     

大规模蠕虫在线追踪培养皿

提出了一个用于反向追踪大规模网络蠕虫传播的虚拟实验环境，能够用于网络蠕虫检测和防御实验。实验环境使用虚拟机技术，虚拟大量主机和网络设备参加，尽量符合网络实际。在可控的范围内，使用真实的感染代码引发大规模蠕虫的爆发，观测蠕虫的传播过程。实验环境中可以发现蠕虫的传播特性，实时收集网络蠕虫的流量数据和感染过程。     

一种基于本地网络的蠕虫协同检测方法

目前已有一些全球化的网络蠕虫监测方法,但这些方法并不能很好地适用于局域网.为此,提出一种使用本地网协同检测蠕虫的方法CWDMLN(coordinated worm detection method based on local nets).CWDMLN注重分析扫描蠕虫在本地网的行为,针对不同的行为特性使用不同的处理方法,如蜜罐诱捕.通过协同这些方法给出预警信息,以揭示蠕虫在本地网络中的活动情况.预警信息的级别反映报警信息可信度的高低.实验结果表明,该方法可以准确、快速地检测出入侵本地网络的扫描蠕虫,其抽取出的蠕虫行为模式可以为协同防御提供未知蠕虫特征.通过规模扩展,能够实施全球网络的蠕虫监控.     

Strategy of fast and light-load cloud-based proactive benign worm countermeasure technology to contain worm propagation

Benign worms have been attracting wide attention in the field of worm research due to the proactive defense against the worm propagation and patch for the susceptible hosts. In this paper, two revised Worm?CAnti-Worm (WAW) models are proposed for cloud-based benign worm countermeasure. These Re-WAW models are based on the law of worm propagation and the two-factor model. One is the cloud-based benign Re-WAW model to achieve effective worm containment. Another is the two-stage Re-WAW propagation model, which uses proactive and passive switching defending strategy based on the ratio of benign worms to malicious worms. This model intends to avoid the network congestion and other potential risks caused by the proactive scan of benign worms. Simulation results show that the cloud-based Re-WAW model significantly improves the worm propagation containment effect. The cloud computing technology enables rapid delivery of massive initial benign worms, and the two stage Re-WAW model gradually clears off the benign worms with the containment of the malicious worms.     

基于候选组合频繁模式的骨干网蠕虫检测研究

现有的网络蠕虫检测方法大多都是基于包的检测,针对骨干网IP流检测的研究较少,同时也不能很好地描述蠕虫的攻击模式。为此研究了一种在骨干网IP流数据环境下的蠕虫检测方法,通过流活跃度增长系数和目的地址增长系数定位可疑源主机,接着采用基于候选组合频繁模式的挖掘算法(CCFPM),将候选频繁端口模式在FP树路径中进行匹配来发现蠕虫及其攻击特性,实验证明该方法能快速地发现未知蠕虫及其端口扫描模式。