共查询到20条相似文献,搜索用时 140 毫秒
1.
为了阻止外网蠕虫向本地网的传播,设计了一个基于本地网保护的蠕虫防御系统.该系统通过监测外部主机连接本地网的连接强度、端口相似度和失败比率等统计信息预警蠕虫扫描行为和可疑外部主机,通过检测和丢弃来自可疑主机的蠕虫攻击包防御蠕虫向本地网传播.为了提高系统效率和减少系统对正常网络活动的影响,蠕虫攻击包检测采用了源地址跟踪和蠕虫特征匹配两级检测.最后建立了该蠕虫防御系统保护下的本地网蠕虫传播模型,并通过仿真实验验证了系统的有效性. 相似文献
2.
3.
提出一种基于动态检测隔离机制的通用网络蠕虫传播模型,该模型定义了蠕虫在隔离阶段的可疑状态,显式地刻画了蠕虫动态检测隔离过程;并利用动态蠕虫感染率和动态主机移除率、主机自动免疫率分别描述了蠕虫传播造成的网络拥塞现象和人类在对抗蠕虫病毒过程中的主观能动性.分析表明,基于动态检测隔离机制系统可有效降低蠕虫传播速度,减少被感染主机数,延迟蠕虫传播峰值出现的时间. 相似文献
4.
蠕虫通过发送网络服务请求搜寻感染目标,主机的异常网络服务请求可以作为蠕虫检测的依据.提出了一种蠕虫检测系统,基于阳性选择算法构造自体字符串集合描述主机的正常网络行为.自体字符串集合采用Bloom filter过滤器的形式表示,用于监视主机的网络行为以发现网络中可疑的网络服务请求.依据蠕虫的传播特征,采用二叉树的形式对所发现的可疑网络服务请求进行关联分析,通过无参CUSUM(cumulative sum)算法监视二叉树异常值的变化,从而及时、准确地发现蠕虫传播.GTNetS(Georgia Tech Network Simulation)平台的测试实验结果表明,所提出的蠕虫检测系统能够有效检测蠕虫,同时对于主机正常网络通信的影响较小. 相似文献
5.
蠕虫检测技术研究进展 总被引:3,自引:0,他引:3
对蠕虫检测技术的进展进行了研究.由于能检测未知蠕虫,异常检测已成为蠕虫检测的重要发展方向.被动检测采用故意设计为有缺陷的系统HoneyPot,用来吸引攻击者、收集攻击信息并进行深度分析.主动检测对正常主机和蠕虫主机的混和流量进行处理,包括基于连接载荷和基于蠕虫行为的检测.分析并讨论了各类方法的特点和适用性,提出目前的检测技术需要更为有效的蠕虫检测指标,并基于正常主机和蠕虫主机在流量自相似性的差异,给出了相应的实时检测指标选择思路. 相似文献
6.
7.
8.
9.
巩永旺 《计算机技术与发展》2011,21(7)
为了准确检测外网蠕虫对本地网的传播,在研究蠕虫扫描行为模式的基础上,提出一种基于扫描流量统计的本地网蠕虫检测方法,并给出蠕虫检测方法实现的总体思路、关键算法和检侧过程.该检侧方法分为异常流量检测和扫描包特征匹配检测两个步骤,即首先使用马尔科夫和坎泰利不等式在网络边界检测进入本地网的扫描流量,提取异常流量中的可疑扫描包的特征;然后监控本地网,检测与可疑扫描包特征相匹配的本地网扫描活动,进而判定本地网是否感染外网蠕虫.分析与初步实验证明,该方法能够检测准确检测外网蠕虫对本地网的传播. 相似文献
10.
11.
12.
提出一种综合采用网络蠕虫行为检测和网络蠕虫反馈检测的混合蠕虫检测方法.在网络蠕虫行为检测方面,将一个局域网作为一个访问模型对于蠕虫进行检测.在网络反馈蠕虫检测方面,利用网络对于蠕虫攻击反馈的信息作为网络反馈检测方法的特征.然后,通过CUSUM(Cumu lative Sum)算法将以上两种检测方法综合考虑来提高网络蠕虫检测的准确性.实验结果表明本文提出的方法可以准确高效地检测网络蠕虫. 相似文献
13.
14.
目前已有一些蠕虫检测系统利用蠕虫传播特性进行检测,误报率高,不能对大范围网络进行检测。为此,首先对蠕虫传播模型进行了分析和优化,提出了新蠕虫分布式传播模型。针对该模型提出了分布式蠕虫检测技术,亦即采用基于规则的检测方法监控网络蠕虫,控制台管理和协调多个检测端的工作。实验结果表明,该方法能够很好地预警蠕虫的传播行为并进行监控和报警,具有高检测率和低误报率。 相似文献
15.
A worm automatically replicates itself across networks and may infect millions of servers in a short period of time. It is conceivable that the cyberterrorists may use a widespread worm to cause major disruption to the Internet economy. Much recent research concentrates on propagation models and early warning, but the defense against worms is largely an open problem. We propose a distributed antiworm architecture (DAW) that automatically slows down or even halts the worm propagation within an Internet service provider (ISP) network. New defense techniques are developed based on the behavioral difference between normal hosts and worm-infected hosts. Particularly, a worm-infected host has a much higher connection-failure rate when it randomly scans the Internet. This property allows DAW to set the worms apart from the normal hosts. We propose a temporal rate-limit algorithm and a spatial rate-limit algorithm, which makes the speed of worm propagation configurable by the parameters of the defense system. The effectiveness of the new techniques is evaluated analytically and by simulations. 相似文献
16.
基于netflow数据流的蠕虫探测算法 总被引:1,自引:0,他引:1
随着网络的迅速发展,随之而来的网络安全事件日益突出,特别是以网络蠕虫为代表的异常流量。由于网络蠕虫能够在数分钟内感染网络上绝大多数有漏洞的机器,因此蠕虫探测系统必须能快速鉴别和隔离已感染蠕虫病毒的机器,特别是对感染新型的未知的蠕虫病毒的机器。鉴于此,我们提出了一种基于Netflow数据流的蠕虫探测算法,该算法能够探测出大部分蠕虫扫描,而且拥有非常高的效率和非常低的误报率。 相似文献
17.
18.
一种基于本地网络的蠕虫协同检测方法 总被引:6,自引:0,他引:6
目前已有一些全球化的网络蠕虫监测方法,但这些方法并不能很好地适用于局域网.为此,提出一种使用本地网协同检测蠕虫的方法CWDMLN(coordinated worm detection method based on local nets).CWDMLN注重分析扫描蠕虫在本地网的行为,针对不同的行为特性使用不同的处理方法,如蜜罐诱捕.通过协同这些方法给出预警信息,以揭示蠕虫在本地网络中的活动情况.预警信息的级别反映报警信息可信度的高低.实验结果表明,该方法可以准确、快速地检测出入侵本地网络的扫描蠕虫,其抽取出的蠕虫行为模式可以为协同防御提供未知蠕虫特征.通过规模扩展,能够实施全球网络的蠕虫监控. 相似文献
19.
Benign worms have been attracting wide attention in the field of worm research due to the proactive defense against the worm propagation and patch for the susceptible hosts. In this paper, two revised Worm?CAnti-Worm (WAW) models are proposed for cloud-based benign worm countermeasure. These Re-WAW models are based on the law of worm propagation and the two-factor model. One is the cloud-based benign Re-WAW model to achieve effective worm containment. Another is the two-stage Re-WAW propagation model, which uses proactive and passive switching defending strategy based on the ratio of benign worms to malicious worms. This model intends to avoid the network congestion and other potential risks caused by the proactive scan of benign worms. Simulation results show that the cloud-based Re-WAW model significantly improves the worm propagation containment effect. The cloud computing technology enables rapid delivery of massive initial benign worms, and the two stage Re-WAW model gradually clears off the benign worms with the containment of the malicious worms. 相似文献