网络蠕虫扫描机制分析

网络蠕虫作为一种自治代理,能够在网络中迅速传播,给网络安全带来了巨大的威胁和破坏。扫描作为蠕虫攻击感染主机的前奏,对蠕虫的传播速度和范围起着决定性的作用。文章对蠕虫的扫描机制进行了较深入的探讨,并给出了防范高效网络蠕虫的措施和思路。     

网络蠕虫研究与进展

随着网络系统应用及复杂性的增加,网络蠕虫成为网络系统安全的重要威胁.在网络环境下,多样化的传播途径和复杂的应用环境使网络蠕虫的发生频率增高、潜伏性变强、覆盖面更广,网络蠕虫成为恶意代码研究中的首要课题.首先综合论述网络蠕虫的研究概况,然后剖析网络蠕虫的基本定义、功能结构和工作原理,讨论网络蠕虫的扫描策略和传播模型,归纳总结目前防范网络蠕虫的最新技术.最后给出网络蠕虫研究的若干热点问题与展望.     

网络蠕虫扫描策略和检测技术的研究

随着网络蠕虫的出现,网络的安全性受到极大挑战,许多重要数据遭到破坏和丢失,造成社会财富的巨大浪费,因此,研究网络蠕虫的传播行为和防御策略非常重要。重点研究了网络蠕虫工作机制中的蠕虫扫描和蠕虫检测,介绍了多种扫描策略和检测方法,并给出了各自的优点和不足。随着网络蠕虫复杂性的增加,多态蠕虫已成为新的研究方向。     

网络蠕虫的分类及其传播模型研究

近几年,蠕虫频繁爆发,已成为互联网安全的主要威胁。为了清楚地理解蠕虫所造成的威胁,很有必要对蠕虫进行分类,以便进行深入的研究。该文对目前蠕虫传播模型进行了深入地研究,主要包括随机网络和无尺度网络上的模型。指出在构建无尺度网络时现有算法的一个共同缺陷——没有考虑链路的成本。最后预测了蠕虫的发展趋势,并提出了一些蠕虫防御的措施。     

网络蠕虫传播模型的分析与仿真研究

研究网络安全问题,网络蠕虫是当前网络安全的重要威胁。网络蠕虫传播途径多样化、隐蔽性强、感染速度快等特点。蠕虫模型以简单传染病模型进行传播,无法准确描述网络蠕虫复杂变化特点,网络蠕虫检测正确率比较低。为了提高网络蠕虫检测正确率,提出一种改进的网络蠕虫传播模型。在网络蠕虫传播模型引入动态隔离策略,有效切断网络蠕虫传播途径,采用自适应的动态感染率和恢复率,降低网络蠕虫造成的不利影响。仿真结果表明,相对于经典网络蠕虫传播模型,改进模型有效地加低了网络蠕虫的传播速度,提高网络蠕虫检测正确率和整个网络安全性,为网络蠕虫传播研究提供重要指导。     

网络蠕虫灰传播模型GEM

网络蠕虫传播模型是研究、分析网络蠕虫传播机制、行为特性的重要方法、手段。传统网络蠕虫传播模型都是基于大数定律思想,该类方法在描述蠕虫传播的潜伏期及衰退期时存在一定缺陷,并且完全忽略蠕虫传播过程中涉及到的不确定随机因素。针对传统模型在描述蠕虫传播过程中的上述不足,本文运用灰色理论,依据灰色建模所需历史数据少,不考虑分布规律、变化趋势的特点,提出了一种网络蠕虫的灰传播模型GEM。经模拟仿真分析,验证了该模型的有效性。     

一种基于影响因子的网络蠕虫动态模型

文章首先给出了蠕虫的定义及与病毒的区别。通过AHP得出各影响因素的权重,求出了综合影响。在K-M(Kermack-Mckendrick)模型的基础上进行改进,加入了各影响因素。该模型能够较好地预测蠕虫的传播,具有一定的有效性。     

基于SEM的网络蠕虫传播模型研究

长期以来,网络蠕虫一直是Internet安全的一个重要威胁。蠕虫传播模型是研究蠕虫传播特性最常用的一种方法,由于蠕虫在网络中的传播与流行疾病在人群中的传播有许多相似之处,因此当前大多数蠕虫传播模型都是基于简单传染病模型（Simple Epidemic Model,简称SEM）理论建立的。从简单传染病模型入手,依次分析了基于简单传染病模型的Kermack-Mackendrick模型、双因素模型和带宽限制蠕虫传播模型,指出了这些模型的提出背景及其特征因素,并总结了模型之间的相互关系,为后续蠕虫传播模型的建立提供了借鉴指导。     

网络蠕虫分析与检测防御

本文分析了网络蠕虫的特点和工作机制,详细研究了网络蠕虫的目标选择策略,最后讨论了目前网络蠕虫的检测防御技术.     

网络蠕虫扩散策略研究

蠕虫在传播时所采取的扫描策略直接决定了蠕虫的感染速度和程度.论文对蠕虫传播时采用的不同扫描策略进行了深度分析,并建模比较.针对各种扩散策略的不足,提出了随机均匀扫描、基于路由扫描和预定义目标地址列表相结合的扫描策略,简称RRH-1扫描策略.经验证,和已有单一扩散策略相比,采用RRH-1扫描策略的蠕虫传播时具有快速、准确和流量小的优点.     

网络蠕虫扩散策略研究

蠕虫在传播时所采取的扫描策略直接决定了蠕虫的感染速度和程度。论文对蠕虫传播时采用的不同扫描策略进行了深度分析，并建模比较。针对各种扩散策略的不足，提出了随机均匀扫描、基于路由扫描和预定义目标地址列表相结合的扫描策略，简称RRH-1扫描策略。经验证，和已有单一扩散策略相比，采用RRH—l扫描策略的蠕虫传播时具有快速、准确和流量小的优点。     

Internet蠕虫传播模型研究

本文就Internet蠕虫的传播模型进行了研究,分析了各种传播模型的特点和适用环境,在此基础上结合良性蠕虫的特点提出了良性蠕虫对抗恶性蠕虫的传播模型。经过比较和分析,理论上证明了蠕虫对抗蠕虫传播模型,有效地补充和改进了传统的Internet蠕虫传播模型,使其更符合Internet蠕虫传播的实际,为进一步研究蠕虫的检测与预防提供了有力的研究方法。与现有模型相比,其降低了对抗蠕虫给网络造成的冲击、可控,并降低了模型的复杂度。     

基于拓扑结构的蠕虫防御策略仿真分析

提出了基于拓扑结构控制的蠕虫防御策略,并通过构建仿真模型对其进行了仿真验证分析.首先对蠕虫传播所依赖的拓扑结构的主要形式进行了分析,提出了相应的生成算法,并对算法的有效性进行了验证;随后提出了三种拓扑结构控制策略仿真模型;最后分别对这三种策略在不同拓扑结构下的蠕虫传播控制性能进行了仿真实验.实验结果证明:通过适当地控制拓扑结构,可以有效地遏制拓扑相关蠕虫传播.     

主动Internet蠕虫防治技术-接种疫苗

常规的蠕虫防治策略中网络管理人员处于被动地位,蠕虫爆发后会在网络中长期泛滥,无法得到有效抑制。该文通过对经典蠕虫的分析,给出了蠕虫疫苗的定义(为破坏蠕虫传播流程中的某个环节而在主机上建立的标记,称为蠕虫“疫苗”;标记的建立过程,称为“接种疫苗”),讨论了蠕虫疫苗的判定选择方法以及接种技术要点。通过对网络中易感主机进行接种疫苗,可以减少网络中易感主机的存在数量,使蠕虫失去攻击的对象,无法继续传播。接种疫苗可以作为网络管理人员主动进行蠕虫防治、迅速消灭蠕虫的一种有效手段。     

蠕虫预警及非线性传播模型优化

目前已有一些蠕虫检测系统利用蠕虫传播特性进行检测,误报率高,不能对大范围网络进行检测。为此,首先对蠕虫传播模型进行了分析和优化,提出了新蠕虫分布式传播模型。针对该模型提出了分布式蠕虫检测技术,亦即采用基于规则的检测方法监控网络蠕虫,控制台管理和协调多个检测端的工作。实验结果表明,该方法能够很好地预警蠕虫的传播行为并进行监控和报警,具有高检测率和低误报率。     

Observing Internet Worm and Virus Attacks with a Small Network Telescope

A network telescope is a portion of IP address space dedicated to observing inbound internet traffic. The purpose of a network telescope is to detect and log malicious traffic which originates from internet worms and viruses. In this paper, we investigate the statistical properties of observed traffic from a passive Class C telescope over a total of three months. We observe that only a few IP sources and destination ports are responsible for the majority of the traffic. We also demonstrate various ways to visualise the traffic profile from a telescope. We show that specific profiles can identify and distinguish portscans, hostscans and distributed denial-of-service (DDOS) attacks. Looking at the inter-arrival time of packets, the power spectrum and the detrended fluctuation analysis of the observed traffic, we show that there is very little sign of long-range dependence. This is in stark contrast to other network traffic and presents exciting possibilities for identifying malicious traffic purely from its traffic profile.     

基于免疫主机的蠕虫非线性传播新模型优化

基于Two-Factor传播模型提出了一种新的QSIRV传播模型,该模型更合理地考虑了被免疫主机的失效性。通过仿真得出,QSIRV模型较Two-Factor模型能够更好地描述蠕虫的传播规律以及传播过程中网络流量和蠕虫流量之间的相互影响,尤其是对免疫后的主机数目变化的仿真更是符合实际情况,同时考虑了已隔离、免疫及被感染主机的数量的影响以及人们对蠕虫传播的警惕性的提高。对QSIRV模型进行了进一步的改进。仿真结果验证,改进后的模型可以更快地遏制蠕虫传播。