网络蠕虫的检测和防治

随着网络系统应用及其复杂性的增加,网络蠕虫已成为网络安全的主要威胁之一。目前的蠕虫传播速度如此之快使得单纯依靠人工手段已无法抑制蠕虫的爆发。本文首先介绍了蠕虫的相关概念,然后详细介绍了当前蠕虫检测的关键技术,最后给出了蠕虫检测技术的总结和展望。     

蠕虫检测技术研究进展

对蠕虫检测技术的进展进行了研究.由于能检测未知蠕虫,异常检测已成为蠕虫检测的重要发展方向.被动检测采用故意设计为有缺陷的系统HoneyPot,用来吸引攻击者、收集攻击信息并进行深度分析.主动检测对正常主机和蠕虫主机的混和流量进行处理,包括基于连接载荷和基于蠕虫行为的检测.分析并讨论了各类方法的特点和适用性,提出目前的检测技术需要更为有效的蠕虫检测指标,并基于正常主机和蠕虫主机在流量自相似性的差异,给出了相应的实时检测指标选择思路.     

网络蠕虫扫描策略和检测技术的研究

随着网络蠕虫的出现,网络的安全性受到极大挑战,许多重要数据遭到破坏和丢失,造成社会财富的巨大浪费,因此,研究网络蠕虫的传播行为和防御策略非常重要。重点研究了网络蠕虫工作机制中的蠕虫扫描和蠕虫检测,介绍了多种扫描策略和检测方法,并给出了各自的优点和不足。随着网络蠕虫复杂性的增加,多态蠕虫已成为新的研究方向。     

混合的结构化良性蠕虫对抗蠕虫过程的建模与分析

由于良性蠕虫可以主动免疫主机,因此使用良性蠕虫来对抗蠕虫传播正成为一种新的应急响应技术.提出了混合的结构化良性蠕虫,设计了它的工作机制以及部署情况.基于传染病模型原理,用数学模型刻画了混合的结构化良性蠕虫对抗蠕虫的传播过程.最后,对于该模型进行了仿真试验.通过仿真结果,总结了影响混合的结构化良性蠕虫对抗蠕虫传播的四个因素:探针探测和探针的蠕虫检测的响应时间,探针的蠕虫检测率和探测率.混合的结构化良性蠕虫对抗蠕虫的传播模型可以使得人们更好地理解良性蠕虫对抗蠕虫的效果.     

高速链路中的蠕虫传播及其可视化研究

在高速链路中蠕虫会以一种无法预料的高速率传播,因此设计一个高效的自动防御系统是十分必要的.这种防御系统的设计需要以高度可信的检测准确度和实时的流量分析为基础.针对这些问题,提出了利用蠕虫的信息流量可视化进行监测.介绍了一个简单巧妙的信息可视化方法,那就是在包的源IP、目标IP和目标端口的三维空间里描绘一个包.用这种可视化方法可以清晰地辨别出蠕虫.基于此性质设计了一个高效的蠕虫检测和分类的规则.     

基于本地网保护的蠕虫防御系统研究

为了阻止外网蠕虫向本地网的传播,设计了一个基于本地网保护的蠕虫防御系统.该系统通过监测外部主机连接本地网的连接强度、端口相似度和失败比率等统计信息预警蠕虫扫描行为和可疑外部主机,通过检测和丢弃来自可疑主机的蠕虫攻击包防御蠕虫向本地网传播.为了提高系统效率和减少系统对正常网络活动的影响,蠕虫攻击包检测采用了源地址跟踪和蠕虫特征匹配两级检测.最后建立了该蠕虫防御系统保护下的本地网蠕虫传播模型,并通过仿真实验验证了系统的有效性.     

基于ARM的嵌入式蠕虫检测系统设计与实现

在分析蠕虫传播机制的基础上,设计并实现了基于主机级别的蠕虫检测系统,并将蠕虫检测系统移植到ARM开发板上,进行蠕虫检测.实验证明,Linux系统进行相关的裁减和编译,烧写到开发板后,能迅速准确地实现网络蠕虫检测和内核态的蠕虫检测系统与用户态的消息交互.     

一种改进的蠕虫检测和遏制算法的仿真和评估

通过对目前几种蠕虫检测和抑制策略的分析比较,提出了一种改进的两轮蠕虫检测和抑制算法,论证了这种算法对快速和慢速蠕虫检测和抑制的有效性,同时考虑了正常网络行为对该算法的影响.大大降低了该算法的误报率.最后,仿真实验分析了该算法在正常网络背景和网络拥堵背景下的检测蠕虫效果,证明了该算法策略能够高效地检测和抑制蠕虫.同时具有较好的低误报性.     

分布式蠕虫检测与主动防御系统的研究与实现

以建立一个实时检测、主动防御网络蠕虫攻击的安全系统为目标,对蠕虫检测与主动防御技术进行了深入的研究,讨论了Aegis模型,探讨了利用snort进行蠕虫误用检测的研究思路和实现方法.仿真实验结果表明,Aegis系统具有良好的自适应性和开放式结构,有效地结合了蠕虫检测与主动防御技术,对蠕虫攻击具有高检测率和低误报率,并能及时有效的防范蠕虫危机.     

基于sFlow技术的园区网蠕虫病毒侦测系统

蠕虫病毒是网络的主要威胁之一.实时流量采集和分析对于快速侦测和定位已感染蠕虫病毒的计算机具有重要意义.常见的蠕虫病毒监测方法如IDS和Sniff等,都存在难以全网监控、无法快速定位伪造IP地址的病毒源的缺点.分析了多种网络流量采集技术的优缺点,重点介绍了sFlow技术,并基于sFlow技术设计实现了一套园区网蠕虫病毒快速侦测系统.