基于能量特征和支持向量机的网络蠕虫检测方法

根据网络蠕虫攻击的特点，建立了能够反映蠕虫扫描特征的失败连接流量(FCT)时间序列，提出了一种基于FCT时间序列小波包能量特征和支持向量机(SVM)的蠕虫检测新方法。该方法利用小波包分析计算FCT时间序列在各频带投影序列的能量分布，获得能够表征蠕虫扫描的特征向量，使用经过样本训练的SVM分类器进行分类，实现蠕虫攻击扫描的自动检测。实验结果表明，该方法能够比较准确地检测蠕虫攻击，和理论值相比，漏报率低于6%，误报率低于1%。     

基于主机级别的蠕虫检测系统设计及实现

在分析蠕虫传播机制基础上,利用Linux内核态的Netfilter框架,以基于FCC(FirstContact Connections,第一次连接)失败概率和重尾特性的蠕虫检测算法为核心,设计并实现了基于主机级别的蠕虫检测系统,达到了降低误报率的目的.实验证明,该系统高效可行,能够迅速准确地检测出内网的蠕虫主机.     

基于支持向量机的蠕虫检测技术

本文依据蠕虫扫描时会产生FCC失败连接概率高和FCC连接速度快这两个网络行为,通过使用支持向量机分别学习正常主机和受蠕虫感染主机的训练样本集,然后使用训练后的分类器对待测主机进行分类,实现了蠕虫攻击的自动检测,并进行了实验验证。实验结果表明,该方法对未知扫描类蠕虫有较好的检测效果。     

蠕虫检测技术研究进展

对蠕虫检测技术的进展进行了研究.由于能检测未知蠕虫,异常检测已成为蠕虫检测的重要发展方向.被动检测采用故意设计为有缺陷的系统HoneyPot,用来吸引攻击者、收集攻击信息并进行深度分析.主动检测对正常主机和蠕虫主机的混和流量进行处理,包括基于连接载荷和基于蠕虫行为的检测.分析并讨论了各类方法的特点和适用性,提出目前的检测技术需要更为有效的蠕虫检测指标,并基于正常主机和蠕虫主机在流量自相似性的差异,给出了相应的实时检测指标选择思路.     

企业内网蠕虫感染的快速检测方法

面对蠕虫病毒迅速增长的传播速度和破坏能力,蠕虫检测和响应系统必须能够在很短的时间内准确识别蠕虫病毒并采取有效隔离手段。该文提出了一种基于反向连续性假设测试的蠕虫感染快速检测方法,该方法主要结合使用了现有的两种技术:连续性假设测试和连接速率限制。实验测试表明,这种方法能有效地限制蠕虫病毒完成扫描和进一步感染,对减缓蠕虫病毒扩散具有较好的效果,并且误报率较低。     

网络蠕虫主动抑制算法的改进性策略研究

通过对目前几种蠕虫检测和抑制策略的分析比较,提出了一种改进性双轮蠕虫检测和抑制算法,论证了这种算法对普通蠕虫扫描攻击和隐蔽性蠕虫攻击的检测和抑制有效性,同时考虑了正常网络行为的误用性对该算法的影响,大大降低了该算法的误报率。最后,仿真实验分析了该算法在正常网络背景和网络拥堵背景下的检测蠕虫效果,证明了该算法策略能够高效地检测和抑制蠕虫,同时具有较好的低误报性。     

一种基于传播特征的蠕虫检测方法

随着计算机网络技术的飞速发展,网络蠕虫攻击成为目前影响网络安全的一个重要问题。实时监视网络蠕虫攻击,特别是在蠕虫传播早期检测到蠕虫,以采取相应的防御措施,减少蠕虫传播和攻击造成的损失变得尤为重要。通过分析网络蠕虫在传播过程中具有扩散性、链型以及传输数据相似等特征,提出了一种基于蠕虫传播特征的检测方法。实验结果表明:该检测方法在一定程度上降低了蠕虫检测的漏报率和错误率,对未知蠕虫具有较好的检测能力。     

基于传播特性的蠕虫检测方法

随着计算机网络技术的飞速发展,网络蠕虫攻击成为目前影响网络安全的一个重要问题。实时监视网络蠕虫攻击,特别是在蠕虫传播早期检测到蠕虫,以采取相应的防御措施,减少蠕虫传播和攻击造成的损失变得尤为重要。通过分析网络蠕虫在传播过程中具有扩散性、链型以及传输数据相似等特征,提出了一种基于蠕虫传播特征的检测方法。实验结果表明:该检测方法在一定程度上降低了蠕虫检测的漏报率和错误率,对未知蠕虫具有较好的检测能力。     

基于漏洞的蠕虫特征自动提取技术研究

提出一种新的基于漏洞的蠕虫特征,其区别于传统的基于语法或语义分析的技术,对蠕虫攻击的漏洞特征进行分析,将该算法应用于检测系统中。通过实验证明,该检测系统能有效地检测出各种多态变形蠕虫。     

基于本地网保护的蠕虫防御系统研究

为了阻止外网蠕虫向本地网的传播,设计了一个基于本地网保护的蠕虫防御系统.该系统通过监测外部主机连接本地网的连接强度、端口相似度和失败比率等统计信息预警蠕虫扫描行为和可疑外部主机,通过检测和丢弃来自可疑主机的蠕虫攻击包防御蠕虫向本地网传播.为了提高系统效率和减少系统对正常网络活动的影响,蠕虫攻击包检测采用了源地址跟踪和蠕虫特征匹配两级检测.最后建立了该蠕虫防御系统保护下的本地网蠕虫传播模型,并通过仿真实验验证了系统的有效性.     

Using artificial neural networks to detect unknown computer worms

Detecting computer worms is a highly challenging task. We present a new approach that uses artificial neural networks (ANN) to detect the presence of computer worms based on measurements of computer behavior. We compare ANN to three other classification methods and show the advantages of ANN for detection of known worms. We then proceed to evaluate ANN’s ability to detect the presence of an unknown worm. As the measurement of a large number of system features may require significant computational resources, we evaluate three feature selection techniques. We show that, using only five features, one can detect an unknown worm with an average accuracy of 90%. We use a causal index analysis of our trained ANN to identify rules that explain the relationships between the selected features and the identity of each worm. Finally, we discuss the possible application of our approach to host-based intrusion detection systems.     

基于有向图分析的蠕虫早期检测方法

网络蠕虫给互联网带来了巨大的损失,实践证明,越早发现蠕虫的传播行为,就越有利于对蠕虫的遏制。首先分析了网络蠕虫早期传播的特征,然后借鉴GrIDS入侵检测系统的图分析思想,提出了一种利用有向图对网络蠕虫早期传播行为进行检测的蠕虫早期检测方法,并设计了有向图分析算法,对网络蠕虫与P2P应用、网络扫描以及突发访问等类网络蠕虫行为进行了准确识别。实验证明,可以准确检测网络蠕虫的早期传播行为,并定位蠕虫源主机。     

一种混合的网络蠕虫检测方法

提出一种综合采用网络蠕虫行为检测和网络蠕虫反馈检测的混合蠕虫检测方法.在网络蠕虫行为检测方面,将一个局域网作为一个访问模型对于蠕虫进行检测.在网络反馈蠕虫检测方面,利用网络对于蠕虫攻击反馈的信息作为网络反馈检测方法的特征.然后,通过CUSUM(Cumu lative Sum)算法将以上两种检测方法综合考虑来提高网络蠕虫检测的准确性.实验结果表明本文提出的方法可以准确高效地检测网络蠕虫.     

动态环境下的主动蠕虫攻击分析

鉴于当前很少有传播模型充分考虑到P2P节点动态特征对主动蠕虫攻击的影响, 提出两个动态环境下的主动蠕虫传播模型。分析了主动蠕虫两种常见的攻击方式, 给出了相应攻击背景下的节点状态转换过程, 在综合考虑P2P节点动态特征的基础上提出了两种主动蠕虫传播模型, 并对所提出的模型进行了数值分析, 探讨动态环境下影响主动蠕虫传播速度的关键因素。实验结果表明, 通过提高P2P节点的离线率和免疫力可以有效地抑制主动蠕虫对P2P网络的攻击。     

一种改进的多态蠕虫特征提取算法

大多数多态蠕虫特征提取方法不能很好地处理噪音,提取出的蠕虫特征无法对多态蠕虫进行有效检测。为此,提出一种改进的多态蠕虫特征提取算法。采用Gibbs算法从包含n条序列(包括k条蠕虫序列)的可疑流量池中提取出蠕虫特征,在识别蠕虫序列的过程中基于color coding技术提高算法的运行效率。仿真实验结果表明,该算法能够减少时间和空间开销,即使可疑池中存在噪音,也能有效地提取多态蠕虫。     

基于无尺度易感应用网络的拓扑蠕虫传播模型

分析了基于无尺度易感应用网络的拓扑蠕虫的传播特性，包括其感染整个应用网络所需要的传播时间和其在传播过程中对相关主机和网络资源的占用情况等。通过与扫描蠕虫相比较，分析出该类拓扑蠕虫传播时间更短，并且在传播过程中具有更好的隐蔽性，在实施最终攻击前很难被检测，从而使其对网络和主机具有更大威胁。针对这种威胁，文章提出了几种用于检测和防御基于无尺度网络应用拓扑蠕虫的可能方法。     

蠕虫预警及非线性传播模型优化

目前已有一些蠕虫检测系统利用蠕虫传播特性进行检测,误报率高,不能对大范围网络进行检测。为此,首先对蠕虫传播模型进行了分析和优化,提出了新蠕虫分布式传播模型。针对该模型提出了分布式蠕虫检测技术,亦即采用基于规则的检测方法监控网络蠕虫,控制台管理和协调多个检测端的工作。实验结果表明,该方法能够很好地预警蠕虫的传播行为并进行监控和报警,具有高检测率和低误报率。     

基于ISP分布的网络蠕虫检测系统

传统的通过追踪TCPSYN包来发现蠕虫扫描源的方法需要耗费探测点大量的存储和计算资源。基于ISP分布,提出了一种通过检测TCPRESET包来发现扫描源的网络蠕虫早期检测系统。它能够检测疑似网络蠕虫,防御伪造攻击,在正常和模拟蠕虫扫描情况下分别能够减轻探测点59.4%和28.9%的负荷。