基于卡尔曼滤波的Internet蠕虫预警系统研究

当前INTERNET蠕虫的频频爆发,使得蠕虫传播成为网络安全的焦点问题。文中结合INTERNET蠕虫的传播模型,提出了通过卡尔曼滤波估计蠕虫的传染率,从而推断网络上是否有新蠕虫传播的INTERNET蠕虫预警系统,并进行了仿真分析。仿真结果表明采用卡尔曼滤波是进行INTERNET蠕虫预警的一种有效方法。     

P2P网络中蠕虫传播与防治模型的研究

本文提出了一种P2P网络主动蠕虫的传播模型。同时，针对不同结构的P2P网络拓扑，给出了各自的用良性蠕虫对抗恶性蠕虫的防治策略和防治模型，并在Matlab环境下对这些模型进行了仿真，评估了P2P网络蠕虫传播的特点以及蠕虫防治效果的优劣。     

P2P网络中蠕虫传播与防治模型的研究

本文提出了一种P2P网络主动蠕虫的传播模型。同时，针对不同结构的P2P网络拓扑，给出了各自的用良性蠕虫对抗恶性蠕虫的防治策略和防治模型，并在Matlab环境下对这些模型进行了仿真，评估了P2P网络蠕虫传播的特点以及蠕虫防治效果的优劣。     

一种基于防火墙的蠕虫传播与控制模型

防火墙对网络蠕虫传播影响的研究，主要集中在单一子网或小规模企业网范围内，针对多子网网络环境下防火墙对网络蠕虫传播的控制作用，提出了基于防火墙的蠕虫传播与控制模型．通过分析网络蠕虫在各子网内传播以及子网间交互传播，利用防火墙减小各子网间蠕虫的交互感染率，使网络蠕虫的传播得到抑制．利用该模型仿真了均匀扫描蠕虫和本地扫描蠕虫在防火墙网络中的传播．结果表明，防火墙对均匀扫描蠕虫的控制效果比较好；对于本地扫描蠕虫，当本地扫描概率较大时，防火墙的作用相对比较差，与实际情况相符．     

三种构建无尺度蠕虫网络的蠕虫传播模型

鉴于无尺度网络的健壮性和小世界特性是蠕虫网络的理想特征,提出以无尺度网络的形式构建蠕虫网络。结合蠕虫的传播特性,设计了三种构建无尺度蠕虫网络的蠕虫传播模型。传播模型基于蠕虫网络中节点的度数、适应度等参量,选择合适的蠕虫节点与网络中新感染蠕虫的主机建立连接。理论分析和模拟实验表明,传播模型所生成的蠕虫网络为无尺度网络。     

基于用户行为和网络拓扑的Email蠕虫传播

通过分析用户行为规律和电子邮件网络拓扑特征,提出了能够准确描述Email蠕虫传播特性的仿真算法。首先,基于Enron Email数据集构建了能够表征Email网络特点的仿真环境,实验结果验证了仿真算法能够准确地体现Email蠕虫传播特性。然后从理论和实验两方面分析验证了关键节点被感染后会加速蠕虫的传播的结论,并讨论了不同防护措施对蠕虫传播的抑制效果。最后建立了Email蠕虫传播数学解析模型(Topo-SIS),与仿真结果的比较表明,该模型能够较好地预测Email蠕虫的传播规模。     

基于节点自杀的对等网络蠕虫防治方法

结合P2P网络的特点,提出了基于节点自杀的P2P蠕虫防治方法。基于主动探测P2P蠕虫检测方法是一套分布式系统,该系统依赖于分散在P2P网络中的探测节点来收集和分析P2P蠕虫流量,从而建立P2P蠕虫的流量特征,并用于对P2P蠕虫的识别。基于节点自杀的P2P蠕虫防治方法首先采用节点污染技术,将具备蠕虫检测和防御能力的节点分散在P2P蠕虫传播网络中。当这些具备检测功能的节点发现可疑的蠕虫传播流量时,采用自杀方式退出P2P网络,并将相关信息向自己的邻居节点进行通告,从而可有效遏制P2P蠕虫的快速传播。     

基于节点异质度分析的蠕虫遏制方法研究

分析了自传播蠕虫的行为特性,对网络节点异(同)质度、拓扑区隔度进行定义及量化。在此基础上,提出了基于拓扑区隔度优化的蠕虫遏制方法,通过增大拓扑区隔度以达到抑制蠕虫传播速度的目的。提出了基于网络监测的良性蠕虫主动对抗方法,将良性蠕虫的扫描范围限定于高危易感主机群,从而更好地兼顾了蠕虫遏制有效性和网络资源消耗低两个方面的优势。采用matlab7.0对上述方法进行了仿真验证,仿真结果表明,以上方法均具有较好的蠕虫遏制效果。     

网络蠕虫传播建模分析

概述了当前几种常用的蠕虫病毒传播模型,具体分析了随着因特网体系结构的演化,网络中NAT等设施的出现对蠕虫病毒传播带来的影响。针对传统模型在描述病毒传播过程中的一些不足,对一种解析主动蠕虫病毒传播模型进行了改进,提出了蠕虫病毒的两阶段传播模型。仿真结果与CAIDA实际测量的Red Code v2传播数据相比较表明,改进后的模型能更好地描述病毒的传播规律。     

基于多监测点的蠕虫感染率的自回归估计

网络的应用给蠕虫提供了传播环境，蠕虫成为网络安全的重要威胁。文中提出了一种基于多监测点的蠕虫感染率的自回归估计方法，该方法侧重时间感染率估计从而为监测预警提供参考信息，确定了基于估计方差的预警门限，给出了预警时刻和监测点数量的关系。仿真试验结果表明，这种方法能有效地对蠕虫感染进行预警。     

Immunity Based Worm Detection System

Current worm detection methods are unable to detect multi-vector polymorphic worms effectively. Based on negative selection mechanism of the immune system, a local network worm detection system that detects worms was proposed. Normal network service requests were represented by self-strings, and the detection system used self-strings to monitor the network for anomaly. According to the properties of worm propagation, a control center correlated the anomalies detected in the form of binary trees to ensure the accuracy of worm detection. Experiments show the system to be effective in detecting the traditional as well as multi-vector polymorphic worms.     

P2P文件共享网络中被动蠕虫传播建模与分析

为了抑制P2P被动型蠕虫在大规模P2P文件共享网中的传播和攻击,对P2P网络中文件共享的特点和被动型蠕虫传播的特点进行了深入的分析,并在此基础上提出了3个分别适用于蠕虫传播不同阶段的传播模型。为了证明模型的正确性,进行了大规模仿真实验。使用专门的数值分析工具求出相应模型的理论值。为了仿真大规模P2P文件共享网,专门基于P2P仿真平台开发出能真实模拟流行P2P文件共享网的软件并基于该软件进行了仿真。理论值与仿真值匹配的事实表明,该模型基本上反映了蠕虫的传播情况,可以用来预测蠕虫的传播趋势和行为。     

应用改进的V-detector算法检测蠕虫

通过分析主机感染蠕虫后网络流量特性的变化，基于免疫系统的阴性选择机制，提出了一种蠕虫检测方法。首先改进了可变半径实值阴性选择算法V-detector，改进策略是在检测器生成过程中根据非自体空间的分布产生具有尽可能大覆盖范围的检测器。改进算法与原算法相比，所生成的检测器集合中检测器的数量大幅度下降，检测效率提高。应用改进的V-detector算法生成检测器集合监控主机的网络流量特性，以检测蠕虫攻击。实验结果表明，该方法能有效检测传统蠕虫及多维传播的多态蠕虫。     

新型网络蠕虫特征分析及防御策略

在分析蠕虫发展演化的基础上，归纳了新型网络蠕虫的实体结构和功能结构特征，并对其防御策略进行了初步探讨，提出了网络蠕虫免疫防范的基本原理和实现方案。     

Grid-based internet worm behavior simulator

The traditional network simulator has function and performance limitation when simulating Internet worms,so we designed the grid-based Internet worm behavior simulator (IWBS Grid).IWBS Grid makes use of the real Internet topology,link and routing information,and simulates the worm behavior at the packet event-driven level;and proposes a high-performance Internet worms behavior simulation platform by right of the grid computing capability,resource and task management,and so on.The experimental results show that IWBS grid surpasses the traditional simulator in simulating capability,and the technology to track the worm propagation in packet level can propose the valuable information for the further study on worms.     

混合目标发现策略蠕虫的传播特性建模与分析

针对蠕虫演变的过程与病毒技术现状,提出了一种混合目标发现策略蠕虫的传播特性模型.通过GTNetS仿真工具对这一新模型的传播特性仿真,与CAIDA实际测量的RedCode v2传播数据相比较,表明改进后的模型能更好地描述病毒的传播规律,并显示出快速传播和持久感染的特征.该模型从创建新型蠕虫传播模型出发,与以往模拟已有蠕虫特征不同.混合目标发现策略蠕虫在发现模块和激活模块有较好的改进,能够有效提高传播效率,降低无效攻击,降低蠕虫被检测清除速率.     

基于最小二乘法的网络蠕虫检测方法

分析了网络蠕虫的生命周期和传播模型,根据蠕虫的特性提出一种新的蠕虫检测方法,该方法首先监测网络上各主机的连接度,得到疑似感染蠕虫主机的数量.然后利用最小二乘法判别疑似感染蠕虫主机的数量变换是否符合蠕虫的传播模型.实验证明,该检测方法能够快速有效地检测出未知网络蠕虫的爆发.