分布式蠕虫检测与主动防御系统的研究与实现

以建立一个实时检测、主动防御网络蠕虫攻击的安全系统为目标,对蠕虫检测与主动防御技术进行了深入的研究,讨论了Aegis模型,探讨了利用snort进行蠕虫误用检测的研究思路和实现方法.仿真实验结果表明,Aegis系统具有良好的自适应性和开放式结构,有效地结合了蠕虫检测与主动防御技术,对蠕虫攻击具有高检测率和低误报率,并能及时有效的防范蠕虫危机.     

群体智能化蠕虫的扫描与隐蔽攻击模型研究

研究蠕虫的智能化特征,为遏制蠕虫的传播及网络入侵检测提供重要的指导.当前对蠕虫的研究主要以传播模型、传播速度等显性特征为主,而最新蠕虫表现出的智能化与隐蔽性,使得入侵指纹难以确定,给蠕虫检测带来了困难.针对该类蠕虫的特性与网络分布特征,提出了一种新的具备群体智能的蠕虫扫描算法与隐蔽攻击模型.该模型的创新之处在于引入参数...     

基于本地网保护的蠕虫防御系统研究

为了阻止外网蠕虫向本地网的传播,设计了一个基于本地网保护的蠕虫防御系统.该系统通过监测外部主机连接本地网的连接强度、端口相似度和失败比率等统计信息预警蠕虫扫描行为和可疑外部主机,通过检测和丢弃来自可疑主机的蠕虫攻击包防御蠕虫向本地网传播.为了提高系统效率和减少系统对正常网络活动的影响,蠕虫攻击包检测采用了源地址跟踪和蠕虫特征匹配两级检测.最后建立了该蠕虫防御系统保护下的本地网蠕虫传播模型,并通过仿真实验验证了系统的有效性.     

一种混合的网络蠕虫检测方法

提出一种综合采用网络蠕虫行为检测和网络蠕虫反馈检测的混合蠕虫检测方法.在网络蠕虫行为检测方面,将一个局域网作为一个访问模型对于蠕虫进行检测.在网络反馈蠕虫检测方面,利用网络对于蠕虫攻击反馈的信息作为网络反馈检测方法的特征.然后,通过CUSUM(Cumu lative Sum)算法将以上两种检测方法综合考虑来提高网络蠕虫检测的准确性.实验结果表明本文提出的方法可以准确高效地检测网络蠕虫.     

基于蠕虫攻击模型和语义分析的特征码自动提取

传统手工提取蠕虫的特征串需要很长时间,而基于串模式分析自动提取的虚警率和漏警率始终不太理想.该文提出了一种基于蠕虫攻击模型的语义分析特征提取法.该方法基于蠕虫攻击模型先验知识,自动识别蠕虫代码各个功能部分,将蠕虫攻击的必用部分作为蠕虫的特征串,提出了蠕虫攻击的通用模型OSJUMP.基于该模型,证明了基于语义提取蠕虫特征的有效性,给出了一种基于语义的蠕虫特征自动提取算法.对Red Code等各种实际蠕虫进行测试,结果显示自动提取生成的蠕虫特征值和安全厂商手工分析提供的特征值具有很大的可比性.     

新型蠕虫病毒--"SQL杀手"的分析和防范

"SQL Slammer"蠕虫在Windows系统中通过网络进行传播,该蠕虫利用Microslft SQL Server2000的缓冲区溢出漏洞获得系统控制权.蠕虫产生大量随机IP地址进行攻击,导致蠕虫的讯速传播并且形成整个互联网范转内的拒绝服务攻击,网络带宽大量被占用.本文讨论了其运行机制以及检测和清除方法.     

蠕虫攻击的分析与即时检测方法研究

对蠕虫的基本程序结构进行分析并对蠕虫的传播步骤进行阐述,根据蠕虫攻击的特点,提出一个即时检测蠕虫攻击的方案,该方案将实际主机间的通信情况映射为通信图,通过对通信图的处理达到准确、快速检测蠕虫攻击的目的.     

基于阴性选择的网络蠕虫抑制模型

基于免疫系统的阴性选择机制,提出一种网络蠕虫抑制模型。通过主机的程序行为异常,检测蠕虫攻击并及时响应,允许主机进行大部分的正常网络通信,防止蠕虫通过主机继续传播。主机发出基于阴性选择过滤的网络服务请求,依据蠕虫的传播特征,网络主机之间相互协同,推断蠕虫所攻击的服务并进行限制。实验结果表明,该模型能有效检测并抑制传统蠕虫及拓扑蠕虫等传播隐秘的新型蠕虫。     

"冲击波"蠕虫的分析和防范

"冲击波"蠕虫利用Windows系统的RPC漏洞下载并执行蠕虫代码,并对发布补丁程序的微软网站进行拒绝服务攻击.蠕虫感染局域网和Internet上的其他Windows系统,使被攻击主机的RPC服务崩溃.本文讨论了其运行机制以及检测和清除方法.对近2年中的3种典型的蠕虫进行了对比,指出了消极防御措施的不足和采取主动式防御措施的必要性.     

分布式网络主动防御系统研究

针对DDOS和蠕虫的特点,提出了一种NeTraMet和QOS相结合的主动防御机制,实现对DDOS和蠕虫经济高效的防治.在蠕虫检测上考虑了无特征蠕虫和有特征蠕虫两种情况;一般基于流量的DDOS检测方法预警时,网络实际已经受到一定程度的攻击而且发生阻塞,为了能够更早预警DDOS攻击,提高网络生存性,在DDOS检测中提出了可疑流量线,当流量达到可疑流量和攻击流量之间时,就启动防御机制,利用路由器的QOS功能,尽量减少攻击流的消耗带宽,维持网络正常服务.最后在NS2中进行模拟验证.     

基于搜索引擎蠕虫的分析与检测

目前,蠕虫已经成为了互联网络安全的最大威胁,蠕虫攻击、扫描技术经过不断的发展和改进,已经日趋智能化、隐蔽化。搜索引擎被人们用来在Internet上检索感兴趣的东西,同样也会被蠕虫利用进行攻击和传播。利用互联网络的搜索引擎进行攻击和传播的蠕虫,实现了隐蔽、小流量、准确地传播。文章首先分析了这类基于搜索引擎的蠕虫的特征,然后提出了用户检索模型和异常判定算法,经过实验证明,此种检测方法确实高效可行。     

基于网络行为模糊模式识别的蠕虫检测方法

网络蠕虫攻击由于危害大、攻击范围广、传播速度快而成为因特网危害最大的攻击方式之一.如何有效地检测网络蠕虫攻击是当前网络安全研究领域的一个重要方向.通过对网络蠕虫攻击行为的分析和研究,提出了一种根据蠕虫爆发时产生的典型网络行为来检测未知蠕虫的方法.该算法通过分别学习正常主机和受感染主机的网络行为建立相应的标准分类模糊子集,然后利用模糊模式识别法判定待测主机是否感染蠕虫.最后进行实验验证,结果表明,该方法对未知扫描类蠕虫有较好的检测效果.     

一种基于传播特征的蠕虫检测方法

随着计算机网络技术的飞速发展,网络蠕虫攻击成为目前影响网络安全的一个重要问题。实时监视网络蠕虫攻击,特别是在蠕虫传播早期检测到蠕虫,以采取相应的防御措施,减少蠕虫传播和攻击造成的损失变得尤为重要。通过分析网络蠕虫在传播过程中具有扩散性、链型以及传输数据相似等特征,提出了一种基于蠕虫传播特征的检测方法。实验结果表明:该检测方法在一定程度上降低了蠕虫检测的漏报率和错误率,对未知蠕虫具有较好的检测能力。     

基于传播特性的蠕虫检测方法

随着计算机网络技术的飞速发展,网络蠕虫攻击成为目前影响网络安全的一个重要问题。实时监视网络蠕虫攻击,特别是在蠕虫传播早期检测到蠕虫,以采取相应的防御措施,减少蠕虫传播和攻击造成的损失变得尤为重要。通过分析网络蠕虫在传播过程中具有扩散性、链型以及传输数据相似等特征,提出了一种基于蠕虫传播特征的检测方法。实验结果表明:该检测方法在一定程度上降低了蠕虫检测的漏报率和错误率,对未知蠕虫具有较好的检测能力。     

基于僵尸蜜网的蠕虫传播模型的研究与仿真

网络蠕虫攻击在各种网络安全威胁因素中位居首位,虽然现今已有一些成熟的入侵检测技术,但不足以应对复杂多变的蠕虫攻击。针对网络中蠕虫存在相互合作的复杂关系,该文提出了在僵尸蜜网的拓扑结构下,采用P2P技术的良性蠕虫对抗合作型蠕虫传播模型,良性蠕虫利用分片传输机制来实现自主、快速的查杀恶意蠕虫,为易感染主机修补漏洞。实验结果证明基于僵尸蜜网的良性蠕虫查杀合作型蠕虫的方法效果良好。     

蠕虫检测技术研究进展

对蠕虫检测技术的进展进行了研究.由于能检测未知蠕虫,异常检测已成为蠕虫检测的重要发展方向.被动检测采用故意设计为有缺陷的系统HoneyPot,用来吸引攻击者、收集攻击信息并进行深度分析.主动检测对正常主机和蠕虫主机的混和流量进行处理,包括基于连接载荷和基于蠕虫行为的检测.分析并讨论了各类方法的特点和适用性,提出目前的检测技术需要更为有效的蠕虫检测指标,并基于正常主机和蠕虫主机在流量自相似性的差异,给出了相应的实时检测指标选择思路.     

基于失败连接流量偏离度的蠕虫早期检测方法

通过分析网络蠕虫攻击的特点，定义了能够反映蠕虫攻击特征的失败连接流量偏离度（FCFD）的概念，并提出了一种基于FCFD时间序列分析的蠕虫早期检测方法。该方法利用小波变换对FCFD时间序列进行多尺度分析，利用高频分量模极大值进行奇异点检测，从而发现可能的蠕虫攻击。同时给出了一种基于失败连接分析的蠕虫感染主机定位和蠕虫扫描特征提取方法。实验结果显示，该方法能够有效检测未知蠕虫的攻击。和已有方法相比，该方法具有更高的检测效率和更低的误报率。     

新型工业控制系统勒索蠕虫威胁与防御

工业控制系统（ICS）的大规模攻击对于电力生产、输配电、石油化工、水处理和传输等涉及国计民生的关键基础设施是一个巨大的威胁,目前提出的针对ICS的勒索蠕虫受限于工控网络隔离的特性,难以大规模传播。基于观察到的ICS实际开发场景,针对ICS高度隔离化的问题,提出一种基于新的攻击路径的勒索蠕虫威胁模型。此威胁模型首先将工程师站作为初次感染目标,然后以工程师站作为跳板,对处于内部网络的工业控制设备进行攻击,最后实现蠕虫式感染和勒索。基于此威胁模型,实现了ICSGhost——一种勒索蠕虫原型。在封闭的实验环境中,ICSGhost能够以预设的攻击路径对ICS进行蠕虫式感染;同时,针对该勒索蠕虫威胁,讨论了防御方案。实验结果表明此种威胁切实存在,并且由于其传播路径基于ICS实际的开发场景,较难检测和防范。     

网络蠕虫主动抑制算法的改进性策略研究

通过对目前几种蠕虫检测和抑制策略的分析比较,提出了一种改进性双轮蠕虫检测和抑制算法,论证了这种算法对普通蠕虫扫描攻击和隐蔽性蠕虫攻击的检测和抑制有效性,同时考虑了正常网络行为的误用性对该算法的影响,大大降低了该算法的误报率。最后,仿真实验分析了该算法在正常网络背景和网络拥堵背景下的检测蠕虫效果,证明了该算法策略能够高效地检测和抑制蠕虫,同时具有较好的低误报性。     

动态环境下的主动蠕虫攻击分析

鉴于当前很少有传播模型充分考虑到P2P节点动态特征对主动蠕虫攻击的影响, 提出两个动态环境下的主动蠕虫传播模型。分析了主动蠕虫两种常见的攻击方式, 给出了相应攻击背景下的节点状态转换过程, 在综合考虑P2P节点动态特征的基础上提出了两种主动蠕虫传播模型, 并对所提出的模型进行了数值分析, 探讨动态环境下影响主动蠕虫传播速度的关键因素。实验结果表明, 通过提高P2P节点的离线率和免疫力可以有效地抑制主动蠕虫对P2P网络的攻击。