基于多测度约束的快速蠕虫传播源定位算法研究

近年来频繁爆发的大规模网络蠕虫对Internet的整体安全构成了巨大的威胁,已经造成了巨额的经济损失,新的变种仍在不断出现。目前对于蠕虫的监测与响应都是事后与人工的。本文提出了一种新的基于模式发现的多测度蠕虫快速定位方法,通过源地址活跃度、目标地址离散度和响应度准则等多个测度对监测目标网络已知和未知蠕虫的活动进行快速定位。基于本文的方法在应用中能以较低的资源代价发现未知的蠕虫传播并进行快速源定位。此外为提高算法的效率,本文研究了一种基于双页表结构的攻击树构建方法。     

未知蠕虫自动检测技术研究

现有蠕虫检测系统的误报率较高。为此,提出未知蠕虫自动检测技术。利用多维蠕虫异常检测方法发现未知蠕虫,使用跳跃式多特征串提取方法得到未知蠕虫的特征串集合,并生成相应的特征检测规则,实现未知蠕虫的自动检测。实验结果证明,该技术能够成功发现新型蠕虫,具有较高的蠕虫检测率和较低的误报率。     

基于蠕虫攻击模型和语义分析的特征码自动提取

传统手工提取蠕虫的特征串需要很长时间,而基于串模式分析自动提取的虚警率和漏警率始终不太理想.该文提出了一种基于蠕虫攻击模型的语义分析特征提取法.该方法基于蠕虫攻击模型先验知识,自动识别蠕虫代码各个功能部分,将蠕虫攻击的必用部分作为蠕虫的特征串,提出了蠕虫攻击的通用模型OSJUMP.基于该模型,证明了基于语义提取蠕虫特征的有效性,给出了一种基于语义的蠕虫特征自动提取算法.对Red Code等各种实际蠕虫进行测试,结果显示自动提取生成的蠕虫特征值和安全厂商手工分析提供的特征值具有很大的可比性.     

蠕虫病毒特征码自动提取原理与设计

目前网络入侵检测系统(NIDS)主要利用特征码检测法来监测与阻止网络蠕虫,而蠕虫特征码提取仍是效率低的人工过程。为解决这个问题提出了基于陷阱网络的蠕虫特征码自动提取思想,介绍了原型系统的体系结构和主要算法。该系统利用数据包负载中出现频率高的字符串来提取蠕虫特征码。最后通过实验结果分析算法主要参数对系统的影响。     

基于候选组合频繁模式的骨干网蠕虫检测研究

现有的网络蠕虫检测方法大多都是基于包的检测,针对骨干网IP流检测的研究较少,同时也不能很好地描述蠕虫的攻击模式。为此研究了一种在骨干网IP流数据环境下的蠕虫检测方法,通过流活跃度增长系数和目的地址增长系数定位可疑源主机,接着采用基于候选组合频繁模式的挖掘算法(CCFPM),将候选频繁端口模式在FP树路径中进行匹配来发现蠕虫及其攻击特性,实验证明该方法能快速地发现未知蠕虫及其端口扫描模式。     

基于特征提取的未知蠕虫攻击防御模型设计

本文提出了一种基于特征提取的蠕虫攻击防御模型,该模型能早期检测蠕虫攻击流量,提取未知蠕虫的代码特征片断,动态更新入侵检测系统规则库.本文给出了整体模型及组成功能模块的详细设计.     

基于彩色编码的多态蠕虫特征自动提取方法

快速而准确地提取蠕虫特征对于有效防御多态蠕虫的传播至关重要,但是目前的特征产生方法在噪音干扰下无法产生正确的蠕虫特征.提出基于彩色编码的特征自动提取算法CCSF(color coding signature finding)来解决有噪音干扰情况下的多态蠕虫特征提取问题.CCSF算法将可疑池中的n条序列分成m组,然后运用彩色编码对每组序列进行特征提取.通过对每组提取出来的特征集合进行过滤筛选,最终产生正确的蠕虫特征.采用多类蠕虫对CCSF算法进行测试,并与其他蠕虫特征提取方法进行比较,结果表明,CCSF算法能够在有噪音干扰的条件下准确地提取出多态蠕虫的特征,该特征不包含碎片,易于应用到IDS(intrusion detection system)中对多态蠕虫进行检测.     

基于传播特性的蠕虫检测方法

随着计算机网络技术的飞速发展,网络蠕虫攻击成为目前影响网络安全的一个重要问题。实时监视网络蠕虫攻击,特别是在蠕虫传播早期检测到蠕虫,以采取相应的防御措施,减少蠕虫传播和攻击造成的损失变得尤为重要。通过分析网络蠕虫在传播过程中具有扩散性、链型以及传输数据相似等特征,提出了一种基于蠕虫传播特征的检测方法。实验结果表明:该检测方法在一定程度上降低了蠕虫检测的漏报率和错误率,对未知蠕虫具有较好的检测能力。     

一种基于传播特征的蠕虫检测方法

随着计算机网络技术的飞速发展,网络蠕虫攻击成为目前影响网络安全的一个重要问题。实时监视网络蠕虫攻击,特别是在蠕虫传播早期检测到蠕虫,以采取相应的防御措施,减少蠕虫传播和攻击造成的损失变得尤为重要。通过分析网络蠕虫在传播过程中具有扩散性、链型以及传输数据相似等特征,提出了一种基于蠕虫传播特征的检测方法。实验结果表明:该检测方法在一定程度上降低了蠕虫检测的漏报率和错误率,对未知蠕虫具有较好的检测能力。     

基于主动防御模式下蠕虫病毒特征码的提取模型及算法设计

从一般的网络攻击技术出发,分析现有网络安全技术的弱点,采用主动防御的新思想来应对当前反病毒技术远远落后病毒技术发展的局面。重点对基于动态陷阱生成技术的蠕虫病毒特征码的自动提取进行研究,对收集的新型蠕虫病毒特征扩充IDS的特征库,弥补入侵检测系统对未知病毒攻击无法识别问题,完善防御系统。     

基于搜索引擎蠕虫的分析与检测

目前,蠕虫已经成为了互联网络安全的最大威胁,蠕虫攻击、扫描技术经过不断的发展和改进,已经日趋智能化、隐蔽化。搜索引擎被人们用来在Internet上检索感兴趣的东西,同样也会被蠕虫利用进行攻击和传播。利用互联网络的搜索引擎进行攻击和传播的蠕虫,实现了隐蔽、小流量、准确地传播。文章首先分析了这类基于搜索引擎的蠕虫的特征,然后提出了用户检索模型和异常判定算法,经过实验证明,此种检测方法确实高效可行。     

基于漏洞的蠕虫特征自动提取技术研究

提出一种新的基于漏洞的蠕虫特征,其区别于传统的基于语法或语义分析的技术,对蠕虫攻击的漏洞特征进行分析,将该算法应用于检测系统中。通过实验证明,该检测系统能有效地检测出各种多态变形蠕虫。     

网电空间中基于蠕虫的攻防对抗技术研究

随着网电空间战略地位的提高,其对抗技术已成为研究的热点。针对网电空间对抗建模问题,以典型的网电空间蠕虫为研究对象,采用建立蠕虫攻击传播模型和蠕虫防御模型的方法,对基于蠕虫的网电空间攻防对抗建模技术进行研究。分析蠕虫扫描策略及目的不可达报文检测方法,建立基于选择性随机扫描策略的蠕虫传播模型。在该模型的基础上,提出基于蠕虫签名的防御方法及改进措施,并设计蠕虫综合对抗模型。仿真结果表明,与基于签名的防御方法相比,综合防御方法能更有效地抑制蠕虫传播。     

一种基于进程流量行为的蠕虫检测系统

随着蠕虫传播速度的不断加快,所造成的威胁也越来越大。为快速检测蠕虫,本文描述了和蠕虫相关的三种重要的进程流量行为:类蠕虫流量中源端口总数、类蠕虫进程流量中源端口的变化频率以及进程流量中类蠕虫流量占总进程流量的总数。基于这三种行为,本文提出了一种基于进程流量行为的蠕虫检测系统,同时介绍了该系统的相关定义、框架设计和关键实现。最后,采用真实程序进行了实验,结果表明该系统可以快速准确地检测蠕虫,并具有较小的误报率。     

大规模蠕虫在线追踪培养皿

提出了一个用于反向追踪大规模网络蠕虫传播的虚拟实验环境，能够用于网络蠕虫检测和防御实验。实验环境使用虚拟机技术，虚拟大量主机和网络设备参加，尽量符合网络实际。在可控的范围内，使用真实的感染代码引发大规模蠕虫的爆发，观测蠕虫的传播过程。实验环境中可以发现蠕虫的传播特性，实时收集网络蠕虫的流量数据和感染过程。     

基于节点行为的主动P2P蠕虫检测

主动P2P蠕虫的传播会对P2P网络以及互联网的安全造成严重威胁。通过研究主动P2P蠕虫传播时节点行为,提出一种基于节点行为的主动P2P蠕虫检测方法PBD（Peer Behavior based Detection）。在此基础上设计和实现了一个主动P2P蠕虫检测系统PPWDS（Proactive P2P Worm Detection System）,该系统采用CUSUM算法对P2P节点出站短连接进行实时监控。实验表明,PBD是检测主动P2P蠕虫的一种有效方法。     

Contagion蠕虫传播仿真分析

Contagion 蠕虫利用正常业务流量进行传播,不会引起网络流量异常,具有较高的隐蔽性,逐渐成为网络安全的一个重要潜在威胁.为了能够了解Contagion蠕虫传播特性,需要构建一个合适的仿真模型.已有的仿真模型主要面向主动蠕虫,无法对Contagion蠕虫传播所依赖的业务流量进行动态模拟.因此,提出了一个适用于Contagion蠕虫仿真的Web和P2P业务流量动态仿真模型,并通过选择性抽象,克服了数据包级蠕虫仿真的规模限制瓶颈,在通用网络仿真平台上,实现了一个完整的Contagion蠕虫仿真系统.利用该系统,对Contagion蠕虫传播特性进行了仿真分析.结果显示:该仿真系统能够有效地用于Contagion蠕虫传播分析.     

基于NLA的Polymorphic蠕虫特征自动提取算法研究

随着Polymorphic蠕虫变形技术的不断发展,如何快速有效地提取其特征是入侵检测中特征提取领域的一个重要研究方向。采用基于模式的特征提取算法NLA(Normalized Local Alignment),通过对多个可疑Polymorphic蠕虫流量进行序列比对,自动提取高相似度公共子序列,以向量的形式构造蠕虫特征。实验结果表明该算法在误报率和漏报率方面均优于传统算法。     

改进的蠕虫特征自动提取模型及算法设计

文章提出了一种基于序列比对的蠕虫特征自动提取模型,该模型针对现有蠕虫特征自动提取系统的可疑蠕虫样本流量单来源和粗预处理等问题,提出了对网络边界可疑流量和蜜罐捕获网络流量统一的聚类预处理,并使用改进的T-Coffee多序列比对算法进行蠕虫特征提取。实验分别对Apache-Knacker和TSIG这两种蠕虫病毒进行特征提取,从实验结果可以看出文章提出的模型产生的特征质量优于比较流行的Polygraph、Hamsa两种技术。