蠕虫建模仿真及检测技术研究进展

计算机网络蠕虫作为当前互联网所面临的最为严重的安全威胁之一,对其进行细致的研究显得尤为重要。为了体现网络蠕虫技术研究方面的最新成果,针对当前网络蠕虫技术研究领域的热门方向,整理并分析了蠕虫传播模型和蠕虫软件仿真技术等方面的研究思路和成果,并对多种新型的网络蠕虫检测技术进行了分析和评估。最后根据研究结果,对网络蠕虫技术研究的新方向进行了总结与展望。     

基于混合对抗技术的对抗性蠕虫

作为对抗网络蠕虫的一种技术手段,对抗性蠕虫正在引起恶意代码研究领域的关注。然而当前对抗性蠕虫所采用的主动对抗技术和被动对抗技术存在若干缺陷,无法全面有效抑制网络蠕虫的传播。为此提出一种改进的基于混合对抗技术的对抗性蠕虫,通过构建蠕虫对抗模型以及仿真实验对其进行分析,并表明其能够在有效抑制网络蠕虫传播的同时降低对网络资源的恶意消耗。     

基于SSFNet的网络蠕虫实验床

网络蠕虫实验床是研究网络蠕虫传播及网络安全的一个重要平台，它克服了传统实验方法中安全性低，成本高的不足，提出一个新的蠕虫仿真实验手段。介绍了SSFNet网络仿真软件，说明其在网络研究过程中的使用价值：重点介绍了利用SSFNet网络仿真软件的Worm蠕虫包来设计和实现网络蠕虫实验床的方法，并在该实验床上模拟一种类Flash蠕虫，所得实验结果在可靠的数值范围内，说明该实验床是可行，有效的。     

基于失败连接分析的网络蠕虫检测系统研究

根据网络蠕虫攻击的特点，提出一种基于失败连接分析的网络蠕虫早期检测系统。该系统通过实时分析失败连接流量分布和正常状态的偏离度来检测蠕虫，通过分析失败连接集的自相似度进一步降低蠕虫检测的误报率。基于原型系统的实验结果显示，该系统能够实时检测未知类型的网络蠕虫攻击，分析蠕虫扫描的网络传输特征和网络内可能感染的主机列表。和已有方法相比，该系统对蠕虫的早期扫描行为更加敏感，并具有更低的误报率。     

网络蠕虫的扫描方法分析

对网络上计算机系统的扫描是网络蠕虫传播的第一步,网络蠕虫扫描算法是研究蠕虫传播特性的一个基础环节。通过对常见的网络蠕虫扫描算法的研究,将其进行了分类,并对每一种扫描方法的基本原理及特点进行了分析。     

大规模对等网络蠕虫仿真技术研究

针对对等网络蠕虫具有高度动态性和规模巨大的特点,提出了适合于P2P蠕虫仿真需要的基于节点虚拟的仿真建模方法和基于双引擎的仿真体系结构。基于节点虚拟的方法是对每个P2P蠕虫的功能和数据进行抽象和分割,通过节约计算资源和存储资源实现大规模P2P蠕虫仿真;基于双引擎的P2P蠕虫仿真结构将仿真任务的管理和网络管理分割,实现P2P蠕虫仿真的真实性和仿真规模的可扩展性。以此为基础,设计了大规模对等网络蠕虫仿真系统,开发了相应的通用仿真平台。在此基础之上,以BitTorrent蠕虫为例,对仿真平台进行了验证和实验分析。结果表明,所提出的方法及开发的系统,可适用于大规模P2P蠕虫的仿真分析。     

网络蠕虫病毒防御方法研究

网络蠕虫通过自我复制,破坏目标系统,拥塞网络,对互联网络安全构成巨大威胁。本文通过对蠕虫病毒程序的传播流程及行为特征的分析,提出一种基于实时监测检测机制的防御网络蠕虫攻击的新方法。这种方法在操作系统底层函数被调用的时候就能及时地发现网络蠕虫攻击并阻止网络蠕虫的进一步扩散。     

基于本地主机传播行为的蠕虫预警新方法

对于利用漏洞扫描技术传播的蠕虫进行预警，传统方法存在着诸如无法区分P2P数据流，无法检测利用多个端口传播蠕虫等问题。针对这些问题，结合对网络蠕虫行为模式的分析，提出了一种改进的算法，并建立了基于该算法的预警模型。最后对该方法的可行性和各项性能进行了分析，发现新方法能更有效的预警未知的网络蠕虫。     

蠕虫早期检测系统研究

网络蠕虫对Internet造成了极大的危害。在分析了蠕虫的传播原理和经典传染模型原理,以及蠕虫传染早期扫描阶段ICMP和TC协议的状态后,本文基于协议状态和传染模型的思想提出了一个蠕虫早期检测方法及其系统实现框架,该系统架构无需改变现有网络结构既可全面监说蠕虫的流量情况, 并可检测出真实的蠕虫扫描源。     

企业内网蠕虫检测和控制研究

目前已有一些全球化的网络蠕虫监测方法,但这些方法并不能很好地适用于局域网.为此,文中提出一种使用本地网协同检测蠕虫的方法,该方法注重分析扫描蠕虫在本地网的行为,通过这些方法给出预警信息,以揭示蠕虫在本地网络中的活动情况。并针对不同的行为特性使用不同的处理方法.结果表明,该方法可以准确、快速地检测出入侵本地网络的扫描蠕虫。     

基于网络流量自相似性的蠕虫攻击检测方法研究

网络蠕虫攻击是一种危害巨大且难以防御的网络攻击方式。传统的基于特征匹配的蠕虫检测方法受限于对蠕虫特征值的提取,无法检测未知类型蠕虫的攻击。在此将表征网络流量自相性的Hurst参数应用到蠕虫攻击检测,通过对Hurst参数的变化来检测未知类型蠕虫的攻击。实验表明该方法能有效检测到网络中采用主动扫描方式传播的未知类型蠕虫攻击行为。     

对抗网络蠕虫的良性蠕虫的设计

网络蠕虫能利用系统漏洞自动传播,造成网络拥塞,具有极大的破坏性。利用良性蠕虫(WAW)对抗恶意蠕虫是一种新技术,它具有速度快、针对性好、自动化程度高等优点,但是现有良性蠕虫技术的研究刚开始,目前出现的几种所谓的良性蠕虫在安全性、可控性、有效性方面还存在很大缺陷。针对这种情况,本文提出了一种设计良性蠕虫的具体方案,并对其对抗效果进行了简要分析。     

分布式蠕虫流量检测技术

分析了网络蠕虫病毒的传播特点和已有的检测方法,针对慢速传播蠕虫病毒,提出了基于流量异常传播序列的检测算法,并通过分布式系统结构,综合多个子网的检测结果,进一步提高检测准确率。模拟实验证明：该算法可以根据流量特征,在蠕虫病毒慢速传播的早期检测到该病毒的传播行为,并获得传播所用网络协议和目标端口。     

基于暗网的早期检测技术在专用网络中的应用

为了早期检测网络蠕虫,设计实现了一个基于暗网的可视化蠕虫早期检测系统,并在某专用网络中进行了对比实验。结果显示,该系统在专用网络中比传统入侵检测系统能更早发现蠕虫等网络攻击,且时间提前量十分可观,说明基于暗网的早期检测技术在专用网络中有良好的应用前景。     

从网络蠕虫灾害看应急处理的新特点

网络蠕虫:日益严重的威胁 网络蠕虫是一种能够在网络中自动传播的程序。不同于病毒的是,它可以不依赖于其他的程序,而是自己独立执行。由于其本身的蜕变性质,即一个感染蠕虫的计算机可以选择几百个目标进一步传播自己,而这些进一步被感染的计算     

基于随机进程代数的P2P网络蠕虫对抗传播特性分析

 研究P2P网络中良性蠕虫和恶意蠕虫在对抗传播过程中的特性,可为制定合理的蠕虫对抗策略提供科学依据.提出一种基于随机进程代数的P2P网络蠕虫对抗传播的建模与分析方法.首先,分析了传播过程中蠕虫之间的对抗交互行为以及网络节点的状态转换过程;然后,利用PEPA语法建立了恶意蠕虫初始传播阶段与蠕虫对抗阶段的随机进程代数模型;最后,采用随机进程代数的流近似方法,推导得到能够描述蠕虫传播特性的微分方程组,通过求解该方程组,分析得到P2P蠕虫的对抗传播特性.试验结果表明,良性蠕虫可以有效遏制P2P网络中的恶意蠕虫传播,但需要根据当前的网络条件制定科学的传播策略,以减少良性蠕虫自身的传播对网络性能的影响.     

Web安全问答（9）

问：什么叫网络蠕虫 答：一般认为：蠕虫病毒是一种通过网络传播的恶性病毒,它除具有病毒的一些共性外,同时具有自己的一些特征,     

一种基于暗网的蠕虫早期检测方法

为了对网络蠕虫等网络攻击行为进行早期检测,论文设计实现了一个基于暗网的可视化的早期检测系统,并采用实际网络实验的方法,在某专用网络中进行实验,结果表明该系统在专用网络中比传统入侵检测系统更早发现蠕虫,且时间提前量十分可观。     

基于失败连接分析和P2P的未知网络蠕虫检测

针对现有的网络蠕虫检测系统大多不能有效快速检测慢速蠕虫的问题,本文提出使用本地失败连接分析(LF-CA)算法在蠕虫传播早期高效实时的检测本地局域网内的蠕虫,并在全局上建立可扩展性强非集中式的基于Chord算法的全网协作P2P检测机制,以信息共享的方式对慢速传播蠕虫进行检测。通过实验仿真验证了LFCA算法对本地网络的快速蠕虫有高效的检测效果和较低的误报率,证明了基于P2P技术进行信息共享协同检测比单点检测能更快更有效地检测到慢速蠕虫。     

IPv4-IPv6双栈良性蠕虫传播模型的研究

通常认为比起IPv4网络来说,能够占据巨大的空间地址的IPv6网络更为安全保险,但其实并非如此。研究发现IPv6网络遭受蠕虫侵害的概率完全不低于IPv4网络,IPv4-IPv6双栈蠕虫在不同网络中的传播速度是有差异的,尤其在IPv4网络向IPv6网络过渡阶段中会造成严重危害。因此利用IPv4-IPv6双栈良性蠕虫来对抗恶性蠕虫的模式成为学者们研究的重点。文章首次梳理了IPv4-IPv6双栈蠕虫相关概念,理清其传播过程,通过分析探索出IPv4-IPv6双栈蠕虫传播过程及其网络对抗的模式,通过数值分析研究恶性蠕虫所造成的危害并提出相应策略,对于防范网络蠕虫及建立计算机免疫系统等方面都有着十分积极的作用。