高速实时的一种邮件蠕虫异常检测模型

提出了一种基于带泄漏的积分触发测量方法的电子邮件蠕虫异常检测方法,用来检测邮件蠕虫在传播过程中的流量异常。根据邮件流量所表现出的明显的日周期特性和周周期特性,首先计算出当前邮件流量和历史邮件流量的最小Hellinger距离,通过带泄漏的积分触发方法把邮件流量的Hellinger积累起来,从而把邮件蠕虫在传播过程中没有明显流量特征的慢速酝酿阶段的异常特征进行积累,达到在其进入快速传播期之前检测出异常的目的。检测过程只需要检查邮件的流量信息,因而适合大规模高速网络的异常检测。     

病毒威胁手机安全

手机病毒大闹电信6月6日,西班牙发现一种可以向手机乱发短消息的蠕虫病毒——VBSTIMOFONICA,VBS类病毒可以修改原码,容易出现变种。严格说来,虽然其影响涉及了手机,但并非通过手机传播,还是典型的电脑病毒。其机理与前不久的爱虫极其相似,也是一个VBS蠕虫,作为附件,一旦点击,便通过微软的邮件处理系统Outlook自动向地址本的所有地址发出上述带毒邮件。     

P2P触发式主动型蠕虫传播建模

对P2 P触发式主动型蠕虫的攻击机制进行了研究,发现该类蠕虫传播通常包括四个阶段：信息收集,攻击渗透、自我推进与干预激活。基于对P2 P触发式主动型蠕虫攻击机制的分析并运用流行病学理论提出了P2 P触发式主动型蠕虫传播数学模型并基于该模型推导了蠕虫传播进入无蠕虫平衡状态的充分条件。仿真实验验证了所提出传播模型的有效性。     

基于混合对抗技术的对抗性蠕虫

作为对抗网络蠕虫的一种技术手段,对抗性蠕虫正在引起恶意代码研究领域的关注。然而当前对抗性蠕虫所采用的主动对抗技术和被动对抗技术存在若干缺陷,无法全面有效抑制网络蠕虫的传播。为此提出一种改进的基于混合对抗技术的对抗性蠕虫,通过构建蠕虫对抗模型以及仿真实验对其进行分析,并表明其能够在有效抑制网络蠕虫传播的同时降低对网络资源的恶意消耗。     

对抗网络蠕虫的良性蠕虫的设计

网络蠕虫能利用系统漏洞自动传播,造成网络拥塞,具有极大的破坏性。利用良性蠕虫(WAW)对抗恶意蠕虫是一种新技术,它具有速度快、针对性好、自动化程度高等优点,但是现有良性蠕虫技术的研究刚开始,目前出现的几种所谓的良性蠕虫在安全性、可控性、有效性方面还存在很大缺陷。针对这种情况,本文提出了一种设计良性蠕虫的具体方案,并对其对抗效果进行了简要分析。     

基于随机进程代数的P2P网络蠕虫对抗传播特性分析

 研究P2P网络中良性蠕虫和恶意蠕虫在对抗传播过程中的特性,可为制定合理的蠕虫对抗策略提供科学依据.提出一种基于随机进程代数的P2P网络蠕虫对抗传播的建模与分析方法.首先,分析了传播过程中蠕虫之间的对抗交互行为以及网络节点的状态转换过程;然后,利用PEPA语法建立了恶意蠕虫初始传播阶段与蠕虫对抗阶段的随机进程代数模型;最后,采用随机进程代数的流近似方法,推导得到能够描述蠕虫传播特性的微分方程组,通过求解该方程组,分析得到P2P蠕虫的对抗传播特性.试验结果表明,良性蠕虫可以有效遏制P2P网络中的恶意蠕虫传播,但需要根据当前的网络条件制定科学的传播策略,以减少良性蠕虫自身的传播对网络性能的影响.     

基于随机实验的蠕虫传播预测研究

蠕虫传播预测是蠕虫防御的基础之一，但随着蠕虫扫描策略日趋多样和互联网结构逐步复杂，在蠕虫爆发初期及时建立精确的蠕虫传播模型变得越来越困难。利用随机仿真实验来模拟蠕虫在网络中的传播行为，通过统计分析仿真实验结果，发现蠕虫传播实验结果是一个随机过程，而实验结果间存在很高的线性相关性。由此提出一种基于仿真实验统计结果的蠕虫传播趋势预测方法，该方法可以利用0．1％存在漏洞主机的感染信息精确的预测蠕虫传播趋势。     

P2P网络中激发型蠕虫传播动态建模

 鉴于激发型蠕虫的巨大危害性,本文在考虑网络动态变化的情况下对激发型蠕虫的传播进行了深入地研究,提出了激发型蠕虫动态传播数学模型和免疫模型,并基于动态传播数学模型推导出了激发型蠕虫不会泛滥的充分条件.大规模仿真实验验证了传播模型的有效性和蠕虫不会泛滥充分条件的正确性.基于传播模型的分析表明,下载率是影响蠕虫传播的关键因素,蠕虫基本繁殖率是衡量蠕虫传播能力的关键指标.基于实测P2P网络数据和传播模型,预测和估计了激发型蠕虫的传播能力、传播速度和危害性,指出尽早重视P2P激发型蠕虫特别是尽早找到检测和控制方法的重要性和迫切性.     

基于纯P2P原理的蠕虫传播模型的研究

提出一种潜在的蠕虫传播方式--基于纯P2P原理的蠕虫传播方式,利用分片传输机制达到自主、快速的传播能力.根据纯P2P传播方式的特点,提出使用SEI和SEIR模型来建立蠕虫自由传播和受控传播过程的传播动力学模型.介于无尺度网络被公认为最接近于实际的网络拓扑,对两个模型进行了基于无尺度网络拓扑结构的仿真,仿真实验结果有力地支持了提出的两个传播动力学模型.通过数值计算和仿真实验结果的分析,认为随着蠕虫体的增大,基于纯P2P原理的蠕虫将具备更强大的传播能力和良好的隐蔽性,更容易被攻击者采用,是未来蠕虫防御方法研究应重视的问题.     

病毒信息

赛门铁克发布安全警报赛门铁克安全响应中心日前确认了Beagle蠕虫的一种新的变种—W32.Beagle.AB@mm。由于企业及个人用户的提交率的增长,赛门铁克公司已经将这一威胁的重要性提升为三级(五级为最严重)。W32.Beagle.AB@mm是一种群发邮件型蠕虫,它可以在TCP的1234端口打开一个后门,并且通过自己的SMTP引擎发送电子邮件。该蠕虫中已经嵌入了源代码,并且可能通过电子邮件或附加消息的形式传播。由于远程攻击者可以对服务器系统进行包括安装应用程序在内的很多种不同的操作,赛门铁克强烈建议被感染的用户重新安装系统。这一威胁还将创建…     

基于用户习惯的蠕虫的早期发现

在蠕虫传播时,由于扫描会产生大量的陌生访问,从而破坏用户的习惯。因而,对用户的习惯进行统计分类,在蠕虫发作时则能及时有效的发现蠕虫。对用户的行为进行了分析,提出了一种对蠕虫进行早期发现的新方法,并且实现了一个基于用户习惯的蠕虫早期发现系统。实验证明该方法能够有效快速的发现蠕虫的传播。由于用户的习惯多种多样,可以衍生出很多应用模型,因此具有很强的指导意义。     

网络拓扑对Email蠕虫传播影响的分析与仿真

分析了Email蠕虫与传统蠕虫在扩散传播行为上的不同,着重研究了网络拓扑结构对Email蠕虫传播行：匆的影响,通过对power law网络模型,小世界（small world）拓扑模型和随机拓扑模型三种网络结构的分析设计与仿真实验,提出了Email蠕虫在power law拓扑模型传播速度最快并且易于感染高连接度节点的结论。     

分布式蠕虫检测和遏制方法的研究

提出了一种分布式蠕虫遏制机制，它由两大部分组成：中央的数据处理中心和分布在各网关的感知器。中央的数据处理中心接收感知器的检测结果，并统计蠕虫的感染状况。分布在各网关的感知器监测网络行为并检测蠕虫是否存在。若检测到蠕虫的存在，感知器根据蠕虫的疫情状况，启动自适应的丢包机制。最后，实验结果证明了该遏制系统能够有效地遏制蠕虫的传播，保护网络的运行；尽可能小的干扰正常的网络行为。     

基于云安全环境的蠕虫传播模型

云安全体系的出现标志着病毒检测和防御的重心从用户端向网络和后台服务器群转变,针对云安全体系环境,基于经典SIR模型提出了一种新的病毒传播模型(SIR_C)。SIR_C在考虑传统防御措施以及蠕虫造成的网络拥塞流量对自身传播遏制作用的基础上,重点分析了网络中云安全的部署程度和信息收集能力对蠕虫传播模型的影响。实验证明SIR_C模型是蠕虫传播研究在云安全环境下有意义的尝试。     

基于多播扫描机制的双栈蠕虫研究

IPv4网络到IPv6网络的过渡过程中将出现两种网络协议将共同存在。研究了一种具有分层扫描策略的蠕虫——双栈蠕虫,该蠕虫利用多播扫描策略实现本地IPv6子网内主机的检测,利用IPv4随机地址扫描发现子网外的目标主机。通过在真实网络中进行传播测试和利用仿真程序模拟双栈蠕虫在大规模网络中的传播行为,发现双栈蠕虫可以在IPv4-IPv6双栈网络中快速传播。     

蠕虫传播模型中关键因素的研究

本文对目前蠕虫传播模型建立中的不足进行了分析,在此基础上提出了在传播模型中参数设置的两个原则,并提取了影响蠕虫传播的关键因素,通过对每个因素的合理性和获取方法进行的分析,证明该方式从一定程度上提高了传统数学模型描述的可操作性和实用性,并为建立通用的蠕虫传播模型提供了基础元素。     

蠕虫正则表达式特征自动提取技术研究

提出一种实用的蠕虫正则表达式特征自动提取方法,该方法由蠕虫传播网络流样本获取、特征树生成、高假阳性特征剔除、特征融合这4步组成。该方法的优点是可输出具有强描述能力的包含“.*”、“.{k}”、“|”、“(c){k}”等元字符的正则表达式特征。基于蜜罐系统Honeybow实现了该方法,并针对互联网上数种真实蠕虫进行了实验。实验结果表明,该方法可以准确地提取真实蠕虫的正则表达式特征,可以在蜜罐、蠕虫及恶意代码分析等系统中应用。     

基于本地主机传播行为的蠕虫预警新方法

对于利用漏洞扫描技术传播的蠕虫进行预警，传统方法存在着诸如无法区分P2P数据流，无法检测利用多个端口传播蠕虫等问题。针对这些问题，结合对网络蠕虫行为模式的分析，提出了一种改进的算法，并建立了基于该算法的预警模型。最后对该方法的可行性和各项性能进行了分析，发现新方法能更有效的预警未知的网络蠕虫。     

分布式蠕虫流量检测技术

分析了网络蠕虫病毒的传播特点和已有的检测方法,针对慢速传播蠕虫病毒,提出了基于流量异常传播序列的检测算法,并通过分布式系统结构,综合多个子网的检测结果,进一步提高检测准确率。模拟实验证明：该算法可以根据流量特征,在蠕虫病毒慢速传播的早期检测到该病毒的传播行为,并获得传播所用网络协议和目标端口。     

基于通信特征分析的蠕虫检测和特征提取方法的研究

提出了一种基于通信特征分析的蠕虫检测与特征提取技术，在解析蠕虫传播过程中特有的通信模式的基础上，评估通信特征集合问的相似度，通过检测传染性来检测蠕虫，这种方法具有更高的检测精度、通用性和适应性。在此基础上设计了启发式检测体系结构，利用盲目跟踪、意向跟踪和锁定跟踪从通信协议、通信序列和通信内容3个层次逐级排除非蠕虫通信，筛选出蠕虫报文组，提取出蠕虫特征码。这种技术大幅缩减了采集量和分析量，能在高强度背景噪声的干扰快速检测蠕虫并提取出相应的特征。