蠕虫检测技术研究进展

对蠕虫检测技术的进展进行了研究.由于能检测未知蠕虫,异常检测已成为蠕虫检测的重要发展方向.被动检测采用故意设计为有缺陷的系统HoneyPot,用来吸引攻击者、收集攻击信息并进行深度分析.主动检测对正常主机和蠕虫主机的混和流量进行处理,包括基于连接载荷和基于蠕虫行为的检测.分析并讨论了各类方法的特点和适用性,提出目前的检测技术需要更为有效的蠕虫检测指标,并基于正常主机和蠕虫主机在流量自相似性的差异,给出了相应的实时检测指标选择思路.     

基于有向图分析的蠕虫早期检测方法

网络蠕虫给互联网带来了巨大的损失,实践证明,越早发现蠕虫的传播行为,就越有利于对蠕虫的遏制。首先分析了网络蠕虫早期传播的特征,然后借鉴GrIDS入侵检测系统的图分析思想,提出了一种利用有向图对网络蠕虫早期传播行为进行检测的蠕虫早期检测方法,并设计了有向图分析算法,对网络蠕虫与P2P应用、网络扫描以及突发访问等类网络蠕虫行为进行了准确识别。实验证明,可以准确检测网络蠕虫的早期传播行为,并定位蠕虫源主机。     

基于传播特性的蠕虫检测方法

随着计算机网络技术的飞速发展,网络蠕虫攻击成为目前影响网络安全的一个重要问题。实时监视网络蠕虫攻击,特别是在蠕虫传播早期检测到蠕虫,以采取相应的防御措施,减少蠕虫传播和攻击造成的损失变得尤为重要。通过分析网络蠕虫在传播过程中具有扩散性、链型以及传输数据相似等特征,提出了一种基于蠕虫传播特征的检测方法。实验结果表明:该检测方法在一定程度上降低了蠕虫检测的漏报率和错误率,对未知蠕虫具有较好的检测能力。     

蠕虫攻击的分析与即时检测方法研究

对蠕虫的基本程序结构进行分析并对蠕虫的传播步骤进行阐述,根据蠕虫攻击的特点,提出一个即时检测蠕虫攻击的方案,该方案将实际主机间的通信情况映射为通信图,通过对通信图的处理达到准确、快速检测蠕虫攻击的目的.     

基于网络行为模糊模式识别的蠕虫检测方法

网络蠕虫攻击由于危害大、攻击范围广、传播速度快而成为因特网危害最大的攻击方式之一.如何有效地检测网络蠕虫攻击是当前网络安全研究领域的一个重要方向.通过对网络蠕虫攻击行为的分析和研究,提出了一种根据蠕虫爆发时产生的典型网络行为来检测未知蠕虫的方法.该算法通过分别学习正常主机和受感染主机的网络行为建立相应的标准分类模糊子集,然后利用模糊模式识别法判定待测主机是否感染蠕虫.最后进行实验验证,结果表明,该方法对未知扫描类蠕虫有较好的检测效果.     

一种基于传播特征的蠕虫检测方法

随着计算机网络技术的飞速发展,网络蠕虫攻击成为目前影响网络安全的一个重要问题。实时监视网络蠕虫攻击,特别是在蠕虫传播早期检测到蠕虫,以采取相应的防御措施,减少蠕虫传播和攻击造成的损失变得尤为重要。通过分析网络蠕虫在传播过程中具有扩散性、链型以及传输数据相似等特征,提出了一种基于蠕虫传播特征的检测方法。实验结果表明:该检测方法在一定程度上降低了蠕虫检测的漏报率和错误率,对未知蠕虫具有较好的检测能力。     

基于信息关联的P2P蠕虫检测方法

P2P蠕虫对P2P网络和Internet构成巨大安全威胁。该文根据P2P网络报文之间的关系,提出一种P2P蠕虫检测方法,通过建立过滤规则实现对P2P蠕虫的检测与抑制。模拟实验结果表明,该方法对P2P蠕虫传播的抑制效果与资源分布存在较大联系,其检测效果 良好。     

结合先天和适应性免疫的蠕虫检测免疫模型

现有的蠕虫检测方法大多通过关闭不安全的端口,切断感染主机与未感染主机之间通信等方法延缓蠕虫传播而达到将损害减少到最低程度的目的.实际上在实施这些方法时往往有许多障碍需要克服,其中的最大障碍就是存在错误检测率高的问题.现将免疫危险理论中的DCs(树突状细胞,Dendritic Cells)-T细胞协同机制用于蠕虫检测,其中DCs属于先天免疫系统细胞,T细胞属于适应性免疫系统细胞.本模型将蠕虫进程触发的系统调用序列当作抗原,将感染蠕虫导致的主机和网络异常当作危险信号.在该模型中,DCs负责危险信号的收集检测并提呈与该危险信号关联的抗原给T细胞检测器进行抗原结构检测.理论分析说明,这样的双重检测方法可以降低伪肯定率和伪否定率,并且记忆T细胞检测器的采用能使系统对类似蠕虫的再次感染反应更加迅速.     

一种基于进程流量行为的蠕虫检测系统

随着蠕虫传播速度的不断加快,所造成的威胁也越来越大。为快速检测蠕虫,本文描述了和蠕虫相关的三种重要的进程流量行为:类蠕虫流量中源端口总数、类蠕虫进程流量中源端口的变化频率以及进程流量中类蠕虫流量占总进程流量的总数。基于这三种行为,本文提出了一种基于进程流量行为的蠕虫检测系统,同时介绍了该系统的相关定义、框架设计和关键实现。最后,采用真实程序进行了实验,结果表明该系统可以快速准确地检测蠕虫,并具有较小的误报率。     

基于卡尔曼滤波的蠕虫检测方法

蠕虫对Internet安全构成了严重威胁,检测和防范蠕虫成为网络安全的研究课题.提出了一种基于卡尔曼滤波的蠕虫检测方法,建立适当的数学模型,给出相应的滤波方程,最后进行仿真分析.该方法可以利用实时量测信息不断地修正估计值.仿真结果表明,采用卡尔曼滤波能够快速有效地检测出蠕虫的爆发.     

邮件蠕虫防御系统设计

本文针对邮件蠕虫提出了一种全方位的防御系统.该系统具有高度灵活性和可扩展性的特点,能够融合现有的、成熟的检测和防御技术.有效地防御已知和未知的邮件蠕虫.     

基于彩色编码的多态蠕虫特征自动提取方法

快速而准确地提取蠕虫特征对于有效防御多态蠕虫的传播至关重要,但是目前的特征产生方法在噪音干扰下无法产生正确的蠕虫特征.提出基于彩色编码的特征自动提取算法CCSF(color coding signature finding)来解决有噪音干扰情况下的多态蠕虫特征提取问题.CCSF算法将可疑池中的n条序列分成m组,然后运用彩色编码对每组序列进行特征提取.通过对每组提取出来的特征集合进行过滤筛选,最终产生正确的蠕虫特征.采用多类蠕虫对CCSF算法进行测试,并与其他蠕虫特征提取方法进行比较,结果表明,CCSF算法能够在有噪音干扰的条件下准确地提取出多态蠕虫的特征,该特征不包含碎片,易于应用到IDS(intrusion detection system)中对多态蠕虫进行检测.     

基于暗网的可视化的蠕虫早期检测方法

为了对网络蠕虫等网络攻击行为进行早期检测,设计实现了一个基于暗网的可视化的早期检测系统。在某专用网络中的实验结果表明,在专用网络中该系统可以比传统入侵检测系统更早地发现蠕虫,且时间提前量十分可观。     

分布式蠕虫检测与主动防御系统的研究与实现

以建立一个实时检测、主动防御网络蠕虫攻击的安全系统为目标,对蠕虫检测与主动防御技术进行了深入的研究,讨论了Aegis模型,探讨了利用snort进行蠕虫误用检测的研究思路和实现方法.仿真实验结果表明,Aegis系统具有良好的自适应性和开放式结构,有效地结合了蠕虫检测与主动防御技术,对蠕虫攻击具有高检测率和低误报率,并能及时有效的防范蠕虫危机.     

未知蠕虫自动检测技术研究

现有蠕虫检测系统的误报率较高。为此,提出未知蠕虫自动检测技术。利用多维蠕虫异常检测方法发现未知蠕虫,使用跳跃式多特征串提取方法得到未知蠕虫的特征串集合,并生成相应的特征检测规则,实现未知蠕虫的自动检测。实验结果证明,该技术能够成功发现新型蠕虫,具有较高的蠕虫检测率和较低的误报率。     

IM蠕虫检测方案的设计与实现

针对日益增多的IM蠕虫，提出一种基于IM蠕虫传播特性的检测方案，在网关处监测所有的IM消息，通过统计可疑消息的增长情况来检测蠕虫，采用动态队列减少存储量，并利用用户验证模块对可疑消息进行确认，提高检测的准确性。实验表明，该方案在保证检测成功率的基础上，能有效减轻服务器负担，节约存储资源，并且减少了对正常通信的影响。     

基于搜索引擎蠕虫的分析与检测

目前,蠕虫已经成为了互联网络安全的最大威胁,蠕虫攻击、扫描技术经过不断的发展和改进,已经日趋智能化、隐蔽化。搜索引擎被人们用来在Internet上检索感兴趣的东西,同样也会被蠕虫利用进行攻击和传播。利用互联网络的搜索引擎进行攻击和传播的蠕虫,实现了隐蔽、小流量、准确地传播。文章首先分析了这类基于搜索引擎的蠕虫的特征,然后提出了用户检索模型和异常判定算法,经过实验证明,此种检测方法确实高效可行。     

基于指数熵的蠕虫病毒检测方法

在传统的入侵检测理论的基础上,研究了统计学概念模型系统熵,并结合蠕虫病毒的行为特征提出了指数熵概念,从异常检测的角度对蠕虫病毒采取了一种新型扼制方法.该方法的具体实施是建立完整的指数熵理论,推导出实用的熵值计算公式,结合局域网蠕虫病毒入侵检测技术,开发了高教的蠕虫病毒检测应用程序.实验结果表明,该方法可以检测到网络蠕虫,且具有较高的效率和较低的漏报率.     

基于本地网的分布式蠕虫检测系统设计

为能有效检测本地网中的已知蠕虫和未知蠕虫,设计了一个分布式蠕虫检测系统.探讨了系统的部署策略和结构,并详细描述了系统检测算法的设计过程.检测算法分为可疑主机检测和感染主机检测两个阶段,前者通过监控主机的网络连接异常发现可疑主机,后者采用误用检测和关联分析判断可疑主机是否为感染主机.仿真实验结果表明了该系统的有效性.     

基于支持向量机的蠕虫检测技术

本文依据蠕虫扫描时会产生FCC失败连接概率高和FCC连接速度快这两个网络行为,通过使用支持向量机分别学习正常主机和受蠕虫感染主机的训练样本集,然后使用训练后的分类器对待测主机进行分类,实现了蠕虫攻击的自动检测,并进行了实验验证。实验结果表明,该方法对未知扫描类蠕虫有较好的检测效果。