基于AOI方法的未知蠕虫特征自动发现算法研究

近年来频繁爆发的大规模网络蠕虫对Internet的整体安全构成了巨大的威胁,新的变种仍在不断出现。由于无法事先得到未知蠕虫的特征,传统的基于特征的入侵检测机制已经失效。目前蠕虫监测的一般做法是在侦测到网络异常后由人工捕获并进行特征的分析,再将特征加入高速检测引擎进行监测。本文提出了一种新的基于面向属性归纳（AOI）方法的未知蠕虫特征自动提取方法。该算法在可疑蠕虫源定位的基础上进行频繁特征的自动提取,能够在爆发的早期检测到蠕虫的特征,进而通过控制台特征关联监测未知蠕虫的发展趋势。实验证明该方法是可行而且有效的。     

基于失败连接流量偏离度的蠕虫早期检测方法

通过分析网络蠕虫攻击的特点，定义了能够反映蠕虫攻击特征的失败连接流量偏离度（FCFD）的概念，并提出了一种基于FCFD时间序列分析的蠕虫早期检测方法。该方法利用小波变换对FCFD时间序列进行多尺度分析，利用高频分量模极大值进行奇异点检测，从而发现可能的蠕虫攻击。同时给出了一种基于失败连接分析的蠕虫感染主机定位和蠕虫扫描特征提取方法。实验结果显示，该方法能够有效检测未知蠕虫的攻击。和已有方法相比，该方法具有更高的检测效率和更低的误报率。     

基于候选组合频繁模式的骨干网蠕虫检测研究

现有的网络蠕虫检测方法大多都是基于包的检测,针对骨干网IP流检测的研究较少,同时也不能很好地描述蠕虫的攻击模式。为此研究了一种在骨干网IP流数据环境下的蠕虫检测方法,通过流活跃度增长系数和目的地址增长系数定位可疑源主机,接着采用基于候选组合频繁模式的挖掘算法(CCFPM),将候选频繁端口模式在FP树路径中进行匹配来发现蠕虫及其攻击特性,实验证明该方法能快速地发现未知蠕虫及其端口扫描模式。     

基于包内容的未知蠕虫发现

根据蠕虫抽象共性,提出了一种基于包内容的未知蠕虫发现策略,并实现了对应的原型系统．在具体实现中,解决了数据包中重复串快速统计和增量维护多串匹配的问题,并比较了系统参数对其性能的影响。模拟实验的结果表明：该系统具有较高的发现率和较低的误报率,处理性能达到40Mbps,可多台并行部署于骨干网结点处进行蠕虫检测。     

基于传播模式的本地网络蠕虫检测模型*

针对传统的蠕虫检测方法对未知蠕虫检测效率较低的问题,提出了一种基于蠕虫传播行为的优化解决方案。通过自定义二元模式向量准确描述网络蠕虫的传播行为,并构造三层安全过滤结构优化未知蠕虫检测。对比研究表明,上述方案对传播行为的改进显著提高了对未知蠕虫传播行为描述的完备性,给出了运用传播模式对感染特定蠕虫进行传播行为检测的结果。实验结果表明,方案显著提高了对未知蠕虫传播行为的准确性,可以快速地检测出入侵本地网络的扫描蠕虫。     

基于陷阱网络的未知蠕虫行为模式挖掘

针对传统陷阱网络系统对未知蠕虫行为分析能力的不足,提出了一种基于遗传算法的优化解决方案。通过自定义行为向量构造准确描述网络蠕虫行为的项目集,并利用遗传算法优化未知蠕虫行为模式挖掘结果。对比研究表明,上述方案对行为模式挖掘在两个方面有显著改进：(1)提高了未知蠕虫行为项目集描述的完备性和预测性;(2)提高了既定行为模式的支持度与置信度。论文给出了运用模式相似度对系统感染特定蠕虫后的行为进行检测的统计比较结果,实验结果表明,和现有基于知识工程的方法相比,该方案能有效提高基于陷阱网络的蠕虫行为模式挖掘的精度。     

基于频繁模式挖掘的Internet骨干网攻击发现方法研究

DDOS、蠕虫和病毒邮件已经成为影响骨干网络安全的3大主要因素,近几年来不断爆发的安全事件已经造成了巨额的经济损失。这些攻击具有贪婪性以及模式频繁重复的特点。本文对这3种方式分别进行了建模,提出了一种新的基于攻击行为模式分析的TIR模型,并提供了相应的快速挖掘算法。基于本文的方法在应用中能以较低的资源代价检测到未知的攻击并定位受害源。为提高算法的效率,本文提出了基于双页表结构的TIR攻击树构建方法,实验证明它能有效地提升信息采集速度。     

基于离散鸡群压缩感知的WSNs多目标定位

对无线传感器网络（WSNs）多目标定位问题进行研究,提出一种基于离散鸡群压缩感知的多目标定位方法。首先给出离散鸡群算法（DCSO）相关定义,设计离散鸡群编码方式和迭代进化策略,在此基础上,构建基于压缩感知（CS）的WSNs多目标定位模型,对测量矩阵和稀疏矩阵进行合理选取,并将离散鸡群算法应用于CS信号重构算法中,实现对稀疏度未知多目标位置信息的精确重构。仿真结果表明,与OMP和MLE定位算法相比,该方法具有较高的多目标定位精度。     

一种基于预警信息的漏洞自动化快速防护方法

针对当前Web应用防护方法无法有效应对未知漏洞攻击、性能损耗高、响应速度慢的问题,本文从漏洞预警公告中快速提取漏洞影响范围和细节,然后对目标系统存在风险的访问请求与缺陷文件和函数调用关系进行自动化定位,构建正常访问模型,从而形成动态可信验证机制,提出并实现了基于预警信息的漏洞自动化快速防护方法,最后以流行PHP Web应用的多个高危漏洞对本文方法进行验证测试,结果表明本文方法能够自动化快速成功阻止最新漏洞攻击,平均性能损耗仅为5.31%。     

基于多尺度的EKF滤波融合定位跟踪算法

针对无线定位中快速移动目标的定位精度差的问题,提出了一种简单有效的定位跟踪算法。该算法将信号的多尺度分析方法与基于TDOA的蜂窝网定位技术相结合,基于某尺度上获得的单一的观测量,建立了一个新的多尺度的观测模型。基于新的多尺度观测模型,利用扩展Kalman滤波对目标进行定位跟踪,获得比在原始尺度上直接进行滤波定位跟踪更好的效果。通过仿真验证了该方法对提高蜂窝网无线定位精度的有效性。     

网络蠕虫主动抑制算法的改进性策略研究

通过对目前几种蠕虫检测和抑制策略的分析比较,提出了一种改进性双轮蠕虫检测和抑制算法,论证了这种算法对普通蠕虫扫描攻击和隐蔽性蠕虫攻击的检测和抑制有效性,同时考虑了正常网络行为的误用性对该算法的影响,大大降低了该算法的误报率。最后,仿真实验分析了该算法在正常网络背景和网络拥堵背景下的检测蠕虫效果,证明了该算法策略能够高效地检测和抑制蠕虫,同时具有较好的低误报性。     

结合先天和适应性免疫的蠕虫检测免疫模型

现有的蠕虫检测方法大多通过关闭不安全的端口,切断感染主机与未感染主机之间通信等方法延缓蠕虫传播而达到将损害减少到最低程度的目的.实际上在实施这些方法时往往有许多障碍需要克服,其中的最大障碍就是存在错误检测率高的问题.现将免疫危险理论中的DCs(树突状细胞,Dendritic Cells)-T细胞协同机制用于蠕虫检测,其中DCs属于先天免疫系统细胞,T细胞属于适应性免疫系统细胞.本模型将蠕虫进程触发的系统调用序列当作抗原,将感染蠕虫导致的主机和网络异常当作危险信号.在该模型中,DCs负责危险信号的收集检测并提呈与该危险信号关联的抗原给T细胞检测器进行抗原结构检测.理论分析说明,这样的双重检测方法可以降低伪肯定率和伪否定率,并且记忆T细胞检测器的采用能使系统对类似蠕虫的再次感染反应更加迅速.     

大规模网络中Internet蠕虫主动防治技术研究--利用DNS服务抑制蠕虫传播

Internet蠕虫爆发后,在大规模网络中,由于易感主机和被感染主机数量很多,构成了良好的蠕虫生存环境。实践证明常用的路由封堵、控制策略只在蠕虫爆发初期有效,在长时间的封堵后,网络中仍然存在大量被感染主机,这些主机不停活动,攻击其它易感主机。文章提出利用DNS服务疏导被感染主机访问告警服务器的方法,及时通知被感染主机的使用者对本机采取相应处理措施,从而达到在网管人员和用户共同配合下迅速消灭蠕虫的效果。该文详细给出了利用DNS服务针对网络中被感染主机进行疏导的系统设计与实现。通过对清华大学校园网实施后的数据统计分析,证明这种方法是快速有效的。     

网络蠕虫防御和清除方法

当前网络蠕虫对Internet构成重要威胁,如何防范蠕虫已经成为网络安全的重要课题。由于蠕虫传播速度快、规模大,因此必须在蠕虫传播初期就能发现并采取相应措施进行隔离。本文首先介绍了蠕虫的相关概念,然后详细介绍了当前蠕虫的防御和清除方法。     

Containing smartphone worm propagation with an influence maximization algorithm

In recent years, wide attention has been drawn to the problem of containing worm propagation in smartphones. Unlike existing containment models for worm propagation, we study how to prevent worm propagation through the immunization of key nodes (e.g., the top k influential nodes). Thus, we propose a novel containment model based on an influence maximization algorithm. In this model, we introduce a social relation graph to evaluate the influence of nodes and an election mechanism to find the most influential nodes. Finally, this model provides a targeted immunization strategy to disable worm propagation by immunizing the top k influential nodes. The experimental results show that the model not only finds the most influential top k nodes quickly, but also effectively restrains and controls worm propagation.     

一种改进的多态蠕虫特征提取算法

大多数多态蠕虫特征提取方法不能很好地处理噪音,提取出的蠕虫特征无法对多态蠕虫进行有效检测。为此,提出一种改进的多态蠕虫特征提取算法。采用Gibbs算法从包含n条序列(包括k条蠕虫序列)的可疑流量池中提取出蠕虫特征,在识别蠕虫序列的过程中基于color coding技术提高算法的运行效率。仿真实验结果表明,该算法能够减少时间和空间开销,即使可疑池中存在噪音,也能有效地提取多态蠕虫。     

基于带权策略的蠕虫智能扩散

运用带权策略树建模方法,给出一种蠕虫智能扩散模型,描述蠕虫智能扩散的本质特征和执行过程,解决一般蠕虫不能感知目标环境及其改变,从而不能选择有效的扩散策略问题。针对该模型提出基于堆遍历的蠕虫智能扩散算法。分析和仿真实验结果表明,该模型能够灵活描述和实现较为普遍的扩散,具有较高的扩散效率。     

On the design of an global intrusion tolerance network architecture against the internet catastrophes

Today’s security communities face a daunting challenges - how to protect the Internet from new, unknown zero day worms. Due to their innovation, these worms are hard to be stopped by traditional security mechanisms. Therefore, instead of trying to prevent the intrusion of every such a thread, this paper proposes a new system architecture, named Virtual Machine based Intrusion Tolerance Network (VMITN), which will tolerate the new worm attack until administrators remove the vulnerability leveraged by the worm. The VMITN adopts a rough-set based recognition mechanism to detect zero day worms and a virtual machine based overlay network to mitigate attacks. We have implemented a concept proof prototype system and use NS-2 simulations to study the performance of the VMITN in a large scale network. The behavior of the famous Witty worm is simulated within the NS-2 module and the simulations result showed that our VMITN architecture can provide the reliability and survivability under severe worm attacks.