蠕蟲攻擊的分析與即時檢測.pdf

1、伴隨互聯(lián)網(wǎng)技術的高速發(fā)展,因特網(wǎng)成為了信息交換的主要手段,但隨之而來的網(wǎng)絡安全問題也變的日益突出,網(wǎng)絡蠕蟲攻擊是影響網(wǎng)絡安全的重要因素,網(wǎng)絡蠕蟲的爆發(fā)率也越來越高,如何對網(wǎng)絡蠕蟲的防范是當前急需解決的問題。在此背景下,本文主要目的是研究蠕蟲攻擊的即時檢測方法。
　　 本文對蠕蟲攻擊的技術進行了詳細剖析,指出了蠕蟲攻擊的主要特征包括傳播主動性、傳播迅速性、利用漏洞性、網(wǎng)絡阻塞性、感染反復性,對于蠕蟲的功能模塊進行劃分,對蠕蟲攻擊過

2、程進行了分析。分析了常用的蠕蟲攻擊檢測方式,以現(xiàn)在流行的VDS為例,對不同形式下的蠕蟲攻擊方式的檢測方法進行具體介紹。
　　 本文采用主機通訊圖的概念,將網(wǎng)絡中各個主機間的通訊狀況映射為圖的形式,提出了基于主機通訊圖的即時檢測模型,結合特有的黑名單模式,對整個網(wǎng)絡的通訊狀態(tài)進行模擬和檢測,設計了利用主機通訊圖來進行檢測的詳細流程。制定了一個主機節(jié)點的各個屬性值的計算方法。每隔一個時間周期,對結點的屬性值做一個計時處理。當結點屬性

3、值小于零時,則將此結點判定為受蠕蟲攻擊的可疑結點,通過對圖中該結點的相關鄰接結點的遍歷過程找到其他主機結點,再次加以判斷是否為新可疑結點。在主機通訊圖模型的基礎上,提出了基于主機通訊圖的即時檢測方法,包括獲取檢測數(shù)據(jù)并進行數(shù)據(jù)過濾,對主機通訊圖進行處理,并以一個檢測實例的形式來驗證基于主機通訊圖檢測方式的性能。
　　 在同類檢測方法中存在不能在蠕蟲大范圍爆發(fā)前及時判斷和處理的問題和只能對網(wǎng)絡的某一臺主機進行監(jiān)控,不能對整個網(wǎng)絡的

4、健康狀態(tài)進行一個有效模擬和檢測的問題。為了解決這些問題,基于主機通訊圖的檢測方法根據(jù)蠕蟲傳播的特性,在其試圖進行大規(guī)模傳播之前就已經(jīng)進行了有效的檢測,對所有本地網(wǎng)絡中的所有主機的狀態(tài)做出了一個有效的判斷,將蠕蟲對整個網(wǎng)絡的影響范圍盡量縮??；另外,本文提出的檢測模型通過其特有的計時處理,記錄了最新的主機通訊情況,有效的解決了數(shù)據(jù)的無效堆積,提高了判斷的有效性和準確性,并且其黑名單模式對于檢測效率提高有重要作用,并且可以作為一個自主學習機制