蠕蟲特征分析與抑制方法研究.pdf

1、隨著計(jì)算機(jī)技術(shù)，特別是互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，人們?cè)谙硎苡?jì)算機(jī)帶來(lái)各種好處的同時(shí)，也在經(jīng)受著各種惡意代碼(計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬等)的困擾和侵害。根據(jù)CN CERT近幾年的報(bào)告中，蠕蟲病毒已經(jīng)成為最大的安全威脅。網(wǎng)絡(luò)蠕蟲發(fā)生的頻率越來(lái)越高，影響的范圍更廣，傳播能力和破壞能力更強(qiáng)，造成的損失也更大。如何抑制蠕蟲病毒已經(jīng)成為信息安全領(lǐng)域中一個(gè)亟需解決的問(wèn)題。 現(xiàn)有的蠕蟲檢測(cè)、抑制方法主要有基于掃描、Honeypot、包匹配、

2、內(nèi)容和傳播行為的蠕蟲檢測(cè)方法，但是這些方法都存在一些不足，隨著新蠕蟲病毒的不斷出現(xiàn)，這些方法已經(jīng)不能有效地控制蠕蟲病毒的爆發(fā)。本文結(jié)合沈昌祥院士提出的終端安全源頭理論和蠕蟲傳播的共有特征，即“在盡可能短的時(shí)間內(nèi)，感染盡可能多的機(jī)器”，設(shè)計(jì)出一種基于終端源頭安全的蠕蟲抑制模型。 整個(gè)模型分為三個(gè)部分：蠕蟲監(jiān)控模塊、蠕蟲進(jìn)程定位模塊以及中心控制模塊。由蠕蟲監(jiān)控模塊來(lái)監(jiān)控終端中發(fā)出的網(wǎng)絡(luò)數(shù)據(jù)包，當(dāng)一個(gè)發(fā)送請(qǐng)求來(lái)到時(shí)，首先查詢?cè)摂?shù)據(jù)包中

3、的目的地址在不在已訪問(wèn)過(guò)的主機(jī)地址表中，如果在，則表明該地址已經(jīng)訪問(wèn)過(guò)，這個(gè)數(shù)據(jù)包就被正常發(fā)出，不做任何的處理；如果發(fā)現(xiàn)這是一個(gè)新地址，則將該數(shù)據(jù)包加入到等待隊(duì)列中；每隔一個(gè)時(shí)間段t，查看等待隊(duì)列中有沒(méi)有數(shù)據(jù)包存在，如果有，取出第一個(gè)數(shù)據(jù)包，將它的目的地址加入到已訪問(wèn)過(guò)的主機(jī)地址表，將該數(shù)據(jù)包發(fā)出；并且查看等待隊(duì)列中還有沒(méi)有與它目的地址相同的數(shù)據(jù)包，如果有，也一起發(fā)出。設(shè)定一個(gè)警戒值f，當(dāng)?shù)却?duì)列中包的數(shù)量超過(guò)f時(shí)，則認(rèn)為出現(xiàn)了蠕蟲病毒