蠕蟲攻擊的分析與即時(shí)檢測.pdf

1、伴隨互聯(lián)網(wǎng)技術(shù)的高速發(fā)展,因特網(wǎng)成為了信息交換的主要手段,但隨之而來的網(wǎng)絡(luò)安全問題也變的日益突出,網(wǎng)絡(luò)蠕蟲攻擊是影響網(wǎng)絡(luò)安全的重要因素,網(wǎng)絡(luò)蠕蟲的爆發(fā)率也越來越高,如何對(duì)網(wǎng)絡(luò)蠕蟲的防范是當(dāng)前急需解決的問題。在此背景下,本文主要目的是研究蠕蟲攻擊的即時(shí)檢測方法。
　　 本文對(duì)蠕蟲攻擊的技術(shù)進(jìn)行了詳細(xì)剖析,指出了蠕蟲攻擊的主要特征包括傳播主動(dòng)性、傳播迅速性、利用漏洞性、網(wǎng)絡(luò)阻塞性、感染反復(fù)性,對(duì)于蠕蟲的功能模塊進(jìn)行劃分,對(duì)蠕蟲攻擊過

2、程進(jìn)行了分析。分析了常用的蠕蟲攻擊檢測方式,以現(xiàn)在流行的VDS為例,對(duì)不同形式下的蠕蟲攻擊方式的檢測方法進(jìn)行具體介紹。
　　 本文采用主機(jī)通訊圖的概念,將網(wǎng)絡(luò)中各個(gè)主機(jī)間的通訊狀況映射為圖的形式,提出了基于主機(jī)通訊圖的即時(shí)檢測模型,結(jié)合特有的黑名單模式,對(duì)整個(gè)網(wǎng)絡(luò)的通訊狀態(tài)進(jìn)行模擬和檢測,設(shè)計(jì)了利用主機(jī)通訊圖來進(jìn)行檢測的詳細(xì)流程。制定了一個(gè)主機(jī)節(jié)點(diǎn)的各個(gè)屬性值的計(jì)算方法。每隔一個(gè)時(shí)間周期,對(duì)結(jié)點(diǎn)的屬性值做一個(gè)計(jì)時(shí)處理。當(dāng)結(jié)點(diǎn)屬性

3、值小于零時(shí),則將此結(jié)點(diǎn)判定為受蠕蟲攻擊的可疑結(jié)點(diǎn),通過對(duì)圖中該結(jié)點(diǎn)的相關(guān)鄰接結(jié)點(diǎn)的遍歷過程找到其他主機(jī)結(jié)點(diǎn),再次加以判斷是否為新可疑結(jié)點(diǎn)。在主機(jī)通訊圖模型的基礎(chǔ)上,提出了基于主機(jī)通訊圖的即時(shí)檢測方法,包括獲取檢測數(shù)據(jù)并進(jìn)行數(shù)據(jù)過濾,對(duì)主機(jī)通訊圖進(jìn)行處理,并以一個(gè)檢測實(shí)例的形式來驗(yàn)證基于主機(jī)通訊圖檢測方式的性能。
　　 在同類檢測方法中存在不能在蠕蟲大范圍爆發(fā)前及時(shí)判斷和處理的問題和只能對(duì)網(wǎng)絡(luò)的某一臺(tái)主機(jī)進(jìn)行監(jiān)控,不能對(duì)整個(gè)網(wǎng)絡(luò)的

4、健康狀態(tài)進(jìn)行一個(gè)有效模擬和檢測的問題。為了解決這些問題,基于主機(jī)通訊圖的檢測方法根據(jù)蠕蟲傳播的特性,在其試圖進(jìn)行大規(guī)模傳播之前就已經(jīng)進(jìn)行了有效的檢測,對(duì)所有本地網(wǎng)絡(luò)中的所有主機(jī)的狀態(tài)做出了一個(gè)有效的判斷,將蠕蟲對(duì)整個(gè)網(wǎng)絡(luò)的影響范圍盡量縮??；另外,本文提出的檢測模型通過其特有的計(jì)時(shí)處理,記錄了最新的主機(jī)通訊情況,有效的解決了數(shù)據(jù)的無效堆積,提高了判斷的有效性和準(zhǔn)確性,并且其黑名單模式對(duì)于檢測效率提高有重要作用,并且可以作為一個(gè)自主學(xué)習(xí)機(jī)制