基于NIDS的多態(tài)蠕蟲抑制策略研究.pdf

1、網(wǎng)絡蠕蟲已經(jīng)成為網(wǎng)絡安全的重大威脅之一，近年來，多態(tài)蠕蟲的出現(xiàn)以及大規(guī)模傳播為網(wǎng)絡安全帶來更加嚴峻的挑戰(zhàn)。多態(tài)蠕蟲能夠通過多種變形技術，在實現(xiàn)自我復制產生新的實例的同時改變新實例的字節(jié)序列，新的實例在傳播、攻擊過程中呈現(xiàn)出多種不同的形態(tài)，從而能夠躲避單一的基于特征或基于異常的入侵檢測系統(tǒng)的檢測。如何有效抑制多態(tài)蠕蟲的傳播已經(jīng)成為安全領域所面臨的一大難題。
　　為了有效抑制多態(tài)蠕蟲的傳播，就需要了解其傳播機制，分析其傳播特性。本文通

2、過對多態(tài)蠕蟲傳播特性的抽象提取，建立多態(tài)蠕蟲傳播模型來分析其傳播特點。根據(jù)多態(tài)蠕蟲的變種特性，本文建立了多態(tài)蠕蟲SIV免疫模型，用以分析多態(tài)蠕蟲傳播特性。
　　入侵檢測系統(tǒng)(IDS)是檢測、抑制蠕蟲傳播的有力措施。由于基于主機的入侵檢測系統(tǒng)需要全網(wǎng)部署，而多態(tài)蠕蟲特性復雜多變，因此基于主機的入侵檢測應對多態(tài)蠕蟲代價太大。本文選用基于網(wǎng)絡的入侵檢測系統(tǒng)(NIDS)來檢測多態(tài)蠕蟲，NIDS通過分析網(wǎng)絡流來提取所需信息，速度更快?；贜

3、IDS，本文建立了采用濫用檢測技術的多態(tài)蠕蟲SIQV持續(xù)隔離模型。濫用檢測能夠有效檢測已有的攻擊，檢測率高，誤報率低，但是無法檢測未知攻擊，即存在較高的漏報率。另一方面，異常檢測能夠有效檢測未知攻擊以及已知蠕蟲的變種，但其存在較高的誤報率。為了充分利用濫用檢測以及異常檢測兩者的優(yōu)勢，同時彌補兩者的不足，本文將兩種檢測方法綜合運用，基于NIDS，建立了多態(tài)蠕蟲SIQV脈沖隔離模型，通過分析發(fā)現(xiàn)，脈沖隔離策略比持續(xù)隔離策略效果更好。