網(wǎng)絡(luò)流量異常檢測與蠕蟲防治策略研究.pdf

1、近年來，互聯(lián)網(wǎng)與社會經(jīng)濟發(fā)展和人們生活的關(guān)系越來越密切。計算機和網(wǎng)絡(luò)已經(jīng)成為社會不可或缺的重要部分，而互聯(lián)網(wǎng)的安全問題也隨之而來。其中，網(wǎng)絡(luò)蠕蟲是最大的安全隱患之一。網(wǎng)絡(luò)蠕蟲的歷史可以追溯到1988年著名的Morris蠕蟲，它侵入了當時互聯(lián)網(wǎng)中10％～20％的計算機，造成高達上千萬美元的經(jīng)濟損失；2001年8月爆發(fā)的Code Red蠕蟲感染了超過36萬臺服務(wù)器，使大量網(wǎng)站陷于癱瘓；2007年出現(xiàn)的熊貓燒香蠕蟲則是國內(nèi)較為有名的蠕蟲爆發(fā)案

2、例。國外計算機安全專家甚至論證了設(shè)計合理的蠕蟲，理論上可以在30分鐘內(nèi)傳遍全球的互聯(lián)網(wǎng)。
　　 為了盡早發(fā)現(xiàn)網(wǎng)絡(luò)蠕蟲的爆發(fā)，研究人員設(shè)計了眾多的蠕蟲檢測手段，主要分為兩類，一類是以網(wǎng)絡(luò)為研究對象，稱為基于網(wǎng)絡(luò)的檢測；另一類就是通過計算機的防火墻、病毒庫的特征匹配等技術(shù)來發(fā)現(xiàn)網(wǎng)絡(luò)蠕蟲，稱為基于終端的檢測。本文重點研究前者，使用主成分分析算法對全局網(wǎng)絡(luò)流量進行分解，并提出一種構(gòu)建異?？臻g的網(wǎng)絡(luò)異常檢測方法。仿真結(jié)果表明，本文的方法能

3、夠?qū)崿F(xiàn)對網(wǎng)絡(luò)流量異常，特別是網(wǎng)絡(luò)蠕蟲爆發(fā)的檢測和定位。
　　 在蠕蟲對抗方面，目前主要依靠用戶的主動升級補丁、使用殺毒軟件等單機方法。研究人員認為，傳統(tǒng)的單機殺毒方式已經(jīng)很難遏制網(wǎng)絡(luò)蠕蟲的傳播。本文以互聯(lián)網(wǎng)上的計算機升級補丁清除蠕蟲等現(xiàn)實行為為依據(jù)，提出了以一種新型補丁代替當前的普通補丁的混合式蠕蟲防治策略——監(jiān)聽反制(MCA)策略，并建立蠕蟲在此策略下的傳播模型。與傳統(tǒng)的蠕蟲傳播模型局限于易感主機群體不同，本文將研究對象擴展到