局域網(wǎng)蠕蟲檢測和控制技術(shù)研究.pdf

1、近年來，隨著互聯(lián)網(wǎng)應(yīng)用的深入，網(wǎng)絡(luò)蠕蟲對計算機(jī)系統(tǒng)安全和網(wǎng)絡(luò)安全的威脅日益嚴(yán)重，蠕蟲的傳播速度越來越快，造成的損失也越來越大。傳統(tǒng)的基于特征碼的蠕蟲檢測方法受限于蠕蟲特征的獲取，無法檢測未知的蠕蟲；現(xiàn)有基于行為的蠕蟲檢測方法雖然能夠檢測未知的蠕蟲，但是在檢測時間和誤警率之間有一個平衡。在蠕蟲控制方面，對于可疑的蠕蟲流量，一般采取直接阻斷的方法，但是這會給正常流量帶來不利的影響。 針對上述問題，局域網(wǎng)蠕蟲檢測和控制系統(tǒng)基于網(wǎng)絡(luò)蠕蟲

2、在不同傳播階段表現(xiàn)出的行為特征，對局域網(wǎng)各個網(wǎng)段的出口流量進(jìn)行檢測和控制?；趻呙栊袨樘卣鞯臋z測通過計算主機(jī)向外發(fā)起新連接的頻率及時發(fā)現(xiàn)網(wǎng)段中具有掃描行為的主機(jī)；基于內(nèi)容的檢測對具有掃描行為的主機(jī)流量進(jìn)行分析，在可疑主機(jī)發(fā)起的TCP流中尋找重復(fù)的數(shù)據(jù)包內(nèi)容進(jìn)行進(jìn)一步檢測，進(jìn)而發(fā)現(xiàn)被蠕蟲感染的主機(jī)。對于具有不同行為特征的主機(jī)，系統(tǒng)采取不同的控制策略，對于具有掃描行為的主機(jī)，采用限速機(jī)制對可疑的連接請求進(jìn)行延遲，有效的抑制了蠕蟲傳播，同時避

3、免了對正常的流量的負(fù)面影響。對于已被蠕蟲感染的主機(jī)，采用阻斷的方法丟棄含有蠕蟲特征的數(shù)據(jù)包，徹底地阻礙蠕蟲的傳播。 基于掃描行為特征的檢測技術(shù)、基于限速和阻斷的蠕蟲控制技術(shù)是基于Linux 2.4.x內(nèi)核的Netfilter防火墻架構(gòu)實現(xiàn)，通過在內(nèi)核層加載鉤子函數(shù)截獲數(shù)據(jù)包，根據(jù)不同的控制策略對可疑的數(shù)據(jù)包進(jìn)行不同力度的控制；基于內(nèi)容的檢測技術(shù)在網(wǎng)絡(luò)鏈路層使用Libpcap監(jiān)聽可疑主機(jī)的數(shù)據(jù)包，通過分析TCP狀態(tài)建立TCP連接表