局域網(wǎng)蠕蟲檢測和控制技術研究.pdf

1、近年來，隨著互聯(lián)網(wǎng)應用的深入，網(wǎng)絡蠕蟲對計算機系統(tǒng)安全和網(wǎng)絡安全的威脅日益嚴重，蠕蟲的傳播速度越來越快，造成的損失也越來越大。傳統(tǒng)的基于特征碼的蠕蟲檢測方法受限于蠕蟲特征的獲取，無法檢測未知的蠕蟲；現(xiàn)有基于行為的蠕蟲檢測方法雖然能夠檢測未知的蠕蟲，但是在檢測時間和誤警率之間有一個平衡。在蠕蟲控制方面，對于可疑的蠕蟲流量，一般采取直接阻斷的方法，但是這會給正常流量帶來不利的影響。 針對上述問題，局域網(wǎng)蠕蟲檢測和控制系統(tǒng)基于網(wǎng)絡蠕蟲

2、在不同傳播階段表現(xiàn)出的行為特征，對局域網(wǎng)各個網(wǎng)段的出口流量進行檢測和控制?；趻呙栊袨樘卣鞯臋z測通過計算主機向外發(fā)起新連接的頻率及時發(fā)現(xiàn)網(wǎng)段中具有掃描行為的主機；基于內容的檢測對具有掃描行為的主機流量進行分析，在可疑主機發(fā)起的TCP流中尋找重復的數(shù)據(jù)包內容進行進一步檢測，進而發(fā)現(xiàn)被蠕蟲感染的主機。對于具有不同行為特征的主機，系統(tǒng)采取不同的控制策略，對于具有掃描行為的主機，采用限速機制對可疑的連接請求進行延遲，有效的抑制了蠕蟲傳播，同時避

3、免了對正常的流量的負面影響。對于已被蠕蟲感染的主機，采用阻斷的方法丟棄含有蠕蟲特征的數(shù)據(jù)包，徹底地阻礙蠕蟲的傳播。 基于掃描行為特征的檢測技術、基于限速和阻斷的蠕蟲控制技術是基于Linux 2.4.x內核的Netfilter防火墻架構實現(xiàn)，通過在內核層加載鉤子函數(shù)截獲數(shù)據(jù)包，根據(jù)不同的控制策略對可疑的數(shù)據(jù)包進行不同力度的控制；基于內容的檢測技術在網(wǎng)絡鏈路層使用Libpcap監(jiān)聽可疑主機的數(shù)據(jù)包，通過分析TCP狀態(tài)建立TCP連接表