局域網(wǎng)蠕蟲檢測(cè)和控制技術(shù)研究.pdf

1、近年來，隨著互聯(lián)網(wǎng)應(yīng)用的深入，網(wǎng)絡(luò)蠕蟲對(duì)計(jì)算機(jī)系統(tǒng)安全和網(wǎng)絡(luò)安全的威脅日益嚴(yán)重，蠕蟲的傳播速度越來越快，造成的損失也越來越大。傳統(tǒng)的基于特征碼的蠕蟲檢測(cè)方法受限于蠕蟲特征的獲取，無法檢測(cè)未知的蠕蟲；現(xiàn)有基于行為的蠕蟲檢測(cè)方法雖然能夠檢測(cè)未知的蠕蟲，但是在檢測(cè)時(shí)間和誤警率之間有一個(gè)平衡。在蠕蟲控制方面，對(duì)于可疑的蠕蟲流量，一般采取直接阻斷的方法，但是這會(huì)給正常流量帶來不利的影響。 針對(duì)上述問題，局域網(wǎng)蠕蟲檢測(cè)和控制系統(tǒng)基于網(wǎng)絡(luò)蠕蟲

2、在不同傳播階段表現(xiàn)出的行為特征，對(duì)局域網(wǎng)各個(gè)網(wǎng)段的出口流量進(jìn)行檢測(cè)和控制?；趻呙栊袨樘卣鞯臋z測(cè)通過計(jì)算主機(jī)向外發(fā)起新連接的頻率及時(shí)發(fā)現(xiàn)網(wǎng)段中具有掃描行為的主機(jī)；基于內(nèi)容的檢測(cè)對(duì)具有掃描行為的主機(jī)流量進(jìn)行分析，在可疑主機(jī)發(fā)起的TCP流中尋找重復(fù)的數(shù)據(jù)包內(nèi)容進(jìn)行進(jìn)一步檢測(cè)，進(jìn)而發(fā)現(xiàn)被蠕蟲感染的主機(jī)。對(duì)于具有不同行為特征的主機(jī)，系統(tǒng)采取不同的控制策略，對(duì)于具有掃描行為的主機(jī)，采用限速機(jī)制對(duì)可疑的連接請(qǐng)求進(jìn)行延遲，有效的抑制了蠕蟲傳播，同時(shí)避

3、免了對(duì)正常的流量的負(fù)面影響。對(duì)于已被蠕蟲感染的主機(jī)，采用阻斷的方法丟棄含有蠕蟲特征的數(shù)據(jù)包，徹底地阻礙蠕蟲的傳播。 基于掃描行為特征的檢測(cè)技術(shù)、基于限速和阻斷的蠕蟲控制技術(shù)是基于Linux 2.4.x內(nèi)核的Netfilter防火墻架構(gòu)實(shí)現(xiàn)，通過在內(nèi)核層加載鉤子函數(shù)截獲數(shù)據(jù)包，根據(jù)不同的控制策略對(duì)可疑的數(shù)據(jù)包進(jìn)行不同力度的控制；基于內(nèi)容的檢測(cè)技術(shù)在網(wǎng)絡(luò)鏈路層使用Libpcap監(jiān)聽可疑主機(jī)的數(shù)據(jù)包，通過分析TCP狀態(tài)建立TCP連接表