蠕蟲特征分析與抑制方法研究.pdf

1、隨著計算機技術，特別是互聯(lián)網技術的迅速發(fā)展，人們在享受計算機帶來各種好處的同時，也在經受著各種惡意代碼(計算機病毒、網絡蠕蟲、特洛伊木馬等)的困擾和侵害。根據CN CERT近幾年的報告中，蠕蟲病毒已經成為最大的安全威脅。網絡蠕蟲發(fā)生的頻率越來越高，影響的范圍更廣，傳播能力和破壞能力更強，造成的損失也更大。如何抑制蠕蟲病毒已經成為信息安全領域中一個亟需解決的問題。 現(xiàn)有的蠕蟲檢測、抑制方法主要有基于掃描、Honeypot、包匹配、

2、內容和傳播行為的蠕蟲檢測方法，但是這些方法都存在一些不足，隨著新蠕蟲病毒的不斷出現(xiàn)，這些方法已經不能有效地控制蠕蟲病毒的爆發(fā)。本文結合沈昌祥院士提出的終端安全源頭理論和蠕蟲傳播的共有特征，即“在盡可能短的時間內，感染盡可能多的機器”，設計出一種基于終端源頭安全的蠕蟲抑制模型。 整個模型分為三個部分：蠕蟲監(jiān)控模塊、蠕蟲進程定位模塊以及中心控制模塊。由蠕蟲監(jiān)控模塊來監(jiān)控終端中發(fā)出的網絡數據包，當一個發(fā)送請求來到時，首先查詢該數據包中

3、的目的地址在不在已訪問過的主機地址表中，如果在，則表明該地址已經訪問過，這個數據包就被正常發(fā)出，不做任何的處理；如果發(fā)現(xiàn)這是一個新地址，則將該數據包加入到等待隊列中；每隔一個時間段t，查看等待隊列中有沒有數據包存在，如果有，取出第一個數據包，將它的目的地址加入到已訪問過的主機地址表，將該數據包發(fā)出；并且查看等待隊列中還有沒有與它目的地址相同的數據包，如果有，也一起發(fā)出。設定一個警戒值f，當等待隊列中包的數量超過f時，則認為出現(xiàn)了蠕蟲病毒