網(wǎng)絡(luò)蠕蟲(chóng)的早期檢測(cè)和防護(hù)算法研究.pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模的迅速擴(kuò)大，網(wǎng)絡(luò)蠕蟲(chóng)攻擊成為目前影響網(wǎng)絡(luò)安全的一個(gè)重要問(wèn)題。新一代蠕蟲(chóng)的傳播速度越來(lái)越快，其破壞性也越來(lái)越大，實(shí)現(xiàn)蠕蟲(chóng)早期檢測(cè)是蠕蟲(chóng)防御的前提和技術(shù)難點(diǎn)。傳統(tǒng)的基于特征值匹配入侵檢測(cè)系統(tǒng)已經(jīng)不能適應(yīng)蠕蟲(chóng)的檢測(cè)和防御，需要從網(wǎng)絡(luò)蠕蟲(chóng)傳播的特性入手，研究檢測(cè)和抑止蠕蟲(chóng)傳播的有效方法。本文研究網(wǎng)絡(luò)蠕蟲(chóng)的早期檢測(cè)和防護(hù)算法，以盡早地防范網(wǎng)絡(luò)蠕蟲(chóng)，降低網(wǎng)絡(luò)蠕蟲(chóng)對(duì)網(wǎng)絡(luò)的損害。 本文首先針對(duì)目前大部分蠕蟲(chóng)在掃描和傳播的過(guò)程中

2、會(huì)導(dǎo)致網(wǎng)絡(luò)充滿(mǎn)大量的ICMP-T3和RESET包這一問(wèn)題，通過(guò)對(duì)網(wǎng)絡(luò)中上述兩類(lèi)數(shù)據(jù)包的分析，提出一種高效的蠕蟲(chóng)早期檢測(cè)算法。該算法只探測(cè)和分析RESET和ICMP-T3這兩種網(wǎng)絡(luò)數(shù)據(jù)包，避免了分析網(wǎng)絡(luò)中的全部流量，從而提高了分析效率和實(shí)時(shí)響應(yīng)性；同時(shí)通過(guò)分析蠕蟲(chóng)的傳播過(guò)程，發(fā)現(xiàn)在蠕蟲(chóng)的傳播過(guò)程中具有DS轉(zhuǎn)換特征，而其他的人為掃描則沒(méi)有這個(gè)特征，從而可以進(jìn)一步比較精確地得到感染蠕蟲(chóng)的主機(jī)地址。 然后，本文針對(duì)目前網(wǎng)絡(luò)上的蠕蟲(chóng)攻擊方

3、法，提出了一種基于資源操作域的主機(jī)防護(hù)模型。模型從系統(tǒng)資源入手，立足于控制進(jìn)程行為，建立了一個(gè)授權(quán)訪(fǎng)問(wèn)系統(tǒng)資源的進(jìn)程以及操作方法的最小集合，從根本上提高了防護(hù)的主動(dòng)性和對(duì)未知蠕蟲(chóng)攻擊的防范能力。 并且，基于本文提出的高效蠕蟲(chóng)早期檢測(cè)算法研究，本文設(shè)計(jì)實(shí)現(xiàn)了一個(gè)蠕蟲(chóng)早期檢測(cè)系統(tǒng)LEDW。該系統(tǒng)采用分布式結(jié)構(gòu)設(shè)計(jì)，運(yùn)行于Linux系統(tǒng)，采用Libpcap開(kāi)發(fā)包和C++開(kāi)發(fā)，基于Mysql存儲(chǔ)采集數(shù)據(jù)。通過(guò)在現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境中運(yùn)行及對(duì)魔波