未知网络蠕虫检测与签名自动生成研究

[摘要]: Internet蠕虫以其快速且多样化的传播方法继续给Internet世界带来灾难. 与传统的宿主病毒相比，Internet蠕虫具有更强的繁殖和破坏能力. 从蠕虫爆发到消除蠕虫的时间越来越长，但是从发现漏洞到蠕虫爆发的时间越来越短. 通过人工方法控制蠕虫的快速传播是不现实的蠕虫病毒特点，这迫切需要自动检测蠕虫. 系统. 新的网络蠕虫不断涌现. 蠕虫的变种越来越多，它们的破坏力也越来越大，它们也更加隐蔽. 基于模式匹配算法的传统检测系统也很难处理. 这需要一个可以检测未知蠕虫的系统. 网络蠕虫是病毒产生的，但是与病毒不同. 在定义了网络蠕虫之后，介绍了蠕虫的行为特征，物理结构和工作流程. 从蠕虫检测的角度出发，重点分析了网络蠕虫的扫描方法，比较了自动蠕虫扫描和黑客手动扫描的区别，并简要介绍了蠕虫感染模型. 根据蠕虫扫描失败的特征，被感染主机的特征以及蠕虫爆发的网络特征，主要研究是在网络层检测未知的网络蠕虫，该方法基于双向出入通分析. 当前，大多数蠕虫检测系统使用网络流量的特定属性来检测蠕虫攻击. 可能只有一个时间点蠕虫病毒特点，因此对入口流量执行多属性相似性分析；考虑到静态时间窗的流量统计丢失前后的相关性，因此，对出口流量进行基于滑动窗的失败连接统计分析. 两者共同建立了可疑属性，作为检测未知蠕虫的基础. 捕获网络流量，请参考可疑属性，找出异常流量，将其视为可疑未知蠕虫数据包，然后将其导入可疑流量池. 当可疑流量池中的流量超过一定规模时，将触发蠕虫签名自动生成系统. 签名自动生成系统使用可疑流量池作为数据源，并将未知蠕虫签名输出到签名. 系统使用两种不同的方法来生成签名: 令牌最多的令牌和令牌最少的签名. 基本思想是，当同一蠕虫传播以构造令牌集时，从数据包的相似性中提取公共部分. ，自动生成未知蠕虫的签名代码. 在上述研究的基础上，开发了一种用于生成未知网络蠕虫检测和签名自动生成的系统原型，并进行了简单的系统测试和问题分析.

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-285053-1.html