论文部分内容阅读
随着信息技术飞速发展,网络蠕虫对计算机系统安全和网络安全的威胁也日益增加。多样化的传播策略和复杂的应用环境使得网络蠕虫具有发生频率高,潜伏性强,覆盖面广的特点,蠕虫的爆发同时也会造成巨大的经济损失。然而,人们仍然没有完全理解蠕虫的传播行为,目前的网络蠕虫检测技术也总是滞后于网络蠕虫的攻击。本文对于网络蠕虫的传播模型以及检测技术进行了系统而深入的研究。在网络蠕虫的传播模型方面,对于良性蠕虫、邮件蠕虫以及综合采用扫描蠕虫及邮件蠕虫的攻击策略的混合蠕虫的传播进行了建模;在网络蠕虫的检测领域,提出了基于熵的网络蠕虫检测方法、基于蠕虫行为踪迹的特征自动提取方法以及自适应的分布式网络蠕虫检测方法。具体内容如下:(1)提出了良性蠕虫的传播模型。首先,对于良性蠕虫进行了分类研究。然后,在有延迟以及无延迟的情况下,推导了各类良性蠕虫的传播模型。最后,通过仿真试验验证了提出的传播模型。良性蠕虫的传播模型可以使得人们更好地理解以及预测良性蠕虫对抗蠕虫的速度以及规模。(2)提出了邮件蠕虫以及混合蠕虫的离散传播模型。由于传染病模型不适用于邮件蠕虫建模,因此提出了邮件蠕虫的离散传播模型。更进一步,基于该模型建立了一种同时运用邮件蠕虫以及扫描蠕虫攻击策略的混合蠕虫的传播模型。通过仿真试验验证了邮件蠕虫以及混合蠕虫的传播模型。提出的邮件蠕虫的传播模型不仅适合在电子邮件服务中传播的蠕虫,同时还适合于在相似网络拓扑结构传播的拓扑蠕虫,因此模型具有一般性。(3)提出了一种部署在路由器上的基于熵的网络蠕虫检测方法。在训练阶段,通过切比雪夫不等式计算网络数据正常的熵值区间,并且同时使得该区间检测网络蠕虫的误报率较低。在实时的网络蠕虫检测过程中,如果当前的网络数据熵不在正常的熵值区间内,那么就对蠕虫进行报警。实验结果表明提出的方法可以准确高效地检测网络蠕虫。(4)提出了一种基于行为踪迹分析的网络蠕虫特征自动提取的方法。首先,通过CUSUM算法检测网络中可疑的蠕虫流量。然后,在可疑的蠕虫流量中利用时间关联模型分析网络蠕虫的行为踪迹。最后,运用评判函数确定提取踪迹中网络蠕虫的特征码。设计并且实现了基于上述算法的原型系统。实验表明文中的方法可以准确有效地提取网络蠕虫的特征码,并且得到如下结论:网络蠕虫的行为踪迹不能够准确地区分蠕虫的身份,但是它却能帮助确定蠕虫的特征码的位置,从而有效地提取蠕虫的特征码。(5)提出了一种自适应的分布式网络蠕虫的检测方法。系统的框架由蠕虫检测代理和控制中心管理器组成。蠕虫检测代理根据网络蠕虫行为对于蠕虫进行预警。控制中心管理器基于接收的蠕虫检测代理的结果自适应地调节蠕虫检测代理。在理想情况下,推导了控制中心管理器的自适应调节函数;在现实的分布式系统中,设计了基于模拟退火遗传算法的自适应分布式网络蠕虫检测算法。实验表明基于模拟退火遗传算法的自适应分布式网络蠕虫检测算法可以准确高效地对于网络蠕虫进行预警。