大規(guī)模網(wǎng)絡蠕蟲檢測與傳播抑制.pdf

1、隨著網(wǎng)絡應用的擴展，網(wǎng)絡安全受到的威脅日益嚴重，尤其是惡意代碼的泛濫對網(wǎng)絡和應用造成了很大的破壞。在惡意代碼中，蠕蟲由于無需人的干預，能夠自動傳播，因此造成的危害最大。如何有效地遏制蠕蟲在大規(guī)模網(wǎng)絡中的傳播成為非常迫切的問題。
　　為了解決蠕蟲泛濫的問題，必須研究有效的抑制蠕蟲在大規(guī)模網(wǎng)絡中傳播的手段。首先通過對蠕蟲傳播模型的理論分析，從中發(fā)現(xiàn)影響蠕蟲傳播的重要參數(shù)，本文認為防御系統(tǒng)的布置與遏制時間是影響最終抑制蠕蟲傳播效果的最重

2、要的因素。在大規(guī)模網(wǎng)絡中，通過對網(wǎng)絡劃分縮小各子網(wǎng)規(guī)模，并采用自動檢測來縮短遏制時間，建立大規(guī)模網(wǎng)絡蠕蟲防御系統(tǒng)，可以對蠕蟲進行有效的遏制。本文研究的主要內(nèi)容包括以下四部分：
　　第一，在對蠕蟲的性質(zhì)進行了討論和深入分析后，提出了分割網(wǎng)絡進行蠕蟲傳播抑制的方法。通過對蠕蟲的傳播行為，尤其是隨機掃描階段進行分析，可以發(fā)現(xiàn)蠕蟲傳播速度與網(wǎng)絡規(guī)模具有一定的關系。并以SEM(Simple Epidemic Model)模型為主要對象，對模

3、型進行了深入研究，在此基礎上，提出了對網(wǎng)絡進行分割以減小網(wǎng)絡規(guī)模，在劃分邊界上對蠕蟲進行隔離，從而在大規(guī)模網(wǎng)絡上有效的抑制蠕蟲的傳播。本文建立了與規(guī)模相關的蠕蟲傳播模型，并討論了分割后子網(wǎng)的數(shù)目以及分割時間對蠕蟲傳播抑制的影響，為在大規(guī)模網(wǎng)絡中基于分割的蠕蟲傳播抑制提供了理論依據(jù)。
　　第二，由于時間、空間等各項約束會讓用戶在訪問網(wǎng)絡時產(chǎn)生一定的用戶習慣，在習慣的作用下，用戶的訪問目的地是較為集中和有限的。在蠕蟲爆發(fā)時，由于蠕蟲的

4、傳播會產(chǎn)生大量的陌生訪問，從而破壞用戶的習慣。因而，對用戶的訪問目的進行統(tǒng)計分類，并建立用戶訪問目的列表，則在蠕蟲發(fā)作時則能及時有效的發(fā)現(xiàn)蠕蟲。本文對用戶的訪問行為進行了分析，提出了一種對蠕蟲進行早期發(fā)現(xiàn)的新方法，并且實現(xiàn)了一個基于用戶訪問的蠕蟲檢測系統(tǒng)。實驗證明該方法能夠有效快速的發(fā)現(xiàn)蠕蟲的傳播。由于用戶訪問目的中存在的習慣是用戶習慣的一方面的體現(xiàn)，而用戶的習慣多種多樣，可以衍生出很多應用模型，因此具有很強的指導意義。
　　第三

5、，蠕蟲由于快速的傳播而在網(wǎng)絡中造成了嚴重的危害，對蠕蟲進行自動的快速檢測是一項必需的研究。在入侵檢測系統(tǒng)常用的兩種檢測模式中，誤用檢測無法檢測到新蠕蟲的出現(xiàn)，而異常檢測存在效率低，誤報高的缺點。本文結合了誤用檢測與異常檢測的優(yōu)點，提出了蠕蟲自動檢測的新途徑，研究了在大規(guī)模網(wǎng)絡中，利用異常發(fā)現(xiàn)模塊從網(wǎng)絡中發(fā)現(xiàn)異常數(shù)據(jù)集，然后自動進行特征提取，進而將特征更新到特征檢測的特征庫中進行特征檢測的方法，實現(xiàn)對未知蠕蟲的檢測。這種方法能夠快速的發(fā)現(xiàn)

6、新的疫情，并作為蠕蟲自動防御的基礎。
　　第四，為了完成在大規(guī)模網(wǎng)絡中防御蠕蟲的任務，必須建立有效的對抗體系。本文系統(tǒng)的特征檢測、異常檢測、分析控制、組織協(xié)作等功能分離開來，降低系統(tǒng)實現(xiàn)復雜性，并在對系統(tǒng)的功能分解與重組的基礎上，以Agent為基本的模塊單位，在大規(guī)模網(wǎng)絡中進行自治的檢測，同時能夠互相協(xié)作。在分析和參考了現(xiàn)有分布式入侵檢測系統(tǒng)拓撲結構的基礎上，建立了層次式大規(guī)模網(wǎng)絡蠕蟲防御系統(tǒng)，并按照大規(guī)模網(wǎng)絡中蠕蟲防御任務的需求