蠕蟲模擬方法和檢測技術(shù)研究.pdf

1、由于危害嚴(yán)重、攻擊范圍大、爆發(fā)速度快，蠕蟲已經(jīng)成為目前互聯(lián)網(wǎng)所面臨的最為嚴(yán)重的安全威脅之一。目前有效的模擬環(huán)境的缺乏，影響了對蠕蟲的深入研究；同時，檢測技術(shù)的不準(zhǔn)確性，影響了蠕蟲預(yù)防、抑制和應(yīng)急響應(yīng)等技術(shù)的效果。鑒于本地網(wǎng)絡(luò)(內(nèi)部網(wǎng)絡(luò))內(nèi)蠕蟲的研究對蠕蟲早期預(yù)警和傳播控制所起到的關(guān)鍵作用，本文以本地網(wǎng)絡(luò)為背景環(huán)境，研究了蠕蟲模擬方法和檢測技術(shù)；從而為深入研究蠕蟲、蠕蟲早期預(yù)警以及應(yīng)急響應(yīng)等奠定了基礎(chǔ)。本文的研究不僅具有理論意義，而且具有

2、廣闊的應(yīng)用前景。 本文首先研究了網(wǎng)絡(luò)聚集層面和主機層面的流量模型。通過聚集層面的研究，建立了雙向TCP流量模型，用于在蠕蟲模擬中生成背景流量；該模型以TCP連接為研究對象，分別描述了TCP連接請求和響應(yīng)在不同時間尺度的統(tǒng)計特性。通過主機層面的研究，建立了“延遲限制型”蠕蟲主機的周期性突發(fā)流量模型，來描述蠕蟲掃描流量的統(tǒng)計特征，用于蠕蟲流量的準(zhǔn)確模擬；并分析了蠕蟲流量和正常主機流量的自相似性和有關(guān)統(tǒng)計指標(biāo)在重尾特性方面的差異，進(jìn)而

3、提出蠕蟲檢測的備選指標(biāo)，包括“第一次連接”的到達(dá)間隔、請求大小、響應(yīng)大小、持續(xù)時間和RTT等。 其次，建立了蠕蟲模擬環(huán)境，并研究了蠕蟲流量對網(wǎng)絡(luò)的影響。在蠕蟲模擬環(huán)境中，采用“半結(jié)構(gòu)化”TCP聚集流量模擬框架進(jìn)行背景流量模擬，以平衡精度和效率；該框架利用雙向TCP流量模型，將本地網(wǎng)絡(luò)抽象為一個節(jié)點，分別研究了應(yīng)用層聚集流量產(chǎn)生方法和傳輸層聚集流量控制方法；并驗證了該框架的有效性、穩(wěn)定性、可比性和高效性。在蠕蟲流量模擬中，采用混合

4、抽象層框架來模擬蠕蟲傳播過程，采用周期性突發(fā)流量模型來模擬蠕蟲主機的掃描流量；與傳統(tǒng)的固定速率蠕蟲流量模型相比，該模型能夠更好地刻畫蠕蟲的掃描流量及其對網(wǎng)絡(luò)的影響。 再次，研究了蠕蟲檢測指標(biāo)和檢測技術(shù)。結(jié)合對蠕蟲行為的分析，從備選指標(biāo)中提取出“第一次連接”的失敗概率、請求大小和到達(dá)間隔等檢測指標(biāo)。利用蠕蟲流量在上述檢測指標(biāo)上的重尾特性異常，采用統(tǒng)計分類技術(shù)，提出了兩個未知蠕蟲異常檢測算法。通過與目前主流蠕蟲檢測算法進(jìn)行對比，表明

5、兩個檢測算法均能夠在同等漏報率的情況下，顯著降低誤報率。 最后，開發(fā)了蠕蟲模擬環(huán)境和蠕蟲檢測系統(tǒng)，通過在某互聯(lián)網(wǎng)交換中心的買際使用，驗證了上述模型和算法的有效性。 本文的創(chuàng)新點在于提出了雙向TCP流量模型，周期性突發(fā)蠕蟲流量模型，“半結(jié)構(gòu)化”TCP聚集流量模擬方法，以及基于重尾特性和統(tǒng)計分類的未知蠕蟲檢測技術(shù)。 未來的研究方向包括：研究和建立分布式蠕蟲模擬環(huán)境；針對其他掃描策略，特別是目標(biāo)列表掃描策略的蠕蟲，研究