基于動態(tài)檢測隔離機制的蠕蟲傳播模型與預(yù)警系統(tǒng)設(shè)計.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，以及網(wǎng)絡(luò)應(yīng)用的復(fù)雜性增強，使得網(wǎng)絡(luò)蠕蟲成為網(wǎng)絡(luò)系統(tǒng)安全的重要威脅。由于蠕蟲頻繁爆發(fā)所帶來的巨大經(jīng)濟損失，對蠕蟲的研究已經(jīng)引起了很大的關(guān)注。其中，蠕蟲傳播模型和蠕蟲預(yù)警技術(shù)，一直都是研究的熱點。 蠕蟲對網(wǎng)絡(luò)造成巨人損害的主要原因是蠕蟲傳播存在突發(fā)性，因此如何在蠕蟲傳播早期快速有效地發(fā)現(xiàn)和定位蠕蟲，并遏制蠕蟲的擴散是一個極具挑戰(zhàn)性的研究課題。另一方面，由于蠕蟲對抗技術(shù)和預(yù)警技術(shù)迅速發(fā)展，各類動態(tài)檢測隔離系統(tǒng)

2、被大規(guī)模部署于Intemet上，使其成為現(xiàn)階段影響蠕蟲傳播的重要因素。但到目前為止，還沒有一個通用模型可有效地刻畫蠕蟲傳播中的動態(tài)檢測隔離過程。 為了更準確、全面地刻畫網(wǎng)絡(luò)蠕蟲的傳播過程，本文提出了一種基于動態(tài)檢測隔離機制(DVnalTlic Isolation Mechanism)的通用蠕蟲傳播模型(DIM模型)，并通過模擬進行了驗證實驗與相應(yīng)分析。該模型包含了經(jīng)典蠕蟲傳播模型SEM、KM和TF中所考慮的各種因素，且增加了對檢

3、測隔離系統(tǒng)中蠕蟲傳播影響因素的考慮。 傳統(tǒng)的通過追蹤TCP SYN包來發(fā)現(xiàn)蠕蟲掃描源的方法需要耗費探測點大量存儲資源和計算資源。在DIM模型的基礎(chǔ)上，本文將特征檢測和異常檢測結(jié)合在一起，通過檢測蠕蟲掃描時產(chǎn)生的TCP RESET包來發(fā)現(xiàn)掃描源，提出了一種基于掃描的蠕蟲預(yù)警系統(tǒng)。同時，給出了該系統(tǒng)的實現(xiàn)機制，并進行了一系列的測試與分析。 本文的主要貢獻和創(chuàng)新體現(xiàn)在以下幾個方面： 1．提出了一種基于動態(tài)檢測隔離機制的

4、通用蠕蟲傳播模型，并進行了模擬實驗與分析該模型定義了蠕蟲在隔離階段的可疑狀態(tài)，刻畫了蠕蟲動態(tài)檢測隔離過程；并利用動態(tài)蠕蟲感染率和動態(tài)主機移除率、主機自動免疫率分別描述了蠕蟲傳播造成的網(wǎng)絡(luò)擁塞現(xiàn)象和人類在對抗蠕蟲病毒過程中的主觀能動性。 通過利用MATLAB對DIM模型進行模擬實驗，本文驗證了DIM蠕蟲傳播模型的有效性，分析了在檢測隔離系統(tǒng)中影響蠕蟲傳播的因素。 2．設(shè)計了一種基于掃描的網(wǎng)絡(luò)蠕蟲預(yù)警系統(tǒng)在DIM模型的基礎(chǔ)上

5、，本文設(shè)計了基于掃描的網(wǎng)絡(luò)蠕蟲預(yù)警系統(tǒng)。與現(xiàn)有的網(wǎng)絡(luò)蠕蟲檢測方法相比，該預(yù)警系統(tǒng)能夠有效檢測疑似網(wǎng)絡(luò)蠕蟲，減輕探測點負荷，降低系統(tǒng)的誤報率和漏報率，有效防御偽造攻擊。 3．給出了預(yù)警系統(tǒng)的實現(xiàn)機制，并進行了相關(guān)測試分析本文給出了預(yù)警系統(tǒng)中主要模塊的實現(xiàn)機制(創(chuàng)建疑似感染主機記錄的算法、掃描速率限制算法和隔離選擇算法)，考慮了預(yù)警系統(tǒng)在四種特殊情況下的擴展。同時利用DIM模型對預(yù)警系統(tǒng)進行理論分析、測試系統(tǒng)靈敏度，并在校園網(wǎng)絡(luò)環(huán)境