多态嶿虫特征自动提取算法研究.pdf

摘要 快速而准确地提取蠕虫特征对于有效防御多态蠕虫的传播至关 重要。通常对蠕虫攻击的防御都是在其对网络造成了较大的危害之 后才开始进行的，对于蠕虫的响应速度滞后于蠕虫的传播速度，因 此，特征的快速自动提取已经成为研究者们越来越关注的问题。然 而已有的特征产生算法无法在有噪音的情况下提取出蠕虫特征。随 着多态蠕虫的快速传播，出现了针对多态蠕虫特征产生系统的攻击， 导致这些系统无法产生正确的多态蠕虫特征。 本文在对蠕虫多态变形技术研究的基础上，对多态蠕虫特征以 及特征自动提取算法进行了深入研究。本文的主要研究内容和创新 点包括： 已有的蠕虫特征均基于蠕虫负载本身，检测目标比较单一，无 法有效地检测形态多变的多态蠕虫。本文结合多态蠕虫特点，着重 考虑蠕虫负载字节之间的关系，提取基于近邻关系的多态蠕虫特征 NRS。实验测试表明了NRS能够很好的表示多态蠕虫的特性，并能 用于有效地检测多态蠕虫。 针对已有的多态蠕虫特征提取方法不能很好地处理噪音的问 题，本文引入彩色编码方法来解决有噪音干扰情况下的多态蠕虫特 征提取问题。首先提出基于字符串匹配的特征提取算法CCSF，该算 法将可疑池中的以条序列分成朋组，然后运用彩色编码对每组序列 进行特征提取，再对每组提取出来的特征集合进行过滤筛选，最终 产生正确的蠕虫特征。实验表明CCSF算法能够在有噪音干扰的条 件下有效地提取出多态蠕虫的特征，而且该特征不包含碎片，易于 应用到IDS中对多态蠕虫进行检测。另外，为了能够在有噪音的情 况下提取出有效的NRS特征，本文提出了CGNRS算法，并对该算 法产生的NRS特征与其它方法产生的特征进行了比较。比较结果显 示CGNRS无论是在无噪音还是在有噪音的情况下都优于其它方法。 本文提出了一种基于随机策略的多态蠕虫特征提取方法 SGARS。该方法首先采用随机的策略，然后在解决噪音干扰的过程 中引入彩色编码方法来提高算法运行的效率。实验验证了该方法的 正确性，和其他已有特征提取方法的实验比较表明，当可疑池中存 在噪音时，SGARS能够更快速提取出多态蠕虫特征。 本文进一步提出了基于种子．扩充的多态蠕虫特征自动提取方 法SESG，解决可疑池中存在噪音以及多类蠕虫的特征提取问题。 SESG算法分为计算序列权重、选择种子、扩充簇和产生特征四个子 算法。SESG算法与其它方法比较结果表明，能够在包含噪音的可疑 池中很好的区分各类蠕虫序列，更易于提取有效的蠕虫特征。 本文借鉴自然生物的取食．繁殖规则提出了一．个模型来精确刻 画结合了Permutation扫描特征的多态蠕虫的传播。并在模型中评估 基于字符串匹配的特征和NRS特征用于IDS进行检测时对蠕虫传播 的影响。模型分析了传播过程中各类蠕虫的数目，以及传播过程中 存在IDS和不存在IDS时各参数对蠕虫传播的影响。 关键词：特征提取，蠕虫特征，多态蠕虫，彩色编码，入侵检测 II ABSTRACT Inorderto wormsfrom isessential prevent propagatingrapidly,it to worm and most generatesignaturesquickly accurately．However,in wormattacks cases，defense Call bedone afterthe against only reactively has tothefactthatWOrmSare to damagealreadyhappened．Due able fasterthan spreadsubsta