基于本地网络蠕虫检测定位算法.pdfVIP

中国科学 E 辑 : 信息科学 2008 年 第 38 卷 第 12 期 : 2099 ~ 2111 SCIENCE IN CHINA PRESS 基于本地网络的蠕虫检测定位算法 * 杨新宇 , 史椸, 朱慧君 西安交通大学计算机科学与技术系, 西安 710049 * E-mail:yxyphd@ 收稿日期: 2007-10-08; 接受日期: 2008-04-12 国家自然科学基金资助项目(批准号: 摘要 蠕虫的传播对计算机网络有极大危害, 是目前网络安全研究中的一 关键词 大热点问题. 文中分析了一类采用TCP 协议的蠕虫扫描时的流量特征, 提出 蠕虫检测 了基于本地网络流量信息的蠕虫检测方法, 并针对高速扫描和低速扫描的不 流量特征 同特点调整了定位方法, 使其能检测定位不同扫描速率的蠕虫. NS-2 仿真实 检测定位 验表明该方法能够快速检测到蠕虫. [1] 蠕虫是一种可以在网络中利用常用服务的安全和策略中的漏洞传播自己的程序 , 它们 一般会造成受感染主机无法正常工作, 更多情形是它们会在网络中迅速广泛传播, 产生大量 垃圾数据包占用网络资源, 造成网络瘫痪. 自从1988 年Morris 蠕虫[2] 问世以来, 它就一直危害 着互联网和联网的计算机, 尤其是自 2001 年起, Code Red, Code Red II[3], Sapphire/Slammer1), Nimda, Blaster, Sasser2), Witty3)等蠕虫在全球范围的爆发均对社会经济造成了巨大损失. 最近 虽然没有如此大规模的蠕虫活动, 但仍不断有蠕虫活跃在网络中, 如 NORTINA4) , SOBER5)和 ZOTOB6)等. 因此, 研究有效的蠕虫检测、防御方法具有重要意义. 蠕虫在传播之初通常需要发现一些可感染目标才能有效地传播. 由于方法简单, 许多全 自治蠕虫和需要定时器或用户激活的蠕虫都常使用“扫描”作为其目标发现策略[1]. 由于扫描 是许多蠕虫传播的第一步, 而且是一种与正常流量有极大区别的异常行为[1], 因此有效检测扫 描行为已经成为研究蠕虫检测和防御的一类重要方法. 本文的贡献为针对基于 TCP 协议的蠕 虫扫描阶段的流量特征, 提出依据本地网络流量信息的蠕虫检测定位方法(detection and location algorithm against local-worm, 简称为 DLAL), 该方法可根据蠕虫的扫描速率, 对高速 1) Moore D, Paxson V, Savage S, et al. The spread of the Sapphire/Slammer worm. /~nweaver/sa- pphire/ 2) CERT. CERT/CC advisories. /advisories/ 3) Shannon C, Moore D. The spread of the witty worm. /outreach/papers/2004/witty/ 4) WORM_NORTINA.A. /vinfo/virusencyclo/default5.asp?VName=WORM_NORTINA.A 5