基于蜜网系统的网络蠕虫研究.pdfVIP

基于蜜网系统的网络蠕虫研究 杨庆涛，唐学文，洪群业 (重庆大学，重庆 400044) 摘 要：对现有的网络蠕虫的发展和检测技术进行了介绍，然后引入了网络蠕虫蜜网系统，并对蜜网系统的构成和作用，进行 了详细的论述。由此设计 了一个基于蜜网系统的网络蠕虫模型，在采用协议分析 的基础上完成对未知网络蠕虫的发现 ，经过试 验分析表明，该系统在对未知蠕虫的检测方面具有一定的实际意义。 关键词：入侵检测；密网系统；协议分析 Research of InternetW orm Based on HoneynetTechnique YANG qing-tao ，TANG ×ue—wen ，HONG Qun—ye (Chongc／)／IgUniversity,Oko#gqing400044,Ohlka) Abstract：Inthispaper，weintroducethenetworkworm safetyproblem andcharactersiticincludingnetworkworm aim，threal；en，traz~ionaJmeshedofwol,m detecti0n．according t0theadvantageanddisadvantageofcurrently exltentdetectingandpreventingtechnologyagainstworm ，the principleandcorrelatvie t~ oJogy ofh0 t 】e『tare嗍 nadda~anlysed．attheeDd ，amode] broughtforwardtorehashanddetectj噌 t unknownwopm． Key words：IDS；Honeypot；ProtocoiAnayssi 1引 言 3传统的蠕虫检测方法 网络蠕虫的泛滥 自然会使人们探索蠕虫检测的方法和 手段 ，其中，入侵检测的方法同样适用于蠕虫检测。传统 入侵检测分为两类： 异常检测：异常检测的假设是入侵者活动异常于正常 主体的活动。根据这一理念 ，建立主体正常活动的 “活 篓警 动轮廓”，将当前主体的活动状况与 “活动轮廓”相比较， 当违反其统计规律时，认为该活动可能是 “入侵”行为。 异常检测的难题在于如何建立 “活动轮廓”以及如何设计 统计算法，从而不把正常的操作作为 “入侵”或忽略真正 的 “入侵”行为。 特征检测：特征检测又称滥用检测，这一检测假设入 侵者活动可以用一种模式来表示 ，系统的 目标是检测主体 活动是否符合这些模式。它可以将 已有的入侵方法检查出 来 ，但对新的入侵方法无能为力。 2网络蠕虫的行为特征 两种检测方法各有优缺点，特征检测可以明确指示出 网络蠕