一种基于传播特征的蠕虫检测方法.docVIP

一种基于传播特征的蠕虫检测方法 　　摘要:随着计算机网络技术的飞速发展,网络蠕虫攻击成为目前影响网络安全的一个重要问题。实时监视网络蠕虫攻击,特别是在蠕虫传播早期检测到蠕虫,以采取相应的防御措施,减少蠕虫传播和攻击造成的损失变得尤为重要。通过分析网络蠕虫在传播过程中具有扩散性、链型以及传输数据相似等特征,提出了一种基于蠕虫传播特征的检测方法。实验结果表明:该检测方法在一定程度上降低了蠕虫检测的漏报率和错误率,对未知蠕虫具有较好的检测能力。 　　关键词:网络攻击;蠕虫;入侵检测;传播模型 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)09-2091-02 　　A Worm Detection Method based on Propagation Characteristics 　　LU Ning, SHANG Min 　　(Department of Computer Engineering and Technology, Guangdong Institute of Science and Technology, Zhuhai 519090, China) 　　Abstract: With the rapid development of Internet, network worm attacks has became the main threat to network security at present. It is necessary to monitor the worm attacks, especially in the early stage of worm transmission, and take measures of reducing the loss caused by worm attacks. A method based on Propagation Characteristics for worm detection is put forward, through analyzing the worm characteristics of diffusing, the chain linking pattern and similarity of transmission data. The experimental results show that the method has advantages in decreasing the rate of omitting and mistakes, and detecting unknown worms to some degree. 　　Key words: network attack; worm; intrusion detection; propagation model 　　随着计算机网络技术的飞速发展,Internet应用的深入,对计算机系统安全和网络安全的威胁日益增加。网络蠕虫是一种智能化、自动化的入侵技术,它传播速度快,潜伏能力强,覆盖面广,破坏能力强,不仅可以占用受感染主机的大部分系统资源,对目标系统造成破坏,同时,还会抢占网络带宽,造成网络严重堵塞,甚至使整个网络瘫痪。因此,如何对网络蠕虫进行检测、预警和应对,己成为计算机网络安全研究领域的一个重要课题。 　　由于蠕虫的危害极大,必须在它的传播初期发现其行为特征,将其检测出来,以便及时采取措施对其加以防范和遏止。本文根据蠕虫在传播阶段的特点,提出了一种基于蠕虫传播行为特征的检测方法。此方法在一定程度上降低了蠕虫检测的漏报率和错误率,对未知蠕虫具有较好的检测能力。 　　1 蠕虫传播阶段行为特征 　　蠕虫是一种智能化、自动化, 综合网络攻击、密码学和计算机病毒技术, 不需要计算机使用者干预即可运行的攻击程序或代码,它会扫描和攻击网络上存在系统漏洞的节点主机, 通过局域网或者国际互联网从一个节点传播到另外一个节点。 　　蠕虫的攻击过程通常包括感染、传播和执行负载三个阶段。 其中传播阶段是整个入侵系统的过程。从网络检测的角度而言,最佳时机是在蠕虫传播阶段,针对蠕虫的特征及其行为特点,分析捕获到的网络数据包,及早发现蠕虫活动,采取措施阻止它的破坏行为。 　　在传播阶段,蠕虫会采用多种技术,尽可能的发现攻击目标,利用系统漏洞,将自身从一个系统传播到另一个系统。蠕虫传播阶段具有如下行为特征: 　　1) 扩散的通信模式:为了感染更多的系统,受蠕虫感染节点在短时间内同时向多个目标系统发送探测消息。在发现多个漏洞系统后进行传播。 　　2) 链型通信模式:蠕虫的传播路径是连续的。主机A感染蠕虫后, 如果它又传染了B, 而B