基于局域网计算机蠕虫检测技术研究和实现.docVIP

基于局域网计算机蠕虫检测技术研究和实现 　　摘要21世纪是信息技术的发展时代，计算机网络技术也获得了前所未有的发展。近年来，随着计算机的广泛普及和应用，人们的生活、工作和学习方式都发生了深刻的变化，人们在充分享受计算机带来便利生活的同时，也发现了计算机网络安全问题的日渐突出，给网络安全造成了极大的危害，蠕虫病毒就是其中的危害之一，因此，本文就重点对基于局域网计算机蠕虫检测技术进行研究，以促进计算机网络的健康运行。 　　【关键词】局域网计算机 蠕虫病毒 检测技术 研究 　　计算机网络技术的快速发展也带来了一系列计算机安全问题，网络安全受到越来越严重的威胁，不得不引起人们的重视。其中，恶意代码是造成网络破坏的重要因素，尤其是计算机蠕虫，它可以不受人的干预，自动传播，对网络造成极大的危害，因此，对计算机蠕虫检测技术的研究已经成为检测蠕虫攻击重中之重的工作。 　　1 蠕虫病毒 　　1.1 概念 　　蠕虫这个词最早出现在生物学专业，1982年将其引入计算机的领域，之后在计算机领域造成了巨大的破坏。蠕虫即一种自动化、智能化，并综合网络攻击等形成的一种病毒技术，而且蠕虫病毒可以不在人的干预下自行进行攻击代码，利用计算机网络上存在的漏洞节点主机，借助局域网从一个节点传到另一个节点，对计算机造成巨大的破坏。 　　1.2 分类 　　根据蠕虫病毒传播的方式不同，可以分为E-mail蠕虫、P2P蠕虫、IM蠕虫、基于搜索引擎及漏洞传播的蠕虫。 　　1.3 攻击手段 　　缓冲区溢出攻击手段：据相关部门的统计，在Internet上有80%的攻击是缓冲区溢出技术，攻击者利用exploit探测程序找到计算机上可以利用的缓冲区溢出的隐患，采用蠕虫病毒对缓冲区进行溢出操作，这里主要利用的恶意代码，然后执行攻击程序，进而掌握目标节点的控制权；弱密码攻击手段：专门进行弱密码攻击的蠕虫病毒自身携带一个弱密码字典，这个字典中包括一些常用的用户名及密码，它可以将密码和用户名进行有效的组合，尝试成功后与远程建立连接，将自身反传给远程系统，然后再进行下一轮的攻击。蠕虫设计者将蠕虫的测试频率提高，并提供尽可能准确的用户名及密码，这样就为蠕虫病毒的传播提供了良好的条件，从而对计算机造成破坏；其他： 除了以上两种手段外，还有格式化字符串攻击手段、D0S、DDOS攻击手段及设置默认攻击手段。 　　2 对计算机蠕虫检测技术的研究 　　2.1 特征匹配检测技术 　　特征匹配的检测技术可对已知的蠕虫检测，对蠕虫的重点特征进行检测，并根据特征生成一个规则库，将采集获取的网络数据包与规则库中的规则进行相应的匹配，从而获悉蠕虫的攻击。通过特征匹配的检测技术具有一定的工作流程，首先，要通过系统平台对网络数据包进行必要的获取，并对每一个数据包进行仔细的检查，尽最大努力寻找出攻击特征；其次，如果发现与攻击特征长度一致的字节，就要及时从数据包首部取出来，并将这两组字节的特征进行比较，只要对比的结果是一致的，就代表检测到一个攻击，若结果不同，就从网络数据包的下个字节处再重新对比，直到将网络上的数据包匹配完毕，或找到攻击；检测结束后，要对每一个攻击特征进行重新匹配比较，保证每一个攻击特征都进行匹配。 　　2.2 协议分析的检测技术 　　网络协议是计算机网络的核心，例如：TCP/IP协议，网络协议分析也是一项重要的技术，在网络安全方面也起着重要的作用。网络协议就是对网络数据进行协议分析，采用数据包进行协议分析，就可以获得数据包的所有协议的内容。对于协议分析而言，其具体流程是获取、过滤数据包及具体协议分析，单一的检测方法还不能满足检测所有蠕虫的需要，因此，需要研究多种技术协同检测蠕虫的方法，只有这样才能全方位检测到蠕虫的攻击。 　　融合传统特征匹配的优势，与协议分析技术共同工作去检测蠕虫，发现蠕虫后作出响应，并阻止蠕虫攻击。这个过程就是分析引擎对整个数据包进行协议分析，利用特征匹配对数据包进行检测、分析，最后发现攻击，这是检测蠕虫的核心部分，其详细的流程是：将数据报截获，并送至协议命令解析的模块，对各层的协议进行判断，将数据包的数据部分进行解析，并借助于系统的规则库，进行相应的匹配，从而判断数据是否存在入侵的嫌疑，最后通过响应系统作出处理响应。 　　2.3 概率检测技术 　　对未知代码的蠕虫病毒检测有实时的自动检测和事后的分析两种方法。实时自动检测就是实时监测流量，进而发现蠕虫的攻击，这种检测技术可以在早期发现蠕虫攻击，能提供及时的信息数据，有利于制定解决方案；事后分析即管理人员发现网络存在异常现象之后，去研究网络数据包，进而找到蠕虫病毒的特征码，放在特征库，此种方法的使用虽然便于以后的检测，但却无法规避大部分计算机受到感染的事实。 　　就目前而言，基于概率检测蠕虫的最佳方