多态嶿虫特征自动提取算法研究计算机应用技术专业论文.docxVIP

原创性声明本人声明，所呈交的学位论文是本人在导师指导下进行的研究 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名：篮 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文， 允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内 容，可以采用复印、缩印或其它手段保存学位论文。同时授权中国科 学技术信息研究所将本学位论文收录到《中国学位论文全文数据库》， 并通过网络向社会公众提供信息服务。 ．：j飞f 摘 摘 要 快速而准确地提取蠕虫特征对于有效防御多态蠕虫的传播至关 重要。通常对蠕虫攻击的防御都是在其对网络造成了较大的危害之 后才开始进行的，对于蠕虫的响应速度滞后于蠕虫的传播速度，因 此，特征的快速自动提取已经成为研究者们越来越关注的问题。然 而已有的特征产生算法无法在有噪音的情况下提取出蠕虫特征。随 着多态蠕虫的快速传播，出现了针对多态蠕虫特征产生系统的攻击， 导致这些系统无法产生正确的多态蠕虫特征。 本文在对蠕虫多态变形技术研究的基础上，对多态蠕虫特征以 及特征自动提取算法进行了深入研究。本文的主要研究内容和创新 点包括： 已有的蠕虫特征均基于蠕虫负载本身，检测目标比较单一，无 法有效地检测形态多变的多态蠕虫。本文结合多态蠕虫特点，着重 考虑蠕虫负载字节之间的关系，提取基于近邻关系的多态蠕虫特征 NRS。实验测试表明了NRS能够很好的表示多态蠕虫的特性，并能 用于有效地检测多态蠕虫。 针对已有的多态蠕虫特征提取方法不能很好地处理噪音的问 题，本文引入彩色编码方法来解决有噪音干扰情况下的多态蠕虫特 征提取问题。首先提出基于字符串匹配的特征提取算法CCSF，该算 法将可疑池中的刀条序列分成朋组，然后运用彩色编码对每组序列 进行特征提取，再对每组提取出来的特征集合进行过滤筛选，最终 产生正确的蠕虫特征。实验表明CCSF算法能够在有噪音干扰的条 件下有效地提取出多态蠕虫的特征，而且该特征不包含碎片，易于 应用到IDS中对多态蠕虫进行检测。另外，为了能够在有噪音的情 况下提取出有效的NRS特征，本文提出了CGNRS算法，并对该算 法产生的NRS特征与其它方法产生的特征进行了比较。比较结果显 示CGNRS无论是在无噪音还是在有噪音的情况下都优于其它方法。 本文提出了一种基于随机策略的多态蠕虫特征提取方法 SGARS。该方法首先采用随机的策略，然后在解决噪音干扰的过程 中引入彩色编码方法来提高算法运行的效率。实验验证了该方法的 中引入彩色编码方法来提高算法运行的效率。实验验证了该方法的 正确性，和其他已有特征提取方法的实验比较表明，当可疑池中存 在噪音时，SGARS能够更快速提取出多态蠕虫特征。 本文进一步提出了基于种子．扩充的多态蠕虫特征自动提取方 法SESG，解决可疑池中存在噪音以及多类蠕虫的特征提取问题。 SESG算法分为计算序列权重、选择种子、扩充簇和产生特征四个子 算法。SESG算法与其它方法比较结果表明，能够在包含噪音的可疑 池中很好的区分各类蠕虫序列，更易于提取有效的蠕虫特征。 本文借鉴自然生物的取食．繁殖规则提出了_．个模型来精确刻 画结合了Permutation扫描特征的多态蠕虫的传播。并在模型中评估 基于字符串匹配的特征和NRS特征用于IDS进行检测时对蠕虫传播 的影响。模型分析了传播过程中各类蠕虫的数目，以及传播过程中 存在IDS和不存在IDS时各参数对蠕虫传播的影响。 关键词：特征提取，蠕虫特征，多态蠕虫，彩色编码，入侵检测 II ABSTRACTIn ABSTRACT In order to prevent worms from propagating rapidly,it is essential to generate worm signatures quickly and accurately．However,in most cases，defense against WOrm attacks Call only be done reactively after the damage has already happened．Due to the fact that WOrmS are able to spread substantially faster than human can respond，most of attention