[摘要]: Internet蠕蟲以其快速且多樣化的傳播方法繼續給Internet世界帶來災難. 與傳統的宿主病毒相比，Internet蠕蟲具有更強的繁殖和破壞能力. 從蠕蟲爆發到消除蠕蟲的時間越來越長，但是從發現漏洞到蠕蟲爆發的時間越來越短. 通過人工方法控制蠕蟲的快速傳播是不現實的蠕蟲病毒特點，這迫切需要自動檢測蠕蟲. 系統. 新的網絡蠕蟲不斷涌現. 蠕蟲的變種越來越多，它們的破壞力也越來越大，它們也更加隱蔽. 基于模式匹配算法的傳統檢測系統也很難處理. 這需要一個可以檢測未知蠕蟲的系統. 網絡蠕蟲是病毒產生的，但是與病毒不同. 在定義了網絡蠕蟲之后，介紹了蠕蟲的行為特征，物理結構和工作流程. 從蠕蟲檢測的角度出發，重點分析了網絡蠕蟲的掃描方法，比較了自動蠕蟲掃描和黑客手動掃描的區別，并簡要介紹了蠕蟲感染模型. 根據蠕蟲掃描失敗的特征，被感染主機的特征以及蠕蟲爆發的網絡特征，主要研究是在網絡層檢測未知的網絡蠕蟲，該方法基于雙向出入通分析. 當前，大多數蠕蟲檢測系統使用網絡流量的特定屬性來檢測蠕蟲攻擊. 可能只有一個時間點蠕蟲病毒特點，因此對入口流量執行多屬性相似性分析；考慮到靜態時間窗的流量統計丟失前后的相關性，因此，對出口流量進行基于滑動窗的失敗連接統計分析. 兩者共同建立了可疑屬性，作為檢測未知蠕蟲的基礎. 捕獲網絡流量，請參考可疑屬性，找出異常流量，將其視為可疑未知蠕蟲數據包，然后將其導入可疑流量池. 當可疑流量池中的流量超過一定規模時，將觸發蠕蟲簽名自動生成系統. 簽名自動生成系統使用可疑流量池作為數據源，并將未知蠕蟲簽名輸出到簽名. 系統使用兩種不同的方法來生成簽名: 令牌最多的令牌和令牌最少的簽名. 基本思想是，當同一蠕蟲傳播以構造令牌集時，從數據包的相似性中提取公共部分. ，自動生成未知蠕蟲的簽名代碼. 在上述研究的基礎上，開發了一種用于生成未知網絡蠕蟲檢測和簽名自動生成的系統原型，并進行了簡單的系統測試和問題分析.

本文來自本站，轉載請注明本文網址：
http://www.pc-fly.com/a/jisuanjixue/article-285053-1.html