網(wǎng)絡(luò)蠕蟲檢測技術(shù)應(yīng)用研究及系統(tǒng)實(shí)現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，網(wǎng)絡(luò)傳輸速率顯著增加，網(wǎng)絡(luò)應(yīng)用復(fù)雜性增強(qiáng)，使得網(wǎng)絡(luò)蠕蟲成為網(wǎng)絡(luò)系統(tǒng)安全的重要威脅。從1988年第一個(gè)網(wǎng)絡(luò)蠕蟲Morris到瘋狂傳播的ANI蠕蟲，CERT(計(jì)算機(jī)應(yīng)急響應(yīng)小組)統(tǒng)計(jì)到的Internet安全威脅事件每年以指數(shù)增長，近年來的增長態(tài)勢尤為迅猛。 蠕蟲對(duì)網(wǎng)絡(luò)造成巨大損害的主要原因在于蠕蟲傳播的突發(fā)性。通常，其傳播會(huì)經(jīng)歷慢速啟動(dòng)、快速傳播和緩慢結(jié)束三個(gè)階段，也就是說蠕蟲傳播初期速度通常比較慢，但隨著

2、傳播的進(jìn)行，其擴(kuò)散速度將會(huì)呈指數(shù)態(tài)急劇增大，最后隨著未被感染的主機(jī)數(shù)量減少，其傳播速度又會(huì)逐漸降低。由此可見，只有在慢速啟動(dòng)階段發(fā)現(xiàn)蠕蟲并進(jìn)行隔離才能真正有效地遏制其傳播。如何在蠕蟲傳播早期快速有效地發(fā)現(xiàn)和定位蠕蟲，并遏制蠕蟲的擴(kuò)散成為一個(gè)極具挑戰(zhàn)性的研究課題。 本文圍繞蠕蟲慢速啟動(dòng)階段的預(yù)警方法進(jìn)行研究，首先對(duì)蠕蟲的國內(nèi)外研究現(xiàn)狀進(jìn)行了總結(jié)，揭示了網(wǎng)絡(luò)蠕蟲研究的必要性。接著介紹了網(wǎng)絡(luò)蠕蟲的定義、行為模型、攻擊過程等活動(dòng)機(jī)理，深

3、入分析了當(dāng)前蠕蟲常用的隱蔽技術(shù)。然后本文歸納總結(jié)了目前蠕蟲檢測和響應(yīng)技術(shù)，描述了一種新的特征提取系統(tǒng)，這種系統(tǒng)區(qū)別于早期的基于報(bào)文語法、語義的特征提取模式，它采用虛擬執(zhí)行的方式，將蠕蟲所利用的漏洞的執(zhí)行路徑作為特征，引出一個(gè)新的蠕蟲研究點(diǎn)。 根據(jù)以上研究，本文提出了一種網(wǎng)絡(luò)蠕蟲檢測與響應(yīng)的整體解決方案，設(shè)計(jì)、實(shí)現(xiàn)了網(wǎng)絡(luò)蠕蟲本地化預(yù)警系統(tǒng)。該系統(tǒng)將誤用檢測和異常檢測相結(jié)合，通過DSC算法來統(tǒng)計(jì)TCPRESET異常包以判斷蠕蟲的早期

4、爆發(fā)，采用基于協(xié)議的特征匹配技術(shù)來識(shí)別已知蠕蟲的傳播，將網(wǎng)絡(luò)蠕蟲異常掃描行為與正常掃描行為進(jìn)行區(qū)分，更好地實(shí)現(xiàn)蠕蟲早期的預(yù)警檢測。同時(shí)，考慮到系統(tǒng)自身的安全性，采用了SSL加密通信方式，將檢測端注冊(cè)為服務(wù)，保證系統(tǒng)在電腦重啟或登陸前便可進(jìn)行蠕蟲的檢測。文中詳細(xì)介紹了通信模塊、檢測模塊和響應(yīng)模塊的設(shè)計(jì)流程和實(shí)現(xiàn)難點(diǎn)。然后，利用Symantec推出的免費(fèi)軟件WormSimulator來模擬蠕蟲的爆發(fā)行為，在實(shí)驗(yàn)室環(huán)境下對(duì)網(wǎng)絡(luò)蠕蟲預(yù)警系統(tǒng)進(jìn)行