基于人工免疫的未知网络蠕虫检测系统的研究

摘要

现代社会中，人们对互联网的依赖程度日益提高，而威胁计算机安全的恶意代码种类也逐渐增多。网络蠕虫是一种利用系统漏洞进行传播的恶意代码，其具有主动传播、无需宿主、变种多变形快等特性，其危害性比普通病毒更大更广。及时准确地检测网络蠕虫，保护计算机系统和网络免受恶意代码的威胁成为学术界一直讨论的重要话题，针对蠕虫的反病毒系统已经建成，但大多反病毒系统和入侵检测系统都是对已有蠕虫建立特征库进行检测，而对于新型或变形的蠕虫误报率高，响应滞后，依旧给计算机系统和网络造成破坏。能够对未知网络蠕虫做出零时间响应、对变化的网络环境做出适应调整及分布式环境下检测系统的研究，对计算机安全有着重要的意义，也是本文研究的目的所在。 目前入侵检测系统在检测技术方面包括基于特征的检测和基于异常的检测：基于特征的检测技术是对已出现的入侵进行特征提取，建立特征库，通过模式匹配能够及时准确的做出是否为入侵的判断，然而对新出现网络蠕虫的检测无能为力；基于异常的检测技术是先定义正常的系统数值，当违背正常时视为入侵，但是这种技术是在建立正常的情况后才能实施，很容易产生错误的入侵判断。在系统实现方面，普渡大学、加州大学戴维斯分校、哥伦比亚大学、新墨西哥大学等机构在入侵检测系统智能化和分布式两个方向取得了瞩目的成果。国内的入侵检测系统的研究相对滞后，处在对入侵检测技术研究的初级阶段。 基于生物免疫系统的入侵检测机制研究显得更加引人注目，对促进当前网络安全的研究具有十分重要的意义，特别是为入侵检测技术提供了重要的依据。生物机体抵御外界入侵和维护自身安全与稳定的主要手段是依靠自身的防御体系和免疫能力，计算机系统防御蠕虫与生物抵御外界入侵有着惊人的相似之处。 本文研究基于人工免疫系统对未知网络蠕虫的入侵检测系统，利用全新的免疫理论-危险理论，并采用DCA免疫算法，设计检测未知网络蠕虫的检测系统模型，对系统中的各个功能模块进行了详细的设计描述和实现。本文首先介绍网络蠕虫的定义和功能特性，之后介绍生物免疫系统的特性和机理，然后概述了目前基于人工免疫的入侵检测研究现状，详细的阐述危险理论和Julie Greensmith等研究者的DCA算法。扫描功能是蠕虫能够肆意传播的重要部分，检测出扫描入侵无疑可以达到发现并防御未知的网络蠕虫的目的。基于此，在最后部分本文设计检测端口扫描的系统模型，对各个功能进行模块化设计，并使用面向对象的语言C++简单实现。该模型主要由数据采集、数据预处理、数据处理和数据分析等模块构成。在数据预处理、数据处理和数据分析模块中使用了改进的DCA算法，将扫描的特征抽象为八个信号提供给DCA算法处理。该检测模型具有错误肯定率和错误否定率低，能检测未知蠕虫，具有良好的健壮性，结合现有的入侵检测技术可以发挥更好的作用。在山东省网通集中网管项目实习中，参与了系统安全管理功能的设计开发和系统运行的安全环境配置，对完成本文有较大帮助。

目录

文摘

英文文摘

声明

第一章绪论

1.1引言

1.2本文的工作

1.3本文的组织结构

第二章背景知识

2.1蠕虫基本知识

2.1.1蠕虫定义

2.1.2蠕虫与病毒的区别

2.1.3蠕虫的特点

2.1.4蠕虫检测系统研究的重要性

2.1.5小结

2.2入侵检测技术

2.2.1入侵检测技术概述

2.2.2入侵检测分类及优缺点

2.2.3 小结

2.3生物免疫系统和人工免疫系统

2.3.1生物免疫系统概述

2.3.2生物免疫基础知识

2.3.3人工免疫系统

第三章人工免疫入侵检测研究现状

3.1研究现状综述

3.2危险理论DCA算法

3.2.1细胞的死亡

3.2.2树突状细胞

3.2.3 DCA算法

3.3小结

第四章基于危险理论对未知蠕虫检测系统的研究

4.1检测模型

4.2数据采集与预处理

4.2.1数据采集

4.2.2数据预处理

4.3数据处理模块

4.4后期分析模块

第五章结束语

5.1本文总结

5.2进一步工作

参考文献

致谢

在读期间的科研工作