分布式蠕虫检测与主动防御系统的研究与实现

摘要

本文以建立一个实时检测、主动防御网络蠕虫攻击的安全系统为目标，对蠕虫检测与主动防御技术进行了深入的研究，讨论了自适应思想与网络安全技术相结合的必要性，探讨了利用分布式对象技术和陷阱网络技术等解决网络安全系统自适应性的研究思路和实现方法。具体而言，创新性研究内容主要包括以下几个方面： 1)提出了一个支持多种检测引擎、扩展性好、具有多层次数据分析能力和主动防御能力的自适应分布式蠕虫检测与主动防御系统Aegis模型。 2)研究了基于DSC的蠕虫异常检测方法，提出了利用蠕虫的传播特性和扫描特性检测网络蠕虫已感主机的分析方法。在Aegis中引入了基于Snort的误用入侵检测系统，证明了模型的扩展性及其对其它成熟的网络安全软件的集成能力。 3)研究了蠕虫主动防御技术。从蠕虫攻击的特征出发，提出了减少易感主机的网络脆弱性分析方法、抑制蠕虫传播的内部防火墙机制和控制已感主机的蠕虫对抗模型。 4)研究了陷阱网络技术。在Sebek捕获陷阱网络数据的基础上，提出了一种利用数据增量关联分析与序列挖掘技术对未知蠕虫的行为进行模式挖掘的分析方法，增强了Aegis系统在蠕虫检测方面的自适应性。 通过仿真实验，验证了Aegis的有效性。实验证明，本文提出的系统具有良好的自适应性和开放式结构，有效结合了蠕虫检测与主动防御技术，对蠕虫攻击具有高检测率和低误报率，并能及时有效的防范蠕虫危机。

目录

文摘

英文文摘

西北大学学位论文知识产权声明书和独创性声明

第一章前言

1.1研究的背景和意义

1.2研究的内容和目的

1.3论文结构和章节安排

第二章蠕虫检测与防御技术研究综述

2.1网络蠕虫的定义

2.2蠕虫与病毒的区别

2.3蠕虫的工作机制

2.4蠕虫的行为特征

2.5蠕虫检测与防御技术研究现状

2.6蠕虫检测与防御亟待解决的问题

2.7本章小结

第三章自适应的分布式蠕虫检测与主动防御系统

3.1自适应的蠕虫检测与主动防御系统

3.1.1引入自适应思想的必要性

3.1.2蠕虫检测与主动防御系统的自适应性

3.2分布式对象技术

3.2.1分布式对象技术的发展状况

3.2.2 CORBA的体系结构

3.2.3 CORBA的特点

3.3陷阱网络技术

3.3.1陷阱网络的定义和分类

3.3.2陷阱网络的特点

3.4数据挖掘技术

3.4.1数据挖掘的分析方法

3.4.2数据挖掘与决策

3.5本章小结

第四章一个分布式蠕虫检测与主动防御系统模型

4.1 Aegis的体系结构

4.1.1 Aegis的体系结构模型

4.1.2 Aegis模型的特点

4.2 Aegis的通信模型

4.3 Aegis的实现模型

4.3.1 Aegis的对象模型

4.3.2 Aegis的IDL定义

4.4本章小结

第五章蠕虫检测子系统的关键技术

5.1基于Snort的蠕虫误用检测

5.2基于DSC的蠕虫异常检测

5.2.1 DSC算法描述

5.2.2 DSC算法实现

5.2.3 DSC算法效率讨论

5.3本章小结

第六章全局事件分析子系统的关键技术

6.1事件分析的定义及分类

6.2事件分析方法

6.2.1事件融合分析

6.2.2事件相关性分析

6.3事件分析器设计

6.4实验结果与分析

6.5本章小结

第七章主动防御子系统的关键技术

7.1网络脆弱性分析

7.1.1脆弱性分析的必要性

7.1.2脆弱性分析方法

7.2内部防火墙机制

7.2.1内部防火墙设计

7.2.2内部防火墙响应策略

7.3蠕虫对抗技术

7.3.1良性蠕虫与恶意蠕虫的区别

7.3.2蠕虫对抗蠕虫

7.4本章小结

第八章陷阱网络子系统的关键技术

8.1陷阱网络子系统总体设计

8.2陷阱网络模型分析

8.3陷阱网络关键技术分析

8.3.1入侵重定向技术

8.3.2数据捕获技术

8.3.3数据控制技术

8.3.4数据分析技术

8.4陷阱网络蠕虫行为模式挖掘

8.4.1审计数据描述与数据预处理

8.4.2增量关联挖掘

8.4.3序列模式挖掘

8.4.4行为模式评估

8.4.5蠕虫行为模式挖掘的设计

8.5实验结果与分析

8.6本章小结

第九章总结与展望

9.1本文的工作总结

9.2未来的研究工作

参考文献

致谢