基于异常用户行为的蠕虫检测与特征码自动提取技术研究

摘要

当今对计算机网络安全提出最大挑战的是起源于上世纪80年代的网络蠕虫。蠕虫因其传播隐蔽,感染速度快,造成损失大的特点使得对蠕虫的研究越来越受到人们的重视。现阶段,蠕虫的检测手段仍然集中在基于特征码的误用检测和基于网络行为的异常检测上,但在检测手段的创新上遇到了一定的瓶颈。另外,传统的基于人工的蠕虫特征码提取方式所具有的滞后性极大的影响着蠕虫的检测和蠕虫的遏制;而处于起步阶段的早期蠕虫特征码自动提取技术则在面对变形蠕虫和反特征码自动提取技术时显得力不从心。因此,提出一种新的蠕虫检测方法和蠕虫特征码自动提取方法具有重要意义。
　　 本文综述了计算机蠕虫的相关原理、关键技术、检测方法以及蠕虫特征码提取的相关技术,并提出了一套新的蠕虫检测方法和蠕虫特征码自动提取方法,在一定程度上弥补了现有技术的不足。
　　 本文的主要工作和贡献包括:
　　 详细的概述了蠕虫的原理和现有的蠕虫检测技术、蠕虫特征码提取技术并分析了现有蠕虫检测技术和蠕虫特征码提取技术的优点和不足。同时对未来蠕虫的发展和蠕虫检测于特征码提取技术的发展做出了预测。
　　 目前的蠕虫检测主要由基于特征码的误用检测和基于蠕虫网络行为的异常检测组成。其中异常检测主要通过利用蠕虫在扫描阶段产生的大量失败连接为依据从而分析出网络中是否存在蠕虫,而不是结合用户网络行为进行蠕虫检测。本文另辟蹊径,结合现有技术的优点,提出了基于异常用户行为的蠕虫检测方式,有效避免了非蠕虫行为干扰的问题,提高了蠕虫检测的准确率。
　　 本文还针对蠕虫特征码人工提取和早期特征码自动提取技术的不足,提出了抗攻击蠕虫特征码自动提取技术,有效的弥补了人工提取的滞后性和早期特征码自动提取技术在变形蠕虫特征码提取和抗反特征码自动提取攻击能力差的不足。这也是对蠕虫特征码自动提取技术的有益尝试。

目录

文摘

英文文摘

第一章 绪论

1.1 研究目的与意义

1.2 研究背景

1.3 国内外研究现状

1.4 本文的主要研究工作

1.5 论文组织结构

第二章 蠕虫检测相关技术研究

2.1 蠕虫的基本技术

2.2 蠕虫的检测技术

2.3 小结

第三章 蠕虫特征码自动提取相关技术研究

3.1 蠕虫特征码自动提取技术的基本概念

3.2 反蠕虫特征自动提取技术

3.2.1 多态蠕虫的基本构成

3.2.2 几种主要的反蠕虫特征码自动提取技术(ANTI-ASG)

3.3 小结

第四章 基于异常用户行为的蠕虫检测技术

4.1 设计思想与目标

4.2 技术框架

4.3 基于异常用户行为的蠕虫检测算法

4.3.1 算法的基本定义

4.3.2 基于异常用户行为的蠕虫检测算法

4.4 基于异常用户行为的蠕虫检测系统构建与测试

4.4.1 基于异常用户行为的蠕虫检测系统的整体构架

4.4.2 用户行为学习模块测试

4.4.3 正常用户行为测试

4.4.4 尼姆达蠕虫测试

4.4.5 BUSAN蠕虫测试

4.4.6 灵敏性测试

4.5 基于异常用户行为的蠕虫检测系统的改进

4.6 小结

第五章 抗攻击蠕虫特征码自动提取技术

5.1 设计思想与目标

5.2 A-ASG总体设计

5.3 蠕虫特征码提取算法

5.3.1 令牌提取算法

5.3.2 令牌修剪算法

5.3.3 候选特征码提取算法

5.3.4 特征码认证算法

5.4 技术实现与测试

5.4.1 技术实现平台

5.4.2 协议重组器和蠕虫分流器的实现

5.4.3 特征码认证的实现

5.4.4 蠕虫变形的实现

5.4.5 无攻击状态下特征码提取测试

5.4.6 RED HERRING攻击状态下特征码提取测试

5.4.7 CORRELATE OUTLIER攻击状态下特征码提取测试

5.4.8 SUSPICIOUS POOL POISONING攻击状态下特征码提取测试

5.5 小结

第六章 结束语

6.1 论文的主要成果、创新与不足

6.2 未来的研究工作

致谢

参考文献

攻硕期间取得的成果