网络流量异常检测与蠕虫防治策略研究

摘要

近年来，互联网与社会经济发展和人们生活的关系越来越密切。计算机和网络已经成为社会不可或缺的重要部分，而互联网的安全问题也随之而来。其中，网络蠕虫是最大的安全隐患之一。网络蠕虫的历史可以追溯到1988年著名的Morris蠕虫，它侵入了当时互联网中10％～20％的计算机，造成高达上千万美元的经济损失；2001年8月爆发的Code Red蠕虫感染了超过36万台服务器，使大量网站陷于瘫痪；2007年出现的熊猫烧香蠕虫则是国内较为有名的蠕虫爆发案例。国外计算机安全专家甚至论证了设计合理的蠕虫，理论上可以在30分钟内传遍全球的互联网。
　　 为了尽早发现网络蠕虫的爆发，研究人员设计了众多的蠕虫检测手段，主要分为两类，一类是以网络为研究对象，称为基于网络的检测；另一类就是通过计算机的防火墙、病毒库的特征匹配等技术来发现网络蠕虫，称为基于终端的检测。本文重点研究前者，使用主成分分析算法对全局网络流量进行分解，并提出一种构建异常空间的网络异常检测方法。仿真结果表明，本文的方法能够实现对网络流量异常，特别是网络蠕虫爆发的检测和定位。
　　 在蠕虫对抗方面，目前主要依靠用户的主动升级补丁、使用杀毒软件等单机方法。研究人员认为，传统的单机杀毒方式已经很难遏制网络蠕虫的传播。本文以互联网上的计算机升级补丁清除蠕虫等现实行为为依据，提出了以一种新型补丁代替当前的普通补丁的混合式蠕虫防治策略——监听反制(MCA)策略，并建立蠕虫在此策略下的传播模型。与传统的蠕虫传播模型局限于易感主机群体不同，本文将研究对象扩展到了易感主机群体之外的正常主机。模型的仿真结果表明，监听反制策略可以有效遏制蠕虫在互联网上的传播，为网络蠕虫的防治提供了新的思路。

目录

文摘

英文文摘

论文说明：图表目录、缩略词表

声明

第一章绪论

1.1网络蠕虫简介

1.1.1网络蠕虫的定义

1.1.2蠕虫的分类

1.1.3蠕虫的危害

1.2网络蠕虫的工作原理

1.2.1网络蠕虫的功能结构

1.2.2网络蠕虫的扫描策略

1.2.3网络蠕虫扫描效果

1.3网络蠕虫的检测技术

1.3.1基于主机的蠕虫检测技术

1.3.2基于网络的蠕虫检测技术

1.4网络蠕虫的防治技术

1.5本文的主要贡献和内容安排

第二章 网络流量的异常检测研究

2.1研究背景

2.2网络流量异常检测方法分类

2.2.1模型预测算法--EWMA

2.2.2信号分析算法--小波分析

2.2.3空间分解算法--PCA算法

2.3全网流量异常检测

2.3.1全网流量数据研究意义

2.3.2全网流量数据实例

2.4主成分分析法分解全局网络流量

2.4.1主成分分析算法原理

2.4.2 PCA算法过程

2.5本章小结

第三章 PCA算法检测网络流量异常

3.1蠕虫爆发与网络流量异常

3.2 PCA算法检测、定位网络异常

3.2.1 OD流数据的分解

3.2.2网络流量异常检测

3.2.3网络流量异常定位

3.3网络蠕虫爆发的检测

3.4在线检测

3.5结论

第四章 网络蠕虫的防治策略研究

4.1研究背景

4.2网络蠕虫的防治技术

4.2.1网关阻断

4.2.2本地防治

4.2.3良性蠕虫对抗恶性蠕虫

4.2.4计算机安全中心

4.3网络蠕虫传播模型研究

4.3.1网络蠕虫的传播模型简介

4.3.2 MCA蠕虫防治策略的描述

4.4本章小结

第五章 MCA蠕虫防治策略建模与仿真

5.1 MCA模型描述

5.2模型的理论推导

5.3仿真分析

5.3.1监听反制模型与双因素模型的对比

5.3.2反应时间对监听反制策略的影响

5.3.3正常主机总数对监听反制策略的影响

5.4本章小结

第六章总结与展望

致谢

参考文献

攻读硕士学位期间的研究成果

个人简历