基于漏洞传播蠕虫的检测技术应用研究及实现

摘要

随着互联网应用的深入，网络蠕虫对计算机系统安全和网络安全的威胁日益增加。网络蠕虫已经成为计算机使用者遇到的最普遍问题。它的传播不仅可以占用被感染主机的大部分系统资源，对目标系统造成破坏，同时，还会抢占网络带宽，造成网络严重堵塞，甚至使整个网络瘫痪。目前的网络蠕虫大多利用软件漏洞的方式。另外黑客技术的普及和编写蠕虫技术难度的降低，使得从漏洞发现到攻击程序产生，最后形成大面积爆发，周期越来越短，而控制清除的时间却越来越长。如何对网络蠕虫进行检测、预警和应对，已经成为计算机网络安全研究领域的一个重要课题。 本文首先从介绍一些著名的网络蠕虫入手，根据它们的行为给出其定义，并分析与传统计算机病毒的区别。然后对网络蠕虫的工作流程，功能结构和行为特征和发展趋势等进行阐释，并根据蠕虫的传播手段提出一种分类方式，另外总结了有关网络蠕虫的研究领域。接着专门针对基于漏洞传播的网络蠕虫，分析其传播策略，传播特点，传播方式以及攻击手段，为提出这类网络蠕虫的检测方法打下铺垫。 传统的蠕虫检测采用特征匹配的技术，需要不断更新特征库，才能保证检测到最新的蠕虫。在更新前用户系统就可能被新的蠕虫侵入，这就要求特征库要即时更新。防病毒软件厂商采用异常检测的方法来提取蠕虫特征。但是现有的异常检测需要大量的分析资源，小型网络都不能提供这样的环境。 在本文中探讨了基于蜜罐技术的轻量级蠕虫检测技术，该技术依靠蠕虫传播相似性的特点，可以利用较少的资源在检测到网络中的蠕虫，并可以提取出这些蠕虫的特征发送给模式匹配引擎。另外本文还提出了另外一个蠕虫异常检测方法，它通过统计TCP SYN包和UDP包来发现新蠕虫。 根据上述研究，设计并实现了一套检测系统，分别对特征检测子系统，蜜罐子系统和异常检测子系统的设计思路和实现方法进行了阐述，并且该系统通过了测试和验证。 最后对已有工作进行总结，并且提出下一步研究方向。

目录

文摘

英文文摘

论文说明：图表目录

独创性声明及关于论文使用授权的说明

第一章绪论

1.1论文研究背景

1.2研究现状

1.3论文组织结构

第二章蠕虫相关研究

2.1蠕虫介绍

2.1.1蠕虫的破坏性

2.1.2蠕虫定义

2.1.3计算机病毒定义

2.1.4蠕虫与病毒的区别

2.2蠕虫的工作流程

2.2.1感染

2.2.2传播

2.2.3执行负载

2.3蠕虫的功能结构

2.3.1基本功能

2.3.2扩展功能

2.4蠕虫的行为特征

2.5蠕虫的分类

2.6基于漏洞传播蠕虫的分析

2.6.1基于漏洞传播蠕虫的传播策略

2.6.2基于漏洞传播蠕虫的传播特点

2.6.3基于漏洞传播蠕虫的传播方式

2.6.4基于漏洞传播蠕虫的攻击手段

2.7蠕虫技术的发展趋势

2.8有关蠕虫的研究领域

2.9本章小结

第三章基于漏洞传播蠕虫的检测技术研究

3.1入侵检测技术

3.1.1误用检测技术

3.1.2异常检测技术

3.2已知蠕虫检测技术

3.2.1蠕虫的特征

3.2.2模式匹配

3.2.3协议分析

3.3未知蠕虫检测技术

3.3.1基于统计的异常检测技术

3.3.2基于蜜罐的检测技术

3.4本章小结

第四章基于漏洞传播蠕虫的检测系统实现

4.1系统总体描述

4.2特征检测子系统

4.2.1数据包捕获模块

4.2.2协议分析模块

4.2.3特征库模块

4.2.4特征解析模块

4.2.5特征匹配模块

4.3蜜罐子系统

4.3.1防火墙过滤模块

4.3.2数据捕捉模块

4.3.3异常检测和特征提取模块

4.4异常检测子系统

4.4.1核心数据结构

4.4.2异常检测算法流程

4.5本章小结

第五章系统测试和验证

5.1测试验证环境搭建

5.2测试验证工具

5.3测试验证方法

5.4测试验证结果

5.5本章小结

第六章总结与展望

参考文献

致谢

附录一在校期间科研情况

附录二针对目的端口和源地址的Hash函数

附录三针对四元组的Hash函数

附录四LCS算法