论文部分内容阅读
随着互联网应用的深入,网络蠕虫对计算机系统安全和网络安全的威胁日益增加。网络蠕虫已经成为计算机使用者遇到的最普遍问题。它的传播不仅可以占用被感染主机的大部分系统资源,对目标系统造成破坏,同时,还会抢占网络带宽,造成网络严重堵塞,甚至使整个网络瘫痪。目前的网络蠕虫大多利用软件漏洞的方式。另外黑客技术的普及和编写蠕虫技术难度的降低,使得从漏洞发现到攻击程序产生,最后形成大面积爆发,周期越来越短,而控制清除的时间却越来越长。如何对网络蠕虫进行检测、预警和应对,已经成为计算机网络安全研究领域的一个重要课题。本文首先从介绍一些著名的网络蠕虫入手,根据它们的行为给出其定义,并分析与传统计算机病毒的区别。然后对网络蠕虫的工作流程,功能结构和行为特征和发展趋势等进行阐释,并根据蠕虫的传播手段提出一种分类方式,另外总结了有关网络蠕虫的研究领域。接着专门针对基于漏洞传播的网络蠕虫,分析其传播策略,传播特点,传播方式以及攻击手段,为提出这类网络蠕虫的检测方法打下铺垫。传统的蠕虫检测采用特征匹配的技术,需要不断更新特征库,才能保证检测到最新的蠕虫。在更新前用户系统就可能被新的蠕虫侵入,这就要求特征库要即时更新。防病毒软件厂商采用异常检测的方法来提取蠕虫特征。但是现有的异常检测需要大量的分析资源,小型网络都不能提供这样的环境。在本文中探讨了基于蜜罐技术的轻量级蠕虫检测技术,该技术依靠蠕虫传播相似性的特点,可以利用较少的资源在检测到网络中的蠕虫,并可以提取出这些蠕虫的特征发送给模式匹配引擎。另外本文还提出了另外一个蠕虫异常检测方法,它通过统计TCP SYN包和UDP包来发现新蠕虫。根据上述研究,设计并实现了一套检测系统,分别对特征检测子系统,蜜罐子系统和异常检测子系统的设计思路和实现方法进行了阐述,并且该系统通过了测试和验证。最后对已有工作进行总结,并且提出下一步研究方向。