当前位置:文档之家› 基于蜜网系统的网络蠕虫研究

基于蜜网系统的网络蠕虫研究

独立个体 程序 自 己运行 网 络中的其他计算机
4蜜 网系统的引入
尽 管传 统 的蠕虫 检测技 术 在蠕 虫的检 测方面 对蠕 虫的
检 测和 防 范起 到 了一 定 的作 用 ,然而 互联 网的广 泛 应用 ,
层 出不穷 的攻击 方式 , E益增 多的 网络风 险无时 无刻不在 1
防治的接燕
Ke w o d IS; H n y o ; rt ci a s y r s:D o e p t P o oo An y i s
1 言 引
3传统的蠕虫检测 方法
网络蠕 虫 的泛滥 自然 会使人 们探 索蠕 虫检 测的方法 和 手段 ,其 中 ,入侵检 测 的方法 同样适 用于蠕 虫检 测 。传统
异常检 测 的难题 在于如 何建 立 “ 活动轮 廓” 以及如何 设计 统 计算 法 ,从 而不把 正 常的操 作作 为 “ 侵” 或忽略 真正 入
的 “ 入侵 ”行 为 。 特 征检 测 :特 征检 测又 称滥 用检 测 ,这 一检 测假设入 侵者 活动 可 以用 一种 模式来 表示 ,系统的 目标是检 测主体
表 1病毒 、蠕 虫特 点 对 比 图
传染机制 复{形式 6 I 存在形式 运彳方式 亍 攻击的日 标
两种 检测方 法各 有优 缺点 ,特征 检 测可 以明确指 示 出 当前 的攻击 手段和 类型 ,因 此具 有较高 的检 测准确性 和误 报 率 ,开发规 则库 和特 征集合 相对 于建立 系统正 常模 型而 言 ,也更 加方便 和容 易 。但是 它的缺 点显 而易见 ,就是 只
从宿主文件中囊豫
能检 测到 已知 的攻击 模型 ,因此 只有 不断 地更新 才能应对
新的攻 击 。而异 常检 测虽 然可 以检测 到未知 的 ,新 的攻击 行为 ,但误 报率高 一直 是它面 临 的最 大 问题 。
病毒 宿主程序运行 插入到 宿主程序
寄生 需人为舶干顸 主要针对本地用户
蟠虫 系统自 身的嗣稠 自 身的拷贝
Y N i -t o , A G × e e , O G Q n e A G qn a T N g u—w n H N u—y
(h g/ n ei , Oo qg 4 0 4 ,ha 'o cg Ui rt k# i 0 0 4Ol) C n/ ) I ' vs y gn k
Ab ta t I h ae , e nrdc te ewok src : n i p pr w i oue h nt r wom a ey po l ad caa trtc n u i e w r wom i tra; ,rz oa s d f wom t s t r sft rbe m n h r ei i c d g nt ok c s i l n r am,he ln ta ̄i Jmeh o l e n e , dtcin acri t h a v na e n d a v na e f urnl e l n dtcig n pe et g ehoo y a a s w r ,h r c l n orl i eet0 .cod g 0 te da tg ad i da tg o cret n s y xt t eet ad rv ni tcn l g i t om t pi ie a d c r a v e n n g n e np ete t  ̄ o g o 0 J y f h o t 『t ae 嗍 】 r e n a d a alsd.t h ed , a o e d  ̄nye a te D m d ]uh fr a d t e sh a d d tcj n o wom. 噌
入侵 检 测分为两 类 :
篓 警
异 常检 测 :异 常检 测的假 设是 入侵 者活 动异 常于正 常 主 体 的 活动 。 根 据这 一理 念 ,建 立 主 体 正 常 活 动 的 “ 活 动轮 廓” ,将 当前 主体 的活动状 况 与 “ 动轮廓 ”相 比较 , 活
当违 反其 统 计规 律 时 ,认 为该 活动 可 能是 “ 侵 ”行 为。 入
活动是 否符 合这 些模 式。它 可 以将 已有的入侵 方法检 查 出
来 ,但 对新 的入侵 方法无 能为 力 。
2 网络蠕虫的行为特征
网络 蠕虫 是一种 智能 化 、 自动化 ,综 合 网络攻击 、密 码学和 计算机 病毒 技术 ,不需 要计 算机使 用者 干预 即可运 行 的攻击 程序 或代码 。它 会扫描 和攻 击 网络 上存 在 系统 漏 洞 的节 点主机 ,通过 局域 网或者 国 际互 联 网从一个 节 点传 播到 另外一 个节 点 。与传统 的计算 机病 毒相 比有其 自身 的 特点 ,其主 要的特 点从 表 1中可以进 行一 个对 比。
基于蜜 网系统的网络蠕 虫研究
杨庆 涛 ,唐 学文 ,洪群 业
( 庆大 学 ,重 庆 4 0 4 ) 重 0 0 4
摘 要 :对现 有的网络蠕 虫的发展和检 测技术进行 了介 绍 ,然后 引入 了网络蠕 虫蜜网系统 ,并对 蜜网系统的构成和作 用,进行
了详 细 的 论 述 。 由此 设 计 了一 个 基 于 蜜 网 系统 的 网络 蠕 虫模 型 , 在 采 用 协议 分析 的基 础 上 完 成 对 未知 网络 蠕 虫的 发现 ,经 过 试
验 分 析 表 明 ,该 系统 在 对 未知 蠕 虫的检 测 方 面具 有一 定 的实 际 意 义 。
关键 词 :入侵检测 ;密网系统;协议分析 Re e r h s a c of n e n t It r e W o m Ba e o Hon yn t r s d n e e Te h q e c ni u
相关主题

相关文档推荐: