基于流特征的惡意代碼檢測.pdf

1、伴隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，網(wǎng)絡設備與計算機已經(jīng)深入到國家機關(guān)、企業(yè)和千家萬戶中，我們對計算機網(wǎng)絡的依賴性日益增強。同時我們要看到，許多計算機用戶甚至網(wǎng)絡管理人員安全意識薄弱，不能有效地保護自己的主機和網(wǎng)絡。加上網(wǎng)絡威脅層出不窮，不斷變換著方式，嚴重威脅了計算機網(wǎng)絡的安全。如何能保證計算機網(wǎng)絡的安全，是一個富有挑戰(zhàn)性的任務。
　　 僵尸木馬、計算機病毒和蠕蟲是目前網(wǎng)絡中普遍存在的惡意代碼。傳統(tǒng)的基于應用層Payload的檢測方法

2、存在不能檢測加密Payload或新出現(xiàn)的惡意代碼，無法在Gbit/s級流量下進行檢測和不能長期保存歷史數(shù)據(jù)等不足。而且往往需要大量先驗知識，在如今惡意代碼更新迅速的情況下，該方法具有明顯的滯后性。為此本文提出了一種基于流特征的惡意代碼檢測方法，能夠較好地彌補上述不足。并且流作為標準（RFC3917）已經(jīng)被眾多網(wǎng)絡設備廠商支持，具備在真實環(huán)境下實驗的條件。
　　 通過對校園網(wǎng)核心路由交換機發(fā)出的NetFlow數(shù)據(jù)的收集、統(tǒng)計與分析

3、，本文發(fā)現(xiàn)了10余種網(wǎng)絡漏洞掃描、3種蠕蟲及1種僵尸木馬的流特征，以及一些目前暫時無法定性的異常流特征。此外，本文還實現(xiàn)了圖形化的流特征統(tǒng)計，包括常用協(xié)議分布、主機雙向流量TOP N、主機對外SYN連接TOP N、校園網(wǎng)TCP_flag位統(tǒng)計、校園網(wǎng)實時流量等功能。通過多種角度對數(shù)據(jù)統(tǒng)計并以圖形界面顯示，能更直觀地發(fā)現(xiàn)什么時候校園網(wǎng)出現(xiàn)了異常流量，并且可以通過進一步分析流數(shù)據(jù)，以確定是何種異常流量。
　　 本文通過真實環(huán)境下的實