基于網絡行為的蠕蟲檢測技術研究.pdf

1、隨著計算機技術的發(fā)展和網絡應用的深入，網絡安全受到的威脅日益嚴重，尤其是惡意代碼（計算機病毒、木馬、網絡蠕蟲等）的泛濫對網絡應用造成了很大的破壞。在這些惡意代碼中，蠕蟲無需人的干預，攻擊范圍大，爆發(fā)速度快。蠕蟲的傳播可能占用被感染主機的大量系統資源，影響目標系統的正常使用，也可能通過搶占網絡帶寬，甚至造成整個網絡的嚴重堵塞，因此蠕蟲的危害最大。如何有效地對網絡蠕蟲進行檢測已經成為計算機網絡安全領域的一個重要課題。
　　論文首先回顧

2、了網絡蠕蟲的出現和發(fā)展，對網絡蠕蟲的定義和功能結構進行了闡述，對網絡蠕蟲的傳播機制進行了分析，并綜述了蠕蟲的研究現狀以及基于網絡行為的蠕蟲檢測研究現狀，揭示了網絡蠕蟲研究的必要性。目前已有的研究成果雖然可以較好地檢測蠕蟲，但仍存在如下不足:(1)誤報較多，尤其是P2P流量和某些正常程序的特定操作所引起的誤報;(2)對于慢速蠕蟲或者變速蠕蟲檢測效果較差;(3)對于蠕蟲行為挖掘不夠，因此難以更好地降低誤報率和漏報率。
　　蠕蟲掃描時會

3、引起網絡中新連接速度過快、失敗連接數過多、第一次失敗連接數很高等一些典型的網絡行為。論文通過對這些典型網絡行為的研究與分析，引用了“第一次連接”(FCC，First Contact Connection)的概念。為了降低漏報率和誤報率，采用了FCC失敗連接概率和FCC連接速度兩個檢測指標作為檢測依據，并且將FCC分為四種情形，提出了兩種蠕蟲檢測方法:(1)基于網絡行為模糊模式識別的蠕蟲檢測方法，該算法通過分別學習正常主機和受感染主機的網

4、絡行為，建立相應標準的分類模糊子集，然后利用模糊模式識別法判定待測主機是否感染蠕蟲。(2)基于網絡行為和Fisher-支持向量綜合分類器(Fisher-Support Vector Classifier，簡稱FSVC)的蠕蟲檢測算法，該方法通過使用FSVC分別學習受感染主機和正常主機的相應的網絡行為，然后使用訓練后的分類器對待測主機進行分類，實現了蠕蟲攻擊的自動檢測。對于上述兩種蠕蟲檢測技術，通過在真實的網絡環(huán)境中采集數據，建立樣本數據