基于異常流量的蠕蟲檢測系統(tǒng)研究與實現(xiàn).pdf

1、近年來，隨著互聯(lián)網(wǎng)應(yīng)用的深入，網(wǎng)絡(luò)蠕蟲對計算機系統(tǒng)安全和網(wǎng)絡(luò)安全的威脅日益嚴重。傳統(tǒng)的基于特征匹配的蠕蟲檢測方法受限于蠕蟲特征的獲取，無法檢測未知的蠕蟲；現(xiàn)有基于行為的蠕蟲檢測方法雖然能夠檢測未知的蠕蟲，但是在檢測時間和誤報率之間仍然有一個平衡。因此，如何快速準確地檢測未知蠕蟲是目前亟待解決的現(xiàn)實問題。
　　 在蠕蟲的傳染爆發(fā)階段，受感染主機數(shù)目急劇增加，短時間內(nèi)會產(chǎn)生大量網(wǎng)絡(luò)流量，因此設(shè)計了一種基于異常流量的蠕蟲檢測系統(tǒng)，旨在

2、沒有蠕蟲特征庫的情況下，根據(jù)流量的變化及時發(fā)現(xiàn)未知蠕蟲的傳播。
　　 系統(tǒng)采用NetFlow技術(shù)實現(xiàn)網(wǎng)絡(luò)流量的采集，這就不需要關(guān)心數(shù)據(jù)包的負荷，直接獲取所需要的流信息，減少了對系統(tǒng)資源的需求，大大提高了系統(tǒng)的實效性。在收集到實時的網(wǎng)絡(luò)流量數(shù)據(jù)之后，采用基于動態(tài)流量基線的蠕蟲檢測算法來判斷網(wǎng)絡(luò)中是否存在蠕蟲的攻擊，該算法同時監(jiān)測多個目的端口的流量，分別根據(jù)它們正常的流量基線模型確認出蠕蟲的異常流量，并且進一步從異常數(shù)據(jù)流的TOP

3、N主機中找出受蠕蟲感染的可疑主機。為了降低誤報率，算法根據(jù)實際流量的大小動態(tài)更新基線值，這樣即使網(wǎng)絡(luò)高峰造成正常流量的增加，也不會超過閾值范圍。另外，對流量統(tǒng)計記錄采用自適應(yīng)哈希桶的存儲結(jié)構(gòu)，它們根據(jù)端口號的不同分別進行鏈表排列，并且按照流量值的大小遞減排序，這樣各個端口的監(jiān)聽線程只需要管理自己的鏈表，使算法的檢測效率得到了提高。在發(fā)現(xiàn)蠕蟲攻擊之后，根據(jù)異常流量的嚴重程度，產(chǎn)生不同級別的報警信息，并且利用防火墻聯(lián)動和路由器訪問控制列表過