基于网络的0-day多态蠕虫检测算法研究

来源 :清华大学 | 被引量 : 0次 | 上传用户:kulahai
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
0-day多态蠕虫针对还未发布补丁的软件漏洞进行攻击,且每次攻击时在网络上呈现出不同的字节序列,因而破坏性强,检测难度大,成为目前Internet的主要安全威胁之一。本文对基于网络的0-day多态蠕虫检测问题进行了研究。本研究通过分析0-day多态蠕虫的技术特点,基于三种不同思路(端口扫描分析,蠕虫特征生成,shellcode行为检测),分别提出相应的分析模型与检测算法,并通过实验予以验证。具体的研究工作和成果如下。端口扫描分析。现有的端口扫描检测方法很难有效地从大量扫描记录中识别新的蠕虫。本文根据同一蠕虫的攻击应具有相似的扫描行为的特点,提出基于聚类的扫描分析方法。该方法包括通过建立“扫描向量模型”,将任一扫描源的行为抽象为随时间变化的向量;以及提出一个基于中心的聚类算法,对动态变化的向量进行聚类。实验结果表明,此方法能够有效识别不同的蠕虫扫描活动。蠕虫特征生成。利用少量样本自动生成的蠕虫特征,可用于对蠕虫进行检测,但现有的基于内容的特征能够被多态蠕虫躲避。本文根据缓冲区溢出攻击的特点,将协议域的长度作为特征。通过建立流的域层级模型,形式化地定义了“长度特征”。在此基础上提出长度特征的生成算法,并证明算法在被攻击情况下的误警率和漏警率上限。实验结果验证了算法的各方面性能,特别是在最坏攻击下,算法仍有较高的准确性。Shellcode行为检测。多态shellcode是多态蠕虫的必要组成部分。为提高现有多态shellcode检测算法的速度和抗攻击性,本文提出了一个新的检测算法。作为算法的基础,本文首先对多态shellcode行为检测问题进行了形式化定义和分析,并提出代码的“行为描述模型”,其中通过“行为模式”对可执行行为进行描述和识别。算法利用CPU模拟技术,并设计、运用了多项创新性的技术。实验验证了本文算法在速度和抗攻击性方面,相对于现有方法的显著优势。在上述三方面的研究中,都实现了相应的原型系统,相关实验均基于原型系统完成。实验数据均源于真实的网络环境,包括网络流量数据和蠕虫攻击代码。
其他文献
尊敬的《中国建材》编辑同志:您好!我叫刘淑芝,我丈夫颜士清是一家建材企业的职工。去年9月24日,是我一生中最痛苦、最难忘的一天。在这一天,我16岁的儿子颜海峰被确诊为急性淋巴
期刊
在人类漫长的历史长河中,婚姻的历史只是其中的一部分.限制婚姻具有多方面的重要意义.不同朝代根据当时特殊的社会历史条件有着不同的规定,有些限制保证人口繁衍的需要,有些
2005年,新疆伊犁州散办、墙改办紧紧围绕节约资源、保护环境、资源综合利用的重点,以服务企业为中心,散装、墙改同创佳绩。
作为全新的计算模式和体系架构,面向服务的计算(Service-Oriented Computing, SOC)和面向服务的体系架构(Service-Oriented Architecture, SOA)在设计、开发、使用等不同阶段
作者将阴离子聚合领域的科研成果进行凝练与转化,建立了溶聚丁苯橡胶的工程化设计题目,并应用到聚合反应工程课程教学中。学生积极参与,顺利完成了反应器体积设计及宽分子量
我们福建水泥把《中国建材》第三届理事会拉到福建来开,有三个理由:一是“反客为主”。前两届理事会,一次在柳州,一次在昆明,我们都是客人。第三届在福建开,我们争取了当东道主的机
目的:探讨医护干预对老年全髋关节置换术患者早期功能锻炼依从性的应用效果。方法:将60例人工老年全髋关节置换术患者随机分为医护干预组(30例)和对照组(30例)。对照组按骨科护理常
这种“石材快速修补系统”的产品和技术克服了以往常用石材修补材料维修费时、不逼真等不足。能够快速的修复石材的天然瑕疵和砂眼以及石材在搬运过程中产生的碰边和裂缝,得到
能源价格高涨所产生的生产成本和市场压力对国内外玻璃企业均是日益沉重的负担,各大跨国公司纷纷采取多种措施应对难关。其中燃料加价和能效对比经验值得我国企业借鉴。