论文部分内容阅读
随着计算机技术的发展和网络应用的深入,网络安全受到的威胁日益严重,尤其是恶意代码(计算机病毒、木马、网络蠕虫等)的泛滥对网络应用造成了很大的破坏。在这些恶意代码中,蠕虫无需人的干预,攻击范围大,爆发速度快。蠕虫的传播可能占用被感染主机的大量系统资源,影响目标系统的正常使用,也可能通过抢占网络带宽,甚至造成整个网络的严重堵塞,因此蠕虫的危害最大。如何有效地对网络蠕虫进行检测已经成为计算机网络安全领域的一个重要课题。论文首先回顾了网络蠕虫的出现和发展,对网络蠕虫的定义和功能结构进行了阐述,对网络蠕虫的传播机制进行了分析,并综述了蠕虫的研究现状以及基于网络行为的蠕虫检测研究现状,揭示了网络蠕虫研究的必要性。目前已有的研究成果虽然可以较好地检测蠕虫,但仍存在如下不足:(1)误报较多,尤其是P2P流量和某些正常程序的特定操作所引起的误报;(2)对于慢速蠕虫或者变速蠕虫检测效果较差;(3)对于蠕虫行为挖掘不够,因此难以更好地降低误报率和漏报率。蠕虫扫描时会引起网络中新连接速度过快、失败连接数过多、第一次失败连接数很高等一些典型的网络行为。论文通过对这些典型网络行为的研究与分析,引用了“第一次连接”(FCC,First Contact Connection)的概念。为了降低漏报率和误报率,采用了FCC失败连接概率和FCC连接速度两个检测指标作为检测依据,并且将FCC分为四种情形,提出了两种蠕虫检测方法:(1)基于网络行为模糊模式识别的蠕虫检测方法,该算法通过分别学习正常主机和受感染主机的网络行为,建立相应标准的分类模糊子集,然后利用模糊模式识别法判定待测主机是否感染蠕虫。(2)基于网络行为和Fisher-支持向量综合分类器(Fisher-Support Vector Classifer,简称FSVC)的蠕虫检测算法,该方法通过使用FSVC)分别学习受感染主机和正常主机的相应的网络行为,然后使用训练后的分类器对待测主机进行分类,实现了蠕虫攻击的自动检测。对于上述两种蠕虫检测技术,通过在真实的网络环境中采集数据,建立样本数据集,并进行了实验验证和分析,结果表明这两种检测技术对未知扫描类蠕虫有较好的检测效果,而且不易对P2P程序产生误报。此外,论文还比较了这两种蠕虫检测算法的优缺点,并将这两种检测算法与参照的蠕虫检测算法进行了分析比较。最后对研究工作进行了总结,论文提出的两种蠕虫检测算法具有较高的检测率和较低的漏报率和误报率,不仅在理论上值得深入研究,而且还具有较大的工程应用价值,同时也分析了这两种检测算法存在的不足。