在网络环境下,多样化的传播途径和复杂的应用环境使网络蠕虫发生频率增高、潜伏性变强、覆盖面更广,给网络造成了极大的危害。事实证明,传统的防病毒技术已不能满足网络蠕虫防治的要求,针对蠕虫攻击特征构建安全系统成为蠕虫防治的一个重要发展方向。 本文以建立一个实时检测、主动防御网络蠕虫攻击的对抗体系为目标,对体系模型以及对抗实施方案进行了深入的研究;讨论了蠕虫对抗的必要性,探讨了利用知识获取、信息决策以及良性蠕虫对抗,构建体系对抗平台的研究思路和实现方法。具体而言,论文的创新性研究内容主要包括以下几个方面: 1、融合体系对抗思想,提出了一个支持主动防御理论的信息安全宏观模型DPWPARRC。以此为支撑对SIRA模型进行简化和改进,得到新的蠕虫对抗模型SSIRA(Simple SIRA),并且通过仿真实验对SSIRA模型进行论证。 2、利用HoneyPot对蠕虫进行异常检测,改变了传统蜜罐的部署方式,提出了DHAS系统部署方案。通过引入了FPDS检测算法,降低了Ageis系统对变形以及多态未知蠕虫的误检率,并且对Sapphire SQL蠕虫进行了测试,证明了该算法能够为体系对抗中的信息决策提供保证。 3、研究了良性蠕虫主体对抗技术。针对未知以及已知恶意蠕虫分别提出了不同解决方案。对良性蠕虫的有效控制进行了深入研究,论证了分时段扫描策略的必要性,并对后期传播策略进行了重点讨论,提出一种基于父子关系图PCRD的传播方法。 4、构建了一个原型系统Aegis,并在系统中集成了经过改进的SSFNet实验仿真平台。通过改变对抗环境,分析了不同条件下蠕虫对抗的效果,并对实验结果进行了比较,从而证明了蠕虫对抗的有效性,为基于体系对抗的策略大规模应用提供了有价值的数据以及参考方案。 实验证明,本文提出的系统具有良好的自适应性和开放式结构,有效结合了体系对抗的相关技术,对蠕虫攻击具有高检测率和低误报率,并能及时有效的防范蠕虫危机。