基于失败连接流量偏离度的蠕虫早期检测方法

A Novel Approach for Early Detection of Worm Based on Failed Connection Flow Dissimilarity

下载PDF

导出

摘要通过分析网络蠕虫攻击的特点,定义了能够反映蠕虫攻击特征的失败连接流量偏离度(FCFD)的概念,并提出了一种基于FCFD时间序列分析的蠕虫早期检测方法。该方法利用小波变换对FCFD时间序列进行多尺度分析,利用高频分量模极大值进行奇异点检测,从而发现可能的蠕虫攻击。同时给出了一种基于失败连接分析的蠕虫感染主机定位和蠕虫扫描特征提取方法。实验结果显示,该方法能够有效检测未知蠕虫的攻击。和已有方法相比,该方法具有更高的检测效率和更低的误报率。 On the basis of analyzing the features of worm attack, the concept of failed connections flow dissimilarity （FCFD） which reflects the variation of network flow caused by worms attack is defined, and a novel approach for early detection of worms is proposed. This approach analyzes the FCFD time series with multi resolution analysis of wavelet transform, detects singularity point through the local maxima of high frequencies, so to detect possible worm attack. A method to derive the list of likely infected hosts and extract possible worln scanning features is also proposed. The experiment shows that the approach can detect possible worms attack in real-time. Compared with existing methods, this approach is more sensitive in the early stage of worm propagation, and has a lower false positive rate.

作者廖明涛张德运侯琳

机构地区西安交通大学电信学院网络所西安建筑科技大学信控学院

出处《计算机工程》 CAS CSCD 北大核心 2006年第15期22-24,33,共4页 Computer Engineering

基金国家"863"计划基金资助项目(2003AA148010) 国家火炬计划基金资助项目(2005EB011484)

关键词网络蠕虫检测小波变换奇异点检测 Network worm detection Wavelet transform Singularity detection

分类号 TP393.08 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献7

1Zou C C,Gong W,Towsley D,et al.The Monitoring and Early Detection of Intemet Worms[J].IEEE/ACM Transactions on Networking,2005,13(5):961-974.
2Chen Shigang,Ranka S.Detecting Intemet Worms at Early Stage[J].IEEE Journal on Selected Areas in Communications,2005,23(10):2003-2012.
3Berk V H,Gray R S,Bakos G.Using Sensor Networks and Data Fusion for Early Detection of Active Worms[C].SPIE AeroSense Symp,Orlando,FL,2003.
4He Hui,Zhang Hongli,Zhang Weizhe,et al.Early Warning of Active Worms Based on Multi-similarity[C].Proceedings of the Fourth International Conference on Machine Learning and Cybernetics,Guangzhou,2005-08:3876-3883.
5Mallat S.A Theory for Multiresolution Signal Decomposition:The Wavelet Representation[J].IEEE Trans.on Pattern Analysis and Machine Intelligence,1989,11 (7):674-693.
6Jump(R) Network Information Audit System (JAudit-N100)[EB/OL].http://www.jump.net.cn,2005-12.
7Chen Shigang,Tang Yong.Slowing Down Intemet Worms[C].Proc.of the 24^th International Conference on Distributed Computing Systems,Tokyo,Japan,2004-03.

1廖明涛,张德运,侯琳,李金库.基于失败连接分析的网络蠕虫检测系统研究[J].微电子学与计算机,2007,24(5):100-102. 被引量：1
2逄浩.网络蠕虫检测技术应用研究[J].东方企业文化,2010(3X):43-43.
3汪伟,鲁东明,董亚波,陈宇峰.面向内网的网络蠕虫检测系统设计与实现[J].计算机工程,2006,32(17):205-206. 被引量：4
4陈霜霜.基于支持向量机的蠕虫检测技术[J].网络安全技术与应用,2012(12):84-85.
5廖明涛,张德运,侯琳,张军.基于能量特征和支持向量机的网络蠕虫检测方法[J].计算机工程,2007,33(3):32-34. 被引量：1
6徐燕,彭军,邵闻珠,毛启民.局域网中基于SNMP的主机定位的研究与实现[J].石河子大学学报（自然科学版）,2008,26(5):648-651. 被引量：2
7杨雄,朱宇光,云晓春.网络蠕虫主动抑制算法的改进性策略研究[J].计算机应用与软件,2010,27(5):278-281. 被引量：1
8亓璐,吴海峰,翟鹏,徐祥涛.网络蠕虫扫描策略和检测技术的研究[J].计算机安全,2010(5):11-13. 被引量：4
9杨新宇,史椸,朱慧君.基于本地网络的蠕虫检测定位算法[J].中国科学（E辑）,2008,38(12):2099-2111. 被引量：2
10卡巴斯基监测到Koobface蠕虫的命令和控制服务器数量创历史新高[J].计算机与网络,2010,36(7):39-39.

计算机工程

2006年第15期

浏览历史

内容加载中请稍等...

基于失败连接流量偏离度的蠕虫早期检测方法

参考文献7

相关作者

相关机构

相关主题

浏览历史