未知蠕虫自动检测技术研究

现有蠕虫检测系统的误报率较高。为此,提出未知蠕虫自动检测技术。利用多维蠕虫异常检测方法发现未知蠕虫,使用跳跃式多特征串提取方法得到未知蠕虫的特征串集合,并生成相应的特征检测规则,实现未知蠕虫的自动检测。实验结果证明,该技术能够成功发现新型蠕虫,具有较高的蠕虫检测率和较低的误报率。

基于AOI方法的未知蠕虫特征自动发现算法研究

近年来频繁爆发的大规模网络蠕虫对Internet的整体安全构成了巨大的威胁,新的变种仍在不断出现。由于无法事先得到未知蠕虫的特征,传统的基于特征的入侵检测机制已经失效。目前蠕虫监测的一般做法是在侦测到网络异常后由人工捕获并进行特征的分析,再将特征加入高速检测引擎进行监测。本文提出了一种新的基于面向属性归纳(AOI)方法的未知蠕虫特征自动提取方法。该算法在可疑蠕虫源定位的基础上进行频繁特征的自动提取,能够在爆发的早期检测到蠕虫的特征,进而通过控制台特征关联监测未知蠕虫的发展趋势。实验证明该方法是可行而且有效的。

基于包内容的未知蠕虫发现

根据蠕虫抽象共性,提出了一种基于包内容的未知蠕虫发现策略,并实现了对应的原型系统。在具体实现中,解决了数据包中重复串快速统计和增量维护多串匹配的问题,并比较了系统参数对其性能的影响。模拟实验的结果表明:该系统具有较高的发现率和较低的误报率,处理性能达到40Mbps,可多台并行部署于骨干网结点处进行蠕虫检测。

基于honeyd扩展的未知蠕虫检测

由于蠕虫病毒具有极快的传播速度和巨大的破坏能力,每次爆发都严重扰乱了人们对计算机与网络的正常使用。通过分析网络蠕虫病毒的危害及其传播特征,设计了基于honeyd的未知蠕虫检测与预警插件,该插件可集成到honeyd系统中,部署到网络上进行未知蠕虫的检测与预警。

基于多特征相似度的蠕虫检测

在分析了正常网络流量分布的基础上,提出了基于多特征相似度的蠕虫检测方法.首先利用多个特征的高频统计结果分别计算相似度,然后将它们复合成一个相似度值,接下来比较相邻两次的相似度,最终发现异常.这种方法可以在一定程度上降低检测的误报率和漏报率,对蠕虫在大规模蔓延之前的检测效果也比较理想,可以在蠕虫爆发的早期阶段做出诊断,并且它不但可以用于已知类型的蠕虫检测而且对未知类型的蠕虫也有较好的检测效果.