Research of internet worm warning system based on system identification

The frequent explosion of Internet worms has been one of the most serious problems in cyberspace security. In this paper, by analyzing the worm＇s propagation model, we propose a new worm warning system based on the method of system identification, and use recursive least squares algorithm to estimate the worm＇s infection rate. The simulation result shows the method we adopted is an efficient way to conduct Internet worm warning.

Research on the Propagation Models and Defense Techniques of Internet Worms

Internet worm is harmful to network security,and it has become a research hotspot in recent years.A thorough survey on the propagation models and defense techniques of Internet worm is made in this paper.We first give its strict definition and discuss the working mechanism.We then analyze and compare some repre-sentative worm propagation models proposed in recent years,such as K-M model,two-factor model,worm-anti-worm model（WAW）,firewall-based model,quarantine-based model and hybrid benign worm-based model,etc.Some typical defense techniques such as virtual honeypot,active worm prevention and agent-oriented worm defense,etc.,are also discussed.The future direction of the worm defense system is pointed out.

Internet蠕虫防范技术研究与进展

当前蠕虫的频频爆发使得蠕虫问题已成为网络安全领域的焦点问题。分析了蠕虫的特征行为,研究了国内外几种最新的Internet蠕虫防范系统,并在此基础上展望了蠕虫攻防的发展趋势。

大规模网络中Internet蠕虫主动防治技术研究——利用DNS服务抑制蠕虫传播

Internet蠕虫爆发后,在大规模网络中,由于易感主机和被感染主机数量很多,构成了良好的蠕虫生存环境。实践证明常用的路由封堵、控制策略只在蠕虫爆发初期有效,在长时间的封堵后,网络中仍然存在大量被感染主机,这些主机不停活动,攻击其它易感主机。文章提出利用DNS服务疏导被感染主机访问告警服务器的方法,及时通知被感染主机的使用者对本机采取相应处理措施,从而达到在网管人员和用户共同配合下迅速消灭蠕虫的效果。该文详细给出了利用DNS服务针对网络中被感染主机进行疏导的系统设计与实现。通过对清华大学校园网实施后的数据统计分析,证明这种方法是快速有效的。

主动Internet蠕虫防治技术-接种疫苗

常规的蠕虫防治策略中网络管理人员处于被动地位,蠕虫爆发后会在网络中长期泛滥,无法得到有效抑制。该文通过对经典蠕虫的分析,给出了蠕虫疫苗的定义(为破坏蠕虫传播流程中的某个环节而在主机上建立的标记,称为蠕虫“疫苗”;标记的建立过程,称为“接种疫苗”),讨论了蠕虫疫苗的判定选择方法以及接种技术要点。通过对网络中易感主机进行接种疫苗,可以减少网络中易感主机的存在数量,使蠕虫失去攻击的对象,无法继续传播。接种疫苗可以作为网络管理人员主动进行蠕虫防治、迅速消灭蠕虫的一种有效手段。

Simulating Greedy Propagation of P2P Worms

Greedy propagation policy for unstructured P2P worms employs the neighboring node list of each node in peer-to-peer （P2P） network to speed up the propagation of P2P worms. After describing the technique background of P2P worms, the algorithm of greedy propagation is addressed. Simulating design for this novel propagation policy is also described. Then, the effects of the greedy propagation policy on spreading speed, convergence speed, and attacking traffic in static P2P worms are simulated and discussed. The primary experimental results show that the greedy propagation is harmful and can bring severe damages to P2P network.

Internet蠕虫传播模型研究

本文就Internet蠕虫的传播模型进行了研究，分析了各种传播模型的特点和适用环境，在此基础上结合良性蠕虫的特点提出．了良性蠕虫对抗恶性蠕虫的传播模型。经过比较和分析，理论上证明了蠕虫对抗蠕虫传播模型，有效地补充和改进了传统的Internet蠕虫传播模型，使其更符合Internet蠕虫传播的实际，为进一步研究蠕虫的检测与预防提供了有力的研究方法。与现有模型相比，其降低了对抗蠕虫给网络造成的冲击、可控，并降低了模型的复杂度。

通用Internet蠕虫查杀防治系统设计与实现

Internet蠕虫作为网络安全漏洞的入侵者和利用者,已带给人们越来越大的影响。目前反病毒厂商的防治方法相对滞后于蠕虫的蔓延速度,并且只能查杀蠕虫,不能通过系统更新彻底防治。通过对Nimda蠕虫的分析得到蠕虫的统一功能模型,并利用WebService技术设计并实现了松散耦合的Internet蠕虫查杀防治系统。该系统集蠕虫查杀与防治于一身,具有更大的普遍性和适用性。

Modeling and analysis of gradual hybrid anti-worm

The gradual hybrid anti-worm （GHAW） was presented. percentage of vulnerable hosts present in the network. For GHAW It changed its confrontation scheme in real time according to the its process of countering malicious internet worms was modeled. The performance of GHAW on two factors was also estimated： confronting validity against worms and consumption of network resources. Factors governing its performance, specifically the transformation threshold and the transformation rate, were analyzed. The simulation experiments show that GHAW has dynamical adaptability to changes of network conditions and offers the same level of effectiveness on confronting internet worms as the divide-and-rule hybrid anti-worm, with significantly less cost to network resources. The experiments also indicate that the transformation threshold is the key factor affecting the performance of GHAW.

一种基于网状关联分析的网络蠕虫预警新方法

通过对网络蠕虫行为模式的分析,提出一种基于网状关联分析的网络蠕虫预警的新方法,并设计了预警算法,建立了网络蠕虫预警模型和基于预警算法的原型系统,最后给出相关实验数据和分析结果。与现有的网络蠕虫检测方法相比校,新方法更加有效,而且能够预警未知的网络蠕虫。

一种基于本地网络的蠕虫协同检测方法

目前已有一些全球化的网络蠕虫监测方法,但这些方法并不能很好地适用于局域网.为此,提出一种使用本地网协同检测蠕虫的方法CWDMLN(coordinated worm detection method based on local nets).CWDMLN注重分析扫描蠕虫在本地网的行为,针对不同的行为特性使用不同的处理方法,如蜜罐诱捕.通过协同这些方法给出预警信息,以揭示蠕虫在本地网络中的活动情况.预警信息的级别反映报警信息可信度的高低.实验结果表明,该方法可以准确、快速地检测出入侵本地网络的扫描蠕虫,其抽取出的蠕虫行为模式可以为协同防御提供未知蠕虫特征.通过规模扩展,能够实施全球网络的蠕虫监控.

IPv6网络中蠕虫传播模型及分析

IPv6网络由于其巨大的地址空间,通常被认为对随机扫描蠕虫有天然的抵御能力,该文研究了一种可以在IPv6网络中迅速传播的新型网络蠕虫(V6-Worm).基于对V6-Worm扫描策略的分析,分别建立简单传染病模型和双因素蠕虫模型来仿真V6-Worm的传播趋势.简单传染病模型的仿真结果证明,V6-Worm拥有比随机扫描蠕虫更快的传播速度;双因素蠕虫模型的仿真结果证明,V6-Worm拥有更强的对抗蠕虫控制措施的能力,同时在研究中发现主机中存在漏洞的比例是V6-Worm传播性能的主要影响因素.最后,文中从防止地址信息泄漏和降低主机存在漏洞比例两个角度,讨论了V6-Worm的防御策略.

即时通信蠕虫研究与发展

随着即时通信(instantmessaging)应用的日益广泛和用户数量的迅速增加,即时通信蠕虫(IM蠕虫)的发生频率也相应提高,传播范围变广以及危害程度加深,其正成为网络安全的重要威胁.首先综合论述IM蠕虫的研究概况;然后剖析IM蠕虫的基本定义、功能结构和工作机理以及IM蠕虫与其他网络蠕虫的区别与联系;讨论IM蠕虫的网络拓扑和传播模型;归纳目前防范IM蠕虫的最新技术;最后给出IM蠕虫研究的若干热点问题与展望.

IPv6网络环境下的蠕虫传播模型研究

研究了IPv6网络中,蠕虫在子网间和子网内传播的多种扫描策略;讨论了基于P2P的去重复和可控机制;研究了一种能够在IPv6网络中形成大规模传播的新型混合式蠕虫——NHIW。NHIW具有随机扫描蠕虫的特点,同时能够迅速获取子网内的易感染活跃主机IPv6地址,并能解决重复感染的问题。通过研究NHIW不同传播阶段的时延,理论分析其传播率,建立了NHIW的3层传播模型TLWPM。实验表明,NHIW能够在IPv6网络中形成大规模传播。最后,针对NHIW的特点,讨论了相关防御策略。

网络蠕虫的扫描策略分析

网络蠕虫已经严重威胁了网络的安全。为了有效防治网络蠕虫,首要任务必须清楚有什么扫描方法,以及这些扫描方法对蠕虫传播的影响。为此,本文构建了一个基于离散时间的简单蠕虫传播模型,通过对CodeRed蠕虫传播的真实数据比较,验证了此模型的有效性。以此模型为基础,详细分析了蠕虫的不同扫描策略,如均匀扫描、目标列表扫描、路由扫描、分治扫描、本地子网、顺序扫描、置换扫描,并给出了相应的模型。

基于本地主机传播行为的蠕虫预警新方法

对于利用漏洞扫描技术传播的蠕虫进行预警,传统方法存在着诸如无法区分P2P数据流,无法检测利用多个端口传播蠕虫等问题。针对这些问题,结合对网络蠕虫行为模式的分析,提出了一种改进的算法,并建立了基于该算法的预警模型。最后对该方法的可行性和各项性能进行了分析,发现新方法能更有效的预警未知的网络蠕虫。

基于混合对抗技术的对抗性蠕虫

作为对抗网络蠕虫的一种技术手段,对抗性蠕虫正在引起恶意代码研究领域的关注。然而当前对抗性蠕虫所采用的主动对抗技术和被动对抗技术存在若干缺陷,无法全面有效抑制网络蠕虫的传播。为此提出一种改进的基于混合对抗技术的对抗性蠕虫,通过构建蠕虫对抗模型以及仿真实验对其进行分析,并表明其能够在有效抑制网络蠕虫传播的同时降低对网络资源的恶意消耗。

P2P环境下的蠕虫检测算法

P2P下载与网络蠕虫具有相似的搜索机制,导致网络蠕虫难以被检测并定位。该文提出一种融合危险理论和ID3分类算法的检测算法D-ID3。利用熵理论分析P2P应用、蠕虫、正常主机的属性特征,得到轴属性。利用ID3分类算法得到可以区分蠕虫、P2P和正常流量的分类规则。实验结果表明,该算法能成功检测出网络蠕虫,其误警率较低。

Witty蠕虫的传播模型与分析

为了能够深入了解Witty蠕虫传播的具体过程和采取更为有效的防御措施,利用动力学方法提出了一个含有潜伏期且在潜伏期内和感染阶段均具有传染性的模型.根据网络的实际情况,该模型考虑了延时因素,采用了动态感染率.利用该模型得出了蠕虫爆发的阈值.将已有的模型与该模型进行了比较,仿真结果表明:该模型能更好地符合Witty蠕虫的实际传播数据,偏差比已有的模型分别减小了4.4%和6.2%.

基于潜伏期的网络蠕虫传播模型及其仿真分析

随着Internet的迅速发展,网络蠕虫已严重威胁着网络信息安全。现有的网络蠕虫传播模型仅仅考虑了网络蠕虫传播的初始阶段和达到稳定状态时的网络特性,不能刻画网络蠕虫快速传播阶段的网络特性。文章运用系统动力学的理论和方法,建立一种基于潜伏期的网络蠕虫传播模型,能够从定性和定量两方面分析和预测网络蠕虫传播趋势。模拟结果表明网络蠕虫潜伏期与免疫措施强度是影响网络蠕虫传播过程的重要因素。