龙源期刊网 http://www.qikan.com.cn
基于连接度的蠕虫病毒检测方法研究
作者:马林 王爱文 周燕北 李舸 来源:《硅谷》2011年第18期
摘要: 针对TCP蠕虫病毒建立完整的网络连接度流量模型,定量地描述一个特定网络,利用连接度的大小和连接度流量的曲线形状结合来发现异常。可以对蠕虫病毒的爆发做出准确预警。
关键词: 连接度;蠕虫病毒;检测方法
中图分类号:TN9 文献标识码:A 文章编号:1671-7597(2011)0920113-02
随着计算机技术的发展,利用漏洞进行传播的蠕虫病毒也日益增多,计算机网络时时刻刻面临计算机病毒、蠕虫病毒等计算机恶意程序的侵害。网络蠕虫病毒的传播不仅会占用被感染主机的大部分系统资源,对目标系统造成破坏,同时还会消耗网络带宽,造成网络严重堵塞,甚至整个网络瘫痪,严重干扰正常的网络应用。在日常的网络管理工作中,经常发现蠕虫病毒爆发引起的网络负载加大、交换机被堵塞等问题。由于网络蠕虫病毒泛滥产生的巨大危害,如何对网络蠕虫病毒进行检测、预警和应对己经成为计算机网络安全研究领域的一个重要课题。 蠕虫行为属于入侵行为,是一种自动化入侵工具,是入侵技术的发展趋势,因此蠕虫检测属于入侵检测的一个分支,入侵检测相关技术同样适用于蠕虫检测。目前蠕虫病毒的检测方法主要有基于特征值模式匹配的检测技术、基于统计分析的蠕虫检测技术、蜜罐检测技术和基于硬件的检测技术。以上各种蠕虫检测方法各有利弊,比如特征匹配的检测方法只能检测已知的蠕虫病毒,不能检测到未知蠕虫病毒的爆发,而且有可能被大量数据包淹没导致漏检。无论是已知还是未知蠕虫,爆发时都会引起网络数据流的异常,会使网络数据发生异常。本文采用的是基于统计分析的方法,通过对网络数据流的分析发现异常网络行为,从而发现蠕虫病毒的行为。
统计分析检测法是基于这种考虑:现在端口扫描大都是用专门的扫描器进行的,为提高扫描效率,扫描器一般在短时间内对目标端口批量发送扫描包。从目标主机的角度看,就是某一时间段内突然有大量的TCP报文访问自身端口,而在正常的网络环境中,某时间段内访问端口的正常数据包数量较小(如TCP协议产生的FIN包、三方握手协议的ACK包都只有1个),这种巨大的反差就可以用来检测端口扫描行为。通过统计在某一时间段内,来自同一IP地址的数据包在某一时间段内访问端口的数据包数量,然后与正常网络情况下的访问量进行分析比较,就可以定出一个门限值,超过这个门限值的访问就被当成是扫描行为记录下来并报警。
基于连接度的蠕虫病毒检测方法研究
