学位论文 > 优秀研究生学位论文题录展示

基于网络行为的蠕虫检测关键技术研究

作 者: 肖枫涛
导 师: 胡华平
学 校: 国防科学技术大学
专 业: 军队指挥学
关键词: 蠕虫检测技术 蠕虫行为 评级 进程流量行为 P2P 特征自动生成
分类号: TP393.08
类 型: 博士论文
年 份: 2009年
下 载: 184次
引 用: 2次
阅 读: 论文下载
 

内容摘要


Internet的迅速发展提高了人们的工作效率、丰富了人们的生活,随之而来,也使得人们对于网络的依赖程度越来越大;越来越丰富的系统软件、应用软件以及网络服务,使人们工作更为便利,但同时也必须面对更多的网络威胁。目前,网络安全问题已经成为人们关注的焦点问题,所造成的危害也越来也大。计算机蠕虫由于传播速度快、变种多、危害程度大而成为当今最严重的网络安全威胁之一。基于网络行为的蠕虫检测技术是目前比较有效的蠕虫检测技术,它可以应对变形蠕虫、快速蠕虫等所带来的威胁,但它也存在如下不足:1)检测粒度较粗,耗费大而且也影响检测效果;2)P2P中的类蠕虫流量容易引起误报; 3)对于慢速蠕虫、变速蠕虫检测效果不佳;4)对蠕虫行为发掘不够;5)不能准确定位蠕虫进程。为了解决基于行为的蠕虫检测技术中存在的不足,实现对蠕虫快速、细粒度以及有效地检测,本文围绕基于网络行为的蠕虫检测技术开展研究,主要贡献和创新点有以下五个方面:(1)提出了一种P2P类蠕虫流量特征自动生成算法(AWTSG-Automated Worm-like Traffic Signature Generation),并设计与实现了一原型系统。P2P流量是目前互联网上主要的流量,但是它存在和蠕虫类似的流量行为。为有效地去除这些流量,本文比较了蠕虫流量和P2P流量的相似之处,定义了类蠕虫流量,提出了一种简单的P2P类蠕虫流量特征格式,在此基础上,提出了一种特征自动生成算法,并进行了原型系统的设计与实现。通过对流行的P2P软件进行测试,成功地获取了其类蠕虫流量特征,并验证了该算法的有效性,即可以有效地降低基于行为的蠕虫检测算法的误报率;(2)提出了一种层次式的用户网络访问习惯行为模型。鉴于传统工作对用户网络访问习惯行为建模的不完整性,本文从用户表现层、使用表现层和网络表现层三个层次建立了一个新的用户网络访问习惯行为模型,并提出了可用于蠕虫检测的用户网络访问习惯行为的表示方式和获取方法;(3)提出了一种基于主机数据报文评级的蠕虫检测算法(HPBR-Host Packet Behavior Ranking)。为加速蠕虫的检测、提高对慢速蠕虫的检测能力,本文基于用户网络访问习惯行为,在对主机数据报文进行评级的基础上,提出一种可对快、慢速蠕虫进行检测的算法-HPBR。实验表明,该算法可以对快速蠕虫、变速蠕虫以及慢速蠕虫进行有效检测,同时具有较小的误报率和漏报率;(4)提出了一种基于进程流量行为的蠕虫检测算法(PTBBWD-Process TrafficBehavior Based Worm Detection)。在描述全新源端口变化过快、全新源端口过多、以及类蠕虫流量比重过大等三种新的蠕虫异常行为的基础上,提出了一种基于进程流量行为的蠕虫检测算法(PTBBWD),并设计与实现了基于PTBBWD检测框架的原型系统。使用真实的蠕虫程序和常见的网络程序进行实验,实验结果表明:PTBBWD可以很快地检测快速蠕虫,并且算法的漏报率和误报率较低;(5)提出了一种基于进程流量简单性和时间一致性的蠕虫检测算法(PTSTCBWD-Process Traffic simplify and Temporal Consistency Based Worm Detection)。鉴于PTBBWD对初始检测时刻敏感的特性,在描述了进程流量的简单性和时间一致性的定义和判断方法的基础上,提出了一种基于进程流量简单性和时间一致性的蠕虫检测算法(PTSTCBWD)。实验结果表明:PTSTCBWD可以很快地检测蠕虫,对初始检测时刻不敏感,并具有较小的误报率和漏报率。本文的研究成果对于基于网络行为的蠕虫检测技术研究具有重要的理论和实践意义,对有效防范蠕虫攻击有重要的参考价值。

全文目录


摘要  10-12
ABSTRACT  12-14
第一章 绪论  14-24
  1.1 课题研究背景  14-20
    1.1.1 中国互联网发展迅速,地位日益重要  14
    1.1.2 网络安全形势日益严峻  14-17
    1.1.3 蠕虫威胁日益增大  17-20
  1.3 课题目标和研究内容  20-22
  1.4 论文组织结构  22-24
第二章 蠕虫检测技术  24-34
  2.1 基于行为的蠕虫检测现状  24-29
    2.1.1 基于系统行为的蠕虫检测技术  24
    2.1.2 基于网络行为的蠕虫检测技术  24-29
  2.2 协同的蠕虫检测研究  29-30
  2.3 基于行为的蠕虫检测技术小结  30-31
    2.3.1 典型的蠕虫行为  30
    2.3.2 当前基于行为的蠕虫检测系统存在的不足  30-31
  2.4 小结  31-34
第三章 蠕虫行为研究  34-44
  3.1 蠕虫基础  34-38
    3.1.1 蠕虫定义及与病毒、木马的区别  34-35
    3.1.2 蠕虫结构  35-37
    3.1.3 蠕虫运行流程  37-38
  3.2 蠕虫网络行为  38-43
    3.2.1 概述  38-39
    3.2.2 基于主机进程视角的蠕虫网络行为  39-41
    3.2.3 基于网络视角的蠕虫行为  41-42
    3.2.4 本文研究的蠕虫行为  42-43
  3.3 小结  43-44
第四章 P2P类蠕虫流量特征自动生成算法  44-60
  4.1 P2P流量中的类蠕虫流量  44-46
    4.1.1 P2P类蠕虫流量  44-46
    4.1.2 实例  46
  4.2 P2P类蠕虫流量特征格式  46-49
    4.2.1 背景  46-47
    4.2.2 格式  47-49
  4.3 P2P类蠕虫流量特征自动生成算法-AWTSG  49-54
    4.3.1 定义及数据结构  49-50
    4.3.2 算法流程  50-51
    4.3.3 关键算法和问题  51-54
  4.4 原型系统的实现与应用  54-59
    4.4.1 原型系统实现  54
    4.4.2 实验结果及分析  54-59
  4.5 小结  59-60
第五章 基于主机报文行为评级的蠕虫检测模型  60-80
  5.1 用户网络访问习惯行为  60-63
    5.1.1 用户网络访问习惯行为的产生因素  60-62
    5.1.2 用户网络访问习惯行为的定义  62-63
  5.2 主机数据包行为评级模型  63-76
    5.2.1 设计目标和原则  63-64
    5.2.2 符号说明及数据结构  64-65
    5.2.3 模型描述  65-67
    5.2.4 评级函数  67-70
    5.2.5 其它相关问题  70-73
    5.2.6 模型应用示例  73-75
    5.2.7 HPBR模型的特点  75-76
  5.3 实验及讨论  76-78
    5.3.1 测试数据集设置  76
    5.3.2 实验结果及讨论  76-78
  5.4 小结  78-80
第六章 基于进程流量行为的蠕虫检测算法  80-100
  6.1 设计准则  80-82
    6.1.1 基于TCP或者UDP协议的进程流量  80-82
    6.1.2 基于ICMP协议的进程流量  82
    6.1.3 与以前工作不同点  82
  6.2 一种基于进程流量行为的快速蠕虫检测算法-PTBBWD  82-87
    6.2.1 相关定义  82-84
    6.2.2 参数说明  84
    6.2.3 关键算法  84-87
  6.3 PTBBWD算法的总体框架  87-90
    6.3.1 系统层  88-89
    6.3.2 预处理层  89
    6.3.3 蠕虫检测层  89-90
  6.4 基于PTBBWD检测框架的原型系统  90-98
    6.4.1 实验环境及基础  90-93
    6.4.2 结果及分析  93-98
  6.5 小结  98-100
第七章 基于进程流量简单性和时间一致性的蠕虫检测算法  100-114
  7.1 引言  100
  7.2 设计准则  100-101
    7.2.1 设计准则7.1:进程网络流量的简单性  100-101
    7.2.2 设计准则7.2:进程网络流量的时间一致性  101
  7.3 PTSTCBWD算法  101-107
    7.3.1 相关定义及参数  102-104
    7.3.2 关键算法描述  104-107
  7.4 实验  107-113
    7.4.1 数据集设定  107
    7.4.2 参数设定  107-108
    7.4.3 结果与分析  108-113
  7.5 小结  113-114
第八章 结束语  114-116
  8.1 工作总结  114-115
  8.2 下一步工作  115-116
致谢  116-118
参考文献  118-128
攻读博士期间发表的学术论文  128-131
攻读博士期间参加的科研工作  131

相似论文

  1. 基于NS2的PeerCast模拟平台设计与实现,TP311.52
  2. 面向Gnutella和eMule网络拓扑测量和安全性分析,TP393.08
  3. 基于聚类分析的P2P流量识别算法的研究,TP393.02
  4. 健全商业银行中小企业贷前信用评级体系研究,F832.4
  5. 音像广播远程教育系统中直播服务器的设计与实现,TP311.52
  6. 新资本协议与银行风险管理,F832.2
  7. 交通银行零售信用风险管理研究,F832.3
  8. 农户小额信贷的信用风险管理,F832.4
  9. 基于P2P流媒体系统的设计与实现,TN919.8
  10. 基于人工免疫的病毒检测技术研究,TP393.08
  11. 我国券商研究报告投资价值分析,F832.51
  12. 基于自组织网络的分布式广域后备保护研究,TM774
  13. 泛在环境下虚拟终端系统的组织机制研究与实现,TN915.02
  14. 基于P4P的流媒体点播系统研究与实现,TN948.64
  15. 基于P2P的空间矢量数据快速索引机制的研究,TP391.3
  16. 我国商业银行技术风险评级体系研究,F224
  17. 基于Winsock的C/S模式即时通信系统的设计及实现,TN914
  18. P2P网络信任模型及其相关技术的研究,TP393.08
  19. P2P流媒体特征提取技术研究与实现,TN919.8
  20. 大流量环境下实时P2P流媒体行为识别系统设计与实现,TN919.8
  21. 一个基于UDP协议的P2P即时通讯软件的设计与实现,TP393.02

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com