欢迎来到天天文库
浏览记录
ID:44437213
大小:24.50 KB
页数:4页
时间:2019-10-22
《网络蠕虫防范技术研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、网络蠕虫防范技术研究网络蠕虫防范技术研究摘要:受文网络蠕虫的传播机制进行了建模分析,在此基础上进一步总结并且描述了网络蠕虫的检测技术,介绍了网络蠕虫的控制方法,着手于研究网络蠕虫的检测与防御技术。关键词:网络蠕虫防范研究中图分类号:TP319.3文献标识码:A文章编号:1674-098X(2014)02(a)-0056-01网络蠕虫是常见的病毒,虽然具有一般病毒的特征,即通过网络载体进行复制传播,但与一般的病毒最主耍区别是没有人为干预,能够独立运行。网络蠕虫具有潜伏性强、传播快、生存周期长、覆盖面广、发生频率高等特点,特别是新型蠕虫与多态蠕虫的涌现,造成网络瘫痪,成为危害网络安全的重大隐患。
2、1网络蠕虫的建模分析研究网络蠕虫的传播机制,通过蠕虫主体功能的四个模块对蠕虫病毒进行分析,即扫描、搜索、攻击、复制和传输四个模块。1.1搜索模块该模块决定采用技术的和非技术的方法搜集本地或者目标网络的信息,其搜索主要内容有系统类型、版本、用户名、邮件列表、开放的服务器软件版本、网络拓扑结构以及边界的路rti信息。1.2扫描模块该模块利用信息搜集模块搜集的信息所完成的检测,探测搜索的主机。通常扫描探测策略有顺序、基于目标列表、基于路由扫描、随机和选择性随机扫描等。1.3攻击模块该模块利用扫描探测模块探测的主机漏洞,对目标系统实施攻击和建立传输通道,以植入和运行蠕虫副本。缓冲区溢出攻击是普遍的攻
3、击形式,此外攻击形式还有系统误配置和字符串格式攻击等。1.4复制模块该模块通过交互原主机和新主机,将病毒复制到新主机并启动,生成多种形式的副本。1.5传输模块该模块在实施攻击后,下载安装附加的恶意代码到目标机,还会添加到windows进程中,致使系统操作异常。通过对网络蠕虫的建模分析表明,网络蠕虫的传播虽具有突发性,但还有一定的规律性,因此,在传播初期进行有效的检测和控制能够抑制蠕虫的泛滥。2网络蠕虫检测技术网络蠕虫控制技术的主要思想是,通过研究各个主机流量随时间变化的规律,预测网络蠕虫的变化趋势,进而有效防范病毒的传播。网络蠕虫控制方向一般有三大方面,即主机隔离、阻断、限速。当前最常用的是
4、检测主机单位时间发起的连接失败率,丢弄数据包且切断主机与网络的通信,但是对流量产生影响,准确率也受到限制。2.1网络蠕虫检测主要技术检测技术被称作是防火墙的补充,即第二道安全门,通过自身校验、安全H志、关键字等來对蠕虫特征进行检测。检测技术是主动的网络防御技术,能够弥补单纯防火墙的不足。网络蠕虫检测技术在采用入侵检测技术的同时,也结合了网络蠕虫自身及其传播中具有的特点,综合应用了多种技术来进行蠕虫检测和控制,其中包括网络蠕虫检测与预警,网络蠕虫传播抑制,网络蠕虫应对等。通常情况下,检测技术有两种,即误用检测和异常检测。误用检测是基于知识、规则的检测,•般是根据以往的各种攻击,提取特征,然后建
5、立一个规则库,当根据检测到的事件模式或者系统状态,与预先建立的规则库相匹配时,则说明有入侵行为特征编码存在。误用检测技术虽然有较高的准确度,但是误用检测主要检测曾出现的异常行为特征,而变种的蠕虫病毒和以往没出现的异常行为没有检测能力,因此其规则库必须依据不断出现的新情况及吋更新,规则库更新的频率决定了系统的检测能力。异常检测是通过对网络的正常行为的描述,定量地描述其行为特征,分析和发现系统异常行为和网络流量的异常情况,网络流量的异常检测基本思想是把网络流量特征分为两个层次的特征集合,即基木和组合特征集合。2.2网络蠕虫检测技术比较异常检测技术中对正常网络行为的描述是通过对过去大量历史数据的分
6、析得到的,任何偏离的正常行为均被认为是异常。相比Z下,误用检测则通过标识的那些已知的入侵行为,通过对其具体行为的判断、推理,进而检测其行为。两者相比较而言,异常检测技术的误报率比较高,误用检测技术尽管误报率较低,但是漏报率却是比较高的。3网络蠕虫控制技术一般情况下控制的方法是直接关闭服务器、切断用户链接,这种做法有效控制蠕虫传播,可是也将导致通讯中断,影响正常用户的使用。在不关闭服务器或切断用户链接情况下,可通过两个步骤控制蠕虫,一是截获蠕虫病毒调用Win32函数功能,二是检查函数调用者代码,若判断调用者代码为蠕虫病毒等恶意代码,终止程序的运行。引入签名验证机制和captcha验证机制,可以
7、有效防范蠕虫病毒。签名验证机制对发送方的文件通过签名验证,同样在接受方进行验证签名,判断代码是否可疑;captcha验证机制将数字和字母随机组成随机图片发送给用户,这些图片很难识别,用户需依据服务器发送的挑战信息进行验证。此外,IM信息流量监控也可有效的抑制蠕虫的传播,它是及时捕获正常用户和已感染用户的通信速率的差界,对已感染用户进行限制和处理,通常情况下只需监控URL链接或文件传输请求消息,但是相同端口的请
此文档下载收益归作者所有