局域網蠕蟲檢測和控制技術研究.pdf

1、近年來，隨著互聯網應用的深入，網絡蠕蟲對計算機系統(tǒng)安全和網絡安全的威脅日益嚴重，蠕蟲的傳播速度越來越快，造成的損失也越來越大。傳統(tǒng)的基于特征碼的蠕蟲檢測方法受限于蠕蟲特征的獲取，無法檢測未知的蠕蟲；現有基于行為的蠕蟲檢測方法雖然能夠檢測未知的蠕蟲，但是在檢測時間和誤警率之間有一個平衡。在蠕蟲控制方面，對于可疑的蠕蟲流量，一般采取直接阻斷的方法，但是這會給正常流量帶來不利的影響。 針對上述問題，局域網蠕蟲檢測和控制系統(tǒng)基于網絡蠕蟲

2、在不同傳播階段表現出的行為特征，對局域網各個網段的出口流量進行檢測和控制。基于掃描行為特征的檢測通過計算主機向外發(fā)起新連接的頻率及時發(fā)現網段中具有掃描行為的主機；基于內容的檢測對具有掃描行為的主機流量進行分析，在可疑主機發(fā)起的TCP流中尋找重復的數據包內容進行進一步檢測，進而發(fā)現被蠕蟲感染的主機。對于具有不同行為特征的主機，系統(tǒng)采取不同的控制策略，對于具有掃描行為的主機，采用限速機制對可疑的連接請求進行延遲，有效的抑制了蠕蟲傳播，同時避

3、免了對正常的流量的負面影響。對于已被蠕蟲感染的主機，采用阻斷的方法丟棄含有蠕蟲特征的數據包，徹底地阻礙蠕蟲的傳播。 基于掃描行為特征的檢測技術、基于限速和阻斷的蠕蟲控制技術是基于Linux 2.4.x內核的Netfilter防火墻架構實現，通過在內核層加載鉤子函數截獲數據包，根據不同的控制策略對可疑的數據包進行不同力度的控制；基于內容的檢測技術在網絡鏈路層使用Libpcap監(jiān)聽可疑主機的數據包，通過分析TCP狀態(tài)建立TCP連接表