基于流特征的惡意代碼檢測(cè).pdf

1、伴隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，網(wǎng)絡(luò)設(shè)備與計(jì)算機(jī)已經(jīng)深入到國家機(jī)關(guān)、企業(yè)和千家萬戶中，我們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴性日益增強(qiáng)。同時(shí)我們要看到，許多計(jì)算機(jī)用戶甚至網(wǎng)絡(luò)管理人員安全意識(shí)薄弱，不能有效地保護(hù)自己的主機(jī)和網(wǎng)絡(luò)。加上網(wǎng)絡(luò)威脅層出不窮，不斷變換著方式，嚴(yán)重威脅了計(jì)算機(jī)網(wǎng)絡(luò)的安全。如何能保證計(jì)算機(jī)網(wǎng)絡(luò)的安全，是一個(gè)富有挑戰(zhàn)性的任務(wù)。
　　 僵尸木馬、計(jì)算機(jī)病毒和蠕蟲是目前網(wǎng)絡(luò)中普遍存在的惡意代碼。傳統(tǒng)的基于應(yīng)用層Payload的檢測(cè)方法

2、存在不能檢測(cè)加密Payload或新出現(xiàn)的惡意代碼，無法在Gbit/s級(jí)流量下進(jìn)行檢測(cè)和不能長期保存歷史數(shù)據(jù)等不足。而且往往需要大量先驗(yàn)知識(shí)，在如今惡意代碼更新迅速的情況下，該方法具有明顯的滯后性。為此本文提出了一種基于流特征的惡意代碼檢測(cè)方法，能夠較好地彌補(bǔ)上述不足。并且流作為標(biāo)準(zhǔn)（RFC3917）已經(jīng)被眾多網(wǎng)絡(luò)設(shè)備廠商支持，具備在真實(shí)環(huán)境下實(shí)驗(yàn)的條件。
　　 通過對(duì)校園網(wǎng)核心路由交換機(jī)發(fā)出的NetFlow數(shù)據(jù)的收集、統(tǒng)計(jì)與分析

3、，本文發(fā)現(xiàn)了10余種網(wǎng)絡(luò)漏洞掃描、3種蠕蟲及1種僵尸木馬的流特征，以及一些目前暫時(shí)無法定性的異常流特征。此外，本文還實(shí)現(xiàn)了圖形化的流特征統(tǒng)計(jì)，包括常用協(xié)議分布、主機(jī)雙向流量TOP N、主機(jī)對(duì)外SYN連接TOP N、校園網(wǎng)TCP_flag位統(tǒng)計(jì)、校園網(wǎng)實(shí)時(shí)流量等功能。通過多種角度對(duì)數(shù)據(jù)統(tǒng)計(jì)并以圖形界面顯示，能更直觀地發(fā)現(xiàn)什么時(shí)候校園網(wǎng)出現(xiàn)了異常流量，并且可以通過進(jìn)一步分析流數(shù)據(jù)，以確定是何種異常流量。
　　 本文通過真實(shí)環(huán)境下的實(shí)