網(wǎng)絡(luò)流量異常檢測(cè)與蠕蟲(chóng)防治策略研究.pdf

1、近年來(lái)，互聯(lián)網(wǎng)與社會(huì)經(jīng)濟(jì)發(fā)展和人們生活的關(guān)系越來(lái)越密切。計(jì)算機(jī)和網(wǎng)絡(luò)已經(jīng)成為社會(huì)不可或缺的重要部分，而互聯(lián)網(wǎng)的安全問(wèn)題也隨之而來(lái)。其中，網(wǎng)絡(luò)蠕蟲(chóng)是最大的安全隱患之一。網(wǎng)絡(luò)蠕蟲(chóng)的歷史可以追溯到1988年著名的Morris蠕蟲(chóng)，它侵入了當(dāng)時(shí)互聯(lián)網(wǎng)中10％～20％的計(jì)算機(jī)，造成高達(dá)上千萬(wàn)美元的經(jīng)濟(jì)損失；2001年8月爆發(fā)的Code Red蠕蟲(chóng)感染了超過(guò)36萬(wàn)臺(tái)服務(wù)器，使大量網(wǎng)站陷于癱瘓；2007年出現(xiàn)的熊貓燒香蠕蟲(chóng)則是國(guó)內(nèi)較為有名的蠕蟲(chóng)爆發(fā)案

2、例。國(guó)外計(jì)算機(jī)安全專(zhuān)家甚至論證了設(shè)計(jì)合理的蠕蟲(chóng)，理論上可以在30分鐘內(nèi)傳遍全球的互聯(lián)網(wǎng)。
　　 為了盡早發(fā)現(xiàn)網(wǎng)絡(luò)蠕蟲(chóng)的爆發(fā)，研究人員設(shè)計(jì)了眾多的蠕蟲(chóng)檢測(cè)手段，主要分為兩類(lèi)，一類(lèi)是以網(wǎng)絡(luò)為研究對(duì)象，稱(chēng)為基于網(wǎng)絡(luò)的檢測(cè)；另一類(lèi)就是通過(guò)計(jì)算機(jī)的防火墻、病毒庫(kù)的特征匹配等技術(shù)來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)蠕蟲(chóng)，稱(chēng)為基于終端的檢測(cè)。本文重點(diǎn)研究前者，使用主成分分析算法對(duì)全局網(wǎng)絡(luò)流量進(jìn)行分解，并提出一種構(gòu)建異?？臻g的網(wǎng)絡(luò)異常檢測(cè)方法。仿真結(jié)果表明，本文的方法能

3、夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)流量異常，特別是網(wǎng)絡(luò)蠕蟲(chóng)爆發(fā)的檢測(cè)和定位。
　　 在蠕蟲(chóng)對(duì)抗方面，目前主要依靠用戶(hù)的主動(dòng)升級(jí)補(bǔ)丁、使用殺毒軟件等單機(jī)方法。研究人員認(rèn)為，傳統(tǒng)的單機(jī)殺毒方式已經(jīng)很難遏制網(wǎng)絡(luò)蠕蟲(chóng)的傳播。本文以互聯(lián)網(wǎng)上的計(jì)算機(jī)升級(jí)補(bǔ)丁清除蠕蟲(chóng)等現(xiàn)實(shí)行為為依據(jù)，提出了以一種新型補(bǔ)丁代替當(dāng)前的普通補(bǔ)丁的混合式蠕蟲(chóng)防治策略——監(jiān)聽(tīng)反制(MCA)策略，并建立蠕蟲(chóng)在此策略下的傳播模型。與傳統(tǒng)的蠕蟲(chóng)傳播模型局限于易感主機(jī)群體不同，本文將研究對(duì)象擴(kuò)展到