多態(tài)嶿蟲特征自動提取算法研究.pdf

1、快速而準確地提取蠕蟲特征對于有效防御多態(tài)蠕蟲的傳播至關(guān)重要。通常對蠕蟲攻擊的防御都是在其對網(wǎng)絡造成了較大的危害之后才開始進行的，對于蠕蟲的響應速度滯后于蠕蟲的傳播速度，因此，特征的快速自動提取已經(jīng)成為研究者們越來越關(guān)注的問題。然而已有的特征產(chǎn)生算法無法在有噪音的情況下提取出蠕蟲特征。隨著多態(tài)蠕蟲的快速傳播，出現(xiàn)了針對多態(tài)蠕蟲特征產(chǎn)生系統(tǒng)的攻擊，導致這些系統(tǒng)無法產(chǎn)生正確的多態(tài)蠕蟲特征。
　　 本文在對蠕蟲多態(tài)變形技術(shù)研究的基礎(chǔ)上，

2、對多態(tài)蠕蟲特征以及特征自動提取算法進行了深入研究。本文的主要研究內(nèi)容和創(chuàng)新點包括：
　　 已有的蠕蟲特征均基于蠕蟲負載本身，檢測目標比較單一，無法有效地檢測形態(tài)多變的多態(tài)蠕蟲。本文結(jié)合多態(tài)蠕蟲特點，著重考慮蠕蟲負載字節(jié)之間的關(guān)系，提取基于近鄰關(guān)系的多態(tài)蠕蟲特征NRS。實驗測試表明了NRS能夠很好的表示多態(tài)蠕蟲的特性，并能用于有效地檢測多態(tài)蠕蟲。
　　 針對已有的多態(tài)蠕蟲特征提取方法不能很好地處理噪音的問題，本文引入彩色編

3、碼方法來解決有噪音干擾情況下的多態(tài)蠕蟲特征提取問題。首先提出基于字符串匹配的特征提取算法CCSF，該算法將可疑池中的n條序列分成m組，然后運用彩色編碼對每組序列進行特征提取，再對每組提取出來的特征集合進行過濾篩選，最終產(chǎn)生正確的蠕蟲特征。實驗表明CCSF算法能夠在有噪音干擾的條件下有效地提取出多態(tài)蠕蟲的特征，而且該特征不包含碎片，易于應用到IDS中對多態(tài)蠕蟲進行檢測。另外，為了能夠在有噪音的情況下提取出有效的NRS特征，本文提出了CGN

4、RS算法，并對該算法產(chǎn)生的NRS特征與其它方法產(chǎn)生的特征進行了比較。比較結(jié)果顯示CGNRS無論是在無噪音還是在有噪音的情況下都優(yōu)于其它方法。
　　 本文提出了一種基于隨機策略的多態(tài)蠕蟲特征提取方法SGARS。該方法首先采用隨機的策略，然后在解決噪音干擾的過程中引入彩色編碼方法來提高算法運行的效率。實驗驗證了該方法的正確性，和其他已有特征提取方法的實驗比較表明，當可疑池中存在噪音時，SGARS能夠更快速提取出多態(tài)蠕蟲特征。

5、　　 本文進一步提出了基于種子.擴充的多態(tài)蠕蟲特征自動提取方法SESG，解決可疑池中存在噪音以及多類蠕蟲的特征提取問題。SESG算法分為計算序列權(quán)重、選擇種子、擴充簇和產(chǎn)生特征四個子算法。SESG算法與其它方法比較結(jié)果表明，能夠在包含噪音的可疑池中很好的區(qū)分各類蠕蟲序列，更易于提取有效的蠕蟲特征。
　　 本文借鑒自然生物的取食.繁殖規(guī)則提出了一個模型來精確刻畫結(jié)合了Permutation掃描特征的多態(tài)蠕蟲的傳播。并在模型中評估