基于NetFlow的網(wǎng)絡蠕蟲檢測系統(tǒng)的設計與實現(xiàn).pdf

1、近年來.網(wǎng)絡蠕蟲已經(jīng)成為網(wǎng)絡上一個重要的安全議題，網(wǎng)絡蠕蟲不僅對終端機造成信息上的安全危害，而且網(wǎng)絡蠕蟲在進行攻擊時產生的大量封包以及連接，嚴重影響了網(wǎng)絡的正常運行。
　　 許多新型網(wǎng)絡蠕蟲主要利用操作系統(tǒng)或服務器漏洞而進行的設計，由于網(wǎng)絡蠕蟲使用互聯(lián)網(wǎng)作為其活躍的舞臺與傳播的媒介，因此往往能夠引發(fā)大規(guī)模泛濫，除了影響計算機正常運行之外，也直接占用網(wǎng)絡資源，形成另一種形式的網(wǎng)絡阻斷服務攻擊，造成網(wǎng)絡管理上很大的困擾。
　　

2、 目前最常被采用的網(wǎng)絡蠕蟲檢測方式是針對每一種蠕蟲已知的特征，從網(wǎng)絡信息庫中找出符合特征的數(shù)據(jù)。使用這種蠕蟲檢測方式，我們必須事先知道每一蠕蟲的特征，并針對每一種蠕蟲的特征開發(fā)特定的蠕蟲檢測程序。由于蠕蟲種類越來越多，對網(wǎng)管人員而言，一蠕蟲一檢測程序的管理方式的擴展性差，蠕蟲檢測工作逐漸成為網(wǎng)管人員沉重的負擔，另一方面，新型蠕蟲出現(xiàn)初期，其特征尚未被了解，特定的蠕蟲檢測程序也滯后，這是使用蠕蟲特征檢測的另一個缺點。
　　 本論

3、文利用網(wǎng)絡信息動態(tài)基線進行分析的方法，利用每五分鐘的各通訊端口的信息基線進行建立與分析，便可篩選出符合蠕蟲行為的信息數(shù)據(jù)。此方法無須得知蠕蟲特征以及開發(fā)特定蠕蟲檢測程序，只利用NetFlow網(wǎng)絡信息監(jiān)測工具，以其通訊端口、時間、流量三個維度所建立的信息基線過濾與基線偏離的信息，進而找出可能的蠕蟲及受感染的節(jié)點。使用本論文所提的蠕蟲檢測方法，網(wǎng)管人員無須為每一蠕蟲尋求或自行開發(fā)特定檢測程序，且在新型蠕蟲開始感染發(fā)作之前，此機制便能發(fā)揮作用