基于異常流量的蠕蟲(chóng)檢測(cè)系統(tǒng)研究與實(shí)現(xiàn).pdf

1、近年來(lái)，隨著互聯(lián)網(wǎng)應(yīng)用的深入，網(wǎng)絡(luò)蠕蟲(chóng)對(duì)計(jì)算機(jī)系統(tǒng)安全和網(wǎng)絡(luò)安全的威脅日益嚴(yán)重。傳統(tǒng)的基于特征匹配的蠕蟲(chóng)檢測(cè)方法受限于蠕蟲(chóng)特征的獲取，無(wú)法檢測(cè)未知的蠕蟲(chóng)；現(xiàn)有基于行為的蠕蟲(chóng)檢測(cè)方法雖然能夠檢測(cè)未知的蠕蟲(chóng)，但是在檢測(cè)時(shí)間和誤報(bào)率之間仍然有一個(gè)平衡。因此，如何快速準(zhǔn)確地檢測(cè)未知蠕蟲(chóng)是目前亟待解決的現(xiàn)實(shí)問(wèn)題。
　　 在蠕蟲(chóng)的傳染爆發(fā)階段，受感染主機(jī)數(shù)目急劇增加，短時(shí)間內(nèi)會(huì)產(chǎn)生大量網(wǎng)絡(luò)流量，因此設(shè)計(jì)了一種基于異常流量的蠕蟲(chóng)檢測(cè)系統(tǒng)，旨在

2、沒(méi)有蠕蟲(chóng)特征庫(kù)的情況下，根據(jù)流量的變化及時(shí)發(fā)現(xiàn)未知蠕蟲(chóng)的傳播。
　　 系統(tǒng)采用NetFlow技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)流量的采集，這就不需要關(guān)心數(shù)據(jù)包的負(fù)荷，直接獲取所需要的流信息，減少了對(duì)系統(tǒng)資源的需求，大大提高了系統(tǒng)的實(shí)效性。在收集到實(shí)時(shí)的網(wǎng)絡(luò)流量數(shù)據(jù)之后，采用基于動(dòng)態(tài)流量基線的蠕蟲(chóng)檢測(cè)算法來(lái)判斷網(wǎng)絡(luò)中是否存在蠕蟲(chóng)的攻擊，該算法同時(shí)監(jiān)測(cè)多個(gè)目的端口的流量，分別根據(jù)它們正常的流量基線模型確認(rèn)出蠕蟲(chóng)的異常流量，并且進(jìn)一步從異常數(shù)據(jù)流的TOP

3、N主機(jī)中找出受蠕蟲(chóng)感染的可疑主機(jī)。為了降低誤報(bào)率，算法根據(jù)實(shí)際流量的大小動(dòng)態(tài)更新基線值，這樣即使網(wǎng)絡(luò)高峰造成正常流量的增加，也不會(huì)超過(guò)閾值范圍。另外，對(duì)流量統(tǒng)計(jì)記錄采用自適應(yīng)哈希桶的存儲(chǔ)結(jié)構(gòu)，它們根據(jù)端口號(hào)的不同分別進(jìn)行鏈表排列，并且按照流量值的大小遞減排序，這樣各個(gè)端口的監(jiān)聽(tīng)線程只需要管理自己的鏈表，使算法的檢測(cè)效率得到了提高。在發(fā)現(xiàn)蠕蟲(chóng)攻擊之后，根據(jù)異常流量的嚴(yán)重程度，產(chǎn)生不同級(jí)別的報(bào)警信息，并且利用防火墻聯(lián)動(dòng)和路由器訪問(wèn)控制列表過(guò)