论文摘要
随着网络应用的扩展,网络安全受到的威胁日益严重,尤其是恶意代码的泛滥对网络和应用造成了很大的破坏。在恶意代码中,计算机蠕虫由于无需人的干预,能够自动传播,因此造成的危害最大。计算机蠕虫传播的同时也消耗了本地网络大量的带宽,产生了严重影响。因此,如何更好的检测蠕虫攻击,已成为网络安全领域的重要课题。本文首先回顾了计算机蠕虫的发展及其造成的破坏,然后从计算机蠕虫的定义、与恶意代码的关系、蠕虫的分类、功能结构、工作机制、行为特征以及攻击手段等角度对其做了进一步的研究。本文对计算机蠕虫检测技术做了深入的研究分析,并将蠕虫检测技术分为已知蠕虫检测技术和未知蠕虫检测技术。在已知蠕虫检测技术领域,系统分析了基于协议分析的特征匹配蠕虫检测方法,该方法利用协议分析技术,利用TCP/IP协议的规则性分析数据包,有效减少蠕虫特征匹配过程中的计算量,提高检测速度。针对未知蠕虫的检测技术,本文探讨了基于概率的贝叶斯蠕虫检测算法,设计了基于蜜罐技术的轻量级蠕虫检测方法。前者利用贝叶斯方法对单位时间内的首次连接失败概率值是否超过蠕虫判断阈值检测蠕虫;后者充分利用蜜罐诱捕蠕虫攻击的能力,仅需要少量的网络通信数据量即可检测到蠕虫。在计算机蠕虫检测技术研究的基础上,本文提出了着眼于本地网络的混合式计算机蠕虫检测模型。基于该模型设计了一套蠕虫检测系统,并对关键模块进行了设计实现。本文在实验室网络环境下搭建了实际的测试环境,根据测试方案对蠕虫检测系统功能做了测试,验证了系统的正确性和可用性。本文设计的蠕虫检测系统具有部署灵活、扩展性好的特点,不仅可以减少计算机蠕虫对内网带宽的影响,而且能够从源头有效抑制计算机蠕虫的传播扩散。