蠕虫模拟方法和检测技术研究

论文摘要

由于危害严重、攻击范围大、爆发速度快,蠕虫已经成为目前互联网所面临的最为严重的安全威胁之一。目前有效的模拟环境的缺乏,影响了对蠕虫的深入研究;同时,检测技术的不准确性,影响了蠕虫预防、抑制和应急响应等技术的效果。鉴于本地网络(内部网络)内蠕虫的研究对蠕虫早期预警和传播控制所起到的关键作用,本文以本地网络为背景环境,研究了蠕虫模拟方法和检测技术;从而为深入研究蠕虫、蠕虫早期预警以及应急响应等奠定了基础。本文的研究不仅具有理论意义,而且具有广阔的应用前景。本文首先研究了网络聚集层面和主机层面的流量模型。通过聚集层面的研究,建立了双向TCP流量模型,用于在蠕虫模拟中生成背景流量:该模型以TCP连接为研究对象,分别描述了TCP连接请求和响应在不同时间尺度的统计特性。通过主机层面的研究,建立了“延迟限制型”蠕虫主机的周期性突发流量模型,来描述蠕虫扫描流量的统计特征,用于蠕虫流量的准确模拟;并分析了蠕虫流量和正常主机流量的自相似性和有关统计指标在重尾特性方面的差异,进而提出蠕虫检测的备选指标,包括“第一次连接”的到达间隔、请求大小、响应大小、持续时间和RTT等。其次,建立了蠕虫模拟环境,并研究了蠕虫流量对网络的影响。在蠕虫模拟环境中,采用“半结构化”TCP聚集流量模拟框架进行背景流量模拟,以平衡精度和效率;该框架利用双向TCP流量模型,将本地网络抽象为一个节点,分别研究了应用层聚集流量产生方法和传输层聚集流量控制方法;并验证了该框架的有效性、稳定性、可比性和高效性。在蠕虫流量模拟中,采用混合抽象层框架来模拟蠕虫传播过程,采用周期性突发流量模型来模拟蠕虫主机的扫描流量;与传统的固定速率蠕虫流量模型相比,该模型能够更好地刻画蠕虫的扫描流量及其对网络的影响。再次,研究了蠕虫检测指标和检测技术。结合对蠕虫行为的分析,从备选指标中提取出“第一次连接”的失败概率、请求大小和到达间隔等检测指标。利用蠕虫流量在上述检测指标上的重尾特性异常,采用统计分类技术,提出了两个未知蠕虫异常检测算法。通过与目前主流蠕虫检测算法进行对比,表明两个检测算法均能够在同等漏报率的情况下,显著降低误报率。最后,开发了蠕虫模拟环境和蠕虫检测系统,通过在某互联网交换中心

论文目录

摘要

Abstract

第一章绪论

1.1 引言

1.2 蠕虫发展历史

1.3 蠕虫的基本概念

1.3.1 蠕虫的定义

1.3.2 蠕虫的功能结构

1.3.3 蠕虫的分类

1.4 国内外研究现状

1.4.1 蠕虫研究现状

1.4.2 网络流量建模研究现状

1.5 论文研究内容

1.5.1 论文研究内容和组织结构

1.5.2 论文主要创新点

第二章双向 TCP流量与周期性突发蠕虫流量模型研究

2.1 建模与特征分析的数学基础

2.1.1 自相似过程和有关统计分布

2.1.2 参数估计方法

2.2 双向网络背景流量的“结构化”分析

2.2.1 背景流量分析数据集

2.2.2 网络背景流量自相似性分析

2.2.3 不同时间尺度统计特性分析

2.2.4 双向TCP流量模型及其验证

2.3 基于周期性突发的蠕虫流量模型

2.4 主机流量连接级统计特征分析

2.4.1 正常主机流量统计特性分析

2.4.2 蠕虫主机流量统计特性分析

2.5 本章小结

第三章 “半结构化”TCP流量模拟框架与蠕虫模拟方法

3.1 网络背景流量的“半结构化”模拟方法

3.1.1 “半结构化”TCP聚集流量模拟框架

3.1.2 模拟方法实例

3.1.3 模拟结果及分析

3.2 蠕虫流量模拟

3.2.1 蠕虫模拟方法

3.2.2 蠕虫传播模型

3.2.3 “延迟限制型”蠕虫流量模拟

3.3 蠕虫流量对网络影响的模拟

3.3.1 蠕虫流量对网络背景流量影响的模拟

3.3.2 主机的蠕虫流量对背景流量影响的模拟

3.4 本章小结

第四章基于重尾特性的未知蠕虫检测技术研究

4.1 蠕虫检测指标的选取

4.2 基于重尾特性和统计分类的蠕虫检测技术

4.2.1 FP-RS检测技术

4.2.2 FP-AI检测技术

4.2.3 算法成本

4.3 检测算法验证

4.3.1 蠕虫检测技术应用环境

4.3.2 算法验证数据集

4.3.3 蠕虫检测技术检测效果

4.3.4 与参照检测技术效果对比

4.4 本章小结

第五章蠕虫模拟方法与检测技术的应用

5.1 蠕虫模拟方法应用

5.1.1 网络背景流量模拟

5.1.2 蠕虫模拟

5.2 蠕虫检测技术应用

5.3 小结

第六章结论和展望

6.1 研究结论

6.2 研究展望

参考文献

攻博期间发表的学术论文、科研项目

致谢

蠕虫模拟方法和检测技术研究

论文摘要

论文目录

相关论文文献

猜你喜欢