青岛科技大学2013毕业论文代写样本-蠕虫病毒的检测和防御研究.doc
《青岛科技大学2013毕业论文代写样本-蠕虫病毒的检测和防御研究.doc》由会员分享,可在线阅读,更多相关《青岛科技大学2013毕业论文代写样本-蠕虫病毒的检测和防御研究.doc(16页珍藏版)》请在冰豆网上搜索。
青岛科技大学
专科毕业设计(论文)
正统文化网络执笔
蠕虫病毒的检测和防御研究
题目__________________________________
__________________________________
指导教师__________________________
学生姓名__________________________
学生学号__________________________
___________________________院(部)____________________________专业________________
班
______年___月___日
青岛科技大学专科毕业设计论文
蠕虫病毒的检测和防御研究
摘要
随着网络技术的发展,蠕虫病毒不断扩大对网络安全构成了严重的威胁,本文基于当前蠕虫攻击破坏的严峻形势,对蠕虫病毒的检测和防御技术进行了研究。
首先对蠕虫病毒相关知识作了介绍,包括蠕虫病毒的定义、工作流程以及行为特征,并简要分析了蠕虫病毒国内外研究现状;在此基础上接着研究了蠕虫病毒检测技术,提出了基于蠕虫特征码、蠕虫行为特征、蜜罐和蜜网技术以及贝叶斯蠕虫检测技术;最后对蠕虫病毒的防御技术进行了研究,从企业网络用户和个人用户的角度分析了面对当前蠕虫攻击所需要注意和采取的措施,以尽最大可能减少蠕虫的侵害,营造一个良好的网络环境。
关键词:
蠕虫病毒;检测;防御;网络安全
目录
前言 1
1蠕虫病毒相关知识介绍 2
1.1蠕虫病毒定义 2
1.2蠕虫病毒工作流程和行为特征 2
1.3蠕虫病毒国内外研究现状 4
2蠕虫病毒检测技术研究 5
2.1基于蠕虫特征码的检测技术 5
2.2基于蠕虫行为特征的检测技术 5
2.3基于蜜罐和蜜网的检测技术 6
2.4基于贝叶斯的网络蠕虫检测技术 6
3蠕虫病毒防御技术研究 8
3.1企业防范蠕虫病毒措施 8
3.2个人用户防范蠕虫病毒措施 9
4总结 10
致谢 11
参考文献 12
I
前言
随着网络技术的发展,人类社会正逐步进入到数字化时代,计算机已经应用到日常生活各个领域,人们在享受到网络便捷服务的同时,各种安全问题也随之出现。
从基于DOS界面的病毒发展到今天基于Windows、Unix等操作系统的各种蠕虫、病毒等,在网络的快速发展带动下,使得计算机不断遭受到了非法入侵,不法黑客人员盗取了一些重要信息,甚至造成了操作系统的瘫痪,对个人和企业都带来了相当巨大的经济损失,同时对国家网络安全也构成威胁,带来了无法估计的损失。
最早开始的网络蠕虫攻击是发生在1998年的Morris蠕虫病毒事件,从此后蠕虫病毒的研究成为了一项重要的课题。
2009年中国计算机病毒疫情调查技术的分析报告指出,中国网络安全态势发展进一步加大,网上制作和贩卖蠕虫、病毒以及木马等活动日益严重,并通过这些蠕虫病毒侵害网络的现象日趋上升。
2010年上半年期间,CNCERT/CC一共接收了4780次网络安全的事件报告,相比上一年增长了105%,其中恶意代码占到了57.57%的比例,中国大陆地区有将近124万个IP地址对应的计算机受到了蠕虫木马程序的侵害和控制。
近几年,出现了很多病毒和蠕虫危害,比如说尼姆达、熊猫烧香、QQ尾巴、飞客等等,严重影响和干扰了计算机网络安全,侵害了个人和企业以及国家的财产安全,而且蠕虫病毒的网上传播仍然十分猖獗,对网络安全的威胁依然存在。
因此,网络蠕虫的研究是我们必须要关心的问题,对蠕虫病毒进行检测和防御技术研究具有重要意义。
基于此研究背景和网络安全形势,本文将对蠕虫病毒的检测和防御技术进行研究。
具体包括:
(1)蠕虫病毒相关知识介绍。
介绍蠕虫病毒的定义、工作流程以及行为特征,并简要分析国内外研究现状;
(2)蠕虫病毒检测技术研究。
介绍基于蠕虫特征码、行为特性等方面的检测控制技术;
(3)蠕虫病毒防御技术研究。
从企业网络和个人用户角度,研究防御蠕虫攻击的主要措施。
1蠕虫病毒相关知识介绍
1.1蠕虫病毒定义
关于蠕虫病毒的定义很多,最早的定义是EugeneH.Spafford给出的:
“蠕虫是可以独立运行的,并且能够自我复制且传播到其他计算机上的一段程序代码”。
但是随着网络的发展和科技的进步,蠕虫病毒出现了各种不同的变种,且产生了难以抑制的效果,因此学者们给予了多种多样的定义。
Elder和Kienzle认为:
“网络蠕虫是通过计算机网络来进行传播,无须用户干预就能够独立运行或者依赖文件共享而去主动攻击其他计算机的一种恶意代码的形式”。
尽管蠕虫病毒的形式多种多样,不同学者给出了不同的定义,但是从以上给出的几种定义中可以看出,蠕虫病毒的定义都具有共同的特性,主要体现在以下几个方面:
(1)蠕虫病毒独立运行,不需要用户进行干预;
(2)蠕虫病毒具有自我传播和自我复制的特性,并且传染的方式途径很多,传播的速度较快,对网络和计算机安全破坏性强。
蠕虫一般是通过计算机的漏洞进行传播,国家网络安全中心每年发现的计算机漏洞数量惊人,尤其是近几年来,蠕虫病毒利用了很多零日漏洞进行传播,对网络安全和计算机构成了严重威胁。
1.2蠕虫病毒工作流程和行为特征
(1)蠕虫病毒工作流程
网络蠕虫病毒的工作流程一般可以分为四个阶段:
扫描、攻击、处理、复制。
扫描主要是对目标地址空间内存在漏洞的计算机,收集相关信息以备攻击电脑,为攻击目标而准备;攻击阶段则是对扫描出的存在漏洞的计算机进行攻击,并感染目标机器;处理阶段隐藏自己在已感染的主机上,并且给自己留下后门,执行破坏命令;复制阶段主要是自动生成多个副本,主动感染其他主机,达到破坏网络的效果。
蠕虫病毒的整个工作流程如图1-1所示。
是
是
是
开始
按一定的扫描方式扫描地址空间内的主机
主机是否存在?
漏洞是否存在?
开始攻击
攻击成功
处理、传染、复制
否
否
否
图1-1蠕虫病毒工作流程
(2)蠕虫病毒行为特征
通过对网络蠕虫的定义介绍以及工作流程分析,可以归纳出蠕虫的行为主要特性,具体如下:
①自我复制和主动攻击。
蠕虫具有自我复制和主动攻击功能,当蠕虫病毒被释放后,它们会自动搜索当前网络系统是否存在机器漏洞,如果存在则进行攻击,反之则寻找新的系统查找漏洞,整个流程都是蠕虫自身完成,不需要人工进行任何干预。
②利用系统漏洞进行攻击。
蠕虫通过计算机系统漏洞进行攻击,没有漏洞则不能攻击系统,因此蠕虫最基本的行为特征是利用系统漏洞进行攻击。
③极具破坏性。
随着网络的发展,蠕虫病毒也越来越具有破坏性,造成了巨大的经济损失,使得计算机系统崩溃,深圳网络瘫痪等情况。
④反复攻击性。
即使清理掉了蠕虫病毒被,在计算机重新连接到网络之前没有为之漏洞打补丁,那么这台计算机依然可能会被感染,蠕虫病毒会反复攻击。
⑤使得计算机系统性能下降,整个网络塞堵甚至瘫痪。
蠕虫病毒进行攻击之前会进行网络大面积的扫描,对同一个端口不断的发送数据包,造成计算机系统性能下降;当扫描到存在系统漏洞的计算机时会产生额外的网络流量,引起网络拥塞,甚至可能造成瘫痪,带来巨大的经济损失。
⑥很好的伪装以及隐藏方式。
蠕虫病毒一般都具有较高隐藏功能,用户不容易发现,不能及时清理,同时它们会在感染计算机系统后留下逃脱后门。
1.3蠕虫病毒国内外研究现状
随着蠕虫病毒的发展,网络安全技术厂商通过结合各种安全技术产品的方式对付蠕虫病毒,其中典型的方式是将网络杀毒软件、终端与防火墙、漏洞扫描系统、入侵检测相结合。
2005年以来,产生了很多具有代表性的安全方案,具体地主要有:
2004年底,锐捷网络推出了全局安全网络解决方案,相比于简单的“杀毒软件+防火墙”这种体系来说,其安全措施加强了对于网络终端安全性的控制以及修复。
对每个用户计算机加载一个客户端软件,如果发现有蠕虫病毒侵入,立即通知服务器,服务器将会隔离此用户与正常用户,并修复入侵系统漏洞。
当修复完成之后,安全客户端软件还会自动重新检测用户系统,在确定系统已解除安全隐患之后才允许再次进入网络。
通过这种自动检测和拦截技术,将蠕虫病毒等安全隐患拒之门外,能够防患于未然。
趋势科技公司推出了企业安全防护战略-EPS(EnterpriseProtectionStrategy),主要是采用蠕虫病毒入侵检测技术,不断地侦听网络内部是否接入有蠕虫病毒数据包,一旦检测到蠕虫侵入,随即隔离所有的危险设备。
以上对蠕虫病毒的防护技术主要是针对于操作系统的漏洞而检测的,目前,随着科学技术的进步和网络的发展,蠕虫病毒不断扩大的同时检测和防御技术也在不断更新中,蠕虫病毒的研究始终是一项重要的研究内容。
2蠕虫病毒检测技术研究
蠕虫技术的不断扩大对网络的安全构成了极大的威胁,甚至有可能带来网络瘫痪,造成巨大的经济损失,因此必须采取有效措施和途径,对网络蠕虫进行检测和控制,下面将对蠕虫病毒的检测技术进行研究。
2.1基于蠕虫特征码的检测技术
基于蠕虫特征码的检测技术是目前使用最多的一种检测技术,其主要手段是通过特征进行匹配。
具体的检测原理是:
首先收集一些蠕虫恶意代码的特征值,然后在这些特征值的基础上创建相应的特征码规则库,当检测计算机是否受到蠕虫病毒感染或者攻击时,将检测到的网络行为的特征码和特征码规则库中具体规则进行匹配,若是匹配成功则说明该网络存在异常,可能含有蠕虫病毒等危害,应当给出警告提示或者拒绝访问。
由以上检测原理可见,这种检测技术存在一定的限制,只有当特征码规则库中存在恶意行为的特征码规则时,才能够匹配成功,判定该网站存在恶意行为,进行抑制或者反击。
在这种情况下,若是有些蠕虫病毒并没有在规则库中匹配成功,不能被检测出来,那么该网络就可以通过检测,对计算机系统造成危害,带来不可预测的经济损失,因此需要对规则库实时进行维护和更新,确保最新的蠕虫病毒特征码存储在特征库中,能够被识别出来。
目前比较熟知的基于蠕虫特征码的检测算法包括Earlybird和Autograh,这两种方法提供实时提取特征码功能,基于Rabinfingerprint算法。
当蠕虫病毒变形扩散后,单一连续的字符串不能够作为特征码使用,为此JamesNewsome提出了著名的Ploygraph检测系统,可以提取出具有蠕虫变形规律的特征码。
2.2基于蠕虫行为特征的检测技术
基于蠕虫行为特征的检测技术主要包括四种方法:
统计分类法、简单阈值法、信号处理法以及智能计算法。
其中简单阈值法的检测指标是与连接相关的指标,包括连接失败数、连接请求数、ICMP消息数以及连接端口的流量等等。
Bakos提出了一种蠕虫行为特征检测技术,利用了ICMP目标主机不可达报文来判断识辨蠕虫的随机扫描行为,并通过信息收集点来收集网络中由路由器产生的这种不可达报文信息,然后统计消息的个数,并和给定的阈值进行比较,以此判断蠕虫是否有传播行为。
但是这种方法中如果路由器个数较少,那么收集到的报文信息数就会较少,会影响到判断的准确性。
其他的行为特征检测方法是通过识别网络中不断重复出现的数据包内容进行识别蠕虫病毒,但是由于这些方法在检测时必须要有大量的统计信息,因此在时间上会有一个滞后的过程,造成不能够及时地检测到蠕虫病毒。
2.3基于蜜罐和蜜网的检测技术
1988年5月,CliffordStoll提出了蜜罐的概念,并明确指出“蜜罐是一个了解黑客的手段”的一种方法。
蜜罐是通过故意设计为一个有缺陷的系统,并且专门用来引诱那些蠕虫攻击者进入到受控环境中,接着充分利用各种监控技术来捕获蠕虫攻击者的行为,获取蠕虫行为特征。
其中蜜罐技术是一种虚拟环