共查询到18条相似文献,搜索用时 93 毫秒
1.
2.
3.
快速而准确地提取蠕虫特征对于有效防御多态蠕虫的传播至关重要,但是目前的特征产生方法在噪音干扰下无法产生正确的蠕虫特征.提出基于彩色编码的特征自动提取算法CCSF(color coding signature finding)来解决有噪音干扰情况下的多态蠕虫特征提取问题.CCSF算法将可疑池中的n条序列分成m组,然后运用彩色编码对每组序列进行特征提取.通过对每组提取出来的特征集合进行过滤筛选,最终产生正确的蠕虫特征.采用多类蠕虫对CCSF算法进行测试,并与其他蠕虫特征提取方法进行比较,结果表明,CCSF算法能够在有噪音干扰的条件下准确地提取出多态蠕虫的特征,该特征不包含碎片,易于应用到IDS(intrusion detection system)中对多态蠕虫进行检测. 相似文献
4.
汪洁 《计算机应用与软件》2012,29(7):274-277,291
为了更好地研究和防御多态蠕虫,在研究多态变形技术的基础上,针对基于缓冲区溢出漏洞进行传播的蠕虫,设计了多态蠕虫产生器。以SQL Slammer蠕虫和ATPhttpd蠕虫作为实例介绍产生器的工作过程。从产生器的设计过程和实例分析可以看出,通过多态处理的蠕虫依旧具有相同字符串序列特征,可以依据这些字符串序列对多态蠕虫进行有效防御。最后对产生器的功能进行测试。测试结果表明,该产生器能够对程序进行有效的多态处理,为多态蠕虫防御和特征自动提取等研究工作提供有效的实验数据。 相似文献
5.
多态蠕虫特征提取是基于特征的入侵检测的难点,快速提取出精确程度更高的多态蠕虫特征对于有效防范蠕虫的快速传播有着重要的作用。针对层次式的多序列匹配(HMSA)算法进行多序列比对的时间效率较低和由迭代方法提取出的特征不够精确等问题,提出了基于改进蚁群算法的多态蠕虫特征提取方法antMSA。该方法首先对蚁群的搜索策略进行了相应的改进,并将改进后的蚁群算法引入到奖励相邻匹配的全局联配(CMENW)算法中,利用蚁群算法快速收敛能力,在全局范围内快速生成较好解,提取出多态蠕虫的特征片段;然后将其转化为标准入侵检测系统(IDS)规则,用于后期防御。实验表明,改进后的蚁群算法能够较好地克服基本蚁群算法的停滞现象,扩大搜索空间,能够有效提高特征提取的效率和质量,降低误报率。 相似文献
6.
僵尸网络对当前互联网产生巨大危害,基于漏洞扫描的蠕虫是僵尸的主要传播方式和载体.针对蠕虫的传播,现有模型大多以SIR模型为基础,假设主机在免疫之后就不会再被感染.由于僵尸中可能存在多个蠕虫,因此使得免疫主机还可能回归到易感染状态.考虑到此因素,本文在SIR模型的基础上,提出一种回归的RSIR僵尸网络传播模型.给出了模型的描述和数学公式,并对模型进行了分析.实际数据仿真结果显示,模型是有效的. 相似文献
7.
随着社会的发展和技术的进步,计算机病毒也发生了进化,变得越来越复杂,越来越隐蔽。其中蠕虫病毒更是最早的计算机病毒发展进化成为可以在工控系统上感染并进行传播的工控蠕虫病毒,极大影响工业生产的安全。单一的网络隔离或者打补丁免疫,已经跟不上蠕虫病毒的传播速度。针对该现状,分析蠕虫病毒在工控系统上的传播方式以及特点,在原有网络隔离和补丁的基础上提出一种针对工控蠕虫的防御策略,以达到有效防御蠕虫病毒的目的。该防御策略基于传染病模型的基本思想提出了一个模拟蠕虫传播趋势的数学模型 SEIPQR。该模型包含易感染(susceptible)状态、暴露(exposed)状态、打补丁(patched)状态、感染(infected)状态、隔离(quarantine)状态以及免疫(recovered)状态 6 种状态,创建模型的 6 种状态转换图,对状态转换图得到微积分方程组,在系统设备数量一定的情况下,对方程组进行变换,通过求解基本再生数R0的方法对方程组进行求解,并分析当暴露主机和感染主机的数量为0时模型的6种方程表达式,根据Routh-Hurwitz准则得出当R0<1时,系统是渐进稳定的;当R0>1时,系统是不稳定的。通过数值仿真对比在不同打补丁概率、不同隔离率以及不同感染率3种情况下SEIPQR模型的动力学特性,并得到模型的无病平衡点和地方病平衡点。数据仿真结果表明,在整个系统感染蠕虫病毒时,对易感染设备及时地打补丁以及进行网络隔离可以有效抑制工控蠕虫的传播。 相似文献
8.
主动蠕虫以自主方式进行传播,能在非常短的时间内泛滥到整个因特网。本文提出了离散时间条件下的主动蠕虫传播模型DTWP。该模型考虑了对抗蠕虫存在的情况,可以有效地刻画随机扫描主动蠕虫的传播特性。实验计算结果表明,DTWP模型能够比AAWP模型更好地预测蠕虫后期的传播趋势。 相似文献
9.
10.
首先在存在大量NAT的混合型(IPv4/IPv6)网络环境中分析了网络蠕虫的扫描策略,构建了一种新型的基于 Teredo服务的网络蠕虫—TeredoWorm,该蠕虫应用分层扫描策略为在本地应用子网内扫描策略;在子网间应用基于Teredo服务的扫描策略。并在此基础上建立了一种分层蠕虫传播模型(Layered Model,LM)。经仿真实验结果表明,TeredoWorm是一种可以在IPv4/IPv6网络中穿越NAT进行大范围传播的蠕虫,其将对IPv4/IPv6网络的安全性带来巨大的威胁。 相似文献
11.
12.
对蠕虫扫描策略及其传播效率进行了深入分析;并提出了"带宽限制型 部分预定义目标地址列表 基于路由扫描 随机均匀扫描"的快速扫描策略.分析了各种蠕虫传播过程模拟方法和蠕虫流量模拟方法的优劣;并从统计意义上建立了"延迟限制型"蠕虫的周期性突发的扫描流量模型,结合混合层次模拟方法,能够为蠕虫模拟、检测和应对技术提供基础,同时减少了蠕虫模拟的复杂性. 相似文献
13.
Internet worms are a significant security threat. Divide-conquer scanning is a simple yet effective technique that can potentially be exploited for future Internet epidemics. Therefore, it is imperative that defenders understand the characteristics of divide-conquer-scanning worms and study the effective countermeasures. In this work, we first examine the divide-conquer-scanning worm and its potential to spread faster and stealthier than a traditional random-scanning worm. We then characterize the relationship between the propagation speed of divide-conquer-scanning worms and the distribution of vulnerable hosts through mathematical analysis and simulations. Specifically, we find that if vulnerable hosts follow a non-uniform distribution such as the Witty-worm victim distribution, divide-conquer scanning can spread a worm much faster than random scanning. We also empirically study the effect of important parameters on the spread of divide-conquer-scanning worms and a worm variant that can potentially enhance the infection ability at the late stage of worm propagation. Furthermore, to counteract such attacks, we discuss the weaknesses of divide-conquer scanning and study two defense mechanisms: infected-host removal and active honeynets. We find that although the infected-host removal strategy can greatly reduce the number of final infected hosts, active honeynets (especially uniformly distributed active honeynets) are more practical and effective to defend against divide-conquer-scanning worms. 相似文献
14.
15.
16.
本文就Internet蠕虫的传播模型进行了研究,分析了各种传播模型的特点和适用环境,在此基础上结合良性蠕虫的特点提出.了良性蠕虫对抗恶性蠕虫的传播模型。经过比较和分析,理论上证明了蠕虫对抗蠕虫传播模型,有效地补充和改进了传统的Internet蠕虫传播模型,使其更符合Internet蠕虫传播的实际,为进一步研究蠕虫的检测与预防提供了有力的研究方法。与现有模型相比,其降低了对抗蠕虫给网络造成的冲击、可控,并降低了模型的复杂度。 相似文献
17.
本文就Internet蠕虫的传播模型进行了研究,分析了各种传播模型的特点和适用环境,在此基础上结合良性蠕虫的特点提出了良性蠕虫对抗恶性蠕虫的传播模型。经过比较和分析,理论上证明了蠕虫对抗蠕虫传播模型,有效地补充和改进了传统的Internet蠕虫传播模型,使其更符合Internet蠕虫传播的实际,为进一步研究蠕虫的检测与预防提供了有力的研究方法。与现有模型相比,其降低了对抗蠕虫给网络造成的冲击、可控,并降低了模型的复杂度。 相似文献