学位论文 > 优秀研究生学位论文题录展示

蠕虫模拟方法和检测技术研究

作 者: 陈宇峰
导 师: 潘云鹤;鲁东明
学 校: 浙江大学
专 业: 计算机科学与技术
关键词: 蠕虫模拟 蠕虫检测 流量建模 流量模拟 自相似性 重尾特性
分类号: TP309.5
类 型: 博士论文
年 份: 2006年
下 载: 734次
引 用: 2次
阅 读: 论文下载
 

内容摘要


由于危害严重、攻击范围大、爆发速度快,蠕虫已经成为目前互联网所面临的最为严重的安全威胁之一。目前有效的模拟环境的缺乏,影响了对蠕虫的深入研究;同时,检测技术的不准确性,影响了蠕虫预防、抑制和应急响应等技术的效果。鉴于本地网络(内部网络)内蠕虫的研究对蠕虫早期预警和传播控制所起到的关键作用,本文以本地网络为背景环境,研究了蠕虫模拟方法和检测技术;从而为深入研究蠕虫、蠕虫早期预警以及应急响应等奠定了基础。本文的研究不仅具有理论意义,而且具有广阔的应用前景。 本文首先研究了网络聚集层面和主机层面的流量模型。通过聚集层面的研究,建立了双向TCP流量模型,用于在蠕虫模拟中生成背景流量:该模型以TCP连接为研究对象,分别描述了TCP连接请求和响应在不同时间尺度的统计特性。通过主机层面的研究,建立了“延迟限制型”蠕虫主机的周期性突发流量模型,来描述蠕虫扫描流量的统计特征,用于蠕虫流量的准确模拟;并分析了蠕虫流量和正常主机流量的自相似性和有关统计指标在重尾特性方面的差异,进而提出蠕虫检测的备选指标,包括“第一次连接”的到达间隔、请求大小、响应大小、持续时间和RTT等。 其次,建立了蠕虫模拟环境,并研究了蠕虫流量对网络的影响。在蠕虫模拟环境中,采用“半结构化”TCP聚集流量模拟框架进行背景流量模拟,以平衡精度和效率;该框架利用双向TCP流量模型,将本地网络抽象为一个节点,分别研究了应用层聚集流量产生方法和传输层聚集流量控制方法;并验证了该框架的有效性、稳定性、可比性和高效性。在蠕虫流量模拟中,采用混合抽象层框架来模拟蠕虫传播过程,采用周期性突发流量模型来模拟蠕虫主机的扫描流量;与传统的固定速率蠕虫流量模型相比,该模型能够更好地刻画蠕虫的扫描流量及其对网络的影响。 再次,研究了蠕虫检测指标和检测技术。结合对蠕虫行为的分析,从备选指标中提取出“第一次连接”的失败概率、请求大小和到达间隔等检测指标。利用蠕虫流量在上述检测指标上的重尾特性异常,采用统计分类技术,提出了两个未知蠕虫异常检测算法。通过与目前主流蠕虫检测算法进行对比,表明两个检测算法均能够在同等漏报率的情况下,显著降低误报率。 最后,开发了蠕虫模拟环境和蠕虫检测系统,通过在某互联网交换中心

全文目录


摘要  4-6
Abstract  6-14
第一章 绪论  14-48
  1.1 引言  14-16
  1.2 蠕虫发展历史  16-19
  1.3 蠕虫的基本概念  19-22
    1.3.1 蠕虫的定义  19-20
    1.3.2 蠕虫的功能结构  20
    1.3.3 蠕虫的分类  20-22
  1.4 国内外研究现状  22-43
    1.4.1 蠕虫研究现状  22-34
    1.4.2 网络流量建模研究现状  34-43
  1.5 论文研究内容  43-48
    1.5.1 论文研究内容和组织结构  43-46
    1.5.2 论文主要创新点  46-48
第二章 双向 TCP流量与周期性突发蠕虫流量模型研究  48-98
  2.1 建模与特征分析的数学基础  49-61
    2.1.1 自相似过程和有关统计分布  49-53
    2.1.2 参数估计方法  53-61
  2.2 双向网络背景流量的“结构化”分析  61-83
    2.2.1 背景流量分析数据集  61
    2.2.2 网络背景流量自相似性分析  61-62
    2.2.3 不同时间尺度统计特性分析  62-80
    2.2.4 双向TCP流量模型及其验证  80-83
  2.3 基于周期性突发的蠕虫流量模型  83-86
  2.4 主机流量连接级统计特征分析  86-96
    2.4.1 正常主机流量统计特性分析  87-91
    2.4.2 蠕虫主机流量统计特性分析  91-96
  2.5 本章小结  96-98
第三章 “半结构化”TCP流量模拟框架与蠕虫模拟方法  98-131
  3.1 网络背景流量的“半结构化”模拟方法  98-119
    3.1.1 “半结构化”TCP聚集流量模拟框架  100-101
    3.1.2 模拟方法实例  101-105
    3.1.3 模拟结果及分析  105-119
  3.2 蠕虫流量模拟  119-122
    3.2.1 蠕虫模拟方法  119
    3.2.2 蠕虫传播模型  119-120
    3.2.3 “延迟限制型”蠕虫流量模拟  120-122
  3.3 蠕虫流量对网络影响的模拟  122-129
    3.3.1 蠕虫流量对网络背景流量影响的模拟  122-125
    3.3.2 主机的蠕虫流量对背景流量影响的模拟  125-129
  3.4 本章小结  129-131
第四章 基于重尾特性的未知蠕虫检测技术研究  131-146
  4.1 蠕虫检测指标的选取  132
  4.2 基于重尾特性和统计分类的蠕虫检测技术  132-138
    4.2.1 FP-RS检测技术  132-134
    4.2.2 FP-AI检测技术  134-138
    4.2.3 算法成本  138
  4.3 检测算法验证  138-145
    4.3.1 蠕虫检测技术应用环境  138-139
    4.3.2 算法验证数据集  139
    4.3.3 蠕虫检测技术检测效果  139-142
    4.3.4 与参照检测技术效果对比  142-145
  4.4 本章小结  145-146
第五章 蠕虫模拟方法与检测技术的应用  146-153
  5.1 蠕虫模拟方法应用  146-150
    5.1.1 网络背景流量模拟  146-149
    5.1.2 蠕虫模拟  149-150
  5.2 蠕虫检测技术应用  150-152
  5.3 小结  152-153
第六章 结论和展望  153-156
  6.1 研究结论  153-154
  6.2 研究展望  154-156
参考文献  156-171
攻博期间发表的学术论文、科研项目  171-173
致谢  173

相似论文

  1. 基于模拟的网络安全事件危害程度评估研究,TP393.08
  2. 基于自相似分析的流媒体DDoS攻击检测方法研究,TP393.08
  3. 基于流量自相似性的IPv6中DDoS检测方法的研究,TP393.08
  4. 基于IP地址相关性的DDoS攻击检测研究与实现,TP393.08
  5. 拒绝服务攻击检测与响应的研究,TP393.08
  6. 基于网络的P2P蠕虫检测系统的研究与实现,TP393.08
  7. 基于局域网的计算机蠕虫检测技术研究与实现,TP393.08
  8. 中国传统山水画分形特征探析,J212
  9. BBS网络的自相似性研究,TP393.094
  10. 一类m-均匀Cantor集的填充测度及熵数与填充维数关系,O174.12
  11. 基于图抽样的网络模拟拓扑抽象技术研究,TP393.02
  12. AJAX安全威胁分析及防御技术研究,TP393.08
  13. 蠕虫检测及其特征自动提取的研究与实现,TP393.08
  14. 基于自相似特性的片上网络流量分析与建模,TP393.06
  15. Internet蠕虫特征分析及抑制对策的研究和实现,TP393.08
  16. 网络蠕虫的检测与控制技术研究,TP393.08
  17. 软交换平台下恶意呼叫模拟及检测方法研究与实现,TN916.2
  18. 内网蠕虫检测与响应技术研究与设计,TP393.08
  19. 用于测试入侵检测系统的网络背景流量模拟,TP393.08
  20. 基于危险理论的异常扫描检测方法研究,TP393.08
  21. 一种DDOS攻击复合式检测方法的研究,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 一般性问题 > 安全保密 > 计算机病毒与防治
© 2012 www.xueweilunwen.com