網(wǎng)絡(luò)蠕蟲檢測系統(tǒng)設(shè)計_第1頁
網(wǎng)絡(luò)蠕蟲檢測系統(tǒng)設(shè)計_第2頁
網(wǎng)絡(luò)蠕蟲檢測系統(tǒng)設(shè)計_第3頁
網(wǎng)絡(luò)蠕蟲檢測系統(tǒng)設(shè)計_第4頁
網(wǎng)絡(luò)蠕蟲檢測系統(tǒng)設(shè)計_第5頁
已閱讀5頁,還剩1頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、網(wǎng)絡(luò)蠕蟲檢測系統(tǒng)設(shè)計摘要:以網(wǎng)絡(luò)蠕蟲為主要研究對象,分析了網(wǎng)絡(luò)蠕蟲的功能結(jié)構(gòu)和傳播流程,同時通過對IPv6環(huán)境下網(wǎng)絡(luò)蠕蟲傳播的特殊性研究,建立了一個新型的網(wǎng)絡(luò)蠕蟲傳播模型。在此基礎(chǔ)上,給出了一種基于指數(shù)熵的網(wǎng)絡(luò)蠕蟲檢測方法和實驗性研究方法,并對該方法進行了分析、推導(dǎo)以及檢測。關(guān)鍵詞:網(wǎng)絡(luò)蠕蟲;IPv6;指數(shù)熵0引言IPv4協(xié)議存在很多問題,不能滿足物聯(lián)網(wǎng)對海量網(wǎng)絡(luò)地址的需求,于是IETF制定了IPv6協(xié)議。雖然IPv6協(xié)議在擁有更寬的地址空間及路由和安全等問題上有了很大改進,但是IPv6協(xié)議同樣沒有解決洪泛攻擊、地址假冒、中間人(maninthemiddle)攻擊、應(yīng)用層攻擊、報文偷看(Sni

2、ffing)等問題,所以網(wǎng)絡(luò)安全問題依然不可輕視。網(wǎng)絡(luò)蠕蟲是繼IPv6協(xié)議后一個很嚴重的網(wǎng)絡(luò)安全問題,網(wǎng)絡(luò)蠕蟲并沒有隨著IPv6的出現(xiàn)而消失,大面積的網(wǎng)絡(luò)蠕蟲依然寄生在IPv6協(xié)議的網(wǎng)絡(luò)中。由此,研究IPv6協(xié)議下的網(wǎng)絡(luò)蠕蟲檢測方法有著非常重要的意義。相關(guān)工作蠕蟲是一種在網(wǎng)絡(luò)中傳播的惡意病毒,它的出現(xiàn)對于木馬病毒、宏病毒來說比較晚,但是無論從傳播速度、傳播范圍還是從破壞程度上來講,蠕蟲病毒都是以往傳統(tǒng)病毒所無法比擬的1。蠕蟲功能結(jié)構(gòu)國內(nèi)外很多學(xué)者對蠕蟲的功能結(jié)構(gòu)進行了研究,其中一種比較典型的功能結(jié)構(gòu)框架由6個功能模塊組成2v/sup,分別是:搜索模塊、攻擊模塊、命令行模塊、通信模塊、智能模塊和

3、非攻擊使用模塊。本文結(jié)合當(dāng)前蠕蟲的具體運作情況,提出了一種新的蠕蟲功能模型。把它分成了核心模塊和擴展模塊兩部分,結(jié)構(gòu)如圖1。蠕蟲工作機制蠕蟲的工作機制是將自己從一臺計算機復(fù)制到另一臺計算機,并執(zhí)行預(yù)定操作功能的程序代碼,蠕蟲可以自動執(zhí)行,同時可以自我復(fù)制,系統(tǒng)一旦感染蠕蟲,蠕蟲即可自行傳播。蠕蟲是一種惡性病毒,通過網(wǎng)絡(luò)進行傳播,它具有傳播性、隱蔽性、破壞性等病毒的共同特點,同時也具有一些自身的特性,如不寄生于文件(有的只存在于內(nèi)存中)、與黑客技術(shù)結(jié)合以及對網(wǎng)絡(luò)拒絕服務(wù)等。例如,蠕蟲可向電子郵件地址簿中的聯(lián)系人發(fā)送自己的副本,那些聯(lián)系人的計算機也將執(zhí)行同樣的操作,結(jié)果造成多米諾效應(yīng)(網(wǎng)絡(luò)通信負擔(dān)

4、沉重),使計算機和整個Internet的速度減慢3v/sup。普通病毒主要針對計算機文件系統(tǒng)進行感染,而蠕蟲病毒的傳染目標更為廣泛,它包括局域網(wǎng)和互聯(lián)網(wǎng)內(nèi)的所有主機。系統(tǒng)一旦感染蠕蟲,蠕蟲便將自己從一臺主機復(fù)制到互聯(lián)網(wǎng)內(nèi)的另一臺主機,實現(xiàn)自行復(fù)制和傳播。因而從破壞程度上講,蠕蟲病毒比普通病毒嚴重得多。依托于網(wǎng)絡(luò)的拓展,蠕蟲病毒僅需很短的時間即可蔓延至整個網(wǎng)絡(luò),導(dǎo)致嚴重的網(wǎng)絡(luò)癱瘓。在局域網(wǎng)環(huán)境中,蠕蟲的傳播也有多種途徑,如共享文件夾、惡意網(wǎng)頁、電子郵件和有漏洞的服務(wù)器等。蠕蟲可在數(shù)小時內(nèi)蔓延全世界,它們的主動攻擊和突然爆發(fā)使網(wǎng)絡(luò)管理員束手無策。同時,蠕蟲病毒會占用帶寬和內(nèi)存,很可能致使網(wǎng)絡(luò)和計算

5、機崩潰。蠕蟲不必通過“宿主”程序或者文件傳播,它的危害遠比普通病毒大。網(wǎng)絡(luò)蠕蟲檢測系統(tǒng)在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境下,蠕蟲經(jīng)常使用隨機地址掃描方法查找易感染主機。IPv4協(xié)議使用了32位地址空間,因此利用快速掃描策略,一個蠕蟲完成對所有地址空間的掃描僅需幾小時。而對于IPv6,因其具有龐大的128位地址空間,基于隨機掃描的網(wǎng)絡(luò)蠕蟲較難獲取其它主機地址,因此普遍認為IPv6天生具有對蠕蟲的抵抗能力。然而,隨著網(wǎng)絡(luò)蠕蟲攻擊手段越來越多,蠕蟲病毒在IPv6環(huán)境下的傳播逐漸成為人們關(guān)注的焦點4。2.1IPV6蠕蟲設(shè)計為了分析蠕蟲在IPv6網(wǎng)絡(luò)中的傳播,本文采用了名為Worm6的三層網(wǎng)絡(luò)蠕蟲模型。這種蠕蟲模型通過使

6、用不同的策略有效地識別和攻擊目標。不同的模型層次具有不同的作用。第一層應(yīng)用于蠕蟲掃描子網(wǎng)之時。蠕蟲探索隨機分布在不同子網(wǎng)當(dāng)中的不同主機。對于蠕蟲傳播來說,依靠對主機自己的域名進行隨機掃描是遠遠不夠的。因此,在第二層,每當(dāng)一個域名主機被感染了,它會通過對應(yīng)的本地掃描策略掃描在當(dāng)前的子網(wǎng)內(nèi)更多的易感染主機。在因特網(wǎng)蠕蟲的傳播過程中,蠕蟲感染主機的次數(shù)不止一次,這種情況幾乎不可避免,因此亟需建立一個機制,避免主機在第三層中被反復(fù)感染。Worm6傳播模型如圖2所示。數(shù)據(jù)捕獲模塊網(wǎng)絡(luò)系統(tǒng)存在大量的數(shù)據(jù)包,本模塊主要承擔(dān)部分前期數(shù)據(jù)包捕獲工作,并負責(zé)將這些預(yù)處理后的數(shù)據(jù)進行存儲。數(shù)據(jù)捕獲的結(jié)構(gòu)如圖4所示。

7、本模塊首先對數(shù)據(jù)包進行判斷,提取有用數(shù)據(jù)包,剔除垃圾數(shù)據(jù)包。在相應(yīng)時間窗口中,取出數(shù)據(jù)包中的源地址、目的地址以及相關(guān)的其他包頭信息,放入IP頭數(shù)據(jù)結(jié)構(gòu)中,然后調(diào)用檢測算法對數(shù)據(jù)進行處理。數(shù)據(jù)捕獲模塊的工作流程如圖5所示。分析判定模塊在數(shù)據(jù)捕獲模塊完成對數(shù)據(jù)的捕獲和預(yù)處理之后,分析判定模塊負責(zé)分配一個容量為4k的列表以儲存主機的地址分類,分析數(shù)據(jù)包的源IP地址和目的IP地址。在查看以該主機為源地址的連接時,通過調(diào)用地址轉(zhuǎn)換模塊(Hash函數(shù))計算連接中目標地址的Hash值,記為i,然后將對應(yīng)于該Hash值的列表項的值加1,然后繼續(xù)考察下一個以該主機為源地址的連接。若時間間隔達到預(yù)設(shè)的窗口大小,則

8、通過指數(shù)熵函數(shù)計算該主機的目標地址的熵,與預(yù)先設(shè)定的熵值進行比較,若計算得到的熵值大于網(wǎng)絡(luò)蠕蟲判斷閾值,則判定該主機異常5。IP地址映射函數(shù)的實現(xiàn)方法如下:IpConvert(Ip)IpHigh=(Ip&FFFF0000)16;/取高16位,移位IpLow=Ip&0000FFFF;/取低16位IpTemp=IpHigh+IpLow;IpHash=IpTemp%4096;/取余從圖6可以看出,通常流經(jīng)異常目的IP地址的數(shù)據(jù)會比較分散,而流經(jīng)正常目的IP地址的數(shù)據(jù)則相對集中。通過以上檢測算法可以得出,一般情況下,正常主機的指數(shù)熵介于02之間,異常主機則通常大于2。結(jié)果輸出模塊分析判定之后,輸出的結(jié)

9、果主要有兩種:一種是同一個源地址(IP、Mac或Port)下的目的地址(IP、Mac或Port)分布情況,另一種是系統(tǒng)識別出的蠕蟲分布變化情況。系統(tǒng)測試環(huán)境與結(jié)果3.1測試環(huán)境3.2測試結(jié)果圖7顯示了利用本系統(tǒng)在IPv6環(huán)境下IPv6蠕蟲病毒的檢測結(jié)果。本文所實現(xiàn)的系統(tǒng)能捕捉到所有的IP數(shù)據(jù)包。測試證明,寬帶連接從禁用向啟用切換時,守護線程能保證捕捉線程恢復(fù)工作。4結(jié)語本文首先分析了一般網(wǎng)絡(luò)蠕蟲的傳播特性,在現(xiàn)有網(wǎng)絡(luò)蠕蟲技術(shù)的基礎(chǔ)上,提出一種基于指數(shù)熵的網(wǎng)絡(luò)蠕蟲檢測方法,并設(shè)計了可應(yīng)用于IPv6環(huán)境下的網(wǎng)絡(luò)蠕蟲檢測系統(tǒng),給出了分析推導(dǎo)和檢測程序設(shè)計的思路和方法。本文所提出的系統(tǒng)及其方法僅作為實

10、驗性研究,系統(tǒng)完整性設(shè)計還有待進一步完善。參考文獻:AnalysisoftheimpactofheterogeneousnetworkenvironmentonwormpropagationC.ProceedingsoftheThirdInternationalConferenceonMultimediaInformationNetworkingandSecurity,2011.YANGXINFENG,GUOYONGLI,LIUKECHENG.ResearchoncontrolstrategyofwormsspreadincomplexnetworksC.InternationalConferenceonComputerScienceandNetworkTechnology(I

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論