蠕虫病毒的检测和防御分析研究 .docx
《蠕虫病毒的检测和防御分析研究 .docx》由会员分享,可在线阅读,更多相关《蠕虫病毒的检测和防御分析研究 .docx(15页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、精品名师归纳总结青 岛 科 技 大 学正统文化网络执笔专 科 毕 业 设 计 论 文)题 目蠕虫病毒的检测和防备争论指导老师 同学姓名 同学学号 院蠕虫病毒相关学问介绍。介绍蠕虫病毒的定义、工作流程以及行为特点,并简要分析国内外争论现状。2蠕虫病毒检测技术争论。介绍基于蠕虫特点码、行为特性等方面的检测掌握技术。3蠕虫病毒防备技术争论。从企业网络和个人用户角度,争论防备蠕虫攻击的主要措施。可编辑资料 - - - 欢迎下载精品名师归纳总结1 蠕虫病毒相关学问介绍1.1 蠕虫病毒定义关于蠕虫病毒的定义许多,最早的定义是Eugene H.Spafford 给出的:“蠕虫是可以独立运行的,并且能够自我复
2、制且传播到其他运算机上的一段程序代码”。但是随着网络的进展和科技的进步,蠕虫病毒显现了各种不同的变种,且产生了难以抑制的成效,因此学者们赐予了多种多样的定义。Elder 和Kienzle 认为:“网络蠕虫是通过运算机网络来进行传播,无须用户干预就能够独立运行或者依靠文件共享而去主动攻击其他运算机的一种恶意代码的形式”。尽管蠕虫病毒的形式多种多样,不同学者给出了不同的定义,但是从以上给出的几种定义中可以看出,蠕虫病毒的定义都具有共同的特性,主要表达在以下几个方面:1蠕虫病毒独立运行,不需要用户进行干预。2蠕虫病毒具有自我传播和自我复制的特性,并且传染的方式途径许多,传播的速度较快,对网络和运算机
3、安全破坏性强。蠕虫一般是通过运算机的漏洞进行传播,国家网络安全中心每年发觉的运算机漏洞数量惊人,特别是近几年来,蠕虫病毒利用了许多零日漏洞进行传 播,对网络安全和运算机构成了严峻威逼。1.2 蠕虫病毒工作流程和行为特点1蠕虫病毒工作流程网络蠕虫病毒的工作流程一般可以分为四个阶段:扫描、攻击、处理、复制。扫描主要是对目标的址空间内存在漏洞的运算机,收集相关信息以备攻击电脑,为攻击目标而预备。攻击阶段就是对扫描出的存在漏洞的运算机进行攻击,并感染目标机器。处理阶段隐匿自己在已感染的主机上,并且给自己留下后门,执行破坏命令。复制阶段主要是自动生成多个副本,主动感染其他主 机,达到破坏网络的成效。蠕虫
4、病毒的整个工作流程如图1-1 所示。可编辑资料 - - - 欢迎下载精品名师归纳总结开头按肯定的扫描方式扫描的址空间内的主机主机是否存在?否是漏洞是否存在?否是开头攻击攻击胜利否是处理、传染、复制图 1-1 蠕虫病毒工作流程2蠕虫病毒行为特点通过对网络蠕虫的定义介绍以及工作流程分析,可以归纳出蠕虫的行为主要特性,具体如下:自我复制和主动攻击。蠕虫具有自我复制和主动攻击功能,当蠕虫病毒被释放后,它们会自动搜寻当前网络系统是否存在机器漏洞,假如存在就进行攻击,反之就查找新的系统查找漏洞,整个流程都是蠕虫自身完成,不需要人工进行任何干预。利用系统漏洞进行攻击。蠕虫通过运算机系统漏洞进行攻击,没有漏洞
5、可编辑资料 - - - 欢迎下载精品名师归纳总结就不能攻击系统,因此蠕虫最基本的行为特点是利用系统漏洞进行攻击。极具破坏性。随着网络的进展,蠕虫病毒也越来越具有破坏性,造成了庞大的经济缺失,使得运算机系统崩溃,深圳网络瘫痪等情形。反复攻击性。即使清理掉了蠕虫病毒被,在运算机重新连接到网络之前没有为之漏洞打补丁,那么这台运算机依旧可能会被感染,蠕虫病毒会反复攻击。使得运算机系统性能下降,整个网络塞堵甚至瘫痪。蠕虫病毒进行攻击之前会进行网络大面积的扫描,对同一个端口不断的发送数据包,造成运算机系统性能下降。当扫描到存在系统漏洞的运算机时会产生额外的网络流量,引起网络拥塞,甚至可能造成瘫痪,带来庞大
6、的经济缺失。很好的假装以及隐匿方式。蠕虫病毒一般都具有较高隐匿功能,用户不简洁发觉,不能准时清理,同时它们会在感染运算机系统后留下逃脱后门。1.3 蠕虫病毒国内外争论现状随着蠕虫病毒的进展,网络安全技术厂商通过结合各种安全技术产品的方 式应付蠕虫病毒,其中典型的方式是将网络杀毒软件、终端与防火墙、漏洞扫 描系统、入侵检测相结合。 2005 年以来,产生了许多具有代表性的安全方案, 具体的主要有:2004 年底,锐捷网络推出了全局安全网络解决方案,相比于简洁的“杀毒软件+防火墙”这种体系来说,其安全措施加强了对于网络终端安全性的掌握以及修复。对每个用户运算机加载一个客户端软件,假如发觉有蠕虫病毒
7、侵 入,立刻通知服务器,服务器将会隔离此用户与正常用户,并修复入侵系统漏洞。当修复完成之后,安全客户端软件仍会自动重新检测用户系统,在确定系统已解除安全隐患之后才答应再次进入网络。通过这种自动检测和拦截技术, 将蠕虫病毒等安全隐患拒之门外,能够防患于未然。趋 势 科 技 公 司 推 出 了 企 业 安 全 防 护 战 略 -EPSEnterprise Protection Strategy,主要是采纳蠕虫病毒入侵检测技术,不断的侦听网络内部是否接入有蠕虫病毒数据包,一旦检测到蠕虫侵入,立刻隔离全部的危急设备。以上对蠕虫病毒的防护技术主要是针对于操作系统的漏洞而检测的,目前,随着科学技术的进步和
8、网络的进展,蠕虫病毒不断扩大的同时检测和防备技术也在不断更新中,蠕虫病毒的争论始终是一项重要的争论内容。可编辑资料 - - - 欢迎下载精品名师归纳总结2 蠕虫病毒检测技术争论蠕虫技术的不断扩大对网络的安全构成了极大的威逼,甚至有可能带来网络瘫痪,造成庞大的经济缺失,因此必需实行有效措施和途径,对网络蠕虫进行检测和掌握,下面将对蠕虫病毒的检测技术进行争论。2.1 基于蠕虫特点码的检测技术基于蠕虫特点码的检测技术是目前使用最多的一种检测技术,其主要手段是通过特点进行匹配。具体的检测原理是:第一收集一些蠕虫恶意代码的特点值,然后在这些特点值的基础上创建相应的特点码规章库,当检测运算机是否受到蠕虫病
9、毒感染或者攻击时,将检测到的网络行为的特点码和特点码规章库中具体规章进行匹配,如是匹配胜利就说明该网络存在反常,可能含有蠕虫病毒等危害,应当给出警告提示或者拒绝拜访。由以上检测原理可见,这种检测技术存在肯定的限制,只有当特点码规章库中存在恶意行为的特点码规章时,才能够匹配胜利,判定该网站存在恶意行为,进行抑制或者反击。在这种情形下,如是有些蠕虫病毒并没有在规章库中匹配胜利,不能被检测出来,那么该网络就可以通过检测,对运算机系统造成危害,带来不行猜测的经济缺失,因此需要对规章库实时进行爱护和更新,确保最新的蠕虫病毒特点码储备在特点库中,能够被识别出来。目前比较熟知的基于蠕虫特点码的检测算法包括E
10、arlybird 和 Autograh, 这两种方法供应实时提取特点码功能,基于Rabin fingerprint 算法。当蠕虫病毒变 形扩 散后 ,单一连 续的 字符串 不能够作 为特点码使 用,为此James Newsome 提出了闻名的 Ploygraph 检测系统,可以提取出具有蠕虫变形规律的特点码。2.2 基于蠕虫行为特点的检测技术基于蠕虫行为特点的检测技术主要包括四种方法:统计分类法、简洁阈值 法、信号处理法以及智能运算法。其中简洁阈值法的检测指标是与连接相关的 指标,包括连接失败数、连接恳求数、ICMP 消息数以及连接端口的流量等等。Bakos 提出了一种蠕虫行为特点检测技术,利
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 蠕虫病毒的检测和防御分析研究 蠕虫 病毒 检测 防御 分析研究
限制150内