网络蠕虫的检测技术研究

开篇：润墨网以专业的文秘视角，为您筛选了一篇网络蠕虫的检测技术研究范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

【摘要】网络蠕虫的检测是防范网络蠕虫的第一步，对防范的成功实现起着非常重要的作用。通过常见的网络蠕虫检测算法的研究，将其进行了分类，并对每一种检测方法的基本原理进行了分析。

【关键词】网络蠕虫；检测；分类

目前网络蠕虫的种类越来越多，破坏力也越来越大，并且更加隐蔽。网络蠕虫不仅占用被感染主机的资源，而且在网络中如果被感染主机较多，网络蠕虫使用大量进程进行扫描探测的情况下，会造成网络的严重阻塞。由于互联网具有开放性的特点，缺乏明确的全局管理机构和中心控制能力，没有完善的机制保证互联网络节点不受网络蠕虫的攻击，传统的基于单机的病毒预防技术、基于单机联动的局域网病毒防范技术、病毒防火墙技术等都不能很好地应对开放式网络对网络蠕虫的预警要求[1]，因此网络蠕虫的检测研究变得愈发重要。下面简介几种网络蠕虫检测方法。

1.基于特征串匹配的检测

在网络中捕获流经网络出入口的所有数据包，根据已掌握的网络蠕虫的特征串或规则表达式对数据包进行扫描匹配。华盛顿大学的John W.Lockwood 等人提出了一种采用可编程逻辑设备（简称PLDs），基于PLDs的检测技术采用高速硬件实现其核心功能，能够实现大规模高速网络环境对网络蠕虫的检测。但这类方法不能检测和防御未知蠕虫，而且存在一定的误警率。基于蜜罐技术（HoneyPot）[2]的检测是另一个实用的特征串匹配检测技术，它在边界网关或易受到蠕虫攻击的地方置放多个的虚拟HoneyPot，相互之间共享捕获的数据信息，当网络蠕虫根据一定的扫描策略扫描存在漏洞主机的地址空间时，捕获网络蠕虫扫描攻击的数据，然后特征匹配来判断是否有网络蠕虫攻击。

2.基于关联分析的检测

在基于蠕虫目标选择研究的基础上，通过收集计算机和网络活动的数据以及它们之间的连接等信息来检测。著名的基于GrIDS的网络蠕虫检测[3]就属于这一类，它主要是针对大规模网络攻击和自动化入侵设计，根据收集计算机和网络活动的数据以及它们之间的连接信息构建网络活动行为来表征网络活动结构上的因果关系，利用网络行为与其的匹配与否来检测网络蠕虫。该技术能够检测已知蠕虫和大部分未知蠕虫。但只能作简单的基于事件的关联分析，没有对网络中传输的包信息基于上下文的相关性分析，没有对TCP连接中的目标地址和目标服务进行分析。中科院卿斯汉教授提出的基于网状关联分析的蠕虫检测方法[4]弥补了GrIDS方法的不足，充分利用网络环境中各探测点提供的信息和数据，通过对网络数据的传输行为的数据挖掘和异常检测来进行信息流的源节点与目标节点的关联分析。

3.基于扫描行为的检测

在网络中网络蠕虫通常会盲目地利用随机扫描、分解扫描、混合扫描或完全扫描等方式扫描大量的IP地址为寻找易攻击的目标，从而导致网络充斥大量的扫描数据包，在一定程度上引起网络异常[5]，因此通过检测网络数据的异常可检测网络蠕虫，一般通过监测网络中的ICMP-T3、TCP-SYN、TCP―RST报文来实现。

4.基于人工智能技术的检测

近些年迅猛发展的人工智能技术也被用于网络蠕虫的检测，常见的有基于神经网络[6]和基于免疫系统的网络蠕虫检测[7]。基于神经网络的网络蠕虫检测方法利用神经网络对正常的网络行为进行学习，然后利用训练过的神经网络检测出潜在的网络蠕虫的攻击；基于免疫系统的网络蠕虫检测方法是通过模仿生物有机体的免疫系统工作机制，使电脑系统能够将正常的网络行为和网络蠕虫等非法行为区分开来。

5.结束语

随着网络时代的到来，网络蠕虫的变种越来越多，功能更强大，传播速度更快，危害也更严重，网络蠕虫的检测研究也变得愈发重要。

参考文献

[1]文伟平，卿斯汉，蒋建春.网络蠕虫研究与进展[J].软件学报，2004，15（8）：1208-1219.

[2]David Dagon，Qin Xinzhou，Gu Guofci，et a1.HoneyStat：local worm detection using honeypots[C].Proc of 7th International Symposium on Recent Advances in Intrusion Detection，2004：39-58.

[3]Steven cheung，Rick Grawford，Mark Dilger.The Design of GrIDS：A Graph-Based Intrusion Detection System.Davis：CA 1999.

[4]卿斯汉，文伟平，蒋建春等.一种基于网状关联分析的网络蠕虫预警新方法[J].通信学报，2004，25（7）：62-70.

[5]杨新宇，史，朱慧君.基于本地网络的蠕虫检测定位算法[J].中国科学E辑：信息科学，2008，38（12）：2099-2111.

[6]李鸿培，王新梅.基于神经网络的入俊检测系统模型[J].西安电子科技大学学报，1999，26（5）：667-670.

[7]Hofmeyr S，Forrest S.Architeeture for an artifieal Inunune system[J].Evolutionary Computation，2000，8（4）：443-473.

作者简介：张宏琳（1982―），女，陕西咸阳人，硕士，工程师，现供职于中国人民银行西安分行营管部科技处，主要研究方向：信息系统安全。