文档名称：

基于包内容的未知蠕虫发现.pdf

格式：pdf 大小：223KB 页数：3页

下载后只包含 1 个 PDF 格式的文档，没有任何的图纸或源代码，查看文件列表

如果您已付费下载过本站文档，您可以点这里二次下载

预览

下载此文档

基于包内容的未知蠕虫发现.pdf

上传人:司棋 2022/1/24 文件大小：223 KB

下载得到文件列表

基于包内容的未知蠕虫发现.pdf

相关文档

文档介绍

文档介绍：年月
第 32 卷第 8 期计算机工程 2006 4ey words Unknown worm; Packet content; String matching; Network security

网络蠕虫是通过网络传播无须用户干预能够独立地或模式下的变化来发现蠕虫它利用了 Rabin 指纹方法找出包
者依赖文件共享主动攻击的恶意代码根据蠕虫特征是否已载荷中重复内容出现同时用地址数的指数增长来鉴别蠕虫
知将其区分为已知和未知对于前者已有较为成熟的基交通
于特征的监测策略对于后者目前主要采用的有两种策略 Honey-pots 通过监视未用的地址空间并捕获对这些
事后人工分析和实时自动发现所谓事后人工分析即当网地址的交通量当作蠕虫入侵即采用了黑名单的方法
络管理员发现异常后研究网络包 traces 提取蠕虫特征 DEWP[3] 采用两步检测首先进行端口匹配确定双
加入特征库这种办法虽能控制蠕虫的进一步扩散但是此向的端口是否一致然后进行目的地址计数确定目的地址
时网络的大部分已经被感染了个数是否有较大增长
而实时自动发现则是通过流量统计内容分析等手段 AutoGraph[1] 采用黑名单方式初步确定正进行随机扫描
自动发现蠕虫传播或者自动捕获蠕虫特征这种方法心须满的 IP 地址监控这些地址发送的所有数据包采用指纹识别
足可在传播早期发现蠕虫不需人工介入就可提取蠕虫特的方法提取数据包中可疑串作为蠕虫特征串
征误报率低