论文部分内容阅读
网络蠕虫是一种能够自我繁殖、利用网络传播的独立的恶意程序。由于其快速的传播能力和破坏性,网络蠕虫已经对网络信息安全造成了很大的冲击。网络信息安全是当前研究的热点和未来发展的方向,研究网络蠕虫的传播模型,揭示其传播规律,对研究网络蠕虫的检测技术,制定可行有效的防御策略,具有十分重要的理论意义和应用价值。本文对网络蠕虫的传播模型及入侵检测技术进行了广泛的研究,取得的研究成果主要有:1.为了研究蠕虫爆发的周期性和流行结局,提出了一个蠕虫传播的微分模型。通过分析该模型,从理论上解释了蠕虫的爆发不具有周期性;还求出了该模型的奇点,通过其线性近似系统确定了奇点的类型,得到其相图。从相图可以判断蠕虫的流行趋势和流行结局,并给出了蠕虫的流行区域、缓冲区域和扑灭区域的范围。最后给出了控制蠕虫传播的新思路,即通过调整网络参数,改变奇点的类型从而改变各区域的范围,达到控制蠕虫传播的目的。2.考虑到互联网上的移动存储设备容易成为传播通道,提出了具有临时免疫的移动存储设备的网络蠕虫传播模型。理论分析给出了蠕虫灭绝的阈值——基本再生数,借助于基本再生数,分别得到了模型的两个平衡点:无蠕虫平衡点和地方病平衡点,并分别证明了无蠕虫平衡点和地方病平衡点的局部稳定性。3.为了研究各状态到达恢复状态的平均时间,在流行病学模型的基础上提出了蠕虫传播的随机模型。首先,把蠕虫传播的微分方程写成状态方程,进而转化成Markov链。通过Markov链的状态空间分解,求出各种状态的转移概率、持续时间和到达恢复状态的平均时间等,其中转移到恢复状态的平均时间,提示了防御蠕虫的最佳时机。4.针对主机从被感染到具有感染能力之间存在时间延迟情况,提出了具有延时的蠕虫传播模型,并分析了模型的动态特性,给出了临界值的计算方法。借助于基本再生数,研究了无疾病平衡点和地方病平衡点的稳定性。理论分析表明,当延迟时间小于临界值时,系统处于稳定状态,这是防御蠕虫持续传播的最佳时机;当延迟时间超过临界值时,系统出现振荡,变得不稳定,这给防御工作带来了困难。仿真结果表明模型具有一定的有效性。5.针对入侵检测过程中数据包负载特征维数较高的问题,提出了基于特征维数约简的多层入侵检测方法。设计了一个简单的分类器,比较、分析了不同维数约简算法的性能。提出的多层入侵检测方法由三部分组成:特征产生、特征约简和决策。即利用n-gram文本分类器把网络数据包负载转化为一个256维的特征向量,然后用极大似然方法估计特征的本征维数,再用拉普拉斯特征映射方法进行维数约简。通过比较测试网络流量与正常网络流量属性的Mahalanobis距离进行攻击检测。实验结果表明,提出的方法具有较好的检测性能。6.针对入侵检测过程中三角形面积方法丢失部分特征间相关性信息的问题,提出了一个用多项式表示特征间相关性信息的方法。在提出的检测方法中,用多项式表示特征间相关性,用Mahalanobis距离分类正常流量和异常流量。多项式方法能简单直观地表示流量特征间的相关性,且多项式的选择灵活。实验结果表明,和三角形面积方法相比,该方法能取得较好的检测性能。