利用網(wǎng)絡(luò)連接圖刻畫網(wǎng)絡(luò)流的連接關(guān)系,提出了級(jí)聯(lián)模體發(fā)現(xiàn)算法以挖掘網(wǎng)絡(luò)蠕蟲的連接模式;仿真實(shí)驗(yàn)表明,該方法無論是面對(duì)已知蠕蟲還是新型蠕蟲,都具有較高檢測(cè)率和低誤檢率,能夠較好地應(yīng)用于網(wǎng)絡(luò)蠕蟲檢測(cè)。 

【文章頁數(shù)】：5 頁

【部分圖文】：

交互圖、網(wǎng)絡(luò)流連接圖與模體圖示例

本文針對(duì)第2節(jié)所述蠕蟲傳播特征,提出了一種新的網(wǎng)絡(luò)蠕蟲檢測(cè)方法:采用網(wǎng)絡(luò)模體的方式刻畫網(wǎng)絡(luò)主機(jī)的流連接行為。目標(biāo)發(fā)現(xiàn)階段和傳播階段不同的一對(duì)多連接模式采用不同模體描述,多個(gè)級(jí)聯(lián)的模體描述蠕蟲生命周期的階段級(jí)聯(lián)關(guān)系。為了實(shí)現(xiàn)對(duì)蠕蟲攻擊流行為的不同尺度分解,我們?cè)O(shè)計(jì)了一種級(jí)聯(lián)模體發(fā)現(xiàn)(CMD,Cascading Motif Discovery)算法,如圖2所示。該算法由掃描階段模體發(fā)現(xiàn)(SMD,Scanning Motif Discovery)和傳播階段模體檢測(cè)(TMD,Transferring Motif Detection)階段構(gòu)成:SMD階段用于發(fā)現(xiàn)網(wǎng)絡(luò)蠕蟲初始階段的掃描應(yīng)用流行為;受到網(wǎng)絡(luò)蠕蟲傳播影響的目標(biāo)主機(jī)的流連接行為,由于是由同種原因引起的,因而具有相似性,TMD階段用于檢測(cè)網(wǎng)絡(luò)蠕蟲傳播階段的相似傳輸行為。

4.2.1 TCP網(wǎng)絡(luò)蠕蟲仿真實(shí)驗(yàn)TCP蠕蟲仿真實(shí)驗(yàn)中最初包含一個(gè)被感染的主機(jī)作為攻擊者,然后啟動(dòng)TCP端口135上的掃描行為,以找到下一步的易受攻擊的主機(jī),一旦發(fā)現(xiàn)了易受攻擊的主機(jī),則將來自攻擊者節(jié)點(diǎn)的惡意代碼傳輸給目標(biāo)受害者主機(jī)。在第一階段,攻擊者節(jié)點(diǎn)總共掃描了8臺(tái)主機(jī),并成功地感染了其中4臺(tái)主機(jī),如圖3所示的TCP蠕蟲場(chǎng)景的受感染主機(jī)拓?fù)浣Y(jié)構(gòu)。接下來,4個(gè)蠕蟲感染主機(jī)分別在TCP端口135上搜索其他主機(jī),感染成功率為40%～60%,然后繼續(xù)重復(fù)這一步驟。整個(gè)數(shù)據(jù)集由7 150個(gè)行數(shù)據(jù)包(包括正常流和蠕蟲流)組成,它們是從模擬器日志文件中提取的,總共聚合為5 152條流。仿真實(shí)驗(yàn)?zāi)軌驒z測(cè)得到基于級(jí)聯(lián)模體發(fā)現(xiàn)檢測(cè)算法在不同網(wǎng)絡(luò)流組中檢測(cè)得到的全部受感染IP地址,并且可以能夠簡(jiǎn)單展現(xiàn)蠕蟲傳播不斷擴(kuò)散的情況。

【參考文獻(xiàn)】：
期刊論文
[1]基于模體的復(fù)雜網(wǎng)絡(luò)測(cè)度量研究[J]. 韓華,劉婉璐,吳翎燕.  物理學(xué)報(bào). 2013(16)



本文編號(hào)：3652106