论文摘要
随着网络互联程度的扩大,Internet得到了飞速的发展,成为信息交换的主要手段。但与此同时,Internet所面临的安全问题也变得日益突出。在各种网络攻击手段中,网络蠕虫以其巨大的破坏作用和方兴未艾的发展势头,已经对Internet的安全性、可用性构成了严重威胁。以上述内容为课题背景,本文提出了基于攻击树模型的蠕虫攻击检测方法,要点如下: 1.网络通信模型。本文提出的网络通信模型将Internet上的网络通信映射为网络连接拓扑图,它是一个赋权有向图,网络上的通信主机映射为图中的结点,主机之间的通信活动映射为图中结点之间的有向边,通信过程中的各种属性,如源/目的结点、源/目的端口、协议类型等映射为图中边上的权值。通过上述映射,网络通信模型能够反映Internet上的网络通信情况以及它们之间的各种关联,所以可利用网络通信模型对各种网络事件进行分析。 2.蠕虫的攻击树模型。在网络通信模型的基础上,进一步结合蠕虫传播的特征,本文提出了蠕虫的攻击树模型。攻击树模型将蠕虫在Internet上的传播路径映射为蠕虫传播路径图,它是一个赋权有向树,对应于网络连接拓扑图中的一个子图,是网络通信模型在蠕虫攻击这个具体问题上的细化。该模型准确地描述了蠕虫攻击在传播过程中的本质特征。 3.利用攻击树模型对蠕虫攻击进行检测。因为蠕虫的传播是通过网络连接进行的,而其传播路径又与攻击树模型相符,所以当爆发蠕虫攻击时,在网络连接拓扑图中必然能够发现具有攻击树模型特征的子图。基于攻击树模型的蠕虫攻击检测方法,将蠕虫攻击检测问题抽象转化为在网络连接拓扑图中查找符合攻击树模型特征的子图问题,并通过对网络连接拓扑图进行DFS遍历来解决。 基于攻击树模型的蠕虫攻击检测方法,具有检测效率高、虚警\漏警率低、可以追查攻击源等优点,能够适应于目前高述发展的宽带网络环境,有效地对蠕虫攻击进行检测,并且对于其他网络攻击的检测工作,也有一定的启发作用。