1/17
文档分类:医学/心理学

基于相似度分析蠕虫检测算法.doc


下载后只包含 1 个 DOC 格式的文档,没有任何的图纸或源代码,查看文件列表

特别说明:文档预览什么样,下载就是什么样。

下载所得到的文件列表
基于相似度分析蠕虫检测算法.doc
文档介绍:
基于相似度分析的蠕虫检测算法
基于相似度分析的蠕虫检测算法 第39卷第5期
2011年5月
华南理工大学(自然科学版)
JournalofSouthChinaUniversityofTechnology
(NaturalScienceEdition)
VO1.39NO.5
MIdv2011
文章编号:1000-565X(2011)05—0073-05
基于相似度分析的蠕虫检测算法术
黄智勇周建林陈新龙石幸利
重庆400044;2.重庆科技学院,重庆401331) (1.重庆大学通信工程学院,
摘要:近年来,蠕虫逐渐成为一种主要的网络威胁.文中针对现有蠕虫检测算法误检率
高的问题,提出了一种基于相似度分析的蠕虫检测算法.该算法通过分析异常数据序列与
蠕虫行为特征之间的相似性,实现对基本累计异常行为特征检测算法的优化;同时,考虑
到复杂的网络环境,利用卡尔曼滤波器的预测功能实现对检测阈值的动态调整.仿真结果
表明,与基本累计异常行为特征检测算法相比,文中算法能够有效地降低误检率,提高检
测的精度.

关键词:蠕虫;检测;相似度;阈值;卡尔曼滤波器
中图分类号:TP393.08doi:10.3969/j.issn.1000-565X.2011.05.013
网络蠕虫作为恶意软件的一种,在恶意软件传
播中起着重要的作用.随着互联网应用的发展,网络
蠕虫对计算机系统安全和网络安全的威胁日益增加, 网络蠕虫的检测技术也成为当前研究的热点之一. 蠕虫传播经常采用扫描主机漏洞的方法J,如 着名的CodeRed蠕虫J.针对蠕虫的扫描特性,文 献[3—4]提出了基于累计异常行为特征的检测算 法:当单个节点累计异常数据流量达到设定阈值时, 判定该节点为异常节点.该算法采用了阈值判断的 方法,有两个参数需要人为设定:时间窗口和阈 值Cl4曲J.而这两个参数无法预先获得,参数的设定 直接影响检测的精度.文献[7]采用一种动态时间 窗口的方法解决了固定时间窗口引起的检测误 差,该方法仍然采用固定阈值c,而阈值c的取值会 改变异常数据序列估计所占比例,容易出现较大的 误检率;文献[8]采用了递归的方法对阈值c实现 动态调整以减小误检率,但该方法没有考虑具体的 数据序列特征,特别是针对一些瞬时异常现象(如 邮件群发).为了提高算法检测精度,受文献[9]提 出的相同类型的蠕虫传播过程具有一定相似性的启 发,本研究在基本累计异常行为特征检测算法的基 础上进行改进,提出了一种基于相似度分析的蠕虫 累计异常行为特征检测算法.

1基于相似度分析的检测算法模型
1.1功能模块
本研究提出的基于相似度分析的检测系统功能 模块如图1所示,特征检测模块通过比较异常数据 序列行为特征与蠕虫异常扫描行为特征的相似度, 实现对异常数据序列特征提取的优化;动态阈值调 ………………一…一………___………一 基于相似度优化的特征检测模块
原始数据
.
垡动态阈值调整后验估计反馈
图1系统功能模块
Fig.1Systemfunctionalmodule 收稿日期:2010.11.23
基金项目:国家自然科学基金资助项目(61001157,61003246);重庆市自然科学基金
资助项目(CSTC.2010BB2242);重庆市
教委科学技术研究项目(KJ101403);重庆大学中央高校基本科研业务费资助项目
(CDJRC10160010)
作者简介:黄智勇(1978一),男,博士,主要从事计算机网络安全研
究.E-mail:hzy. 74华南理工大学(自然科学版)第39卷
整模块利用卡尔曼滤波器的预测功能实现对于阈值 的动态预测,同时将预测结果作为参数反馈给相似 度优化模块.
1.2相似度优化原则
相似度计算的目的是检验出现了异常状态的数 据序列为真正异常数据序列的可能性,计算结果以 概率值的形式体现.本研究提出的相似度计算方法 如图2所示:分别对原始数据序列和异常数据序列 进行特征分析,比较两者相似性,利用相似度计算的 概率值对基本累计异常行为特征检测算法进行优 化,达到减小系统误检率的目的.

异常数据检测算法
原始数据序列[==言竺兰
正常数据序列估计l特征分析









图2相似度优化结构图
Fig.2Architectureofoptimizationwithsimilarity
为了描述相似度计算原则,本研究做以下两点 假设.
(1)网络中的数据序列由正常数据序列和异常 数据序列构成.对两者分别进行特征分析:?如果 异常网络数据序列占的
内容来自淘豆网www.taodocs.com转载请标明出处.