基于網絡流量自相似性的蠕蟲攻擊檢測方法研究

0 引言

隨著網絡蠕蟲技術的發展與Internet應用的普及，網絡蠕蟲已成為當今網絡面臨的最大威脅。其多樣化的傳播途徑和復雜的應用環境使其發生頻率高、潛伏性強、覆蓋面廣、破壞巨大，預防并減小蠕蟲傳播所造成的破壞是當今網絡安全迫切需要解決的難題。蠕蟲的攻擊分為掃描與目標選擇、感染、傳播3個階段。如果在蠕蟲感染傳播前的第一階段能對其檢測到并發現其傳播的特征信息，對防止中后期網絡中由于蠕蟲蔓延造成嚴重破壞尤為關鍵和重要。本文提出一種基于Hurst參數的蠕蟲攻擊檢測方法，該方法采集網絡數據包并提取相應的TCP、ICMP流量特征，檢測被監控網絡的網絡流量自相似性。實驗結果表明該檢測方法對采用主動IP地址掃描方式傳播的未知類型蠕蟲攻擊行為具有較好的檢測效果。