网络仿真环境下一种新的网络蠕虫检测方法
发布时间:2022-05-08 17:53
利用网络连接图刻画网络流的连接关系,提出了级联模体发现算法以挖掘网络蠕虫的连接模式;仿真实验表明,该方法无论是面对已知蠕虫还是新型蠕虫,都具有较高检测率和低误检率,能够较好地应用于网络蠕虫检测。
【文章页数】:5 页
【部分图文】:
交互图、网络流连接图与模体图示例
本文针对第2节所述蠕虫传播特征,提出了一种新的网络蠕虫检测方法:采用网络模体的方式刻画网络主机的流连接行为。目标发现阶段和传播阶段不同的一对多连接模式采用不同模体描述,多个级联的模体描述蠕虫生命周期的阶段级联关系。为了实现对蠕虫攻击流行为的不同尺度分解,我们设计了一种级联模体发现(CMD,Cascading Motif Discovery)算法,如图2所示。该算法由扫描阶段模体发现(SMD,Scanning Motif Discovery)和传播阶段模体检测(TMD,Transferring Motif Detection)阶段构成:SMD阶段用于发现网络蠕虫初始阶段的扫描应用流行为;受到网络蠕虫传播影响的目标主机的流连接行为,由于是由同种原因引起的,因而具有相似性,TMD阶段用于检测网络蠕虫传播阶段的相似传输行为。
4.2.1 TCP网络蠕虫仿真实验TCP蠕虫仿真实验中最初包含一个被感染的主机作为攻击者,然后启动TCP端口135上的扫描行为,以找到下一步的易受攻击的主机,一旦发现了易受攻击的主机,则将来自攻击者节点的恶意代码传输给目标受害者主机。在第一阶段,攻击者节点总共扫描了8台主机,并成功地感染了其中4台主机,如图3所示的TCP蠕虫场景的受感染主机拓扑结构。接下来,4个蠕虫感染主机分别在TCP端口135上搜索其他主机,感染成功率为40%~60%,然后继续重复这一步骤。整个数据集由7 150个行数据包(包括正常流和蠕虫流)组成,它们是从模拟器日志文件中提取的,总共聚合为5 152条流。仿真实验能够检测得到基于级联模体发现检测算法在不同网络流组中检测得到的全部受感染IP地址,并且可以能够简单展现蠕虫传播不断扩散的情况。
【参考文献】:
期刊论文
[1]基于模体的复杂网络测度量研究[J]. 韩华,刘婉璐,吴翎燕. 物理学报. 2013(16)
本文编号:3652106
【文章页数】:5 页
【部分图文】:
交互图、网络流连接图与模体图示例
本文针对第2节所述蠕虫传播特征,提出了一种新的网络蠕虫检测方法:采用网络模体的方式刻画网络主机的流连接行为。目标发现阶段和传播阶段不同的一对多连接模式采用不同模体描述,多个级联的模体描述蠕虫生命周期的阶段级联关系。为了实现对蠕虫攻击流行为的不同尺度分解,我们设计了一种级联模体发现(CMD,Cascading Motif Discovery)算法,如图2所示。该算法由扫描阶段模体发现(SMD,Scanning Motif Discovery)和传播阶段模体检测(TMD,Transferring Motif Detection)阶段构成:SMD阶段用于发现网络蠕虫初始阶段的扫描应用流行为;受到网络蠕虫传播影响的目标主机的流连接行为,由于是由同种原因引起的,因而具有相似性,TMD阶段用于检测网络蠕虫传播阶段的相似传输行为。
4.2.1 TCP网络蠕虫仿真实验TCP蠕虫仿真实验中最初包含一个被感染的主机作为攻击者,然后启动TCP端口135上的扫描行为,以找到下一步的易受攻击的主机,一旦发现了易受攻击的主机,则将来自攻击者节点的恶意代码传输给目标受害者主机。在第一阶段,攻击者节点总共扫描了8台主机,并成功地感染了其中4台主机,如图3所示的TCP蠕虫场景的受感染主机拓扑结构。接下来,4个蠕虫感染主机分别在TCP端口135上搜索其他主机,感染成功率为40%~60%,然后继续重复这一步骤。整个数据集由7 150个行数据包(包括正常流和蠕虫流)组成,它们是从模拟器日志文件中提取的,总共聚合为5 152条流。仿真实验能够检测得到基于级联模体发现检测算法在不同网络流组中检测得到的全部受感染IP地址,并且可以能够简单展现蠕虫传播不断扩散的情况。
【参考文献】:
期刊论文
[1]基于模体的复杂网络测度量研究[J]. 韩华,刘婉璐,吴翎燕. 物理学报. 2013(16)
本文编号:3652106
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3652106.html
