基于本地网络的蠕虫检测定位算法

青岛科技大学业设计（论文）专科毕蠕虫病毒的检测和防御研究__________________________________指导教师__________________________学生姓名__________________________学生学号__________________________院（部）____________________________专业________________班_________________________________年 ___月 ___日蠕虫病毒的检测和防御研究摘要随着网络技术的发展，蠕虫病毒不断扩大对网络安全构成了严重的威胁，本文基于当前蠕虫攻击破坏的严峻形势，对蠕虫病毒的检测和防御技术进行了研究。

首先对蠕虫病毒相关知识作了介绍，包括蠕虫病毒的定义、工作流程以及行为特征，并简要分析了蠕虫病毒国内外研究现状；在此基础上接着研究了蠕虫病毒检测技术，提出了基于蠕虫特征码、蠕虫行为特征、蜜罐和蜜网技术以及贝叶斯蠕虫检测技术；最后对蠕虫病毒的防御技术进行了研究，从企业网络用户和个人用户的角度分析了面对当前蠕虫攻击所需要注意和采取的措施，以尽最大可能减少蠕虫的侵害，营造一个良好的网络环境。

关键词：蠕虫病毒；检测；防御；网络安全目录前言 (1)1蠕虫病毒相关知识介绍 (2)1.1蠕虫病毒定义 (2)1.2蠕虫病毒工作流程和行为特征 (2)1.3蠕虫病毒国内外研究现状 (4)2蠕虫病毒检测技术研究 (5)2.1基于蠕虫特征码的检测技术 (5)2.2基于蠕虫行为特征的检测技术 (5)2.3基于蜜罐和蜜网的检测技术 (6)2.4基于贝叶斯的网络蠕虫检测技术 (6)3蠕虫病毒防御技术研究 (8)3.1企业防范蠕虫病毒措施 (8)3.2个人用户防范蠕虫病毒措施 (9)4总结 (10)致谢 (11)参考文献 (12)前言随着网络技术的发展，人类社会正逐步进入到数字化时代，计算机已经应用到日常生活各个领域，人们在享受到网络便捷服务的同时，各种安全问题也随之出现。

网络蠕虫检测系统的设计和实现钱旭顾巍陈凌晖丁晓峰(北京文献服务处北京100036)【摘要】设计一种面向实际应用的网络蠕虫检测系统,并初步实现原型系统。

该系统采用分布式架构,主要针对局域网内的未知蠕虫进行实时监控,通过分析网络数据流量,提取蠕虫传播过程中的普遍特征,预测未知蠕虫在网内大规模爆发的趋势。

该蠕虫检测系统可作为网络安全体系的重要组成部分,保障本地网络系统的稳定、安全运行。

【关键词】网络蠕虫分布式架构异常检测【分类号】TP309. 5D esign and Applica tion of Network W orm D etection SystemQ ian Xu Gu W e i Chen L inghu i D ing X iaofeng(B eijing Docum ent Service, B eijing 100036, China)【Abstract】The app lication system fo r netwo rk wo rm detecting is designed, as well the p rototype is constructed. The distributed structure is adop t ed to monitor the unknown wo r m s at real - tim e, analyse the network stream ,bring up the signature of wo r m sp reading to identify that the unknown wo r m s erup t in local network. The wo r m detection system could be app lied as a significant aspect of network security architecture to secure the local network system.【Keywords】Netwo rk wo rm D istributed structure Anom aly detection1 引言随着网络蠕虫技术的发展, 网络蠕虫可能成为今后网络系统面临的最大安全威胁之一。

蠕虫病毒—恶意软件分析姓名：冯鑫苑班级：计算机应用专业1021 学号：2010284112一、蠕虫病毒1.蠕虫（Worm）病毒定义：蠕虫病毒是一种常见的计算机病毒。

它的传染机理是利用网络进行复制和传播，传染途径是通过网络、电子邮件以及U盘、移动硬盘等移动存储设备。

比如2006年以来危害极大的“熊猫烧香”病毒就是蠕虫病毒的一种。

蠕虫程序主要利用系统漏洞进行传播。

它通过网络、电子邮件和其它的传播方式，象生物蠕虫一样从一台计算机传染到另一台计算机。

因为蠕虫使用多种方式进行传播，所以蠕虫程序的传播速度是非常大的。

蠕虫侵入一台计算机后，首先获取其他计算机的IP地址，然后将自身副本发送给这些计算机.蠕虫病毒也使用存储在染毒计算机上的邮件客户端地址簿里的地址来传播程序。

虽然有的蠕虫程序也在被感染的计算机中生成文件，但一般情况下，蠕虫程序只占用内存资源而不占用其它资源。

蠕虫还会蚕食并破坏系统，最终使整个系统瘫痪。

2.蠕虫病毒入侵模式：蠕虫病毒由两部分组成：一个主程序和一个引导程序。

主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息蠕虫病毒的入侵模式。

它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。

随后，它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。

蠕虫病毒程序常驻于一台或多台机器中，并有自动重新定位。

(autoRelocation)的能力。

如果它检测到网络中的某台机器未被占用，它就把自身的一个拷贝（一个程序段）发送给那台机器。

每个程序段都能把自身的拷贝重新定位于另一台机器中，并且能识别它占用的哪台机器。

二、对蠕虫病毒进行恶意软件分析1.ClamAV对蠕虫病毒进行分析Clam AntiVirus是一个类UNIX系统上使用的反病毒软件包。

主要应用于邮件服务器，采用多线程后台操作，可以自动升级病毒库。

分析过程：clam av 引擎流程图:clam av没有明确的引擎代码部分，这里以scanmanager函数为开始只画出clamav 整个检测流程。

蠕虫检测方法的分析与应用的开题报告一、选题背景及意义随着计算机技术的飞速发展，计算机病毒与蠕虫的威胁也在不断增加。

然而蠕虫相较于传统的计算机病毒不同，蠕虫不需要用户的干预，它可以自己在网络上寻找其他能够感染的计算机，并进行自我复制和传播。

为了保证网络安全，需要对网络中的蠕虫进行检测和防范。

由于蠕虫具有灵活性和多样性，传统的防御手段如杀毒软件和防火墙等已经不能很好地应对，因此研究蠕虫检测方法成为了网络安全领域的一个热点问题。

本课题旨在探讨和分析现有的蠕虫检测方法，并在此基础上设计一种有效的蠕虫检测方法，提高网络的安全性。

二、研究目标1. 了解蠕虫检测方法的相关理论和技术，对现有的蠕虫检测方法进行分析和总结；2. 针对现有的蠕虫检测方法存在的不足之处，提出一种基于深度学习的蠕虫检测方法，并与其他方法进行比较分析；3. 实现所提出的深度学习方法，并对其进行测试和评估，验证其检测效果和性能优势。

三、研究内容及方法本课题的研究内容主要包括：1. 蠕虫检测方法的理论及技术研究。

调研网络蠕虫的特性和传播方式，掌握传统的蠕虫检测方法，并对现有技术进行分析和总结；2. 基于深度学习的蠕虫检测方法的设计。

设计并实现一种基于深度学习的蠕虫检测方法，比较其与其他方法的检测效果；3. 实验性能评估。

通过实现所设计的检测方法，并在公开数据集上进行测试，评估其检测效果和性能优势。

四、预期成果完成本课题的研究，将会获得以下预期成果：1. 对蠕虫的检测方法进行全面深入的了解和掌握；2. 提出一种基于深度学习的蠕虫检测方法，并验证其检测效果和性能优势；3. 实践和应用检测方法，提高网络安全性。

五、进度安排本课题的研究时间为一年，进度安排如下：1. 前期调研与文献综述（1-2个月）。

2. 蠕虫检测方法的研究与分析（2-3个月）。

3. 蠕虫检测方法的设计与实现（3-6个月）。

4. 实验性能评估与成果总结（6-9个月）。

5. 论文撰写、修改和投稿（9-12个月）。

四种在局域网中最常见的蠕虫病毒攻击快速诊断和解决方法冲击波/震荡波病毒、SQL蠕虫、伪造源地址DDoS攻击、ARP欺骗，是在宽带接入的网吧、企业、小区局域网内最常见的蠕虫病毒攻击形式。

这几种病毒发作时，非常消耗局域网和接入设备的资源，造用户上网变得很慢或者不能上网。

下面就来介绍一下，怎样在HiPER安全网关内快速诊断局域网内电脑感染了这些蠕虫病毒，以及怎样设置安全策略防止这些这些病毒对用户上网造成影响。

1.冲击波/震荡波病毒【故障现象】感染此类病毒的计算机和网络的共同点：1、不断重新启动计算机或者莫名其妙的死机；2、大量消耗系统资源，导致windows操作系统速度极慢；3、中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成DoS拒绝服务攻击。

造成局域网内所有人网速变慢直至无法上网。

局域网的主机在感染冲击波、震荡波及其变种病毒之后，会向外部网络发出大量的数据包，以查找其他开放了这些端口的主机进行传播，常见的端口有：TCP 135端口（常见）；TCP 139端口（常见）；TCP 445端口（常见）；TCP 1025端口（常见）；TCP 4444端口；TCP 5554端口；TCP 9996端口；UDP 69端口… …【快速查找】在WebUI上网监控页面，查询当前全部上网记录，可以看到感染冲击波病毒的主机发出的大量NAT会话，特征如下：1、协议为TCP，外网端口为135/139/445/1025/4444/5554/9996等；2、会话中该主机有上传包，下载包往往很小或者为0。

【解决办法】1、将中病毒的主机从内网断开，杀毒，安装微软提供的相关Windows的补丁。

2、在安全网关上关闭该病毒向外发包的相关端口。

1） WebUI高级配置组管理，建立一个工作组“all”（可以自定义名称），包含整个网段的所有IP地址（192.168.0.1--192.168.0.254）。

基于sFlow技术的园区网蠕虫病毒侦测系统
李彭军;张海;郭文明
【期刊名称】《计算机工程与设计》
【年(卷),期】2007(28)2
【摘要】蠕虫病毒是网络的主要威胁之一.实时流量采集和分析对于快速侦测和定位已感染蠕虫病毒的计算机具有重要意义.常见的蠕虫病毒监测方法如IDS和Sniff 等,都存在难以全网监控、无法快速定位伪造IP地址的病毒源的缺点.分析了多种网络流量采集技术的优缺点,重点介绍了sFlow技术,并基于sFlow技术设计实现了一套园区网蠕虫病毒快速侦测系统.
【总页数】3页(P346-348)
【作者】李彭军;张海;郭文明
【作者单位】南方医科大学,网络中心,广东,广州,510515;南方医科大学,网络中心,广东,广州,510515;南方医科大学,网络中心,广东,广州,510515
【正文语种】中文
【中图分类】TP309.05
【相关文献】
1.基于网络流技术实现Intranet蠕虫快速侦测 [J], 李彭军;张海;郭文明
2.基于sFlow技术的网络流量监测系统研究 [J], 汪继东;林南晖;林兆启
3.基于混合式蜜罐系统的蠕虫病毒对抗模型的设计与实现 [J], 董辉明
4.基于病毒宏基因组技术侦测牡蛎体内病毒 [J], 黄晟;姜敬哲;王江勇;许新
5.基于病毒宏基因组技术侦测牡蛎体内病毒 [J], 黄晟;姜敬哲;王江勇;许新;
因版权原因，仅展示原文概要，查看原文内容请购买。

目录摘要 (2)Abstract (3)第一章蠕虫病毒概述及发展历史 (4)1.1蠕虫病毒概述及发展历史 (4)1.2网络蠕虫研究分析 (5)第二章蠕虫病毒原理 (7)2.1蠕虫病毒攻击原理 (7)2.2蠕虫病毒与一般病毒的异同 (8)第三章蠕虫病毒实例 (10)3.1蠕虫病毒造成的破坏 (10)3.2蠕虫病毒实例 (10)第四章蠕虫病毒的防范 (14)4.1蠕虫的特点及发展趋势 (14)4.2如何对蠕虫病毒攻击进行防范 (14)结束语 (16)致谢 (17)参考文献 (17)摘要随着互联网应用的深入，网络蠕虫对计算机系统安全和网络安全的威胁日益加剧。

特别是在网络环境下，多样化的传播途径和复杂的应用环境使蠕虫的发生频率增加，传播速度更快，覆盖面也更广。

蠕虫病毒侵入计算机网络，可以导致计算机网络的效率急剧下降，系统资源遭到严重破坏，短时间内造成网络系统的瘫痪。

为了将蠕虫病毒对计算机及网络设备、社会经济造成的损失降低到最低限度，提高网络的安全性能，减少不必要的经济损失，保障用户的个人资料及隐私安全，我们将对蠕虫病毒进行检测与防范。

本文主要针对蠕虫病毒的原理与传播、检测与防范等进行研究。

阐述网络安全现状、蠕虫病毒背景及发展历史等，通过蠕虫病毒的原理与传统病毒的区别，功能、工作机制等，对蠕虫病毒对网络安全的威胁，检测与防范做出了相对的研究。

关键词：网络安全；病毒原理；检测；防范AbstractAs the Internet application deeply, network worms to computer system security and network security threats aggravating. Especially in the network environment, diversified transmission way and complicated application environment makes worms the frequency increases, spread faster, coverage is more widely. Worm virus invades computer network, can cause the efficiency of computer network has dropped sharply system resources damaged caused inside short time network system of paralysis. In order to worm virus of computer and network equipment, social economic damage reduced to the minimum, improve the network safety performance and reduce unnecessary economic losses, protect a user's personal data and privacy and security, we will detect worm virus prevention.This article mainly aims at of worm virus principle and propagation, detection and prevention must be studied. Expounds the network security situation, worms background and development history, etc., through the principle of worm virus with traditional viruses distinction, function, working mechanism of worm virus of network security threats, detection and prevention made relative research.Keywords: network security; virus principle; detection; prevent第一章蠕虫病毒概述及发展历史1.1蠕虫病毒概述及发展历史凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。

变形蠕虫特征码自动提取算法研究近年来，随着互联网技术的发展，蠕虫病毒作为网络安全的重要威胁，网络安全研究工作者们越来越重视它，变形蠕虫的检测和防治工作尤其重要。

变形蠕虫的特征码是检测和鉴别变形蠕虫的重要依据，确定它们的有效性和准确性非常重要。

随着网络蠕虫病毒的发展，研究者不断创新技术来有效的抵御变形蠕虫的传播。

他们开发了一种变形蠕虫特征码自动提取算法，以准确地提取变形蠕虫特征码。

此算法主要通过以下四个步骤来运行：第一步是特征码发现阶段，即根据变形蠕虫特征码的属性，研究人员使用深度学习方法，从病毒样本中发现相关特征码。

第二步是分析特征码阶段，主要针对提取出的特征码进行细节分析，以获得特征码的完整结构。

第三步是特征码的修复阶段，这一步的目的是在提取的特征码中进行纠错，修复损坏的部分，从而保证特征码的准确性。

最后是构造检测规则阶段，即使用提取的特征码，建立变形蠕虫的检测规则，以实现有效的变形蠕虫检测和预警功能。

变形蠕虫特征码自动提取算法的应用，可使网络安全防护更加准确和有效，能够更好地阻止变形蠕虫的传播，达到网络安全的目的。

但是，该算法也存在一定的局限性，由于变形蠕虫的特征复杂多变，当变形蠕虫以极快的速度发展时，该算法就无法有效地发现新的变形蠕虫特征码，从而影响变形蠕虫特征码提取效果。

为克服这一算法的局限性，研究者们采取了一系列措施来提高算法性能，例如采用人工智能和深度学习技术来提取更准确有效的变形蠕虫特征码，采取大数据技术来收集和分析变形蠕虫特征码，并针对蠕虫变异特征进行分析来更好的预测蠕虫的变异特征。

总之，变形蠕虫特征码自动提取算法是网络安全防护工作的重要组成部分，它不仅可以有效抵御变形蠕虫的传播，而且可以对变形蠕虫的变异特征和传播趋势做出有效的预测，大大提高网络安全的稳定性。