• 中国计算机学会会刊
  • 中国科技核心期刊
  • 中文核心期刊

J4 ›› 2011, Vol. 33 ›› Issue (4): 19-24.doi: 10.3969/j.issn.1007130X.2011.

• 论文 • 上一篇    下一篇

一种基于进程流量行为的蠕虫检测系统

肖枫涛1,王维2,刘波1,陈新1   

  1. (1.国防科学技术大学计算机学院,湖南 长沙 410073;2.福州61198部队,福建 福州 350003)
  • 收稿日期:2009-03-02 修回日期:2009-06-23 出版日期:2011-04-25 发布日期:2011-04-25
  • 作者简介:肖枫涛(1981),男,河南沁阳人,博士生,研究方向为网络与信息安全。王维(1972),女,湖南浏阳人,工程师,研究方向为网络与信息安全。刘波(1973),男,江西九江人,博士生,副研究员,研究方向为网络与信息安全。陈新(1981),男,江西景德镇人,博士生,研究方向为网络与信息安全。
  • 基金资助:

    福建省高校重点实验室开放课题(07A004);国家自然科学基金资助项目(60573136);国家863计划资助项目(2006AA01Z401)

A Worm Dectection System Based on Process Traffic Behaviors

XIAO Fengtao1,WANG Wei2,LIU Bo1,CHEN Xin1   

  1. (1.School of Computer Science,National University of Defense Technology,Changsha 410073;
    2.Corps 61198,Fuzhou 350003,China)
  • Received:2009-03-02 Revised:2009-06-23 Online:2011-04-25 Published:2011-04-25

PDF

348

摘要:

随着蠕虫传播速度的不断加快,所造成的威胁也越来越大。为快速检测蠕虫,本文描述了和蠕虫相关的三种重要的进程流量行为:类蠕虫流量中源端口总数、类蠕虫进程流量中源端口的变化频率以及进程流量中类蠕虫流量占总进程流量的总数。基于这三种行为,本文提出了一种基于进程流量行为的蠕虫检测系统,同时介绍了该系统的相关定义、框架设计和关键实现。最后,采用真实程序进行了实验,结果表明该系统可以快速准确地检测蠕虫,并具有较小的误报率。

关键词: 蠕虫检测, 进程流量行为, 蠕虫行为, 行为检测

Abstract:

With the propagation speed getting faster and faster, the damages caused by worms are getting more and more serious. To detect worms quickly, three wormrelated process traffic behaviors are described: the total amount of source port in wormlike traffic, the change frequency of source port in wormlike traffic and the ratio of wormlike traffic and total traffic for a single process. And based on the three behaviors, a worm detection system based on process traffic behaviors is presented and its definitions, framework design and key implementation are also introduced. Finally, through experimenting with the worms and normal applications in the real world, the system is proved to be able to detect worms quickly and correctly, and has only few false positives.

Key words: 蠕虫检测;进程流量行为;蠕虫行为;行为检测

湘公网安备 43010502000083号

湘ICP备10006030号

版权所有 © 《计算机工程与科学》 编辑部

地址:中国湖南省长沙市开福区德雅路109号(410073) 电话:0731-87002567 Email: jsjgcykx@vip.163.com

本系统由北京玛格泰克科技发展有限公司设计开发 技术支持:support@magtech.com.cn