论文摘要：Zero-day攻击多态蠕虫检测模型研究

网络蠕虫的最大特点就是利用各种漏洞进行自动传播，与一般病毒相比，其传播速度更快、破坏性更强、清除难度更大，因此，网络蠕虫已经成为互联网安全的最大威胁之一。Zero-day攻击多态蠕虫由于采用“多态”技术并以Zero-day漏洞为攻击目标，可在短时间内有效地避开检测系统。如何有效地检测Zero-day攻击多态蠕虫并快速提取其特征，已经成为网络安全领域研究的热点。
本文在研究Zero-day攻击多态蠕虫攻击行为的基础上，分析现有入侵检测系统的优势与不足，提出了Zero-day攻击多态蠕虫的检测模型。该模型首先采用Argos系统捕获可疑流量，接着对捕获的可疑流量采用Bayes方法进行过滤，并设计特征提取系统提取出攻击特征码。本文最后讨论了特征提取算法，设计了实现该模型的原型系统，并通过实验验证了该模型的有效性。
本文完成的主要工作：
(1)研究了蠕虫的相关知识、Zero-day漏洞、Zero-day攻击原理、代码混淆技术和多态shellcode技术等，分析了现有检测技术的优势与不足。
(2) 本文提出的模型是基于模拟执行的自动检测系统。检测采用Dynamic Taint Analysis思想，并使用Bayes方法对Argos捕获的可疑流量进行过滤，降低了系统的误报率。
(3) 实现了一个原型系统，该系统把基于动态模拟执行和静态特征提取的检测方法相结合，实现自动提取Zero-day攻击多态蠕虫特征，并对其漏报率、误报率进行有效性验证。
(4) 通过实验对模型的可行性和有效性进行验证。

来源：半壳优胜育转载请保留出处和链接！

本文链接：http://87cpy.com/246671.html