网络蠕虫检测系统设计

合集下载

简单校园网蠕虫病毒报警系统的设计与实现

ＳｎｙＺｔｂ熊猫烧香及各种变种等蠕虫的大规模爆发，仅造成了难以估计的经济损失，且对整个互联网的正常运行造成严重ａｔ、ｏｏ、不而威胁ｌ ” 。随着蠕虫病毒的日益更新，已经从被动查找感染目标发展到现在的主动查找感染目标，种病毒的感染能力极大、它这感染速度极快，以在短时间内造成大规模爆发。当蠕虫病毒爆发时，可网络一般马上瘫痪；算机则表现出运算速度极慢、统资源被耗计系尽、机、死鼠标移动速度极慢、盘失灵、名其妙的计算机提示等等。键莫但是蠕虫病毒有一个重要的缺陷，爆发带有极显著的特征，网络流量急剧增加。针对这一点，了满足校园网管理中的实其即为
中图分类号：Ｐ９Ｔ３３文献标识码：Ａ文章编号：０９３４（０１１ — ２８０１０ — ０４２１）０２５ — ３
ＤｅｉｎａｄＩｐｅｅｔｔｏｆｈｉｐｅＣａｓｇｎｍｌｍｎａｉｎｏｅＳｍｌｍｐｓＮｅｗｏｋＷｏｍｒｓＡｌｒＳｓｅｔｕｔｒｒＶｉｕａｍｙｔｍ
ｈ￣：ｗｔ／ｗｗ．ｎｓｅ．ｎｐ／ｄｚ．ｔｎｃＴｈ８ — ５ｌ５９９３５９９４ｅ＋６５６０６６０６一

基于机器学习的恶意代码检测系统设计与实现

基于机器学习的恶意代码检测系统设计与实现随着互联网的不断发展和普及，计算机安全问题日益引起人们的重视。

恶意代码是目前网络安全领域中最为常见和严重的问题之一。

恶意代码具有隐蔽性强、危害性大、传播速度快等特点，给计算机系统和网络带来极大的威胁。

针对恶意代码的检测和防范已经成为计算机安全领域的重点研究方向之一。

本文将介绍一种基于机器学习的恶意代码检测系统的设计和实现。

1、恶意代码的分类与特征提取恶意代码是指一种能够破坏计算机系统或者网络安全的计算机程序。

从其实现的方式来看，恶意代码可以分为病毒、木马、蠕虫等不同类型。

其中，病毒是一种能够感染其他程序并且随着感染程序的传播而自我复制的恶意代码；木马是一种能够在用户不知情的情况下控制计算机的恶意代码；蠕虫是一种能够在网络中自我传播的恶意代码。

针对不同类型的恶意代码，我们需要对其进行不同特征的提取。

病毒的特征通常包括文件大小、文件头信息、代码结构等；木马的特征则包括端口、网络连接等；蠕虫的特征通常包括网络协议、数据包大小等。

通过对数据集中不同类型的恶意代码进行特征提取和分析，我们可以得到不同类型恶意代码的特征向量。

2、数据集的选择和处理在开发恶意代码检测系统时，我们需要选取一个规模较大且具有代表性的数据集来进行模型训练和测试。

目前，比较流行的恶意代码数据集包括VirusShare、MalwareShare等。

一般来说，选取数据集后需要对其进行基本的预处理，包括数据清洗、去重、标注等。

对于每个样本，我们需要给出其正确的分类标签。

对于恶意代码数据集，分类标签通常可以分为正常文件和恶意文件两类。

3、机器学习模型的选择和训练在进行恶意代码检测时，我们可以利用机器学习技术来训练模型。

目前常用的机器学习算法包括决策树、支持向量机、朴素贝叶斯、随机森林等。

模型训练的过程通常分为特征提取、特征选择、模型选择和参数调整等步骤。

在进行特征选择时，我们需要考虑到恶意代码的隐蔽性和变异性，采用合适的特征选择算法来优化模型的性能。

网络安全中的入侵检测系统设计与实现方法

网络安全中的入侵检测系统设计与实现方法在当今数字化时代，网络安全已经成为了一个至关重要的议题。

随着信息技术的快速发展和普及，网络安全问题也日益突出。

入侵检测系统作为网络安全的重要组成部分，起到了及时发现和防范网络攻击的关键作用。

本文将针对网络安全中的入侵检测系统设计与实现方法进行探讨。

入侵检测系统是一种主动监测网络流量并识别和检测异常行为的系统。

它通过分析网络流量中的数据包来判断是否存在入侵行为，并及时采取相应的措施进行预警或者阻止。

入侵检测系统的设计与实现方法主要包括网络流量监测、异常行为识别、模式匹配和预警等几个方面。

首先，网络流量监测是入侵检测系统的基础。

网络流量可以用交换机、路由器或者防火墙等设备进行监测。

通过监测网络流量，可以实时了解网络的状态、识别存在的威胁并采取相应的措施。

网络流量监测可以采用包级别监测或者流级别监测两种方法。

包级别监测是指对网络流量中的每个数据包进行分析和监测；而流级别监测是指将网络流量中的数据包进行组合并形成流，对流进行分析和监测。

包级别监测可以更细致地了解每个数据包的细节信息，而流级别监测可以更全面地了解网络流量的整体情况。

其次，异常行为识别是入侵检测系统的核心。

异常行为识别是通过比对网络流量的特征和预先定义的规则，来判断是否存在异常行为的过程。

异常行为可以是指网络中的病毒、木马、蠕虫等恶意代码的传播，也可以是指非法的登录行为、未授权的访问等违规操作。

异常行为识别可以采用基于规则的方法或者基于机器学习的方法。

基于规则的方法是定义一系列的规则和模式，当网络流量符合规则和模式时，即判定为异常行为。

基于机器学习的方法是通过训练一个机器学习模型来识别网络流量中的异常行为。

机器学习模型可以通过监督学习、无监督学习或者半监督学习等方法进行训练，并可以根据实际情况进行优化和更新。

另外，模式匹配是入侵检测系统的重要环节。

模式匹配是指将网络流量的特征与预先定义的模式进行比对和匹配的过程。

蠕虫检测系统的探讨与设计

连接的四元组ｆ源地址，源端１，２目的地址。１臼的
端口精息作为散列值，创建散列表。脚
Ｕ值相
及ＩＭＩＧ包都可实现对主机的扫描。ＣＰＰＮ良好的扫描策略能够加速蠕虫的传播，理想化的扫描策略能够使蠕虫在最短时间内发现网络中全部可以感染的主机。按照蠕虫对目标地址空间的选择方式进行分类，策略可分为：扫描随机扫描和顺序扫描等。２．１随机扫￣（ｎｏａ）ｉａｄｍｓｎｒｃ随机扫描会对整个地址空间的ＩＰ随机抽取进行扫描，所选的目标地址按照一定的算法随机生成，互联网地址空间中未分配的或者保留的地址块不在扫描之列。例如，ｏｏ列表中Ｂｇｎ包含近３个地址块，２这些地址块对网络中不可能出现的一些地址进行了标识。随机扫描具有算法简单、易实现的特点，与本地优先原则结若合，则能达到更好的传播效果。但选择性随机扫描容易引起网络阻塞，使得网络蠕虫在爆发之前易被发现，隐蔽性差。ＣｄＲｄＳａｐｒｏｅｅ，ｐｅ和ｌＳｍｅ的传播采用了选择性随机扫描策略。ｌｍｒａ２＿２顺序扫描（ｑｅｔｌｃｎｓｕｎａｓａ）ｅｉ顺序扫描是指被感染主机上蠕虫会随机选择—个ｃ网络地址进行传播。根据本地优先类原则，虫一般会选择它所在网络内的Ｉ蠕Ｐ地址。若蠕虫扫描的目标地址Ｉ为Ａ则扫描的下Ｐ，个地址ＩＡＩＰ为＋。一旦扫描到具有很多漏洞主机的网络时就会达到很好的传播效果。该策略的不足是对同一台主机可能重复扫描，引起网络拥塞。２ｌｔ是典型的顺序扫描蠕虫。Ｗ３．ａｅＢｓｒ３蠕虫检测系统的设计３．１网络报文还原技术在基于ＰＰ的分布式蠕虫检测系统中，２各节点采用旁路侦听的方式监控各自对应的边界网络，需要对出人该网络的所有网络报文进行报文还原，即进行ＩＰ分片重组和ＴＰ数据流还Ｃ原，才能进一步进行蠕虫的检测和分析。但是，随着网络规模的扩大、带宽的增长、术的进技步、用户数量的急剧暴涨，网络环境越来越高速多，当前旁路侦听遇到的—个突出问题是数据处理速度受到极大的挑战。所以，如何解决蠕虫检测系统的数据处理能力是急需解决的问题。３传统的单线程协议栈报文还原技术２ＷＤ的速度，采用可以唯一确定一个ＴＰＣ报文捕获就是将某个网络设备看到的数据应的Ｌ

简单校园网蠕虫病毒报警系统的设计与实现_鞠水

Computer Knowledge and Technology 电脑知识与技术本栏目责任编辑：冯蕾网络通讯及安全第7卷第10期(2011年4月)简单校园网蠕虫病毒报警系统的设计与实现鞠水，曲衍峰（河南理工大学，河南焦作454000）摘要：针对蠕虫病毒会引起网络流量急剧增加这一特征，开发了一个简单的基于流量分析的校园网蠕虫病毒报警系统，介绍了该系统的设计与实现过程。

关键词：蠕虫病毒；校园网；报警系统中图分类号：TP393文献标识码：A 文章编号：1009-3044(2011)10-2258-03Design and Implementation of the Simple Campus Network Worm Virus Alarm SystemJU Shui,QU Yan-feng,(Henan Polytechnic University,Jiaozuo 454000,China)Abstract:Aiming at the feature that worm virus may cause the rapid increase of the network traffic,a simple campus network worm virus alarm system based on traffic analysis is developed.The design and implementation of the system are introduced in the paper.Key words:worm virus;campus network;alarm system目前，多种病毒通过互联网大肆传播，其中蠕虫病毒是目前计算机病毒中危害最大、破坏能力最强的一种病毒。

它不仅攻击网络用户，导致本机系统崩溃，更严重的是会产生大量无用报文最终造成网络的拥塞直至瘫痪。

红色代码、蠕虫王、冲击波、震荡波、Santy 、Zotob 、熊猫烧香及各种变种等蠕虫的大规模爆发，不仅造成了难以估计的经济损失，而且对整个互联网的正常运行造成严重威胁[1]。

基于网络流量自相似性的蠕虫攻击检测方法研究

基于网络流量自相似性的蠕虫攻击检测方法研究代昆玉;胡滨;王翔【摘要】网络蠕虫攻击是一种危害巨大且难以防御的网络攻击方式.传统的基于特征匹配的蠕虫检测方法受限于对蠕虫特征值的提取,无法检测未知类型蠕虫的攻击.在此将表征网络流量自相性的Hurst参数应用到蠕虫攻击检测.通过时Hurst参数的变化来检测未知类型蠕虫的攻击.实验表明该方法能有效检测到网络中采用主动扫描方式传播的未知类型蠕虫攻击行为.%Internet worms attack is harmful and difficult to defend.The traditional detection method based on feature matching is not suitable for detecting the attack launched by unknown worms since it requires worms'feature extraction in advance.The Hurst parameter of network flow self-similarity is applied to the detection of worms attack.The attack of the unknown worms is detected by changing the Hurst parameter.Experimental result shows that unknown worms' attacks can be detected efficiently.【期刊名称】《现代电子技术》【年(卷),期】2011(034)004【总页数】3页(P113-115)【关键词】网络蠕虫;攻击检测;网络流量;自相似性【作者】代昆玉;胡滨;王翔【作者单位】贵州大学,计算机科学与信息学院,贵州,贵阳,550025;贵州大学,计算机科学与信息学院,贵州,贵阳,550025;贵州大学,计算机科学与信息学院,贵州,贵阳,550025【正文语种】中文【中图分类】TN919-340 引言随着网络蠕虫技术的发展与Internet应用的普及，网络蠕虫已成为当今网络面临的最大威胁。

基于校园网的入侵检测系统设计及选配

不强和管理制度不健全等因素，园网内部也潜校
、
校园网安全隐患分析
影响校园网安全的因素大致有：计算机病毒、
各种网络攻击和管理人员淡薄的安全意识等。
（）毒一病
根据中华人民共和国《病毒防止管理办法》规
定：一般所称的计算机病毒，指编制或者在计算是
把自身的一个拷贝发送给那台机器。蠕虫在一台
影响计算机使用，能自我复制的一组计算机指并令或者程序代码。但是如今的病毒传染力却越来
越强。随着不断地演进，网络蠕虫和病毒进一步
相对开放的校园网内，总会存在各种不同的安全隐患，问题是如何保证校园网的安全。
互竞李拓素
２０第（第１）０年１总１期１期１
基于校园网的入侵检测系统设计及选配
秦亮，廖剑华
（饶职业技术学院，西上饶３４０）上江３１９
［摘要］传统模式的校园网络安全依靠单一的网络防火墙来实现。随着网络技术的进步，一种基于防火
机器上只有一个蠕虫体，是它却能保证自己掌但
机程序中插入的破坏计算机功能或者毁坏数据，
握机器的控制权，并且在实际操作中很难被清除，
［作者简介］秦亮（９８）男，１７一，讲师；廖剑华（９２）男，１６一，副教授。
ｂｓｄｏｘｄｕｅｓｃｒｔｄｌｓｎｗｓｄｂｎａｐｓｎｔｒｓｎｔｉｐｐｒｏａｅｎｍｉｅ — ｓｅｕｉｍｏｅｏｕｅｙｍａｙｃｍｕｅｗｏｋ．Ｉｈｓａｅ，ｃｍｍｏｅｕｉｙｉｎｓｃｒ—

基于人工智能技术的轻量级网络入侵检测系统设计

现代电子技术Modern Electronics Technique2024年3月1日第47卷第5期Mar. 2024Vol. 47 No. 50 引言在网络日益发达的现在，网络入侵现象时有发生，给网络用户信息安全带来严重威胁。

网络入侵检测则是通过采集和分析网络信息，发现网络入侵的一种网络保护技术[1⁃2]，其主要功能是对网络和用户计算机系统进行实时监控，检测网络和用户计算机系统遭受的入侵行为并向用户发出告警。

但在网络日益发达，网络用户和设备激增的情况下，针对网络入侵检测过程中会出现漏警、延迟告警等现象，面对该情况[3]，研究轻量级网络入侵检测系统是该领域研究关注的重点。

现在也有很多基于人工智能技术的轻量级网络入侵检测系统设计董卫魏1，王曦2，钟昕辉3，冯世杰4，王美虹5（1.海南大学信息科学技术学院，海南海口 570100； 2.中国传媒大学信息与通信工程学院，北京 100024；3.重庆大学微电子与通信工程学院，重庆 400044； 4.华北电力大学计算机科学与技术学院，北京 100000；5.海南大学网络空间安全学院（密码学院），海南海口 570100）摘要：以提升网络入侵检测技术水平为目的，设计基于人工智能技术的轻量级网络入侵检测系统。

该系统数据采集层利用若干个用户探针连接IDS 检测服务器后，使用网络数据包捕获模块捕获用户网络运行数据，再通过传输层内防火墙、核心交换机和MQTT/CoAP 通信协议将用户网络运行数据发送到逻辑运算层内，该层利用数据预处理模块对用户网络运行数据进行去噪预处理后，将其输入到基于人工智能的网络入侵检测模块内，通过该模块输出轻量级网络入侵检测结果，然后将检测结果发送到展示层，通过入侵告警信息、数据可视化展示等模块实现人机交互。

实验表明：该系统运行较为稳定，可有效检测不同类型网络入侵的同时，其检测及时性和入侵告警能力较好，应用效果良好。

计算机网络安全中的防火墙与入侵检测系统设计

计算机网络安全中的防火墙与入侵检测系统设计概述随着计算机网络的快速发展和普及应用，网络安全问题变得日益严重。

为了保护网络系统免受各种威胁和攻击，防火墙和入侵检测系统成为必备的安全措施。

本文将介绍计算机网络安全中防火墙和入侵检测系统的设计原理和功能，并探讨如何结合二者来提高网络安全的效果。

防火墙的设计原理和功能防火墙是一种位于网络系统内部和外部之间的安全设备，能够监测、过滤并控制网络流量，以保护内部网络免受未经授权的访问和攻击。

防火墙的设计原理可以归纳为以下几个要点：1. 包过滤：防火墙基于设定的规则集对通过网络流量进行过滤，根据协议、目标/源地址、端口等信息决定是否允许通过。

只有符合规则的数据包才能进入或离开网络。

2. 地址转换：防火墙可以执行网络地址转换（NAT）的功能，将内部私有地址转换为外部可见的公有地址，以增加网络的安全性和隐私性。

3. 状态检测：防火墙可以跟踪网络连接的状态，并确保只有已建立的合法连接可以通过。

不法连接会被防火墙拦截，从而防止各种攻击。

4. VPN支持：防火墙可以支持虚拟私有网络（VPN）的建立，通过加密和认证技术来保护网络数据的安全传输。

入侵检测系统的设计原理和功能入侵检测系统（IDS）是一种监测网络和主机系统以及网络流量的安全设备，旨在检测和响应可能的入侵行为。

IDS的设计原理可以归纳为以下几个要点：1. 网络流量监测：IDS通过对网络流量进行分析和检查，发现异常活动和非法访问的特征。

它能够检测诸如拒绝服务攻击、端口扫描和恶意软件传播等网络攻击。

2. 主机系统监测：IDS还可以监测和分析主机系统的行为，检测到诸如病毒、蠕虫和木马等恶意软件的存在。

3. 行为模式检测：IDS通过学习和分析网络和主机系统的行为模式来检测入侵行为。

它可以识别网络流量模式的异常和主机系统行为的异常，从而提供对潜在入侵的早期警报。

4. 响应和报警：IDS可以采取多种方式响应和报警，如发送警报通知管理员、记录入侵活动、阻断入侵者的访问等。

基于机器学习的恶意软件检测系统设计毕业设计

基于机器学习的恶意软件检测系统设计毕业设计基于机器学习的恶意软件检测系统设计恶意软件（Malware）对计算机和网络系统构成了严重的威胁，因此恶意软件的检测和防护显得尤为重要。

随着机器学习技术的发展，基于机器学习的恶意软件检测系统逐渐成为主流解决方案。

本文将探讨基于机器学习的恶意软件检测系统的设计原理、关键技术和优势。

一、引言随着计算机技术和互联网的发展，恶意软件的数量和种类不断增加，给个人用户、企业和政府机构的信息安全带来了巨大威胁。

恶意软件主要包括计算机病毒、木马、蠕虫、间谍软件等，它们通过各种方式侵入计算机和网络系统，窃取用户敏感信息、破坏系统功能和暗中控制计算机设备。

传统的恶意软件检测方法往往基于特征匹配或规则匹配，无法适应恶意软件快速变异的特点，因此需要引入机器学习技术。

二、基于机器学习的恶意软件检测系统的原理基于机器学习的恶意软件检测系统的原理是通过机器学习算法对恶意软件样本进行分析和学习，构建分类模型，识别和检测未知的恶意软件样本。

其核心流程包括以下几个步骤：1）数据预处理：对恶意软件样本进行特征提取和数据清洗；2）特征选择：根据特征的重要性和相关性筛选出最具代表性的特征；3）模型构建：选择适当的机器学习算法构建分类模型；4）模型训练和评估：使用标记好的恶意软件样本对模型进行训练和评估；5）模型应用：对未知的恶意软件样本进行预测和检测。

三、基于机器学习的恶意软件检测系统的关键技术基于机器学习的恶意软件检测系统的设计离不开以下几个关键技术：1. 特征提取和选择：恶意软件样本通常具有众多不同的特征，如API调用序列、文件属性、字符串特征等。

在特征提取过程中，需要选择合适的特征表示方法，并通过相关性分析、信息增益等方法进行特征选择，以提高模型训练的效果和检测的准确性。

2. 分类算法选择：常用的分类算法包括朴素贝叶斯、支持向量机、神经网络、决策树等。

根据实际需求和数据特点，选择适合的分类算法进行模型构建和训练。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

网络蠕虫检测系统设计
摘要：以网络蠕虫为主要研究对象，分析了网络蠕虫的功能结构和传播流程，同时通过对IPv6环境下网络蠕虫传播的特殊性研究，建立了一个新型的网络蠕虫传播模型。

在此基础上，给出了一种基于指数熵的网络蠕虫检测方法和实验性研究方法，并对该方法进行了分析、推导以及检测。

关键词：网络蠕虫；IPv6；指数熵
0引言
IPv4协议存在很多问题，不能满足物联网对海量网络地址的需求，于是IETF制定了IPv6协议。

虽然IPv6协议在拥有更宽的地址空间及路由和安全等问题上有了很大改进，但是IPv6协议同样没有解决洪泛攻击、地址假冒、中间人（maninthemiddle）攻击、应用层攻击、报文偷看（Sniffing）等问题，所以网络安全问题依然不可轻视。

网络蠕虫是继IPv6协议后一个很严重的网络安全问题，网络蠕虫并没有随着IPv6的出现而消失，大面积的网络蠕虫依然寄生在IPv6协议的网络中。

由此，研究IPv6协议下的网络蠕虫检测方法有着非常重要的意义。

1相关工作
蠕虫是一种在网络中传播的恶意病毒，它的出现对于木马病毒、宏病毒来说比较晚，但是无论从传播速度、传播范围还是从破坏程度
上来讲，蠕虫病毒都是以往传统病毒所无法比拟的[1]。

1.1蠕虫功能结构
国内外很多学者对蠕虫的功能结构进行了研究，其中一种比较典型的功能结构框架由6个功能模块组成[2]，分别是：搜索模块、攻击模块、命令行模块、通信模块、智能模块和非攻击使用模块。

本文结合当前蠕虫的具体运作情况，提出了一种新的蠕虫功能模型。

把它分成了核心模块和扩展模块两部分，结构如图1。

1.2蠕虫工作机制
蠕虫的工作机制是将自己从一台计算机复制到另一台计算机，并执行预定操作功能的程序代码，蠕虫可以自动执行，同时可以自我复制，系统一旦感染蠕虫，蠕虫即可自行传播。

蠕虫是一种恶性病毒，通过网络进行传播，它具有传播性、隐蔽性、破坏性等病毒的共同特点，同时也具有一些自身的特性，如不寄生于文件（有的只存在于内存中）、与黑客技术结合以及对网络拒绝服务等。

例如，蠕虫可向电子邮件地址簿中的联系人发送自己的副本，那些联系人的计算机也将执行同样的操作，结果造成多米诺效应（网络通信负担沉重），使计算机和整个Internet的速度减慢[3]。

普通病毒主要针对计算机文件系统进行感染，而蠕虫病毒的传染目标更为广泛，它包括局域网和互联网内的所有主机。

系统一旦感染蠕虫，蠕虫便将自己从一台主机复制到互联网内的另一台主机，实现自行复制和传播。

因而从破坏程度上讲，蠕虫病毒比普通病毒严重得多。

依托于网络的拓展，蠕虫病毒仅需很短的时间即可蔓延至整个网
络，导致严重的网络瘫痪。

在局域网环境中，蠕虫的传播也有多种途径，如共享文件夹、恶意网页、电子邮件和有漏洞的服务器等。

蠕虫可在数小时内蔓延全世界，它们的主动攻击和突然爆发使网络管理员束手无策。

同时，蠕虫病毒会占用带宽和内存，很可能致使网络和计算机崩溃。

蠕虫不必通过“宿主”程序或者文件传播，它的危害远比普通病毒大。

2网络蠕虫检测系统
在传统的网络环境下，蠕虫经常使用随机地址扫描方法查找易感染主机。

IPv4协议使用了32位地址空间，因此利用快速扫描策略，一个蠕虫完成对所有地址空间的扫描仅需几小时。

而对于IPv6，因其具有庞大的128位地址空间，基于随机扫描的网络蠕虫较难获取其它主机地址，因此普遍认为IPv6天生具有对蠕虫的抵抗能力。

然而，随着网络蠕虫攻击手段越来越多，蠕虫病毒在IPv6环境下的传播逐渐成为人们关注的焦点[4] 。

2.1IPv6蠕虫设计
为了分析蠕虫在IPv6网络中的传播，本文采用了名为Worm6的三层网络蠕虫模型。

这种蠕虫模型通过使用不同的策略有效地识别和攻击目标。

不同的模型层次具有不同的作用。

第一层应用于蠕虫扫描子网之时。

蠕虫探索随机分布在不同子网当中的不同主机。

对于蠕虫传播来说，依靠对主机自己的域名进行随机扫描是远远不够的。

因此，在第二层，每当一个域名主机被感染了，它会通过对应的本地扫描策略扫
描在当前的子网内更多的易感染主机。

在因特网蠕虫的传播过程中，蠕虫感染主机的次数不止一次，这种情况几乎不可避免，因此亟需建立一个机制，避免主机在第三层中被反复感染。

Worm6传播模型如图2所示。

2.2数据捕获模块
网络系统存在大量的数据包，本模块主要承担部分前期数据包捕获工作，并负责将这些预处理后的数据进行存储。

数据捕获的结构如图4所示。

本模块首先对数据包进行判断，提取有用数据包，剔除垃圾数据包。

在相应时间窗口中，取出数据包中的源地址、目的地址以及相关的其他包头信息，放入IP头数据结构中，然后调用检测算法对数据进行处理。

数据捕获模块的工作流程如图5所示。

2.3分析判定模块
在数据捕获模块完成对数据的捕获和预处理之后，分析判定模块负责分配一个容量为4k的列表以储存主机的地址分类，分析数据包的源IP地址和目的IP地址。

在查看以该主机为源地址的连接时，通过调用地址转换模块（Hash函数）计算连接中目标地址的Hash值，记为i，然后将对应于该Hash值的列表项的值加1，然后继续考察下一个以该主机为源地址的连接。

若时间间隔达到预设的窗口大小，则通过指数熵函数计算该主机的目标地址的熵，与预先设定的熵值进行比较，若计算得到的熵值大于网络蠕虫判断阈值，则判定该主机异常[5] 。

IP地址映射函数的实现方法如下：
IpConvert（Ip）
{ IpHigh=（Ip&FFFF0000）>>16；//取高16位，移位
IpLow=Ip&0000FFFF；//取低16位
IpTemp=IpHigh+IpLow；
IpHash=IpTemp%4096；//取余
从图6可以看出，通常流经异常目的IP地址的数据会比较分散，而流经正常目的IP地址的数据则相对集中。

通过以上检测算法可以得出，一般情况下，正常主机的指数熵介于0～2之间，异常主机则通常大于2。

2.4结果输出模块
分析判定之后，输出的结果主要有两种：一种是同一个源地址（IP、Mac或Port）下的目的地址（IP、Mac或Port）分布情况，另一种是系统识别出的蠕虫分布变化情况。

3系统测试环境与结果
3.1测试环境
3.2测试结果
图7显示了利用本系统在IPv6环境下IPv6蠕虫病毒的检测结果。

本文所实现的系统能捕捉到所有的IP数
据包。

测试证明，宽带连接从禁用向启用切换时，守护线
程能保证捕捉线程恢复工作。

4结语
本文首先分析了一般网络蠕虫的传播特性，在现有网络蠕虫技术
的基础上，提出一种基于指数熵的网络蠕虫检测方法，并设计了可应用于IPv6环境下的网络蠕虫检测系统，给出了分析推导和检测程序设计的思路和方法。

本文所提出的系统及其方法仅作为实验性研究，系统完整性设计还有待进一步完善。

参考文献：
[1]Analysis of the impact of heterogeneous network environment on worm propagation[C].Proceedings of the Third International Conference on Multimedia Information Networking and Security，2011.
[2]YANG XINFENG，GUO YONGLI，LIU KECHENG. Research on control strategy of worms spread in complex networks[C].International Conference on Computer Science and Network Technology （ICCSNT），2011：17541758.
[3]徐延贵，郑鹏翱，甘泉，等.无线网络中蠕虫传播模型的构建与仿真[J].系统仿真学报，2011（12）.
[4]苏飞，林昭文，马严，等.IPv6网络环境下的蠕虫传播模型研究[J].通信学报，2011（9）.
[5]牛子曦，罗作民，张亚玲. 基于指数熵的蠕虫病毒检测方法[J].计算机工程与设计，2008（12）.。