目前網(wǎng)絡入侵檢測系統(tǒng)（NIDS）主要利用特征碼檢測法來監(jiān)測與阻止網(wǎng)絡蠕蟲，而蠕蟲特征碼提取仍是效率低的人工過程。為解決這個問題提出了基于陷阱網(wǎng)絡的蠕蟲特征碼自動提取思想，介紹了原型系統(tǒng)的體系結構和主要算法。該系統(tǒng)利用數(shù)據(jù)包負載中出現(xiàn)頻率高的字符串來提取蠕蟲特征碼。最后通過實驗結果分析算法主要參數(shù)對系統(tǒng)的影響。
近幾年爆發(fā)過的一系列蠕蟲病毒給信息社會造成巨大經(jīng)濟損失，因此對蠕蟲病毒的研究仍然是網(wǎng)絡安全研究重點。蠕蟲病毒是一種利用軟件漏洞實現(xiàn)自動傳播和破壞的人為惡意程序。由于同構型網(wǎng)絡環(huán)境中運行的操作系統(tǒng)與服務器軟件缺乏多樣性，因此蠕蟲在Internet 或Intranet 中能夠迅速蔓延。目前主要有以下兩種蠕蟲檢測技術：流量檢測。在網(wǎng)絡全局范圍內(nèi)監(jiān)測可疑隨機掃描流量。如果發(fā)現(xiàn)可疑IP 地址，則將其加入IP 黑名單，列入下一步過濾范圍。對利用隨機掃描傳播的蠕蟲該技術十分有效，但是對于郵件病毒和P2P 蠕蟲檢測效果差，由于以上兩類病毒不使用IP 隨機掃描；另一種技術是行為檢測。因為蠕蟲病毒是一種非典型性的Internet 應用程序，所以在單機范圍內(nèi)可監(jiān)測其特異程序行為來發(fā)現(xiàn)蠕蟲。
此項技術缺乏網(wǎng)絡層次的檢測能力，對蠕蟲檢測存在很大滯后性?？傊?，盡量阻斷被感染主機試圖與潛在受害主機的連接是蠕蟲檢測的主要策略[1]。
目前商業(yè)網(wǎng)絡入侵檢測系統(tǒng)NIDS（Network Intrusion Detection System）多數(shù)采用比較成熟的誤用檢測技術，檢測網(wǎng)絡范圍內(nèi)可疑數(shù)據(jù)包，如果發(fā)現(xiàn)與入侵特征庫中相匹配的數(shù)據(jù)包就向網(wǎng)絡管理員發(fā)出警報。NIDS 是一種體現(xiàn)主動防御思想的安全工具，其特征規(guī)則檢測法結合了流量檢測和行為檢測。NIDS的特征規(guī)則一般表示為一個三元組<協(xié)議類型，目標端口，字符序列>, 由于蠕蟲通常針對某個端口服務程序的漏洞來實現(xiàn)傳播和破壞，因此協(xié)議類型、目標端口體現(xiàn)了蠕蟲網(wǎng)絡層面的特點；另一方面，因為蠕蟲行為的非典型性，比如利用溢出實現(xiàn)攻擊、自我復制等功能。所以能夠提取反映該功能的機器碼序列作為檢測的依據(jù)，這些字符序列即蠕蟲的特征碼?？傊?，NIDS 采用基于內(nèi)容過濾、阻斷的策略防御蠕蟲。
NIDS 檢測的關鍵是檢測規(guī)則。首先對檢測規(guī)則提取時間要求高。Internet 主機對蠕蟲的免疫有很高的時間要求。對傳播速度慢的蠕蟲要求最多60 分鐘作出免疫反應，比如RedCodeII；高速傳播的蠕蟲要求5 分鐘甚至60 秒的免疫時間。另外特征碼質(zhì)量對NIDS 工作效率影響很大。因此蠕蟲特征碼的提取工作十分重要，現(xiàn)在主要由安全專家人工提取蠕蟲特征碼，這是個費時、枯燥并且技術水平要求高的工作。
人工提取蠕蟲特征碼需要較長時間，導致了NIDS 對蠕蟲檢測存在很大滯后性甚至失敗。普通計算機病毒特征碼大約有%5 ~ %6 來自陷阱機Honeypot 捕獲的數(shù)據(jù)，蠕蟲與普通病毒不同，在網(wǎng)絡中傳播速度快，設計精巧的陷阱機能及時有效地捕獲到新蠕蟲或蠕蟲變種[2]。本文提出一個基于陷阱網(wǎng)絡Honeynet 的蠕蟲特征碼自動提取原型系統(tǒng)Cuckoo，描述原型系統(tǒng)的體系結構與自動提取原理，最后通過實驗分析蠕蟲特征碼的質(zhì)量。本文以后各節(jié)組織如下：第二節(jié)，介紹蠕蟲特征碼自動提取的相關研究；第三節(jié)，闡述了原型系統(tǒng)Cuckoo 的體系結構，特征碼提取的流程與算法，以及特征碼廣譜優(yōu)化策略；第四節(jié)，通過實驗分析原型系統(tǒng)中重要參數(shù)的作用與影響；第五節(jié)，總結并提出進一步研究的設想。