|
|
|
|
|
|
|
|
离和恢复,是防止蠕虫泛滥、造成重大损失的关键。
目前国内并没有专门的蠕虫检测和防御系统,传统的主机防病毒系统并不能对未知的蠕虫进行检测,只能被动地对已发现的特征的蠕虫进行检测。而且目前市场上的入侵检测产品,对蠕虫的检测也多半是基于特征,所以我们利用ids提供的异常检测功能,通过发现网络中的异常,来对蠕虫的传染进行控制。虽然有些事后诸葛的嫌疑,但只要发现及时,还是能大大减少蠕虫造成的损失。
在对未知蠕虫的检测方面,入侵检测在对流量异常的统计分析和对tcp连接异常的分析基础上,又使用了对ICMP数据异常分析的方法,可以更全面地检测网络中的未知蠕虫。这种网络蠕虫的检测技术是Bob Gray,具体实现过程是:当一台主机向一个不存在的主机发起连接时,中间的路由器会产生一个ICMP-T3(目标不可达)包返回给蠕虫主机。
这种方法可以检测出具有高速、大规模传染模型的网络蠕虫。(很难检测针对某个网络传播的特定的蠕虫和慢速传播的蠕虫。这两种蠕虫,可以认为对整个网络来说,它们的危害比较小)。
&n页码:[1] [2] [3] [4] [5] 第3页、共5页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
