基於統計流形的多態蠕蟲自動檢測研究

快速而準確的提取蠕蟲特徵對於檢測多態蠕蟲至關重要。本課題針對多態蠕蟲不變數特徵集合中高維、多量特性帶來的存儲、計算複雜度過高的問題，研究海量不變數特徵的高效索引與匹配。不變數特徵集合的緊緻表示是高效匹配的關鍵。本課題首次提出運用信息幾何學中的統計流形方法，對不變數特徵集合建立統計模型，採用費舍爾信息距離匹配機率密度信息，實現統計分布信息的低維流形嵌入，生成不變數特徵集合的緊緻描述向量。在此基礎上，建立從集合整體到局部元素的索引結構和計算模型，實現多態蠕蟲特徵的高效匹配。統計流形方法能夠實現高維統計分布信息的高效表達，而多級矢量量化技術可提高特徵的匹配效率和準確度。本課題將二者有機結合，其特色是能夠降低蠕蟲特徵的存儲和計算複雜度、提高匹配效率，並且能夠滿足實際網路環境套用中對檢索精度和檢索速度的不同需求。

快速而準確的提取蠕蟲特徵對於檢測多態蠕蟲至關重要。藉助變形技術，多態蠕蟲特徵呈現可組合特性，用傳統單一特徵技術難以刻畫，傳統防禦方法面臨巨大挑戰。針對多態蠕蟲不變數特徵集合中高維、多量特性帶來的存儲、計算複雜度過高的問題，本課題研究多態蠕蟲自動檢測方法。主要研究內容包括：利用傳染病模型的建模思想，建立多態蠕蟲的傳播模型並分析其全局穩定性，找出了其傳播過程中的關鍵因素，得出了多態蠕蟲消亡的閾值；利用信息熵理論研究多態蠕蟲傳播行為，結合突發流量來綜合判斷多態蠕蟲的存在性；若為多態蠕蟲，則將其導入到可疑流量池中，提取其類型、時間戳、源IP、源連線埠、目的IP、目的連線埠、數據包大小、數據包正文等信息，組成一個向量，用支持向量機加以區分；運用信息集合學中的統計流形方法，對多態蠕蟲的不變數特徵集合建立統計模型，採用費舍爾信息距離匹配機率密度信息，實現了統計分布信息的低維流形嵌入，生成不變數特徵集合的緊緻描述向量；利用多重映射和量化編碼技術降低數據維數和數據尺寸，實現了多態蠕蟲特徵的高效匹配，提高了特徵的匹配效率和準確度；在此基礎上，我們進一步對多類多態蠕蟲特徵進行分析，利用樹結構研究不同源多態蠕蟲的分類問題，得到多態蠕蟲間的親疏關係。本項目的研究成果將在實際套用中對網路關鍵設施起到有效的預警和保護作用。