签名：自动、分布式蠕虫特征检测

项目概述

当今的互联网入侵检测系统（IDS）监控边缘网络的DMZ来识别和/或过滤恶意流。虽然IDS有助于保护其本地边缘网络上的主机免受危害拒绝服务，它不能单独有效地进行干预以停止扭转新型互联网蠕虫的传播。生成蠕虫特征IDS所需的字节模式监控流量以识别蠕虫--今天需要非平凡的人类劳动，从而造成重大延误：正如网络运营商检测到的那样异常行为，它们相互通信并手动研究数据包跟踪以生成蠕虫特征码。然而，干预必须在流行病早期发生以阻止蠕虫传播。

签名是一种系统自动地为使用TCP传播的新型互联网蠕虫生成签名运输。它通过分析流动部分的流行率有效载荷，因此不使用TCP之上的协议语义知识级别。它的设计目的是产生高水平的签名灵敏度（高真阳性）和高特异性（低假阳性）；我们对实际DMZ记录道上系统的评估验证它是否实现了这些目标。

Autograph还可以在分布式监控器实例之间共享端口扫描报告；使用蠕虫爆发的跟踪驱动模拟，我们已经证明了其价值加速生成新蠕虫的签名。我们的结果阐明了早期生成的新蠕虫的签名以及这些生成的签名的特殊性。

出版物

Kim，H.-A和Karp，B.，《自动图：走向自动化、分布式》蠕虫特征码检测，位于会议记录第13届Usenix安全研讨会（安全2004）加利福尼亚州圣地亚哥，2004年8月。[邮政总局] [pdf格式]
此作品的早期版本：英特尔研究匹兹堡技术报告IRP-TR-04-032004年2月。

会谈

项目成员