Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (LV thạc sĩ)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (LV thạc sĩ)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (LV thạc sĩ)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (LV thạc sĩ)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (LV thạc sĩ)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (LV thạc sĩ)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (LV thạc sĩ)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (LV thạc sĩ)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (LV thạc sĩ)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (LV thạc sĩ)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (LV thạc sĩ)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (LV thạc sĩ)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (LV thạc sĩ)
HỌC VIỆN N CÔNG NGH NGHỆ BƯU CHÍNH VIỄN N THÔNG - ĐẶNG NGỌC DANH NGHIÊN CỨU U CÁC K KỸ THUẬT QUÉT CỦA SÂU MẠNG NG VÀ CÁC PHƯƠNG PHÁP PHÁT HIỆN LUẬ ẬN VĂN THẠC SĨ KỸ THUẬT (Theo ( định hướng ứng dụng) HÀ NỘI - 2017 HỌC VIỆN N CÔNG NGHỆ NGH BƯU CHÍNH VIỄN N THÔNG - ĐẶNG NGỌC DANH NGHIÊN CỨU U CÁC K KỸ THUẬT QUÉT CỦA SÂU MẠNG NG VÀ CÁC PHƯƠNG PHÁP PHÁT HIỆN Chuyên ngành Mã số ố : HỆ THỐNG THÔNG TIN : 60.48.01.04 LUẬ ẬN VĂN THẠC SĨ KỸ THUẬT ((Theo định hướng ứng dụng) NGƯỜI NGƯ HƯỚNG DẪN KHOA HỌC : TS HOÀNG XUÂN DẬU HÀ NỘI - 2017 i LỜI CẢM ƠN Tôi xin chân thành cảm ơn thầy cô giáo khoa Quốc tế đào tạo sau đại học, khoa Công nghệ thông tin - Trường học viện công nghệ Bưu Viễn thông, người trực tiếp giảng dạy, truyền đạt cho kiến thức chuyên môn phương pháp nghiên cứu để thực luận văn đề tài nghiên cứu khác Đặc biệt, xin chân thành cảm ơn TS Hoàng Xuân Dậu, tận tình hướng dẫn cung cấp tài liệu để hoàn thành luận văn Tôi xin gửi lời biết ơn tới gia đình, đồng nghiệp bạn bè nâng đỡ sống công việc Trân trọng cảm ơn ! ii LỜI CAM ĐOAN Tôi cam đoan công trình nghiên cứu riêng Các liệu, kết nêu luận văn trung thực; trình nghiên cứu có tham khảo số tài liệu báo nước Hà Nội, ngày 28 tháng năm 2017 Tác giả luận văn Đặng ngọc Danh iii MỤC LỤC LỜI CẢM ƠN i LỜI CAM ĐOAN ii DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT v DANH MỤC CÁC HÌNH VẼ, SƠ ĐỒ vi LỜI MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ SÂU MẠNG VÀ PHÒNG CHỐNG 1.1 Khái quát phần mềm độc hại 1.1.1 Định nghĩa 1.1.2 Phân loại 1.1.3 Tác hại phần mềm độc hại 13 1.2 Khái quát sâu mạng chế lây nhiễm 15 1.2.1 Khái niệm 15 1.2.2 Lịch sử 15 1.2.3 Phân loại 16 1.2.4 Cách thức làm việc sâu 17 1.2.5 Một số loại sâu điển hình 18 1.3 Phòng chống sâu mạng phần mềm độc hại khác 21 1.3.1 Phương pháp phòng chống virus 21 1.3.2 Phương pháp phòng chống Worm 21 1.4 Kết chương 22 CHƯƠNG 2: CÁC KỸ THUẬT QUÉT CỦA SÂU MẠNG VÀ CÁC PHƯƠNG PHÁP PHÁT HIỆN 23 2.1 Các kỹ thuật quét sâu mạng 23 2.1.1 Quét ngẫu nhiên có chọn lọc 23 2.1.2 Quét định tuyến 25 2.1.3 Quét kiểu chia để trị 27 2.1.4 Quét kiểu kết hợp 29 2.1.5 Quét toàn 29 iv 2.1.6 So sánh phương pháp quét sâu mạng 30 2.2 Các phương pháp phát sâu mạng 31 2.2.1 Khái quát phương pháp phát sâu mạng 31 2.2.2 Các phương pháp phát sâu mạng 33 2.2.3 So sánh phương pháp phát sâu mạng 38 2.3 Kết chương 38 CHƯƠNG 3: THỬ NGHIỆM PHÁT HIỆN SÂU MẠNG 39 3.1 Giới thiệu mô hình phát sâu mạng dựa tương quan nguồnđích 39 3.2 Cài đặt thử nghiệm 41 3.2.1 Tập liệu tiền xử lý liệu 41 3.2.2 Kết phát 42 3.3 Kết chương 43 KẾT LUẬN 44 DANH MỤC CÁC TÀI LIỆU THAM KHẢO 45 v DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT Chữ viết tắt AAWP ACK API BGP BIOS Analytical Active Worm Propagation Acknowledgement Application Programming Interface Border Gateway Protocol Basic Input/Output System CERT Computer Emergency Response Team CPU DDOS DNS DOS HDD IANA IDS IRC Central Processing Unit Distributed Denial of Service Domain Name System Denial of Service NIST P2P RAM SYN Nghĩa tiếng anh Hard Disk Drive Internet AssignedNumbersAuthority Intrusion Detection System Internet Relay Chat National Institute of Standards and Technology Peer to Peer Random Access Memory The Synchronous Idle CharacterIdle racter Nghĩa tiếng việt Phân tích sâu hoạt động lantruyền Trả lời trình bắt tay bước Giao tiếp lập trình ứng dụng Giao thức định tuyến lưu lượng Hệ thống Đầu vào/Đầu Cơ Trung tâm ứng cứu khẩn cấp máy tính Đơn vị xử lý trung tâm Tấn công từ chối dịch vụ phân tán Hệ thống phân giải tên Tấn công từ chối dịch vụ Ổ đĩa cứng truyền thống Tổ chức cấp phát số hiệu Internet Hệ thống phát xâm nhập Chat chuyển tiếp Internet Viện tiêu chuẩn công nghệ quốc gia Hoa Kỳ Mạng ngang hàng Bộ nhớ truy cập ngẫu nhiên Ký tự đồng hóa vi DANH MỤC CÁC HÌNH VẼ, SƠ ĐỒ SỐ HIỆU Bảng 1.1 Hình 1.1 Hình 2.1 Hình 2.2 Bảng 2.2 Hình 2.3 Hình 2.4 Hình 2.5 Hình 2.6 Hình 2.7 TÊN HÌNH VẼ Phân loại phần mềm độc hại NIST Phân loại phần mềm độc hại Peter Szor So sánh mô hình AAWP Weaver So sánh tốc độ lan truyền quét ngẫu nhiên quét ngẫu nhiên có lựa chọn So sánh phương pháp phát sâu mạng So sánh tốc độ lan truyền kỹ thuật quết ngẫu nhiên quét định tuyến So sánh tốc độ lan truyền kỹ thuật quết ngẫu nhiên quét chia để trị So sánh tốc độ lan truyền kỹ thuật quết ngẫu nhiên hoàn toàn TRANG 27 28 41 30 32 33 35 Hình 3.2 So sánh phương pháp quét sâu mạng Sơ đồ mô tả hệ thống phát worm Sự biến đổi số nạn nhân trường hợp quét ngẩu nhiên quét định tuyến Mô hình quét tìm đích lây nhiễm sâu mạng Lưu đồ cài đặt thuật toán phát sâu mạng dựa tương quan nguồn - đích Hình 3.3 Một ghi logs thu thập từ tường lửa 41 Hình 3.4 Trích số ghi trích xuất từ logs tường lửa 41 Hình 3.5 Kết phát cặp tương quan nguồn đích 42 Hình 2.8 Hình 3.1 36 38 39 40 LỜI MỞ ĐẦU Sâu mạng (Network worms) loại phần mềm độc hại (Malware) có tốc độ lây lan nhanh khả tàn phá lớn Khác với virus, sâu mạng lây lan tự động mà không cần tương tác với người dùng Khi sâu lây nhiễm vào máy tính, sử dụng máy tính làm bàn đạp để tiếp tục rà quét lây nhiễm sang máy tính khác Nhờ vậy, sâu có khả lây lan nhanh theo cấp số nhân Một số sâu Slammer, Code Red, Nimda có khả lây nhiễm hàng trăm ngàn máy chủ khoảng 30 phút [1] Sâu mạng lây nhiễm từ máy đến máy khác thông qua nhiều phương pháp, bao gồm lây nhiễm thông qua việc khai thác lỗ hổng dịch vụ mạng, giao thức mạng, lây nhiễm thông qua đăng nhập từ xa, lây nhiễm thông qua email từ trang web nhiễm sâu xuống trình duyệt web,… Tốc lây nhiễm sâu phụ thuộc chủ yếu vào kỹ thuật quét (scanning) mà sâu mạng sử dụng để rà quét máy tính khác mạng khác mạng với máy bị nhiễm làm đích lây nhiễm Đa số sâu mạng thường rà quét lây nhiễm đến máy chủ cung cấp dịch vụ mạng Chẳng hạn sâu Slammer quét máy với địa IP sinh ngẫu nhiên để tìm đích tiếp lây nhiễm theo, máy chủ chạy hệ quản trị sở liệu SQL 2000 chứa lỗi tràn đệm [1] Tuy vậy, có số sâu mạng lây nhiễm vào máy tính cá nhân Khi lây nhiễm vào hệ thống, hoạt động sâu mạng tương tự virus, phần mềm độc hại khác Một số sâu “lành tính” không thực hành vi phá hoại hệ thống bị lây nhiễm mà tạo lưu lượng mạng khổng lồ, sâu Slammer [1] Ngược lại, nhiều sâu khác thực hành vi đánh cắp thông tin nhạy cảm, xoá liệu quan trọng, khoá máy tính nạn nhân, mở cổng hậu để tải lên máy nạn nhân nhiều phần mềm độc hại khác, gây hỏng hóc cho hệ thống Do sâu mạng có tốc độ lan nhanh khả phá hoại lớn, đặc biệt với máy chủ dịch vụ mạng, việc nghiên cứu, phân tích sâu chế quét tìm đích lây nhiễm sâu mạng cần thiết để sở đưa phương pháp phát phòng chống phù hợp Đây mục đích Luận văn CHƯƠNG 1: TỔNG QUAN VỀ SÂU MẠNG VÀ PHÒNG CHỐNG 1.1 Khái quát phần mềm độc hại 1.1.1 Định nghĩa Phần mềm độc hại (Malware -Malicious software hay malicious code) định nghĩa chương trình (program) chèn cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn tính sẵn sàng hệ thống 1.1.2 Phân loại Hiện nay, có nhiều phương pháp phân loại phần mềm độc hại phương pháp có ưu, nhược điểm riêng Luận văn trình bày hai phương pháp phân loại phần mềm độc hại: phân loại phần mềm độc hại NIST [13] phân loại phần mềm độc hại Peter Szor [14] 1.1.2.1 Phân loại NIST (National Institute of Standards and Technology): Viện tiêu chuẩn công nghệ quốc gia Hoa Kỳ Theo phân loại NIST, phần mềm độc hại chia thành bảy nhóm chính, bao gồm: Virus, Trojan horse, Worm, Malicious mobile code, Blended attack, Tracking cookies Attacker tools 33 Vấn đề kiểm soát không gian địa Việc kiểm soát không gian địa phụ thuộc vào vị trí triển khai thành phần phát Mặc dù kỳ vọng hệ thống kiểm soát toàn network việc khó khả thi Ta kiểm soát giới hạn Với loại sâu khác nhắm đến phần địa khác (ngẫu nhiên, định tuyến, ) cần triển khai thành phần phát cho trùng vào mục tiêu sâu nhiều tốt Ví dụ với sâu có mục tiêu ngẫu nhiên, thành phần phát triển khai đâu, với quét định tuyến, thành phần triển khai nhắm vào phần không gian địa cấp phát Ta cần biết không gian địa không sử dụng mạng, triển khai thành phần phát đó, giả hồi đáp cho worm để thu thập thông tin (ví dụ sâu quét ngẫu nhiên) 2.2.2 Các phương pháp phát sâu mạng 2.2.2.1 Phát dựa số nạn nhân a)Thuật toán phát dựa số nạn nhân mạng Với việc chưa biết trước dấu hiệu worm, sử dụng lượng nhỏ lưu lượng để phân tích không đủ Với lưu lượng lớn gửi đến địa không hoạt động lại dễ nhầm lẫn với DdoS, DoS Vì cần tìm đặc điểm riêng biệt lưu lượng từ Worm Với worm, đặc điểm phổ biến là: + Quét cổng cố định, mục tiêu tới địa không hoạt động + Nhiều host khác mạng thực hành vi quét cố định 34 Vậy, ta biết nguồn gốc gửi lưu lượng mô tả trên, nạn nhân bị nhiễm worm Nếu hệ thống, thành phần phân tích theo dõi số lượng nạn nhân đơn vị thời gian, ta có cảnh bảo tin cậy b) Phân tích lưu lượng Giả sử nạn nhân gửi gói tin scan đến địa hoạt động Như ta tính số lượng nạn nhân đơn vị thời gian Tuy nhiên, xác định dựa gói tin scan tỷ lệ nhầm lẫn lưu lượng gây nhiễu cao Do vậy, xác định dựa gói tin hiệu Như có bước thuật toán là: + Tập hợp không gian địa không hoạt động + Tách địa nguồn gửi gói tin scan (nạn nhân) + Kiểm soát số lượng nạn nhân Trong trình phân tích, có số lượng lớn nạn nhân tăng vọt, ta xác định có worm công Như vậy, khoảng thời gian, với loại worm nguy hiểm (tốc độ lây lan nhanh số nạn nhân nhiều) dễ phát 35 Hình 2.8 : Sự biến đổi số nạn nhân trường hợp quét ngẫu nhiên quét định tuyến [8] Ví dụ sử dụng thuật toán dựa số nạn nhân để phát sâu: Theo biểu đồ trên, tác giả sử dụng thuật toán để phát sâu Code Red Khi sâu dùng kỹ thuật quét ngẫu nhiên, thuật toán phát sâu sau F, H, D, K, E, G dãy chung F D E G Công cụ sử dụng để phân tích log traffic gói tin pcap để phục vụ trường hợp xử lý batch 38 2.2.3 So sánh phương pháp phát sâu mạng Bảng 2.2: so sánh phương pháp phát sâu mạng Kỹ thuật Phát dựa Hot-IPs Ưu điểm Dễ dàng phát lưu lượng mạng tăng cách đột biến khác thường Nhược điểm Tỷ lệ sai cao Hot-IP sinh kiện khác chiến dịch khuyến mãi,… Phát dựa số nạn nhân Dễ dàng phát nguồn sâu Khó phát sâu có tốc chúng thực quét hàng loạt địa độ quét chậm IP không tồn mạng quét máy tính đích cổng giống Phát dựa tương quan nguồn đích Phát huy hiệu với trường Khó phát với sâu hợp sâu có tốc độ lây lan nhanh kết hợp nhiều kỹ thuật công 2.3 Kết chương Chương trình bày chi tiết kỹ thuật điển hình sâu mạng sử dụng để rà quét tìm hệ thống đích, bao gồm quét ngẫu nhiên có chọn lọc, quét định tuyến, quét chia để trị, quét kết hợp quét toàn Trên sở kỹ thuật quét sâu sử dụng, chương trình bày kỹ thuật phát sâu mạng Trong Chương 3, luận văn trình bày phần thử nghiệm phát sâu mạng dựa phương pháp tương quan nguồn đích 39 CHƯƠNG 3: THỬ NGHIỆM PHÁT HIỆN SÂU MẠNG 3.1 Giới thiệu mô hình phát sâu mạng dựa tương quan nguồnđích Trong mục này, luận văn tiến hành cài đặt thử nghiệm thuật toán phát sâu mạng dựa tương quan nguồn đích theo phương pháp Anbar cộng [11] đề xuất Hình 3.1 Mô hình quét tìm đích lây nhiễm sâu mạng [11] Hình 3.1 minh họa trình quét tìm đích lây nhiễm sâu mạng Theo đó, trình quét lây nhiễm sâu mạng diễn sau: Sâu ban đầu lây nhiễm vào máy F; Tiếp theo, sâu từ máy F giử yêu cầu quét tìm đích lây nhiễm đến máy B E sử dụng cổng dịch vụ SMTP 25; Sau sâu lây nhiễm thành công lên máy B, tiếp tục sử dụng B để gửi yêu cầu quét tìm đích lây nhiễm đến máy A, D C sử dụng cổng dịch vụ SMTP 25; 40 Quá trình lặp lại vậy, với máy ban đầu đích lây nhiễm, sau sâu lây nhiễm thành công lại trở thành nguồn quét máy khác tìm đích lây nhiễm thiếp theo Như vậy, ta thực giám sát đường truyền mạng (trên router switch), phân tích yêu cầu gửi – lại máy để phát khả xuất sâu mạng Hình 3.2 Lưu đồ cài đặt thuật toán phát sâu mạng dựa tương quan nguồn - đích [11] 41 Hình 3.2 mô tả Lưu đồ cài đặt thuật toán phát sâu mạng dựa tương quan nguồn – đích Theo đó, yêu cầu quét IP thu thập, phân tích tìm mối tương quan yêu cầu quét Nếu phát host A nhận yêu cầu quét thời điểm t1, sau thời điểm t2 (t2> t1) phát host A gửi yêu cầu quét đến host khác cổng dịch vụ số yêu cầu quét A gửi lớn ngưỡng T cho trước, cảnh báo phát sâu mạng gửi 3.2 Cài đặt thử nghiệm 3.2.1 Tập liệu tiền xử lý liệu date=2017-04-07 time=15:31:29 logid=0000000013 type=traffic subtype=forward level=notice vd=root srcip=172.16.1.23 srcport=61560 srcintf="T44" dstip=192.168.4.16 dstport=13000 dstintf="port11" poluuid=3076f842-4bbe-51e5-acfb-0ae7ea8a30e5 sessionid=19241031 proto=6 action=close policyid=2 dstcountry="Reserved" srccountry="Reserved" trandisp=noop service="TCP_13000_14000" duration=4 sentbyte=7212 rcvdbyte=6356 sentpkt=16 rcvdpkt=13 vpn="T44" vpntype=ipsec-static Hình 3.3 Một ghi logs thu thập từ tường lửa IP nguồn IP đích Cổng đích 172.16.1.23 192.168.4.16 13000 172.16.1.146 192.168.4.15 995 172.16.1.8 192.168.5.8 3128 172.16.1.8 192.168.5.8 3128 172.16.1.169 192.168.4.16 13000 172.16.1.243 192.168.4.16 13000 172.16.1.95 192.168.4.11 53 172.16.1.33 192.168.4.16 13000 172.16.1.78 192.168.4.11 53 172.16.1.244 192.168.4.16 13000 192.168.11.12 192.168.4.16 13000 172.16.1.186 192.168.4.11 53 172.16.1.109 192.168.4.16 13000 172.16.1.74 192.168.4.15 443 172.16.1.74 192.168.4.15 443 172.16.1.95 192.168.4.11 53 Hình 3.4 Trích số ghi trích xuất từ logs tường lửa 42 Tập liệu sử dụng tập logs gồm 400.000 ghi trích từ logs tường lửa Hình 3.3 biểu diễn ghi, có nhiều mục thông tin, mục thông tin có dạng tên_trường = giá_trị Để phục vụ cho mục đích phát sâu mạng theo phương pháp tương quan nguồn – đích, tập logs tường lửa xử lý trích xuất trường: địa IP nguồn, địa IP đích cổng đích Một phần tập liệu trích xuất minh họa Hình 3.4 3.2.2 Kết phát Luận văn sử dụng ngôn ngữ lập trình Python chạy Ubuntu để cài đặt thuật toán tương quan nguồn đích (Hình 3.2) để phát khả xuất cặp tương quan đích bị quét sau trở thành nguồn gửi yêu cầu quét cổng dịch vụ đích sử dụng tập liệu sau tiền xử lý (Hình 3.4) Host khởi phát quét Host Đích Nguồn Đích bị quét Cổng dịch vụ 172.16.1.64 192.168.4.21 173.194.72.94, 64.30.228.118, 216.58.197.110, 216.58.199.99, 123.30.215.27 80 192.168.4.16 192.168.11.12 192.168.4.11 445 172.16.1.82 192.168.4.15 173.194.72.94, 64.30.228.118, 216.58.197.110, 216.58.199.99, 123.30.215.27 80 172.16.1.21 192.168.10.34 192.168.107.215 8880 192.168.4.16 192.168.11.11 192.168.4.11 445 172.16.1.74 192.168.4.15 23.76.66.74 443 172.16.1.18 192.168.4.11 10.30.154.49 123 Hình 3.5 Kết phát cặp tương quan nguồn đích Hình 3.5 cung cấp kết phát cặp tương quan nguồn đích từ tập liệu thử nghiệm, theo có địa IP tìm ban đầu đích yêu cầu quét, sau trở thành nguồn gửi yêu cầu quét cổn dịch vụ đích Các địa IP bao gồm 192.168.4.21, 192.168.11.12, 192.168.4.15/80, 192.168.10.34, 43 192.168.11.11, 192.168.4.15/443 192.168.4.11 Trong đó, địa IP 192.168.4.21/cổng 80 192.168.4.15/cổng 80 nhiều khả bị lây nhiễm sâu host sau nhận yêu cầu quét gửi nhiều yêu cầu quét đến host khác 3.3 Kết chương Trong Chương 3, luận văn giới thiệu mô hình thử nghiệm phát sâu mạng, thuật toán phát hiện, tập liệu sử dụng tiền xử lý liệu số kết phát cặp tương quan nguồn đích Kết cho thấy phương pháp tương quan nguồn đích có khả phát nhanh xác khả xuất sâu mạng thông qua hành vi quét chúng 44 KẾT LUẬN Những kết đạt luận văn Sâu mạng mối đe dọa thường trực với máy chủ dịch vụ mạng tốc độ lây lan nhanh, khả tàn phá lớn Luận văn tập trung nghiên cứu phương pháp rà quét tìm đích lây nhiễm trình lây lan sâu mạng phương pháp phát sâu mạng Cụ thể, Luận văn đạt kết sau: Nghiên cứu khái quát phần mềm độc hại, với trọng tâm sâu mạng, phân loại, hiểu biết cách thức làm việc, trình bày số loại sâu điển hình phương pháp phòng chống Nghiên cứu kỹ thuật quét tìm đích lây nhiễm sâu mạng, bao gồm quét ngẫu nhiên có lựa chọn, quét định tuyến, quét chia để trị, quét kết hợp quét toàn Luận văn nghiên cứu kỹ thuật phát sâu, gồm phương pháp phát số nạn nhân, phương pháp Hot-Ips tương quan nguồn đích Giới thiệuvà thử nghiệm mô hình phát sâu mạng dựa tương quan nguồn đích Hướng phát triển luận văn Nghiên cứu triển khai thử nghiệm mô hình phát sớm sâu mạng môi trường mạng thực tế 45 DANH MỤC CÁC TÀI LIỆU THAM KHẢO [1] Adebayo O.T, Alese B.K, Gabriel A.J, A Model for Computer Worm Detection in a Computer Network, International Journal of Computer Applications (0975 –8887) Volume 66–No.2, March 2013 [2] Christopher Kruegel, EnginKirda, Darren Mutz, William Robertson, and Giovanni Vigna, Polymorphic Worm Detection Using Structural Information of Executables, Proceeding RAID'05 Proceedings of the 8th international conference on Recent Advances in Intrusion Detection, Pages 207-226, Springer-Verlag Berlin, Heidelberg, Germany, 2006 [3] Daniel R Ellis, John G Aiken, Adam M McLeod, David R Keppler, Paul G Amman, Graph-based Worm Detection On Operational Enterprise Networks, MITRE Technical Report, April 2006 [4] Guofei Gu, Monirul Sharif, Xinzhou Qin, David Dagon, Wenke Lee and George Riley, Worm Detection, Early Warning and Response Based on Local Victim Information, 20th Annual Computer Security Applications Conference (ACSAC 2004), 6-10 December 2004, Tucson, AZ, USA [5] Huỳnh Nguyên Chính, Tân Hạnh, Nguyễn Đình Thúc (2013), Group testing for detecting worms in computer networks Tạp chí Khoa học Công nghệ chuyên san công trình nghiên cứu Điện tử, Viễn thông CNTT, pp.12-19, 2013 [6] Ibrahim Farag,Mohammed A Shouman,Tarek S Sobh,Heba El-Fiqi, Intelligent System for Worm Detection, International Arab Journal of eTechnology, 2009 [7] Jaeyeon Jung, Rodolfo A Milito, and Vern Paxson, On the Adaptive RealTime Detection of Fast-Propagating Network Worms, Proceedings of the 4th international conference on Detection of Intrusions and Malware, and Vulnerability Assessment Pages 175 – 192, Springer-Verlag Berlin, 46 Heidelberg, Germany, 2007 [8] Jiang Wu, Sarma V angala, Lixin Gao, An Effective Architecture and Algorithm for Detecting Worms with Various Scan Techniques, in the 11th IEEE Network and Distributed System Security Symposium, San Diego, CA, USA, 2004 [9] Matthew Dunlop, Carrie Gates, Cynthia Wong, and Chenxi Wang, SWorD:A Simple Worm Detection Scheme, Proceedings of the 2007 OTM confederated international conference on On the move to meaningful internet systems: CoopIS, DOA, ODBASE, GADA, and IS - Volume Part II, Pages 1752-1769, 2007 [10] Miranda Mowbray, Network Worm Detection using Markov's and Cantelli's Inequalities, HP Laboratories, 2009 [11] Mohammed Anbar, Rosni Abdullah, Alhamza Munther, Mohammed Azmi AlBetar, Redhwan M A Saad (2016), NADTW: new approach for detecting TCP worm, Journal of Neural Computing and Applications, DOI 10.1007/s00521-016-2358-9, Springer, June 2016 [12] Muhammad Adeel, Laurissa Tokarchuk , Laurie Cuthbert, Chao-sheng Feng, Zhi-guang Qin, Improved Distributed Framework for Worm Detection & Throttling in Mobile Peer-to-Peer Networks, International Journal of Digital Content Technology and its Applications Volume 3, Number 2, June 2009 [13] National Institute of Standards and Technology, Guide to Malware Incident Prevention and Handling for Desktops and Laptops, 2005 [14] Peter Szor (2005), The art of computer Virus research and defense, Addsion Wesley Professional [15] Xinzhou Qin, David Dagon, Guofei Gu, Wenke Lee, Worm Detection Using Local Networks, College of Computing Technical Reports, July 2004 47 ... cứu kỹ thuật quét phương pháp phát sâu mạng phần 23 CHƯƠNG 2: CÁC KỸ THUẬT QUÉT CỦA SÂU MẠNG VÀ CÁC PHƯƠNG PHÁP PHÁT HIỆN 2.1 Các kỹ thuật quét sâu mạng Khác với virus phần mềm độc hại khác, sâu. .. 2.1.4 Quét kiểu kết hợp 29 2.1.5 Quét toàn 29 iv 2.1.6 So sánh phương pháp quét sâu mạng 30 2.2 Các phương pháp phát sâu mạng 31 2.2.1 Khái quát phương pháp phát sâu mạng. .. - ĐẶNG NGỌC DANH NGHIÊN CỨU U CÁC K KỸ THUẬT QUÉT CỦA SÂU MẠNG NG VÀ CÁC PHƯƠNG PHÁP PHÁT HIỆN Chuyên ngành Mã số ố : HỆ THỐNG THÔNG TIN : 60.48.01.04 LUẬ ẬN VĂN THẠC SĨ KỸ THUẬT ((Theo định