1、網(wǎng)絡(luò)蠕蟲是一種能夠自我繁殖、利用網(wǎng)絡(luò)傳播的獨立的惡意程序。由于其快速的傳播能力和破壞性，網(wǎng)絡(luò)蠕蟲已經(jīng)對網(wǎng)絡(luò)信息安全造成了很大的沖擊。網(wǎng)絡(luò)信息安全是當(dāng)前研究的熱點和未來發(fā)展的方向，研究網(wǎng)絡(luò)蠕蟲的傳播模型，揭示其傳播規(guī)律，對研究網(wǎng)絡(luò)蠕蟲的檢測技術(shù)，制定可行有效的防御策略，具有十分重要的理論意義和應(yīng)用價值。本文對網(wǎng)絡(luò)蠕蟲的傳播模型及入侵檢測技術(shù)進行了廣泛的研究，取得的研究成果主要有:
　　1.為了研究蠕蟲爆發(fā)的周期性和流行結(jié)局，提出了一

2、個蠕蟲傳播的微分模型。通過分析該模型，從理論上解釋了蠕蟲的爆發(fā)不具有周期性;還求出了該模型的奇點，通過其線性近似系統(tǒng)確定了奇點的類型，得到其相圖。從相圖可以判斷蠕蟲的流行趨勢和流行結(jié)局，并給出了蠕蟲的流行區(qū)域、緩沖區(qū)域和撲滅區(qū)域的范圍。最后給出了控制蠕蟲傳播的新思路，即通過調(diào)整網(wǎng)絡(luò)參數(shù)，改變奇點的類型從而改變各區(qū)域的范圍，達到控制蠕蟲傳播的目的。
　　2.考慮到互聯(lián)網(wǎng)上的移動存儲設(shè)備容易成為傳播通道，提出了具有臨時免疫的移動存儲設(shè)

3、備的網(wǎng)絡(luò)蠕蟲傳播模型。理論分析給出了蠕蟲滅絕的閾值——基本再生數(shù)，借助于基本再生數(shù)，分別得到了模型的兩個平衡點:無蠕蟲平衡點和地方病平衡點，并分別證明了無蠕蟲平衡點和地方病平衡點的局部穩(wěn)定性。
　　3.為了研究各狀態(tài)到達恢復(fù)狀態(tài)的平均時間，在流行病學(xué)模型的基礎(chǔ)上提出了蠕蟲傳播的隨機模型。首先，把蠕蟲傳播的微分方程寫成狀態(tài)方程，進而轉(zhuǎn)化成Markov鏈。通過Markov鏈的狀態(tài)空間分解，求出各種狀態(tài)的轉(zhuǎn)移概率、持續(xù)時間和到達恢復(fù)狀態(tài)

4、的平均時間等，其中轉(zhuǎn)移到恢復(fù)狀態(tài)的平均時間，提示了防御蠕蟲的最佳時機。
　　4.針對主機從被感染到具有感染能力之間存在時間延遲情況，提出了具有延時的蠕蟲傳播模型，并分析了模型的動態(tài)特性，給出了臨界值的計算方法。借助于基本再生數(shù)，研究了無疾病平衡點和地方病平衡點的穩(wěn)定性。理論分析表明，當(dāng)延遲時間小于臨界值時，系統(tǒng)處于穩(wěn)定狀態(tài)，這是防御蠕蟲持續(xù)傳播的最佳時機;當(dāng)延遲時間超過臨界值時，系統(tǒng)出現(xiàn)振蕩，變得不穩(wěn)定，這給防御工作帶來了困難。仿

5、真結(jié)果表明模型具有一定的有效性。
　　5.針對入侵檢測過程中數(shù)據(jù)包負載特征維數(shù)較高的問題，提出了基于特征維數(shù)約簡的多層入侵檢測方法。設(shè)計了一個簡單的分類器，比較、分析了不同維數(shù)約簡算法的性能。提出的多層入侵檢測方法由三部分組成:特征產(chǎn)生、特征約簡和決策。即利用n-gram文本分類器把網(wǎng)絡(luò)數(shù)據(jù)包負載轉(zhuǎn)化為一個256維的特征向量，然后用極大似然方法估計特征的本征維數(shù)，再用拉普拉斯特征映射方法進行維數(shù)約簡。通過比較測試網(wǎng)絡(luò)流量與正常網(wǎng)絡(luò)

6、流量屬性的Mahalanobis距離進行攻擊檢測。實驗結(jié)果表明，提出的方法具有較好的檢測性能。
　　6.針對入侵檢測過程中三角形面積方法丟失部分特征間相關(guān)性信息的問題，提出了一個用多項式表示特征間相關(guān)性信息的方法。在提出的檢測方法中，用多項式表示特征間相關(guān)性，用Mahalanobis距離分類正常流量和異常流量。多項式方法能簡單直觀地表示流量特征間的相關(guān)性，且多項式的選擇靈活。實驗結(jié)果表明，和三角形面積方法相比，該方法能取得較好的檢