3、网络安全与医疗计算技术：应对蠕虫威胁与雾计算挑战

网络安全与医疗计算技术：应对蠕虫威胁与雾计算挑战

1. 蠕虫检测系统介绍

在网络安全领域，蠕虫检测是至关重要的一环。早期有 Singh 等人提出了 Earlybird 系统用于蠕虫签名生成。该系统在单一观察点（如网络非军事区）计算数据包内容的流行度，通过统计有效载荷中频繁重复字符串的明确起点和终点数量，区分良性重复和出站内容。它会生成包含有效载荷单个连续子字符串的签名，以应对大多数蠕虫情况。然而，该系统生成的签名存在局限性，无法以低误报率和低漏报率捕获所有蠕虫实例。

2. 双蜜网框架检测零日多态蠕虫

为了克服 Earlybird 系统的不足，提出了基于系统调用分析的双蜜网框架，专注于检测多态和变形蠕虫。多态蠕虫每次传播时会改变其外观，有众多实例，单个蜜网只能检测其中一个实例，因此需要双蜜网框架来捕获所有可能的多态蠕虫实例。

以下是双蜜网框架的工作流程：
1. 流量筛选 ：传入流量到达网关转换器，网关转换器包含公共可访问地址，代表所需服务。与公共可访问地址之外的任何其他地址相关的流量被视为可疑流量，并被转向蜜网 1。
2. 蜜网 1 处理 ：到达蜜网 1 的可疑流量会尝试进行出站连接。路由器中实现的内部转换器将蜜网 1 与整个网络分离，所有从蜜网 1 发出的出站连接都会被内部转换器阻挡，并转向蜜网 2。
3. 蜜网 2 循环 ：蜜网 2 执行相同操作，形成一个循环。
4. 减缓传播 ：当蜜网 1 和蜜网 2 积累了足够的蠕虫有效载荷实例后，这些实例会通过粘性蜜罐，减缓蠕