HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

Đặng Ngọc Danh

NGHIÊN CỨU CÁC KỸ THUẬT QUÉT CỦA SÂU MẠNG VÀ
CÁC PHƯƠNG PHÁP PHÁT HIỆN

Chuyên ngành: Hệ Thống Thông Tin
Mã số: 60.48.01.04

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI - 2017


Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: TS.Hoàng Xuân Dậu…………
(Ghi rõ học hàm, học vị)

Phản biện 1: …………………………………………………

Phản biện 2: …………………………………………………

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ
tại Học viện Công nghệ Bưu chính Viễn thông
Vào lúc:

....... giờ ....... ngày ....... tháng ....... .. năm ...........

Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông


1

LỜI MỞ ĐẦU
Sâu mạng (Network worms) là một trong các loại phần mềm
độc hại (Malware) có tốc độ lây lan rất nhanh và khả năng tàn phá
lớn. Khác với virus, sâu mạng có thể lây lan tự động mà không cần
tương tác với người dùng. Khi sâu lây nhiễm vào một máy tính, nó
sử dụng máy tính đó làm bàn đạp để tiếp tục rà quét và lây nhiễm
sang các máy tính khác. Nhờ vậy, sâu có khả năng lây lan nhanh theo
cấp số nhân. Một số sâu như Slammer, Code Red, Nimda có khả
năng lây nhiễm ra hàng trăm ngàn máy chủ chỉ trong khoảng 30 phút
[1].
Sâu mạng có thể lây nhiễm từ máy này đến máy khác thông
qua nhiều phương pháp, bao gồm lây nhiễm thông qua việc khai thác
các lỗ hổng trên các dịch vụ mạng, các giao thức mạng, lây nhiễm
thông qua đăng nhập từ xa, lây nhiễm thông qua email và từ trang
web nhiễm sâu xuống trình duyệt web,… Tốc lây nhiễm của sâu phụ
thuộc chủ yếu vào kỹ thuật quét (scanning) mà sâu mạng sử dụng để
rà quét các máy tính khác cùng mạng hoặc khác mạngvới máy bị
nhiễm làm đích lây nhiễm tiếp theo. Đa số sâu mạng thường rà quét
và lây nhiễm đến các máy chủ cung cấp dịch vụ mạng. Chẳng hạn
sâu Slammer quét các máy với địa chỉ IP sinh ngẫu nhiên để tìm đích
tiếp lây nhiễm theo, đó là những máy chủ chạy hệ quản trị cơ sở dữ
liệu SQL 2000 chứa lỗi tràn bộ đệm [1]. Tuy vậy, cũng có một số sâu
mạng lây nhiễm vào các máy tính cá nhân.

Khi lây nhiễm vào hệ thống, hoạt động của sâu mạng tương
tự như virus, hoặc các phần mềm độc hại khác. Một số sâu “lành
tính” không thực hiện các hành vi phá hoại trên hệ thống bị lây
nhiễm mà chỉ tạo ra lưu lượng mạng khổng lồ, như sâu Slammer [1].
Ngược lại, nhiều sâu khác thực hiện các hành vi đánh cắp thông tin
nhạy cảm, xoá các dữ liệu quan trọng, khoá máy tính của nạn nhân,


2

mở cổng hậu để tải lên máy nạn nhân nhiều phần mềm độc hại khác,
hoặc gây hỏng hóc cho hệ thống.
Do sâu mạng có tốc độ lan nhanh và khả năng phá hoại lớn,
đặc biệt là với các máy chủ và dịch vụ mạng, việc nghiên cứu, phân
tích sâu cơ chế quét tìm đích lây nhiễm của sâu mạng là cần thiết để
trên cơ sở đó đưa ra phương pháp phát hiện và phòng chống phù
hợp. Đây cũng là mục đích của Luận văn này.


3

CHƯƠNG 1: TỔNG QUAN VỀ SÂU MẠNG
VÀ PHÒNG CHỐNG
1.1

Khái quát về các phần mềm độc hại

1.1.1

Định nghĩa


Phần mềm độc hại (Malware - Malicious software hay
malicious code) được định nghĩa là một chương trình (program)
được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại
đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống.

1.1.2

Phân loại

Hiện nay, có nhiều phương pháp phân loại phần mềm độc
hại và mỗi phương pháp có ưu, nhược điểm riêng. Luận văn trình
bày hai phương pháp phân loại phần mềm độc hại: phân loại phần
mềm độc hại của NIST [13] và phân loại phần mềm độc hại của
Peter Szor [14].

1.1.2.1

Phân loại của NIST (National Institute of Standards
and Technology):

1.1.2.2 Phân loại của Peter Szor
1.1.3

Tác hại của các phần mềm độc hại
Nhìn chung phần mềm độc hại có những tác hại sau:










Làm giảm hiệu năng xử lý
Thiệt hại tài chính
Mất thông tin cá nhân
Mã hóa dữ liệu tống tiền
Gây ra các sự khó chịu khác cho người dùng
Ảnh hưởng tới hoạt động sản xuất.
Phá hủy hệ thống


4

1.2

Khái quát về sâu mạng và cơ chế lây nhiễm

1.2.1

Khái niệm

Worm – sâu máy tính (sau đây gọi tắt là sâu) được hiểu như
là một loại virus đặc biệt hay một chương trình độc hại. Phương thức
lây lan qua mạng là khác biệt cơ bản giữa virus và sâu. Hơn nữa, sâu
có khả năng lan truyền như chương trình độc lập mà không cần lây
nhiễm qua tập tin. Ngoài ra, nhiều loại sâu có thể chiếm quyền kiểm
soát hệ thống từ xa thông qua các “lỗ hổng” mà không cần có sự

“giúp sức” nào từ người dùng. Tuy nhiên, cũng có những trường hợp
ngoại lệ như sâu Happy99, Melissa, LoveLetter, Nimda...

1.2.2

Lịch sử

1.2.3

Phân loại

1.2.4

Cách thức làm việc của sâu

1.2.5

Một số loại sâu điển hình

a)
b)
c)
d)

Morris – sâu đầu tiên năm 1988
IloveYou năm 2000
Code Red 2001
Slammer năm 2001

1.3


Phòng chống sâu mạng và các phần mềm độc hại
khác

1.3.1

Phương pháp phòng chống virus

1.3.2

Phương pháp phòng chống Worm

1.4

Kết chương

TrongChương 1, luận văn đề cập đến những kiến thức cơ
bản về các phần mềm độc hại nói chung và về sâu mạng nói riêng và
cách phòng chống, cung cấp cho người sử dụng máy tính hiểu biết
chung nhất về các lại sâu mạng và các loại phần mềm độc hại.


5

Chương này chỉ ra cách phân biệt các loại phần mềm độc hại trong
máy tính, biết được tiểu sử cũng như hậu quả mà chúng gây ra cho
người sử dụng máy tính qua các thời kỳ. Từ cơ sở này, luận văn tiếp
tục đi nghiên cứu các kỹ thuật quét và phương pháp phát hiện sâu
mạng ở phần tiếp theo.



6

CHƯƠNG 2: CÁC KỸ THUẬT QUÉT CỦA SÂU
MẠNG VÀ CÁC PHƯƠNG PHÁP PHÁT HIỆN
2.1

Các kỹ thuật quét của sâu mạng

Khác với virus và các phần mềm độc hại khác, sâu mạng có
khả năng rà quét các host trên mạng để tìm các host mới cho quá
trình lây nhiễm sâu. Mục này phân tích các kỹ thuật rà quét điển hình
của sâu mạng, bao gồm: quét ngẫu nhiên có chọn lọc, quét định
tuyến, quét chia để trị, quét kết hợp và quét toàn bộ.

2.1.1

Quét ngẫu nhiên có chọn lọc

Thay vì quét toàn bộ không gian địa chỉ IP một cách ngẫu
nhiên, một tập hợp các địa chỉ có thể thuộc về các máy hiện tại có
thể được chọn làm không gian địa chỉ đích. Danh sách địa chỉ đã
chọn có thể thu được từ các bảng định tuyến toàn cầu hoặc cục bộ.
Chúng ta gọi loại quét này là quét ngẫu nhiên có chọn lọc.

2.1.2

Quét định tuyến

Ngoài các không gian địa chỉ quét, nếu một sâu cũng biết

được địa chỉ nào có thể định tuyến hoặc đang được sử dụng, sau đó
nó có thể lây lan nhanh hơn, hiệu quả hơn và có thể tránh được phát
hiện. Đối với kiểu quét này, các địa chỉ IP không được gán mà không
thể định tuyến trên Internet được xóa khỏi cơ sở dữ liệu của sâu,
được gọi là quét định tuyến.

2.1.3

Quét kiểu chia để trị

Thay vì quét toàn bộ cơ sở dữ liệu, một máy chủ bị nhiễm sẽ
phân chia cơ sở dữ liệu địa chỉ của nó với các nạn nhân gọi là quét
phân chia. Ví dụ, sau khi máy A lây nhiễm vào máy B, máy A sẽ
chia các địa chỉ định tuyến của nó thành một nửa và truyền một nửa
cho máy B. Máy B có thể quét một nửa đó. Bằng cách sử dụng tính
năng phân chia này, kích thước mã của sâu có thể được giảm đi vì


7

mỗi nạn nhân sẽ quét một không gian địa chỉ khác nhau và cũng nhỏ
hơn. Ngoài ra, các lưu lượng quét được tạo bởi các nạn nhân cũng
giảm và khó phát hiện hơn.

2.1.4

Quét kiểu kết hợp

Sự hạn chế của các mục tiêu quét bằng cơ sở dữ liệu địa chỉ
mạng cụ thể có thể sẽ làm bỏ lỡ nhiều địa chỉ máy dễ bị lây nhiêm.

Để giải quyết vấn đề này, kẻ tấn công có thể kết hợp quét ngẫu
nhiên ở giai đoạn sau của quá trình lây nhiễm (khi hầu hết các địa chỉ
đã được quét) để lây nhiễm sang nhiều máy hơn. Kiểu quét này được
gọi là quét kết hợp.

2.1.5

Quét toàn bộ

Đây là phương pháp cực đoan nhất mà người lập trình sâu có
thể dùng để ngăn chặn việc phát hiện sâu. Họ có thể sử dụng một số
phương pháp để có được danh sách đầy đủ các địa chỉ IP được chỉ
định và sử dụng danh sách này làm cơ sở dữ liệu địa chỉ đích. Sau
đó, rất khó để phân biệt được các chương trình độc hại. Flash Worm
được Staniford [8] giới thiệu là loại sâu này.

2.1.6 So sánh các phương pháp quét của sâu mạng
2.2 Các phương pháp phát hiện sâu mạng
2.2.1

Khái quát về các phương pháp phát hiện sâu mạng

Phần này sẽ giới thiệu về các phương pháp phát hiện worm
bằng một số kỹ thuật dùng cho hệ thống cảnh báo. Hệ thống cảnh
báo này sẽ đưa ra cảnh báo khi có điểm bất thường trên traffic mà có
vẻ giống hành vi của worm nhất.
Mục tiêu của hệ thống này là có thể phát hiện ra worm sớm
nhất và mức độ sai dương thấp nhất có thể.
 Kiến trúc chung của hệ thống phát hiện worm
 Cài đặt các thành phần phát hiện trong mạng.

 Vấn đề về kiểm soát không gian địa chỉ


8

2.2.2

Các phương pháp phát hiện sâu mạng

2.2.2.1 Phát hiện dựa trên số nạn nhân
a) Thuật toán phát hiện dựa trên số nạn nhân trong mạng
b) Phân tích lưu lượng

2.2.2.2 Phát hiện dựa trên Hot-IPs
2.2.2.3 Phát hiện dựa trên tương quan nguồn đích
a) Mô tả:
b) Kỹ thuật:

2.2.3 So sánh các phương pháp phát hiện sâu mạng
2.3 Kết chương
Chương 2 đã trình bày chi tiết các kỹ thuật điển hình do sâu
mạng sử dụng để rà quét tìm các hệ thống đích, bao gồm quét ngẫu
nhiên có chọn lọc, quét định tuyến, quét chia để trị, quét kết hợp và
quét toàn bộ. Trên cơ sở các kỹ thuật quét sâu sử dụng, chương cũng
đã trình bày các kỹ thuật phát hiện sâu mạng.
Trong Chương 3, luận văn sẽ trình bày phần thử nghiệm phát
hiện sâu mạng dựa trên phương pháp tương quan nguồn đích.


9


CHƯƠNG 3: THỬ NGHIỆM PHÁT HIỆN SÂU
MẠNG
3.1

Giới thiệu mô hình phát hiện sâu mạng dựa trên
tương quan nguồn-đích

Trong mục này, luận văn tiến hành cài đặt thử nghiệm thuật
toán phát hiện sâu mạng dựa trên tương quan nguồn đích theo
phương pháp do Anbar và các cộng sự [11] đề xuất.

Hình 3.1 Mô hình quét tìm đích lây nhiễm của sâu mạng [11]
Hình 3.1 minh họa quá trình quét tìm đích lây nhiễm của sâu
mạng. Theo đó, quá trình quét và lây nhiễm của sâu mạng diễn ra
như sau:
1. Sâu ban đầu lây nhiễm vào máy F;
2. Tiếp theo, sâu từ máy F giử các yêu cầu quét tìm đích lây
nhiễm đến các máy B và E sử dụng cổng dịch vụ SMTP
25;


10

3. Sau khi sâu lây nhiễm thành công lên máy B, nó tiếp tục
sử dụng B để gửi các yêu cầu quét tìm đích lây nhiễm đến
các máy A, D và C sử dụng cổng dịch vụ SMTP 25;
Quá trình cứ lặp lại như vậy, với một máy ban đầu là đích lây
nhiễm, sau đó khi sâu lây nhiễm thành công nó lại trở thành nguồn đi
quét các máy khác tìm đích lây nhiễm thiếp theo. Như vậy, nếu ta

thực hiện giám sát trên đường truyền mạng (trên router hoặc switch),
có thể phân tích các yêu cầu gửi đi – lại giữa các máy để phát hiện
khả năng xuất hiện của sâu mạng.


11

Hình 3.2 Lưu đồ cài đặt thuật toán phát hiện sâu mạng dựa trên
tương quan nguồn - đích [11]


12

Hình 3.2 mô tả Lưu đồ cài đặt thuật toán phát hiện sâu mạng
dựa trên tương quan nguồn – đích. Theo đó, các yêu cầu quét IP
được thu thập, phân tích và tìm mối tương quan giữa các yêu cầu
quét. Nếu phát hiện host A nhận được yêu cầu quét tại một thời điểm
t1, sau đó tại thời điểm t2 (t2> t1) phát hiện host A gửi các yêu cầu
quét đến các host khác trên cùng cổng dịch vụ và nếu số yêu cầu quét
A gửi đi lớn hơn ngưỡng T cho trước, một cảnh báo phát hiện sâu
mạng được gửi đi.

3.2
3.2.1

Cài đặt thử nghiệm
Tập dữ liệu và tiền xử lý dữ liệu

date=2017-04-07 time=15:31:29 logid=0000000013 type=traffic
subtype=forward level=notice vd=root srcip=172.16.1.23

srcport=61560 srcintf="T44" dstip=192.168.4.16 dstport=13000
dstintf="port11" poluuid=3076f842-4bbe-51e5-acfb-0ae7ea8a30e5
sessionid=19241031 proto=6 action=close policyid=2
dstcountry="Reserved" srccountry="Reserved" trandisp=noop
service="TCP_13000_14000" duration=4 sentbyte=7212
rcvdbyte=6356 sentpkt=16 rcvdpkt=13 vpn="T44" vpntype=ipsecstatic
Hình 3.3 Một bản ghi logs thu thập được từ tường lửa


13

IP nguồn IP đích
Cổng đích
172.16.1.23 192.168.4.16 13000
172.16.1.146 192.168.4.15 995
172.16.1.8 192.168.5.8 3128
172.16.1.8 192.168.5.8 3128
172.16.1.169 192.168.4.16 13000
172.16.1.243 192.168.4.16 13000
172.16.1.95 192.168.4.11 53
172.16.1.33 192.168.4.16 13000
172.16.1.78 192.168.4.11 53
172.16.1.244 192.168.4.16 13000
192.168.11.12 192.168.4.16 13000
172.16.1.186 192.168.4.11 53
172.16.1.109 192.168.4.16 13000
172.16.1.74 192.168.4.15 443
172.16.1.74 192.168.4.15 443
172.16.1.95 192.168.4.11 53
Hình 3.4 Trích một số bản ghi trích xuất từ logs tường lửa

Tập dữ liệu sử dụng là tập logs gồm 400.000 bản ghi trích từ
logs của tường lửa. Hình 3.3 biểu diễn một bản ghi, trong đó có
nhiều mục thông tin, mỗi mục thông tin có dạng tên_trường =
giá_trị. Để phục vụ cho mục đích phát hiện sâu mạng theo phương
pháp tương quan nguồn – đích, tập logs tường lửa được xử lý và
trích xuất ra 3 trường: địa chỉ IP nguồn, địa chỉ IP đích và cổng đích.
Một phần của tập dữ liệu được trích xuất minh họa trên Hình 3.4.

3.2.2

Kết quả phát hiện

Luận văn sử dụng ngôn ngữ lập trình Python chạy trên Ubuntu
để cài đặt thuật toán tương quan nguồn đích (Hình 3.2) để phát hiện
các khả năng xuất hiện các cặp tương quan đích bị quét và sau đó trở


14

thành nguồn gửi đi yêu cầu quét trên cùng cổng dịch vụ đích sử dụng
tập dữ liệu sau tiền xử lý (Hình 3.4).
Host
khởi Host Đích
phát quét
Nguồn

 Đích bị quét mới

Cổng
dịch vụ


172.16.1.64

192.168.4.21

173.194.72.94,
64.30.228.118,
216.58.197.110,
216.58.199.99,
123.30.215.27

80

192.168.4.16

192.168.11.12

192.168.4.11

445

172.16.1.82

192.168.4.15

173.194.72.94,
64.30.228.118,
216.58.197.110,
216.58.199.99,
123.30.215.27


80

172.16.1.21

192.168.10.34

192.168.107.215

8880

192.168.4.16

192.168.11.11

192.168.4.11

445

172.16.1.74

192.168.4.15

23.76.66.74

443

172.16.1.18

192.168.4.11


10.30.154.49

123

Hình 3.5 Kết quả phát hiện các cặp tương quan nguồn đích
Hình 3.5 cung cấp kết quả phát hiện các cặp tương quan
nguồn đích từ tập dữ liệu thử nghiệm, theo đó có 7 địa chỉ IP tìm
được ban đầu là đích của yêu cầu quét, sau đó trở thành nguồn gửi đi
yêu cầu quét trên cùng cổn dịch vụ đích. Các địa chỉ IP này bao gồm
192.168.4.21, 192.168.11.12, 192.168.4.15/80, 192.168.10.34,
192.168.11.11, 192.168.4.15/443 và 192.168.4.11. Trong đó, 2 địa
chỉ IP 192.168.4.21/cổng 80 và 192.168.4.15/cổng 80 nhiều khả


15

năng bị lây nhiễm sâu do các host này sau khi nhận yêu cầu quét đã
gửi đi nhiều yêu cầu quét đến các host khác.

3.3

Kết chương

Trong Chương 3, luận văn giới thiệu mô hình thử nghiệm
phát hiện sâu mạng, thuật toán phát hiện, tập dữ liệu sử dụng và tiền
xử lý dữ liệu và một số kết quả phát hiện các cặp tương quan nguồn
đích. Kết quả cho thấy phương pháp tương quan nguồn đích có khả
năng phát hiện nhanh và chính xác khả năng xuất hiện sâu mạng
thông qua hành vi quét của chúng.



16

KẾT LUẬN
1. Những kết quả đạt được của luận văn
Sâu mạng là một trong các mối đe dọa thường trực với các
máy chủ và các dịch vụ mạng do tốc độ lây lan rất nhanh, khả năng
tàn phá lớn. Luận văn này tập trung nghiên cứu các phương pháp rà
quét tìm đích lây nhiễm trong quá trình lây lan của sâu mạng và các
phương pháp phát hiện sâu mạng. Cụ thể, Luận văn đã đạt được các
kết quả sau:






Nghiên cứu khái quát về phần mềm độc hại, với trọng tâm
về sâu mạng, phân loại, hiểu biết cách thức làm việc, trình
bày một số loại sâu điển hình và phương pháp phòng chống.
Nghiên cứu về các kỹ thuật quét tìm đích lây nhiễm của sâu
mạng, bao gồm quét ngẫu nhiên có lựa chọn, quét định
tuyến, quét chia để trị, quét kết hợp và quét toàn bộ. Luận
văn cũng nghiên cứu các kỹ thuật phát hiện sâu, gồm phương
pháp phát hiện số nạn nhân, phương pháp Hot-Ips và tương
quan nguồn đích.
Giới thiệu và thử nghiệm mô hình phát hiện sâu mạng dựa
trên tương quan nguồn đích.


2. Hướng phát triển tiếp theo của luận văn
Nghiên cứu triển khai thử nghiệm mô hình phát hiện sớm
sâu mạng trong môi trường mạng thực tế.


17

DANH MỤC CÁC TÀI LIỆU THAM KHẢO
[1]

Adebayo O.T, Alese B.K, Gabriel A.J, A Model for Computer
Worm Detection in a Computer Network, International Journal
of Computer Applications (0975 –8887) Volume 66–No.2,
March 2013.

[2]

Christopher Kruegel, EnginKirda, Darren Mutz, William
Robertson, and Giovanni Vigna, Polymorphic Worm
Detection Using Structural Information of Executables,
Proceeding RAID'05 Proceedings of the 8th international
conference on Recent Advances in Intrusion Detection, Pages
207-226, Springer-Verlag Berlin, Heidelberg, Germany, 2006.

[3]

Daniel R. Ellis, John G. Aiken, Adam M. McLeod, David R.
Keppler, Paul G. Amman, Graph-based Worm Detection On
Operational Enterprise Networks, MITRE Technical Report,
April 2006.


[4]

Guofei Gu, Monirul Sharif, Xinzhou Qin, David Dagon,
Wenke Lee and George Riley, Worm Detection, Early
Warning and Response Based on Local Victim Information,
20th Annual Computer Security Applications Conference
(ACSAC 2004), 6-10 December 2004, Tucson, AZ, USA.

[5]

Huỳnh Nguyên Chính, Tân Hạnh, Nguyễn Đình Thúc
(2013), Group testing for detecting worms in computer
networks. Tạp chí Khoa học và Công nghệ - chuyên san các
công trình nghiên cứu về Điện tử, Viễn thông và CNTT,
pp.12-19, 2013.


18

[6]

Ibrahim Farag,Mohammed A. Shouman,Tarek S. Sobh,Heba
El-Fiqi, Intelligent System for Worm Detection, International
Arab Journal of e-Technology, 2009.

[7]

Jaeyeon Jung, Rodolfo A. Milito, and Vern Paxson, On the
Adaptive Real-Time Detection of Fast-Propagating Network

Worms, Proceedings of the 4th international conference on
Detection of Intrusions and Malware, and Vulnerability
Assessment Pages 175 – 192, Springer-Verlag Berlin,
Heidelberg, Germany, 2007.

[8]

Jiang Wu, Sarma V angala, Lixin Gao, An Effective
Architecture and Algorithm for Detecting Worms with
Various Scan Techniques, in the 11th IEEE Network and
Distributed System Security Symposium, San Diego, CA,
USA, 2004.

[9]

Matthew Dunlop, Carrie Gates, Cynthia Wong, and Chenxi
Wang, SWorD:A Simple Worm Detection Scheme,
Proceedings of the 2007 OTM confederated international
conference on On the move to meaningful internet systems:
CoopIS, DOA, ODBASE, GADA, and IS - Volume Part II,
Pages 1752-1769, 2007.

[10] Miranda Mowbray, Network Worm Detection using Markov's
and Cantelli's Inequalities, HP Laboratories, 2009.

[11] Mohammed Anbar, Rosni Abdullah, Alhamza Munther,
Mohammed Azmi Al-Betar, Redhwan M. A. Saad (2016),
NADTW: new approach for detecting TCP worm, Journal of
Neural Computing and Applications, DOI 10.1007/s00521016-2358-9, Springer, June 2016.



19

[12] Muhammad Adeel, Laurissa Tokarchuk , Laurie Cuthbert,
Chao-sheng Feng, Zhi-guang Qin, Improved Distributed
Framework for Worm Detection & Throttling in Mobile Peerto-Peer Networks, International Journal of Digital Content
Technology and its Applications Volume 3, Number 2, June
2009.

[13] National Institute of Standards and Technology, Guide to
Malware Incident Prevention and Handling for Desktops and
Laptops, 2005.

[14] Peter Szor (2005), The art of computer Virus research and
defense, Addsion Wesley Professional.

[15] Xinzhou Qin, David Dagon, Guofei Gu, Wenke Lee, Worm
Detection Using Local Networks, College of Computing
Technical Reports, July 2004.