国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種網(wǎng)絡(luò)蠕蟲檢測(cè)方法及其系統(tǒng)的制作方法

      文檔序號(hào):86350閱讀:390來源:國知局
      專利名稱:一種網(wǎng)絡(luò)蠕蟲檢測(cè)方法及其系統(tǒng)的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及計(jì)算機(jī)安全防護(hù)技術(shù)領(lǐng)域
      ,尤其涉及一種網(wǎng)絡(luò)蠕蟲檢測(cè)系統(tǒng)及方法。
      背景技術(shù)
      網(wǎng)絡(luò)蠕蟲是一種可獨(dú)立運(yùn)行的程序,它通過對(duì)網(wǎng)絡(luò)的掃描,發(fā)現(xiàn)存在系統(tǒng)漏洞的計(jì)算機(jī)系統(tǒng),獲取該計(jì)算機(jī)系統(tǒng)的控制權(quán),并進(jìn)行傳播;網(wǎng)絡(luò)蠕蟲的傳播會(huì)導(dǎo)致信息的泄露,計(jì)算機(jī)系統(tǒng)的資源消耗,網(wǎng)絡(luò)的擁塞等嚴(yán)重后果。由于網(wǎng)絡(luò)蠕蟲存在上述危害,因此已成為目前影響網(wǎng)絡(luò)安全的一個(gè)重大因素。
      通過分析蠕蟲的工作過程和行為特征,可以知道防止蠕蟲泛濫的關(guān)鍵在于及早的發(fā)現(xiàn)蠕蟲,然后對(duì)被感染的計(jì)算機(jī)系統(tǒng)采取相應(yīng)措施,如清除病毒文件、隔離等。因此對(duì)蠕蟲的檢測(cè)成為防止蠕蟲傳播的首要步驟,對(duì)蠕蟲檢測(cè)技術(shù)的研究成為保證網(wǎng)絡(luò)環(huán)境安全性,維護(hù)社會(huì)和個(gè)人利益的迫切需要。
      目前對(duì)于網(wǎng)絡(luò)蠕蟲的檢測(cè)主要還是通過傳統(tǒng)的基于特征碼的檢測(cè),首先分析捕獲的蠕蟲樣本,得到該蠕蟲的特征碼,更新蠕蟲檢測(cè)軟件的特征庫,然后蠕蟲檢測(cè)程序根據(jù)這些新的特征碼在網(wǎng)絡(luò)流量或者主機(jī)文件中進(jìn)行特征匹配,從而實(shí)現(xiàn)蠕蟲檢測(cè)。這種檢測(cè)方法的缺點(diǎn)是如果有新的蠕蟲出現(xiàn),需要經(jīng)過一段時(shí)間才能使特征庫得到更新。這樣對(duì)于新出現(xiàn)的蠕蟲或者蠕蟲的變種就不能做到及時(shí)發(fā)現(xiàn)。
      目前蠕蟲檢測(cè)方法研究的主流方向是通過對(duì)蠕蟲傳播過程中的導(dǎo)致的網(wǎng)絡(luò)異常特征的分析,來檢測(cè)蠕蟲的爆發(fā)。常用的方法有通過對(duì)連接數(shù)的累計(jì),判斷累計(jì)值是否超過設(shè)置的閾值,來檢測(cè)蠕蟲;通過對(duì)ICMP消息異常的統(tǒng)計(jì)來檢測(cè)蠕蟲的發(fā)生等。但是以往的方法僅以連接數(shù)量方面的特征作為檢測(cè)指標(biāo),而且均未涉及蠕蟲的關(guān)鍵特征,缺乏對(duì)蠕蟲傳播特性的建模,檢測(cè)策略簡(jiǎn)單,導(dǎo)致檢測(cè)的誤報(bào)率和漏報(bào)率較高。
      申請(qǐng)?zhí)枮?3149742.X的發(fā)明專利申請(qǐng)公開了一種入侵檢測(cè)方法,該申請(qǐng)中入侵檢測(cè)系統(tǒng)按照檢測(cè)規(guī)則對(duì)訪問受護(hù)網(wǎng)絡(luò)或主機(jī)的每個(gè)事件進(jìn)行檢測(cè),取得檢測(cè)當(dāng)前事件所使用的入侵檢測(cè)規(guī)則,根據(jù)入侵檢測(cè)規(guī)則與漏洞之間預(yù)先設(shè)置的對(duì)應(yīng)關(guān)系確定所要攻擊的漏洞,檢索受護(hù)網(wǎng)絡(luò)或主機(jī)是否存在所確定的漏洞;并進(jìn)行入侵事件風(fēng)險(xiǎn)度評(píng)估。
      申請(qǐng)?zhí)枮?3137094.2的發(fā)明專利申請(qǐng)公開了一種基于相關(guān)特征聚類的層次入侵檢測(cè)系統(tǒng),其創(chuàng)新的關(guān)鍵之處是在其事件分析模塊中增設(shè)了對(duì)初始化數(shù)據(jù)流的相關(guān)特征分析,構(gòu)成一種新的層次入侵檢測(cè)系統(tǒng)。
      申請(qǐng)?zhí)枮?00310106551.8的發(fā)明專利申請(qǐng)公開了一種分層協(xié)同的網(wǎng)絡(luò)病毒和惡意代碼識(shí)別方法,該技術(shù)方案通過統(tǒng)計(jì)分析關(guān)鍵詞詞頻判斷待檢測(cè)腳本的危險(xiǎn)度,基于注冊(cè)表操作“自我集”的角度來分析判斷注冊(cè)表寫入表項(xiàng)路徑的異常行為,實(shí)現(xiàn)了對(duì)單個(gè)系統(tǒng)及整個(gè)子網(wǎng)中的網(wǎng)絡(luò)病毒和惡意代碼異常行為的監(jiān)控和管理。
      申請(qǐng)?zhí)枮?00410070933.4的發(fā)明專利申請(qǐng)公開了一種防范蠕蟲病毒向網(wǎng)絡(luò)擴(kuò)散的系統(tǒng)和方法,包括安全配置服務(wù)器,用于配置蠕蟲病毒特征并向安全認(rèn)證服務(wù)器發(fā)送蠕蟲病毒特征;終端代理模塊,用于收集終端的與蠕蟲病毒特征相對(duì)應(yīng)的終端信息,并向安全認(rèn)證服務(wù)器發(fā)送該終端信息;安全認(rèn)證服務(wù)器,用于根據(jù)蠕蟲病毒特征對(duì)終端信息進(jìn)行認(rèn)證,認(rèn)證通過向網(wǎng)絡(luò)接入設(shè)備發(fā)送終端認(rèn)證通過消息,反之發(fā)送終端認(rèn)證不通過消息;網(wǎng)絡(luò)接入服務(wù)器,根據(jù)終端認(rèn)證通過消息/終端認(rèn)證不通過消息打開/關(guān)閉終端的上網(wǎng)權(quán)限。
      申請(qǐng)?zhí)枮?00510086681.9的發(fā)明專利申請(qǐng)公開了一種基于有狀態(tài)過濾引擎的高速分組檢測(cè)方法,在網(wǎng)絡(luò)中路由器上部署一個(gè)基于有狀態(tài)過濾引擎的高速分組檢測(cè)組件,該組件能夠高速檢測(cè)到達(dá)路由器的分組,識(shí)別含有規(guī)則庫中的惡意代碼(蠕蟲,病毒)的分組。該模塊利用快速查找表和前綴寄存器堆保存子串的匹配狀態(tài);硬件并行查找過濾器和前綴寄存器堆,從而達(dá)到高速檢測(cè)分組的目的。
      申請(qǐng)?zhí)枮?3817429.4的發(fā)明專利申請(qǐng)公開了一種用于自動(dòng)確定程序的潛在蠕蟲樣行為的方法與裝置,包括分析該程序所需的數(shù)據(jù)處理系統(tǒng)資源,如果所需資源不表示該程序具有蠕蟲樣特征,則在受控的非網(wǎng)絡(luò)環(huán)境中運(yùn)行該程序,同時(shí)監(jiān)視并注冊(cè)對(duì)系統(tǒng)資源的訪問,從而確定該程序在非網(wǎng)絡(luò)環(huán)境中的行為。分析所觀察行為的日志記錄,確定該行為是否表示程序具有蠕蟲樣特征。該非網(wǎng)絡(luò)環(huán)境可以向程序仿真網(wǎng)絡(luò)的表象,但不仿真網(wǎng)絡(luò)的操作。
      上述技術(shù)方案在本質(zhì)上還是基于規(guī)則的檢測(cè)方法,需要依賴預(yù)先設(shè)置的檢測(cè)規(guī)則的精度和密度,而檢測(cè)規(guī)則的設(shè)置總是在入侵事件發(fā)生后才能得到更新,所以對(duì)于新出現(xiàn)的攻擊會(huì)有很高的漏報(bào)率。
      申請(qǐng)?zhí)枮?3131057.5的發(fā)明專利申請(qǐng)公開了一種檢測(cè)蠕蟲病毒及延緩病毒傳播的方法,利用設(shè)置在網(wǎng)絡(luò)中的病毒檢測(cè)程序檢測(cè)任一與網(wǎng)絡(luò)聯(lián)接的計(jì)算機(jī)與其它聯(lián)網(wǎng)計(jì)算機(jī)的連接數(shù)量,并設(shè)置閥值限制其連接數(shù)量,對(duì)超過閥值的連接將強(qiáng)行丟棄,并向入侵檢測(cè)系統(tǒng)IDS發(fā)出報(bào)警。
      上述技術(shù)方案通過判斷連接數(shù)量是否超過閾值來確定蠕蟲,會(huì)產(chǎn)生較高的誤報(bào)率和漏報(bào)率。主要是檢測(cè)指標(biāo)過于簡(jiǎn)單,不能夠明顯的突出蠕蟲連接的高失敗率的特性。此外,該方法在實(shí)施時(shí),需要在網(wǎng)絡(luò)內(nèi)的每一臺(tái)計(jì)算機(jī)上安裝一個(gè)病毒檢測(cè)程序,用于監(jiān)視從本計(jì)算機(jī)發(fā)起到其它計(jì)算機(jī)的連接。這種實(shí)施方案加大了成本投入,實(shí)際部署也會(huì)遇到困難。
      申請(qǐng)?zhí)枮?3137444.1的發(fā)明專利申請(qǐng)公開了一種大規(guī)模分布式入侵檢測(cè)系統(tǒng)的數(shù)據(jù)融合機(jī)制,在大規(guī)模高速網(wǎng)絡(luò)中,入侵檢測(cè)系統(tǒng)采用分層的分布式結(jié)構(gòu),在大型網(wǎng)絡(luò)中配置多個(gè)入侵檢測(cè)系統(tǒng)和一些如防火墻等其它安全部件;這些安全部件協(xié)同工作,通過對(duì)告警的融合,產(chǎn)生大規(guī)模環(huán)境下的告警,同時(shí)提高單個(gè)入侵檢測(cè)的檢測(cè)率。
      申請(qǐng)?zhí)枮?3116970.8的發(fā)明專利申請(qǐng)公開了一種高性能網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和檢測(cè)方法,其檢測(cè)系統(tǒng)由一臺(tái)轉(zhuǎn)發(fā)器、至少一臺(tái)交換機(jī)和多臺(tái)檢測(cè)引擎通過信息傳輸線路連接組成,在轉(zhuǎn)發(fā)器內(nèi)安裝有分流系統(tǒng)。對(duì)入侵檢測(cè)系統(tǒng)和檢測(cè)方法實(shí)行了數(shù)據(jù)分流,提高了檢測(cè)性能。
      申請(qǐng)?zhí)枮?00410009089.4的發(fā)明專利申請(qǐng)公開了一種因特網(wǎng)蠕蟲病毒的早期預(yù)警方法。可在多個(gè)節(jié)點(diǎn)的系統(tǒng)間共享因特網(wǎng)蠕蟲病毒檢測(cè)信息,從而可以達(dá)到預(yù)警和快速阻斷蠕蟲傳播的目的。
      申請(qǐng)?zhí)枮?00510012126.1的發(fā)明專利申請(qǐng)公開了一種P2P蠕蟲防御系統(tǒng),對(duì)等主機(jī)通過安裝運(yùn)行含有對(duì)等端交互軟件、多節(jié)點(diǎn)協(xié)同快速文件傳輸軟件和病毒掃描軟件在內(nèi)的對(duì)等交互軟件搭建起一個(gè)P2P蠕蟲防御網(wǎng)絡(luò),實(shí)現(xiàn)對(duì)本地主機(jī)的安全漏洞掃描和病毒監(jiān)測(cè),實(shí)現(xiàn)自組織的P2P蠕蟲防御網(wǎng)絡(luò)的高效信息共享,實(shí)現(xiàn)在發(fā)現(xiàn)蠕蟲病毒時(shí)的快速發(fā)布預(yù)警信息,以及通過多節(jié)點(diǎn)協(xié)同數(shù)據(jù)傳輸機(jī)制實(shí)現(xiàn)對(duì)等主機(jī)在受到蠕蟲病毒攻擊時(shí)能快速獲取補(bǔ)丁文件。
      上述技術(shù)方案考慮了分布式檢測(cè)的問題,但是其對(duì)于入侵檢測(cè)技術(shù)的本身沒有提出更新的方法,在提高單個(gè)入侵檢測(cè)的準(zhǔn)確率方面沒有作更大的改進(jìn)。
      申請(qǐng)?zhí)枮?00510110267.7的發(fā)明專利申請(qǐng)公開了一種突發(fā)性異常網(wǎng)絡(luò)流量的檢測(cè)與監(jiān)控方法,通過NS-2網(wǎng)絡(luò)仿真器平臺(tái)下的蠕蟲攻擊及DDoS分布式拒絕服務(wù)攻擊的仿真實(shí)現(xiàn),采用網(wǎng)絡(luò)流量分析協(xié)議Net Flow對(duì)網(wǎng)絡(luò)流量信息進(jìn)行采集分析,判斷異常源的行為特征,最后采取相應(yīng)的控制措施中斷此類攻擊。該技術(shù)方案采用隱馬爾科夫鏈,計(jì)算量過大。
      Jaeyeon Jung等提出了一種利用連續(xù)假設(shè)檢驗(yàn)來檢測(cè)掃描的TRW檢測(cè)技術(shù)(Jaeyeon Jung,Vern Paxson,Arthur W.Berger,and Hari Balakrishnan.Fast portscan detection using sequential hypothesis testing.In Proceedings ofthe IEEE Symposium on Security and Privacy,2004.)。蠕蟲在傳播過程中,蠕蟲主機(jī)發(fā)起的連接往往是失敗連接,而正常主機(jī)發(fā)起連接能夠成功建立的可能性更大。該技術(shù)檢測(cè)被檢測(cè)網(wǎng)絡(luò)中每臺(tái)主機(jī)的每個(gè)連接的狀態(tài),采用連續(xù)假設(shè)檢驗(yàn)的方法對(duì)失敗連接的次數(shù)與成功連接的次數(shù)做比較,如果失敗連接的次數(shù)比成功連接次數(shù)多指定的次數(shù),則判斷該主機(jī)存在異常。該技術(shù)實(shí)質(zhì)上是通過比較失敗連接次數(shù)與成功連接次數(shù)來判斷主機(jī)是否存在異常。但是,在一定時(shí)間段內(nèi),正常主機(jī)可能也會(huì)產(chǎn)生更多的失敗連接,因此該技術(shù)會(huì)產(chǎn)生較高的誤報(bào)率。
      基于隨機(jī)掃描的網(wǎng)絡(luò)蠕蟲在進(jìn)行傳播時(shí),會(huì)向隨機(jī)地址發(fā)送大量的掃描數(shù)據(jù)包,以判斷該地址的主機(jī)是否開機(jī),以及是否可以被感染。然而,在因特網(wǎng)上,一般的客戶機(jī)正常行為下,在一個(gè)時(shí)間段內(nèi)去連接大量主機(jī)的可能性很低。因此由感染蠕蟲的主機(jī)發(fā)起的連接的目標(biāo)地址比較分散,因此連接目標(biāo)地址分布這一特征上,網(wǎng)絡(luò)蠕蟲的掃描行為和正常主機(jī)的網(wǎng)絡(luò)訪問行為存在很明顯的差異,因此可以利用這一特征作為檢測(cè)隨機(jī)掃描型蠕蟲的依據(jù)。
      基于隨機(jī)掃描的網(wǎng)絡(luò)蠕蟲為了實(shí)現(xiàn)在整個(gè)互聯(lián)網(wǎng)范圍內(nèi)的傳播,需要對(duì)整個(gè)IP地址段進(jìn)行掃描,因此企業(yè)內(nèi)部網(wǎng)中存在的蠕蟲主機(jī)也必然會(huì)向企業(yè)外部的網(wǎng)絡(luò)發(fā)起掃描行為?;谶@個(gè)原理,只要將蠕蟲檢測(cè)機(jī)部署在企業(yè)內(nèi)部網(wǎng)的出口處,就可以檢測(cè)企業(yè)內(nèi)部網(wǎng)是否存在網(wǎng)絡(luò)蠕蟲。

      發(fā)明內(nèi)容本發(fā)明提供了一種網(wǎng)絡(luò)蠕蟲檢測(cè)方法,克服了現(xiàn)有的網(wǎng)絡(luò)蠕蟲檢測(cè)技術(shù)不能準(zhǔn)確、高效地檢測(cè)到未知蠕蟲和蠕蟲病毒變種,檢測(cè)結(jié)果存在較高的誤報(bào)率和漏報(bào)率的缺點(diǎn),可準(zhǔn)確、高效地檢測(cè)到未知蠕蟲和蠕蟲病毒變種。
      一種網(wǎng)絡(luò)蠕蟲檢測(cè)方法,記錄被檢測(cè)主機(jī)對(duì)每個(gè)目標(biāo)地址發(fā)起連接數(shù),根據(jù)發(fā)起連接數(shù)在目的主機(jī)中的分布,計(jì)算該主機(jī)的目標(biāo)地址熵值;預(yù)先設(shè)定網(wǎng)絡(luò)蠕蟲報(bào)警閾值和響應(yīng)閾值,將計(jì)算所得熵值與預(yù)先設(shè)定的閾值進(jìn)行比較,若熵值大于網(wǎng)絡(luò)蠕蟲報(bào)警閾值且小于或等于響應(yīng)閾值,則認(rèn)為該主機(jī)為可疑主機(jī),給出報(bào)警;若熵值大于響應(yīng)閾值,則觸發(fā)響應(yīng)機(jī)制;若熵值小于或等于蠕蟲報(bào)警閾值,則繼續(xù)檢測(cè),等待主機(jī)的下一次的連接發(fā)起,重新計(jì)算熵值作比較。
      上述網(wǎng)絡(luò)蠕蟲檢測(cè)方法的檢測(cè)過程具體包括以下步驟a)設(shè)置參數(shù),包括網(wǎng)絡(luò)蠕蟲的報(bào)警閾值和響應(yīng)閾值,以及定時(shí)清空的時(shí)間間隔和單臺(tái)主機(jī)的目標(biāo)地址分類表的表項(xiàng)個(gè)數(shù);b)從網(wǎng)絡(luò)捕獲的實(shí)時(shí)數(shù)據(jù)包中,獲取一個(gè)連接的源地址Src,目標(biāo)地址Dst;c)檢查源地址Src是否已經(jīng)在蠕蟲主機(jī)地址列表中,若存在,說明該地址的主機(jī)已經(jīng)感染蠕蟲,則不作進(jìn)一步的處理,轉(zhuǎn)到b);若不存在,則轉(zhuǎn)到d);d)檢查源地址Src是否在被檢測(cè)主機(jī)地址列表SList中,若不存在,則分配一個(gè)固定大小的對(duì)應(yīng)該源地址的目標(biāo)地址列表DList[Src],并初始化,將源地址Src加入到被檢測(cè)主機(jī)地址列表SList中,且加入的表項(xiàng)指向該源地址的目標(biāo)地址列表DList[Src];若存在,則轉(zhuǎn)到e);e)計(jì)算目標(biāo)地址Dst的散列函數(shù)值Hash值,記為i;f)根據(jù)計(jì)算得到的目標(biāo)地址Dst的散列函數(shù)值Hash值,設(shè)置目標(biāo)地址列表中的對(duì)應(yīng)項(xiàng)加1,即DList[Src][i]=DList[Src][i]+1;設(shè)置總的目標(biāo)地址個(gè)數(shù)加1,即N=N+1。
      g)計(jì)算此時(shí)主機(jī)源地址Src的熵值,判斷計(jì)算得到的熵值,若熵值大于設(shè)定的網(wǎng)絡(luò)蠕蟲報(bào)警閾值且小于或等于響應(yīng)閾值,則產(chǎn)生報(bào)警記錄;若熵值大于響應(yīng)閾值,則觸發(fā)響應(yīng)機(jī)制;若停止標(biāo)志為真,則結(jié)束檢測(cè)過程;否則若此時(shí)定時(shí)清空的時(shí)間間隔到期,則將被檢測(cè)主機(jī)地址列表中每臺(tái)主機(jī)對(duì)應(yīng)的目標(biāo)地址列表清空;最后轉(zhuǎn)到b),繼續(xù)考察下一個(gè)連接。
      其中主機(jī)的目標(biāo)地址熵值e的計(jì)算公式為e=-&Sigma;i=1kpilogpipi&NotEqual;00pi=0=logfN-1N&Sigma;i=1knilognini&NotEqual;00ni=0=logN-1NM]]>M是用于迭代的中間量ni表示目標(biāo)地址分類表中第i項(xiàng)的值,即目標(biāo)地址的Hash值為i的連接的數(shù)量;K為目標(biāo)地址分類表表項(xiàng)總數(shù),為一個(gè)固定值;N表示分類列表中所有列表項(xiàng)中連接數(shù)值的總和,即在一個(gè)時(shí)間滑動(dòng)窗口到期前目標(biāo)地址的總數(shù),即N=&Sigma;i=1kni;]]>Pi=ni/N,列表中第i項(xiàng)中連接數(shù)占總連接數(shù)的比值。
      上述公式表明了在一個(gè)時(shí)間間隔內(nèi),以某一主機(jī)地址為源地址的所有連接中,目標(biāo)地址的分布情況。如果計(jì)算所得的熵值大于網(wǎng)絡(luò)蠕蟲報(bào)警閾值且小于或等于響應(yīng)閾值,則認(rèn)為該主機(jī)為可疑主機(jī),給出報(bào)警;若熵值大于響應(yīng)閾值,則觸發(fā)響應(yīng)機(jī)制。
      用于迭代的中間量M的計(jì)算,當(dāng)被檢測(cè)主機(jī)的對(duì)每個(gè)目標(biāo)主機(jī)發(fā)起連接數(shù)在時(shí)間窗口到期清零后的第一次計(jì)算或算法開始時(shí)的第一次計(jì)算時(shí),公式為M=&Sigma;i=1knilognini&NotEqual;00ni=0]]>當(dāng)進(jìn)行迭代時(shí),得到一條新連接的數(shù)據(jù)并更新目標(biāo)地址分類表后的中間量M′由本次的M導(dǎo)出,公式為M′=M-njlognj+(nj+1)log(nj+1)其中K為目標(biāo)地址分類表表項(xiàng)總數(shù),為一個(gè)固定值;ni表示分類列表中第i項(xiàng)的值,即Hash值為i的目標(biāo)地址的個(gè)數(shù);
      nj表示分類列表中第j項(xiàng)的值,即Hash值為j的目標(biāo)地址的個(gè)數(shù),且計(jì)算M′值時(shí)相對(duì)計(jì)算M值時(shí)增加的這條連接的目標(biāo)地址對(duì)應(yīng)hash值為j。
      本發(fā)明還提供了采用上述檢測(cè)方法的系統(tǒng)。
      一種采用上述檢測(cè)方法的系統(tǒng),由檢測(cè)機(jī)和其上的單機(jī)蠕蟲檢測(cè)程序組成,所述的檢測(cè)機(jī)連接網(wǎng)絡(luò)出口交換機(jī)或路由器的鏡像端口,用于監(jiān)聽網(wǎng)絡(luò)出口處的網(wǎng)絡(luò)數(shù)據(jù)包,并運(yùn)行蠕蟲檢測(cè)程序,執(zhí)行本地檢測(cè)策略,從網(wǎng)絡(luò)中捕獲數(shù)據(jù)包,根據(jù)網(wǎng)絡(luò)中主機(jī)發(fā)起連接數(shù)量在目的主機(jī)中的分布,計(jì)算該主機(jī)的目標(biāo)地址熵值,判斷是否存在感染蠕蟲的主機(jī),生成報(bào)警記錄或觸發(fā)響應(yīng)機(jī)制;所述的單機(jī)蠕蟲檢測(cè)程序由網(wǎng)絡(luò)蠕蟲檢測(cè)模塊、網(wǎng)絡(luò)流量分析模塊、網(wǎng)絡(luò)流量采集模塊及配置與報(bào)警顯示界面模塊構(gòu)成,網(wǎng)絡(luò)流量分析模塊從網(wǎng)絡(luò)流量采集模塊得到流量進(jìn)行分析,得到連接信息,并發(fā)送給網(wǎng)絡(luò)蠕蟲檢測(cè)模塊進(jìn)行檢測(cè),配置與報(bào)警顯示界面模塊同網(wǎng)絡(luò)蠕蟲檢測(cè)模塊和網(wǎng)絡(luò)流量分析模塊進(jìn)行通訊,主要對(duì)模塊參數(shù)進(jìn)行配置,并顯示報(bào)警信息。
      所述的網(wǎng)絡(luò)蠕蟲檢測(cè)模塊的主要數(shù)據(jù)結(jié)構(gòu)包括蠕蟲主機(jī)列表、被檢測(cè)主機(jī)地址列表、目標(biāo)地址列表。
      本發(fā)明的有益效果為由于蠕蟲爆發(fā)時(shí)感染主機(jī)會(huì)在短時(shí)間內(nèi)連接大量主機(jī),導(dǎo)致時(shí)間間隔內(nèi)其發(fā)起的連接具有與正常連接不同的分布特性。這里我們針對(duì)其特性,考慮使用目標(biāo)地址的分布作為統(tǒng)計(jì)指標(biāo),具體對(duì)蠕蟲的檢測(cè)是通過熵值方法根據(jù)連接目標(biāo)地址的分布,比較該值與設(shè)定閾值之間的關(guān)系來判斷該連接的源地址為正常主機(jī)還是蠕蟲。
      同時(shí)為了降低誤報(bào)率和漏報(bào)率,采用兩級(jí)閾值,第一級(jí)為報(bào)警閾值,設(shè)置值較低,降低了漏報(bào)率,報(bào)告盡量多的可疑連接;第二級(jí)為響應(yīng)閾值,設(shè)置值較高,降低了誤報(bào)率,對(duì)盡量少的可疑性較高的連接采取較為嚴(yán)厲的響應(yīng)措施;對(duì)于介于兩級(jí)閾值之間的可疑連接,其響應(yīng)較為寬松,主要給出報(bào)警消息,由外部管理人員進(jìn)行取舍。本發(fā)明蠕蟲檢測(cè)方法并非簡(jiǎn)單地對(duì)某一時(shí)間段內(nèi)連接數(shù)進(jìn)行統(tǒng)計(jì),不僅考慮了當(dāng)前的蠕蟲行為,也考慮歷史狀態(tài)對(duì)當(dāng)前檢測(cè)的影響,從而提高了蠕蟲檢測(cè)效率和精度;本發(fā)明蠕蟲檢測(cè)方法考察了網(wǎng)絡(luò)蠕蟲攻擊行為的一般過程,針對(duì)的是蠕蟲傳播過程中的連續(xù)和隨機(jī)掃描行為的共有特性,因此可以更加全面地實(shí)現(xiàn)對(duì)未知網(wǎng)絡(luò)蠕蟲的檢測(cè);利用本發(fā)明能夠精確檢測(cè)到蠕蟲主機(jī),產(chǎn)生的誤報(bào)記錄更少。
      本發(fā)明以時(shí)間窗口內(nèi)的目標(biāo)地址分布作為蠕蟲行為判據(jù)的基準(zhǔn),綜合考慮算法精確度和效率,采用信息熵公式作為決策算法進(jìn)行網(wǎng)絡(luò)蠕蟲的檢測(cè)。在蠕蟲檢測(cè)中,需要考慮其行為的歷史性,即通過主機(jī)一系列的行為對(duì)其是否為蠕蟲或者正常主機(jī)進(jìn)行判斷。采用信息熵公式作為決策算法,可以保證在檢測(cè)中充分考慮歷史數(shù)據(jù)的影響,使檢測(cè)結(jié)果更加精確,并且其具有成熟的理論基礎(chǔ),運(yùn)算簡(jiǎn)單,能夠保證很好的實(shí)時(shí)性。
      圖1為本發(fā)明檢測(cè)方法的控制流程框圖;圖2為本發(fā)明檢測(cè)系統(tǒng)的部署結(jié)構(gòu)示意圖;圖3為本發(fā)明檢測(cè)系統(tǒng)的內(nèi)部架構(gòu)圖;圖4為本發(fā)明檢測(cè)系統(tǒng)內(nèi)網(wǎng)絡(luò)蠕蟲檢測(cè)模塊的內(nèi)部處理流程圖。
      具體實(shí)施方式如圖1所示,一種網(wǎng)絡(luò)蠕蟲檢測(cè)方法,記錄被檢測(cè)主機(jī)對(duì)每個(gè)目標(biāo)地址發(fā)起連接數(shù),根據(jù)發(fā)起連接數(shù)在目的主機(jī)中的分布,計(jì)算該主機(jī)的目標(biāo)地址熵值;預(yù)先設(shè)定網(wǎng)絡(luò)蠕蟲報(bào)警閾值和響應(yīng)閾值,將計(jì)算所得熵值與預(yù)先設(shè)定的閾值進(jìn)行比較,若熵值大于網(wǎng)絡(luò)蠕蟲報(bào)警閾值且小于或等于響應(yīng)閾值,則認(rèn)為該主機(jī)為可疑主機(jī),給出報(bào)警;若熵值大于響應(yīng)閾值,則觸發(fā)響應(yīng)機(jī)制;若熵值小于或等于蠕蟲報(bào)警閾值,則繼續(xù)檢測(cè),等待主機(jī)的下一次的連接發(fā)起,重新計(jì)算熵值作比較。
      其具體步驟如下a)設(shè)置參數(shù),包括網(wǎng)絡(luò)蠕蟲的報(bào)警閾值和響應(yīng)閾值,以及定時(shí)清空的時(shí)間間隔和單臺(tái)主機(jī)的目標(biāo)地址分類表的表項(xiàng)個(gè)數(shù);b)從網(wǎng)絡(luò)捕獲的實(shí)時(shí)數(shù)據(jù)包中,獲取一個(gè)連接的源地址Src,目標(biāo)地址Dst;c)檢查源地址Src是否已經(jīng)在蠕蟲主機(jī)地址列表中,若存在,說明該地址的主機(jī)已經(jīng)感染蠕蟲,則不作進(jìn)一步的處理,轉(zhuǎn)到b);若不存在,則轉(zhuǎn)到d);d)檢查源地址Src是否在被檢測(cè)主機(jī)地址列表SList中,若不存在,則分配一個(gè)固定大小的對(duì)應(yīng)該源地址的目標(biāo)地址列表DList[Src],并初始化,將源地址Src加入到被檢測(cè)主機(jī)地址列表SList中,且加入的表項(xiàng)指向該源地址的目標(biāo)地址列表DList[Src];若存在,則轉(zhuǎn)到e);e)計(jì)算目標(biāo)地址Dst的散列函數(shù)值Hash值,記為i;f)根據(jù)計(jì)算得到的目標(biāo)地址Dst的散列函數(shù)值Hash值,設(shè)置目標(biāo)地址列表中的對(duì)應(yīng)項(xiàng)加1,即DList[Src][i]=DList[Src][i]+1;設(shè)置總的目標(biāo)地址個(gè)數(shù)加1,即N=N+1。
      g)計(jì)算此時(shí)主機(jī)源地址Src的熵值,判斷計(jì)算得到的熵值,若熵值大于設(shè)定的網(wǎng)絡(luò)蠕蟲報(bào)警閾值且小于或等于響應(yīng)閾值,則產(chǎn)生報(bào)警記錄;若熵值大于響應(yīng)閾值,則觸發(fā)響應(yīng)機(jī)制;若停止標(biāo)志為真,則結(jié)束檢測(cè)過程;否則若此時(shí)定時(shí)清空的時(shí)間間隔到期,則將被檢測(cè)主機(jī)地址列表中每臺(tái)主機(jī)對(duì)應(yīng)的目標(biāo)地址列表清空;最后轉(zhuǎn)到b),繼續(xù)考察下一個(gè)連接。
      如圖2所示,采用上述檢測(cè)方法的蠕蟲單機(jī)檢測(cè)系統(tǒng),由檢測(cè)機(jī)及其上的蠕蟲檢測(cè)端程序構(gòu)成,檢測(cè)機(jī)安裝一塊網(wǎng)卡,連接網(wǎng)絡(luò)出口交換機(jī)或路由器的鏡像端口,用于監(jiān)聽網(wǎng)絡(luò)出口處的網(wǎng)絡(luò)數(shù)據(jù)包,并運(yùn)行蠕蟲檢測(cè)程序,執(zhí)行本地檢測(cè)策略,從網(wǎng)絡(luò)中捕獲數(shù)據(jù)包,根據(jù)網(wǎng)絡(luò)中主機(jī)發(fā)起連接數(shù)量在目的主機(jī)中的分布,計(jì)算該主機(jī)的目標(biāo)地址熵值,判斷是否存在感染蠕蟲的主機(jī),生成報(bào)警記錄或觸發(fā)響應(yīng)機(jī)制。
      如圖3所示,單機(jī)蠕蟲檢測(cè)程序由網(wǎng)絡(luò)蠕蟲檢測(cè)模塊、網(wǎng)絡(luò)流量分析模塊、網(wǎng)絡(luò)流量采集模塊及配置與報(bào)警顯示界面模塊構(gòu)成,網(wǎng)絡(luò)流量分析模塊通過網(wǎng)絡(luò)接口監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)包,進(jìn)行數(shù)據(jù)包重組、超時(shí)檢測(cè)、數(shù)據(jù)分析,從中提取TCP連接和UDP通信的狀態(tài)、流量信息,并實(shí)時(shí)更新,傳遞給蠕蟲檢測(cè)模塊的是以一定格式保存的連接信息。
      如圖4所示,網(wǎng)絡(luò)蠕蟲檢測(cè)模塊的主要數(shù)據(jù)結(jié)構(gòu)包括蠕蟲主機(jī)列表、被檢測(cè)主機(jī)地址列表、目標(biāo)地址列表。網(wǎng)絡(luò)蠕蟲檢測(cè)模塊利用信息熵檢測(cè)算法對(duì)網(wǎng)絡(luò)流量分析模塊產(chǎn)生的連接信息進(jìn)行分析,判斷內(nèi)部網(wǎng)中是否存在網(wǎng)絡(luò)蠕蟲,如果存在則通過報(bào)警界面顯示報(bào)警信息或采取響應(yīng)措施。配置與報(bào)警顯示界面模塊同網(wǎng)絡(luò)蠕蟲檢測(cè)模塊和網(wǎng)絡(luò)流量分析模塊進(jìn)行通訊,可以對(duì)蠕蟲檢測(cè)模塊和流量分析模塊進(jìn)行配置,設(shè)置蠕蟲檢測(cè)的各類參數(shù),以及指定流量分析模塊的流量過濾條件以針對(duì)性的檢測(cè)。
      根據(jù)歷史數(shù)據(jù)的分析,設(shè)置本發(fā)明檢測(cè)系統(tǒng)中網(wǎng)絡(luò)蠕蟲的報(bào)警閾值和響應(yīng)閾值分別為1.0和2.0,考慮網(wǎng)絡(luò)連接的平均持續(xù)時(shí)間,設(shè)置定時(shí)清空的時(shí)間間隔為10秒。
      當(dāng)單機(jī)蠕蟲檢測(cè)程序考察由某一個(gè)主機(jī)發(fā)起的連接情況。首先分配一個(gè)4K大小的列表,用于保存該主機(jī)的地址分類;當(dāng)考察以該主機(jī)為源地址的連接時(shí),先通過Hash函數(shù)計(jì)算該連接中目標(biāo)地址的Hash值,記為i,然后將該Hash值對(duì)應(yīng)的列表項(xiàng)的值加1,利用熵計(jì)算公式計(jì)算該主機(jī)的目標(biāo)地址熵值,然后與預(yù)先設(shè)定的熵值進(jìn)行比較,根據(jù)結(jié)果采取相應(yīng)動(dòng)作。當(dāng)時(shí)間間隔達(dá)到預(yù)先設(shè)置的10秒時(shí),將所有源主機(jī)的所有目標(biāo)主機(jī)hash列表項(xiàng)清零,開始下一輪的計(jì)算。
      為驗(yàn)證本發(fā)明所研究的蠕蟲檢測(cè)技術(shù)的性能,從校園網(wǎng)絡(luò)上采集了一個(gè)宿舍樓出口處的網(wǎng)絡(luò)流量數(shù)據(jù)。由于TRW算法也基于連接信息,下面采用本專利技術(shù)和TRW檢測(cè)技術(shù)進(jìn)行蠕蟲檢測(cè),并對(duì)檢測(cè)結(jié)果進(jìn)行了分析,給出了不同技術(shù)下的報(bào)警有效率(有效報(bào)警記錄/記錄總數(shù))。
      與本發(fā)明比較的檢測(cè)技術(shù)包括1、檢測(cè)技術(shù)一即采用現(xiàn)有技術(shù)七的TRW算法,設(shè)置PD=0.99,PF=0.01,θ1=0.15,θ0=0.8;2、本發(fā)明技術(shù)分別使用兩個(gè)閾值進(jìn)行測(cè)試。設(shè)置響應(yīng)閾值entropy1=2.0,報(bào)警閾值entropy2=1.0,單臺(tái)主機(jī)的目標(biāo)地址分類表固定大小K=4096,更新時(shí)間間隔為10秒;測(cè)試結(jié)果如表1所示表1蠕蟲檢測(cè)結(jié)果比較
      實(shí)驗(yàn)結(jié)果表明,本發(fā)明蠕蟲檢測(cè)方法在兩種閾值條件下產(chǎn)生的誤報(bào)記錄都要比TRW少。通過使用兩級(jí)閾值,報(bào)警閾值可以盡可能全面的檢測(cè)流量中的異常行為,有效的降低報(bào)警的漏報(bào)率,再通過人工判斷降低誤報(bào)率;而響應(yīng)閾值可以在設(shè)置報(bào)警閾值的基礎(chǔ)上有效消除漏報(bào)率高的特點(diǎn),并得到較低的誤報(bào)率。雖然蠕蟲比較難以規(guī)避檢測(cè)技術(shù)一中TRW算法的檢測(cè),但是該算法的檢測(cè)有效率僅有49.5%,誤報(bào)過多,因此也不具有實(shí)用性。
      本發(fā)明蠕蟲檢測(cè)系統(tǒng)只需要部署在企業(yè)內(nèi)部網(wǎng)絡(luò)的出口處,就可以實(shí)現(xiàn)對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的蠕蟲檢測(cè),這樣節(jié)省了資源和產(chǎn)品升級(jí)、維護(hù)的費(fèi)用。
      權(quán)利要求
      1.一種網(wǎng)絡(luò)蠕蟲檢測(cè)方法,其特征在于記錄被檢測(cè)主機(jī)對(duì)每個(gè)目標(biāo)地址發(fā)起連接數(shù),根據(jù)發(fā)起連接數(shù)在目的主機(jī)中的分布,計(jì)算該主機(jī)的目標(biāo)地址熵值;預(yù)先設(shè)定網(wǎng)絡(luò)蠕蟲報(bào)警閾值和響應(yīng)閾值,將計(jì)算所得熵值與預(yù)先設(shè)定的閾值進(jìn)行比較,若熵值大于網(wǎng)絡(luò)蠕蟲報(bào)警閾值且小于或等于響應(yīng)閾值,則認(rèn)為該主機(jī)為可疑主機(jī),給出報(bào)警;若熵值大于響應(yīng)閾值,則觸發(fā)響應(yīng)機(jī)制;若熵值小于或等于蠕蟲報(bào)警閾值,則繼續(xù)檢測(cè),等待主機(jī)的下一次的連接發(fā)起,重新計(jì)算熵值作比較。
      2.如權(quán)利要求
      1所述的網(wǎng)絡(luò)蠕蟲檢測(cè)方法,其特征在于網(wǎng)絡(luò)蠕蟲檢測(cè)的過程具體包括以下步驟a)設(shè)置參數(shù),包括網(wǎng)絡(luò)蠕蟲的報(bào)警閾值和響應(yīng)閾值,定時(shí)清空的時(shí)間間隔和單臺(tái)主機(jī)的目標(biāo)地址分類表的表項(xiàng)個(gè)數(shù);b)從網(wǎng)絡(luò)捕獲的實(shí)時(shí)數(shù)據(jù)包中,獲取一個(gè)連接的源地址和目標(biāo)地址;c)檢查源地址是否已經(jīng)在蠕蟲主機(jī)地址列表中,若存在,說明該地址的主機(jī)已經(jīng)感染蠕蟲,則不作進(jìn)一步的處理,轉(zhuǎn)到b);若不存在,則轉(zhuǎn)到d);d)檢查源地址是否在被檢測(cè)主機(jī)地址列表中,若不存在,則分配一個(gè)固定大小的對(duì)應(yīng)該源地址的目標(biāo)地址列表,并初始化,將源地址加入到被檢測(cè)主機(jī)地址列表中,且加入的表項(xiàng)指向該源地址的目標(biāo)地址列表;若存在,則轉(zhuǎn)到e);e)計(jì)算目標(biāo)地址的散列函數(shù)值,記為i;f)根據(jù)計(jì)算得到的目標(biāo)地址的散列函數(shù)值,設(shè)置目標(biāo)地址列表中的對(duì)應(yīng)項(xiàng)加1,設(shè)置總的目標(biāo)地址個(gè)數(shù)加1;g)計(jì)算此時(shí)主機(jī)源地址的熵值,判斷計(jì)算得到的熵值,若熵值大于設(shè)定的網(wǎng)絡(luò)蠕蟲報(bào)警閾值且小于或等于響應(yīng)閾值,則產(chǎn)生報(bào)警記錄;若熵值大于響應(yīng)閾值,則觸發(fā)響應(yīng)機(jī)制;若停止標(biāo)志為真,則結(jié)束檢測(cè)過程;否則若此時(shí)定時(shí)清空的時(shí)間間隔到期,則將被檢測(cè)主機(jī)地址列表中每臺(tái)主機(jī)對(duì)應(yīng)的目標(biāo)地址列表清空;最后轉(zhuǎn)到b),繼續(xù)考察下一個(gè)連接。
      3.一種采用如權(quán)利要求
      1或2所述方法的網(wǎng)絡(luò)蠕蟲單機(jī)檢測(cè)系統(tǒng),其特征在于由檢測(cè)機(jī)和其上的單機(jī)蠕蟲檢測(cè)程序組成,所述的檢測(cè)機(jī)連接網(wǎng)絡(luò)出口交換機(jī)或路由器的鏡像端口,用于監(jiān)聽網(wǎng)絡(luò)出口處的網(wǎng)絡(luò)數(shù)據(jù)包,并運(yùn)行蠕蟲檢測(cè)程序,執(zhí)行本地檢測(cè)策略,從網(wǎng)絡(luò)中捕獲數(shù)據(jù)包,根據(jù)網(wǎng)絡(luò)中主機(jī)發(fā)起連接數(shù)量在目的主機(jī)中的分布,計(jì)算該主機(jī)的目標(biāo)地址熵值,判斷是否存在感染蠕蟲的主機(jī),生成報(bào)警記錄或觸發(fā)響應(yīng)機(jī)制;所述的單機(jī)蠕蟲檢測(cè)程序由網(wǎng)絡(luò)蠕蟲檢測(cè)模塊、網(wǎng)絡(luò)流量分析模塊、網(wǎng)絡(luò)流量采集模塊及配置與報(bào)警顯示界面模塊構(gòu)成,網(wǎng)絡(luò)流量分析模塊從網(wǎng)絡(luò)流量采集模塊得到流量進(jìn)行分析,得到連接信息,并發(fā)送給網(wǎng)絡(luò)蠕蟲檢測(cè)模塊進(jìn)行檢測(cè),配置與報(bào)警顯示界面模塊同網(wǎng)絡(luò)蠕蟲檢測(cè)模塊和網(wǎng)絡(luò)流量分析模塊進(jìn)行通訊,主要對(duì)模塊參數(shù)進(jìn)行配置,并顯示報(bào)警信息。
      4.如權(quán)利要求
      3所述的網(wǎng)絡(luò)蠕蟲單機(jī)檢測(cè)系統(tǒng),其特征在于所述的網(wǎng)絡(luò)蠕蟲檢測(cè)模塊的主要數(shù)據(jù)結(jié)構(gòu)包括蠕蟲主機(jī)列表、被檢測(cè)主機(jī)地址列表、目標(biāo)地址列表。
      專利摘要
      本發(fā)明公開了一種網(wǎng)絡(luò)蠕蟲檢測(cè)方法,記錄被檢測(cè)主機(jī)對(duì)每個(gè)目標(biāo)地址發(fā)起連接數(shù),根據(jù)發(fā)起連接數(shù)在目的主機(jī)中的分布,計(jì)算該主機(jī)的目標(biāo)地址熵值;預(yù)先設(shè)定網(wǎng)絡(luò)蠕蟲報(bào)警閾值和響應(yīng)閾值,將計(jì)算所得熵值與預(yù)先設(shè)定的閾值進(jìn)行比較,若熵值大于網(wǎng)絡(luò)蠕蟲報(bào)警閾值且小于或等于響應(yīng)閾值,則認(rèn)為該主機(jī)為可疑主機(jī),給出報(bào)警;若熵值大于響應(yīng)閾值,則觸發(fā)響應(yīng)機(jī)制;若熵值小于或等于蠕蟲報(bào)警閾值,則繼續(xù)檢測(cè),等待主機(jī)的下一次的連接發(fā)起,重新計(jì)算熵值作比較。本發(fā)明克服了現(xiàn)有的網(wǎng)絡(luò)蠕蟲檢測(cè)技術(shù)不能準(zhǔn)確、高效地檢測(cè)到未知蠕蟲和蠕蟲病毒變種,檢測(cè)結(jié)果存在較高的誤報(bào)率和漏報(bào)率的缺點(diǎn),可準(zhǔn)確、高效地檢測(cè)到未知蠕蟲和蠕蟲病毒變種。
      文檔編號(hào)H04L12/24GK1997017SQ200610155323
      公開日2007年7月11日 申請(qǐng)日期2006年12月20日
      發(fā)明者董亞波, 魏蔚, 汪偉 申請(qǐng)人:浙江大學(xué)導(dǎo)出引文BiBTeX, EndNote, RefMan
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1