專利名稱:一種蠕蟲檢測方法
技術領域:
本發(fā)明涉及網絡通信技術���,特別涉及一種檢測蠕蟲攻擊的方法�����。
背景技術:
隨著計算機網絡的迅速發(fā)展,網絡規(guī)模不斷擴大����,蠕蟲對互聯網的安全造成了越 來越大的威脅。一方面����,蠕蟲危害網絡中的計算機終端,導致目標計算機的重要信息泄露或 者拒絕服務等�����。另一方面���,對于沒有采取相應安全措施的計算機網絡�����,蠕蟲攻擊所帶來的流 量可能導致整個網絡擁塞甚至癱瘓��。蠕蟲的工作方式一般是(1)搜索掃描負責探測存在漏洞的主機���。當程序向某個 主機發(fā)送探測漏洞的信息并收到成功的反饋信息之后����,就得到一個可攻擊的對象。(2)攻 擊攻擊模塊按搜索掃描中找到的對象取得該主機的權限。( 復制通過原主機和新主機 之間的交互����,將蠕蟲程序復制到新主機并啟動�。該過程可以利用系統本身的程序實現也可 以利用蠕蟲自帶的程序實現�。通過分析蠕蟲的行為特征可知,防御蠕蟲的關鍵在于盡早地發(fā)現蠕蟲�。然后就可 以對被感染的計算機采取相應的清除隔離等措施。因而對蠕蟲的檢測成為防治蠕蟲的關鍵步驟��。傳統的蠕蟲檢測通常使用特征碼匹配的檢測方法�����,這種方法必須首先獲得已傳播 蠕蟲的樣本才能分析出特征碼��,才能更新蠕蟲檢測軟件的特征庫從而檢測該類型的蠕蟲�, 因而對于未知蠕蟲的檢測難以實現。另外�,常用的基于流量的檢測蠕蟲的方法有計算各個主機與其它主機的連接數目 是否超過一定的閾值來判斷該主機是否感染蠕蟲���。該方法的實質是通過檢測蠕蟲的掃描行 為來檢測蠕蟲,其不足在于僅以連接數作為檢測指標�����,策略簡單�,降低了檢測的準確性�。1與本發(fā)明相關的現有技術一申請?zhí)枮?00610155323. 3的發(fā)明專利申請公開了一種網絡蠕蟲檢測方法及系 統,利用蠕蟲掃描與正常主機網絡訪問行為在目標地址分布這一特征上的不同����,提出記錄 被檢測主機對每個目標地址發(fā)起的連接數,并根據發(fā)起連接數在目的地址中的分布計算該 主機目標地址的熵值的方法來檢測蠕蟲�����。該方法預先設定網絡蠕蟲報警閾值�,將計算所得 熵值與預先設定的閾值進行比較,若熵值大于網絡蠕蟲報警閾值且小于或等于響應閾值��, 則認為該主機為可疑主機���,給出報警����;若熵值大于響應閾值,則觸發(fā)響應機制�;若熵值小于 或等于蠕蟲報警閾值,則繼續(xù)檢測���,等待主機的下一次的連接發(fā)起�,重新計算熵值作比較����。該方法的不足在于僅利用了連接目標地址分布這一特征,但是并非所有蠕蟲都會 對整個IP地址段進行掃描�����,因而會造成一定程度的漏報�。2與本發(fā)明相關的現有技術二在基于目的端口流量相似度的蠕蟲檢測方法中提出利用目的端口流量自相似性 來檢測蠕蟲的具體方法。該方法將端口分為可信端口和非可信端口兩類��,計算每個端口對 應的包個數的相關系數�����?��?尚哦丝跒橛蟹€(wěn)定通信流量的網絡服務端口�����,正常情況下這些端
3口流量的相似度很高��,蠕蟲攻擊時造成流量突然增大或是拒絕服務攻擊導致端口流量大小 相似度下降�。非可信端口被普通程序隨機開啟進行網絡通信����,通信結束關閉。正常情況下 非可信端口的流量相似度應該較低���,若某一端口相似度持續(xù)穩(wěn)定且具有較高傳輸率�����,則認 為處于異常狀態(tài)可能有蠕蟲發(fā)生����。該方法沒有數據包內容的相似性做判斷�����。而流量大小的相似性難以全面的表征網 絡是否出現異常,如果蠕蟲采用間歇性等智能的掃描策略���,就會難以檢測��。
發(fā)明內容
本發(fā)明實施例提供的一種蠕蟲檢測方法���,用以解決現有技術存在的不能及時、準 確地檢測蠕蟲攻擊的問題��。一種檢測蠕蟲攻擊的方法包括盡管蠕蟲的傳播方式和負載功能有所不同�,但大多數蠕蟲在傳播和復制過程中會 產生大量基于特定端口的數據包,包括掃描包和攻擊包�����。同一種蠕蟲所發(fā)送的掃描包的內 容是相同的�����,而且對于大部分蠕蟲來說����,同種蠕蟲的攻擊包內容也是相似的。同一端口的流 量越大且數據包相似程度越高��,其為蠕蟲的可能性越大,因而根據同一端口流量超出正常 值��,內容相似的數據包數超出正常情況的聯合概率來判斷該流量是否為蠕蟲����。具有概率為 P(Xi)的事件 Xi 的自信息量為 I(Xi) =-Iogp (Xi)0 顯然,P (Xi) =1 時�,I (Xi) =0 ;p(Xi)= 0時,I(Xi)=⑴�����。概率越小����,給予觀察者的信息量越大����,因而小概率事件在自信息量上的表 現明顯。假設網絡中某一端口產生大量數據包為事件X��,網絡中產生內容相似數據包為事 件y�,二者相互獨立,則P (χ�,y) = ρ (X)p (y)����,那么有I (χ��,y) =I(x)+I(y)���。根據自信息量 的特性���,通過以上公式計算同一端口產生大量內容相似數據包的自信息量,來判斷網絡是 否受到蠕蟲感染��。先對各個端口統計正常網絡的流量值��,得到一個基準流量��。由于某些常用端口本 身的背景流量較大���,蠕蟲掃描引起的變化不足以在流量上明顯的表現出來���。因此將端口分 為常用端口和非常用端口。對于某一非常用端口 i���,記基準流量值為Nji)���,實際檢測值為Na(i)��,假定 Na(i) ^N0(i)時為未受蠕蟲攻擊的正常情況�,用Spi(X) =N0(i)/Na(i)來表示流量正常與 否的概率大小�����,即當Na(i) ^N0(i)時網絡流量正常的概率為1��,Na(i)值越大�,網絡流量正 常的概率越小。該端口總數據包個數記為n(i)���,根據兩個數據包內容的漢明距離計算數據 包的相似性大小��,對任意兩個文本M1 = (W.n),M2 = (yiy2…yk…yn)�, G {0,1}, yke {0,1}�����,它們的漢明距離為
權利要求
1. 一種蠕蟲檢測方法����,其特征在于���,該方法包括監(jiān)測網絡中某端口的流量以及數據包內容的相似程度,記錄源IP地址���,統計某端口流 量大小和數據包內容相似程度����,并計算二者的自信息量I (Xi)����,根據該值表示網絡受到蠕蟲 入侵的可能性大小����;根據所記錄源IP地址找出攻擊者并封堵其流量,保證網絡中其它主機 免受蠕蟲感染�;其中自信息量I(Xi) =-Iogp(Xi),其中P(Xi)表示事件Xi發(fā)生的概率;假設網絡中某一端口產生大量數據包為事件χ��,網絡中產生內容相似數據包為事件y�����, 二者相互獨立,則P (x�����,y) = 00 (化那么有10^) =I (x)+I(y)�����;根據自信息量的特性�����, 通過以上公式計算同一端口產生大量內容相似數據包的自信息量I (χ���,y)��,并將I(x�����,y)與 預先設定的閾值進行比較判斷網絡是否受到蠕蟲感染。
全文摘要
本發(fā)明公開了一種蠕蟲檢測方法��,該方法包括根據蠕蟲傳播的特性,監(jiān)測網絡中某端口的流量和數據包內容的相似程度�,記錄源IP地址,統計某端口流量大小和數據包內容相似程度���,并計算二者的自信息量����,根據該值表示網絡受到蠕蟲入侵的可能性大小�。根據所記錄源IP地址找出攻擊者并封堵其流量,保證網絡中其它主機免受蠕蟲感染����。
文檔編號H04L12/26GK102111302SQ20091024423
公開日2011年6月29日 申請日期2009年12月28日 優(yōu)先權日2009年12月28日
發(fā)明者包一兵, 白媛, 羅守山, 辛陽 申請人:北京安碼科技有限公司