一種網絡蠕蟲檢測與特徵自動提取方法及其系統的製作方法

2023-05-31 10:33:11 2

專利名稱：一種網絡蠕蟲檢測與特徵自動提取方法及其系統的製作方法
技術領域：
本發明涉及一種網絡蠕蟲檢測與特徵自動提取方法及系統，具體涉及一種基於行 為的網絡蠕蟲檢測與基於流量聚類的特徵自動提取方法及系統，屬於網絡安全技術領域。
背景技術：
網絡惡意代碼種類很多，包括網絡蠕蟲、網頁木馬和移動惡意代碼等，其中網絡 蠕蟲以其傳播速度快、傳播範圍廣等特點，造成的危害最為嚴重。1988年第一個網絡蠕蟲 Morris的爆發就造成超過一千萬美元的經濟損失，2008年底出現的網絡蠕蟲Conficker在 全球已經感染了超過1200萬臺主機。近年來網絡蠕蟲爆發情況的統計信息如圖1所示，圖 表中列出了從2000年至今危害比較大的10個蠕蟲，統計結果表明，網絡蠕蟲往往利用危害 嚴重的系統漏洞進行傳播，漏洞發布時間與蠕蟲爆發時間的間隔在迅速減小，甚至出現利 用Oday漏洞進行傳播的網絡蠕蟲，這意味著傳統的人工提取網絡蠕蟲特徵，再將特徵升級 到終端用戶的殺毒軟體的防範策略對這些快速掃描、主動傳播的網絡蠕蟲，幾乎失去了效 果，這也是網絡蠕蟲能夠快速傳播，造成巨大危害的根本原因。因此，網絡蠕蟲的檢測與特徵自動提取成為網絡安全技術人員關注的熱點問題。 在專利文獻CN1859199A中提到一種蠕蟲檢測方法，該方法通過判斷主機向首次發起連接 的IP位址的連接成功與否和這些首次連接的時間間隔，選擇相應的概率計算方法計算主 機感染蠕蟲的概率，將所得概率值與閾值比較，若概率值大於閾值，則判定主機為異常主 機。若無法判斷，則將本次計算所得的概率作為下一次計算的先驗概率，重新計算主機感染 蠕蟲的概率。在專利文獻CN1697404A中提到了一種分布式的蠕蟲檢測方法，技術方案為， 把不同終端採集的網絡流量傳給一個蠕蟲分析單元，通過統計分析根據閾值判斷終端是否 遭到蠕蟲攻擊。目前的專利文獻僅限於蠕蟲檢測方法上，而且選擇的檢測策略相對單一，本發明 給出的檢測策略綜合了四項蠕蟲異常檢測策略，可以有效地平衡單一策略帶來的誤報和漏 報。更為重要的是，目前使用特徵籤名匹配的方法檢測蠕蟲時，需要人工更新特徵資料庫， 因而只能檢測已知蠕蟲，本發明在異常檢測的基礎上，給出了一套自動提取蠕蟲特徵籤名 的方法，通過把提取出的特徵籤名更新到入侵檢測系統(IDS)的特徵籤名資料庫中，可以 有效地匹配和檢測出未知蠕蟲。

發明內容
本發明的目的在於提供一種網絡蠕蟲檢測與特徵自動提取方法及其系統，從而能 夠更加準確、及時地發現網絡蠕蟲，並且能夠自動提取蠕蟲的特徵，可以把特徵籤名更新到 已有誤用檢測系統(IDS)的攻擊特徵資料庫中，從而真正達到遏制蠕蟲傳播的目的。本發明的技術方案如圖2所示，具體分為以下五步1)以旁路偵聽的方式在網關處捕獲網絡數據包；2)捕獲的數據包首先經過已有的IDS，通過與攻擊特徵資料庫匹配，檢測已知蠕
4蟲攻擊；3)接著，數據包經過異常檢測子系統，異常檢測子系統通過基於行為和統計信息 的異常檢測算法，發現蠕蟲傳播異常後，發出告警信息，同時把網絡流量分成可疑流量和正 常流量，分別存儲在可疑流量池與正常流量池中；4)特徵提取子系統以可疑池和正常池中的網絡流量為輸入，通過基於流量聚類的 特徵籤名算法，提取特徵籤名；5)提取特徵籤名並及時更新到網絡攻擊特徵資料庫中，從而有效地遏制網絡蠕蟲 的傳播。第三步中採用的網絡蠕蟲檢測方法如下為了提高誤用檢測子系統的準確性，減少異常檢測的誤報和漏報，異常檢測子系 統綜合了發起連接數異常、失敗連接數異常、發散性異常和包相似性異常四種異常檢測策 略，每種策略會對目標主機的當前狀態給出一個異常評分。把每種策略看成是判斷主機是 否出現異常的證據，通過證據融合得到一個最後的異常總評分，如果異常總評分大於閾值， 則異常子系統發出告警信息，告警信息包括出現異常的目標主機的IP位址、異常埠號和 時間等信息，同時該主機發出的針對異常埠的流量將存入可疑流量池，其它流量則存入 正常流量池。四種異常發現策略簡述如下(1)發起連接數異常。在正常情況下，某臺主機在一個時間窗(例如lmin)內發起的連接數目符合一 個穩定的泊松分布，當主機感染了網絡蠕蟲後，會進行掃描以發現更多有漏洞的主機進行 傳播，那麼，該主機在一個時間窗內發起的連接數就不再符合一個穩定的泊松分布，統計學 上，發現這種分布變化的問題成為變換點探測問題。通過CUSUM模型可以進行變換點探測， 當發現了分布變化時，根據分布變化的嚴重程度，給出異常評分，分布變化越嚴重，評分越 接近1，如果沒有發現分布變化，異常評分為0。(2)失敗連接數異常。在正常情況下，某臺主機發起的連接中，由於目標主機不響應、服務埠關閉或者 網絡擁塞等，會有很小的一部分是失敗的。但是，如果某臺主機感染了網絡蠕蟲，大部分的 網絡蠕蟲掃描都是隨機或者半隨機的，會導致出現大量的失敗連接。通過統計主機發起 連接的成功率，可以及時有效的發現失敗連接數異常，同樣根據異常的嚴重程度給出一個 0 1之間的評分。(3)包發散性異常。在正常情況下，某臺主機在一個時間窗中，所發出的數據包發往不同的目的地址 數目是有限的，而且每個目的地址發出的數據包個數也是隨機的。但是在異常情況下，由於 主機感染了網絡蠕蟲，會向很多不同的目的地址發出數據包，這樣不同的目的地址數目很 大，並且由於掃描數據包的特點，導致很多目的地址的數據包只出現一次，這樣，每個目的 地址的數據包個數比較平均。資訊理論裡香農提出的信息熵很好得刻畫了以上的特點，把該 主機發往不同目的地址的數據包個數看成一個隨機變量，計算這個隨機變量的信息熵，發 往的目的地址數越多，信息熵越大，每個目的地址的包數越平均，信息熵越大。當信息熵大 於一定的閾值時，觸發異常。給這種異常一個0 1之間的評分，異常程度越大，評分越接 近1。(4)包相似性異常。
在正常情況下，某臺主機在一個時間窗中，發出的數據包的長度是隨機分布的，當 主機感染了網絡蠕蟲後，發出的大量掃描包是彼此相似的。統計包長度的方差，正常情況 下，包長度的方差是在一定的閾值以上的，當主機感染蠕蟲後，由於數據包的相似性，發出 的數據包長度的方差會變小，當方差小於一定的閾值後，觸發異常。同前面三種情況一樣， 也給這種異常一個0 1之間的評分，越異常，評分越接近1，不觸發異常時評分為0。將所得到的四個異常評分視為四項證據，送到「證據融合」模塊，由證據融合模塊 產生最終異常分，與閾值比較來決定是否觸發異常。第四步特徵提取子系統採用的特徵提取方法如下(Dtoken(所謂token是指數據包負載字節串中連續的子串)提取。對正常流量池 中的數據流量進行隨機抽樣，對選中的流量進行訓練，按照不同的目的埠分別產生正常 的token列表，按照token出現的頻率由高到低排序，對可疑池中的流量也做同樣的token 提取工作，得到可疑池中的token列表；(2)不變token選擇。選擇那些在可疑池中出現頻率較高，而在正常池中出現頻率 很低或者幾乎不出現的token，組成屬性向量(即不變token集合)。(3)流量聚類。假設可疑流量池中有N條流量，選擇η個不變token，那麼可疑池 中的每條數據流量都可以用一個η維的0-1向量來表示，某一維為1，表示存在該token，某 一維為0，表示不存在該token，這樣可疑池中的流量可以描述為一個由N個η維0_1向量 組成的集合，最後，對格式化後的流量進行層次聚類，從而把可疑瀏覽池中的流量劃分為若 幹類。(4)特徵籤名生成。對於層次聚類得到的每一類，首先判斷該類是蠕蟲類還是噪聲 類，如果是噪聲類，則直接丟棄。接著對於每一個蠕蟲類，從該流量類中提取出一個token 的集合，作為一個特徵籤名輸出。本發明的積極效果為本發明提出了一種融合多項異常檢測策略來評估蠕蟲行為特徵的異常檢測方法， 能夠更加準確、及時地發現網絡蠕蟲，同時，給出了一套自動提取蠕蟲特徵的方法，提取出 的特徵籤名可以被更新到已有的網絡攻擊特徵資料庫中，彌補了現有方法中檢測過程和特 徵提取過程耦合度低、需較多人工幹預造成的遏制不及時的缺點，從而達到有效阻止蠕蟲 傳播、防止蠕蟲造成大規模經濟損失的目的，對我國的網絡和信息安全保障工作有重要意 義。


圖1是近十年來網絡蠕蟲爆發情況統計圖表；圖2是本發明的體系結構圖；
圖3是Token提取算法過程圖；圖4是流量格式化算法流程圖；圖5是流量聚類中初略確定聚類數目算法流程圖；圖6是流量聚類中精確確定聚類數目算法流程圖。具體實施方法本發明的具體實施方法為
第一步以旁路偵聽的方式在網關處捕獲網絡數據包。第二步數據包經過已有的IDS，根據網絡攻擊特徵資料庫匹配，檢測已知蠕蟲的 攻擊。第三步異常檢測子系統將針對捕獲的數據包進行分析和檢測，異常檢測分為閾 值訓練和在線檢測兩個階段。(I)閾值訓練階段對流量進行四項異常檢測策略計算發起連接數、失敗連接數、發散性和包相似性 這四個參數的閾值。訓練階段所使用的是系統捕獲的正常網絡流量。下面我們將逐一介紹這四個參數的觀測值的計算方法。(I-I)應用⑶SUM模型計算發起連接數的觀測值Sn，模型如下

隨機變量X表示主機在單位時間內發起的連接數目；u表示隨機變量X的期望，即 U = E(X) ；ρ是描述隨機變量X增長比例的一個擾動參數；Sn是CUSUM模型用來探測隨機變 量X分布漂移的一個迭代變量，Sn即第η個時間窗時的取值；Χη表示第η個時間窗隨機變 量X的取值。(1-2)計算連接成功率的觀測值。 Ratio表示發起連接的成功率；nsyn表示從異常檢測開始到當前時間窗，發起連接 請求的總數；na。k表示從異常檢測開始到當前時間窗成功的連接數。(1-3)計算發散性的觀測值。本發明借用了信息熵的概念來構造描述主機數據包的發散性數學模型，用隨機變 量A描述某主機在單位時間窗內，與不同的目的地址進行通信的數據包個數，H(A)表示隨 機變量A的信息熵。 其中， η表示某主機單位時間窗內，發往不同目的地址的數據包總數叫表示發往第i個 目的地址數據包佔數據包總數η的比例。特別地，如果η = 0，即沒有發出數據包，則定義 H(A) = 0。(1-4)計算包長度相似性。 其中， 特別地，當η = 0，即沒有發出數據包時，定義F(Y) =0。其中，Y表示單位時間窗內主機發出的數據包的長度的隨機變量；D(Y)表示描述隨機變量Y的方差孑表示數據包的平均長度；η表示數據包的個數；F(Y)表示數據包長度 方差的標準化值。各項參數的閾值的計算方法則如下對於活躍埠(頻繁使用的埠)，發起連接 數閾值I1和發散性閾值I3取觀測值中的最大值，而失敗連接數閾值I2和包相似性閾值I4 取觀測值中的最小值。對於活躍主機(經常上線的主機)的不活躍埠，則利用其主機活 躍埠四項參數閾值的算術平均值作為其閾值。如果為不活躍主機，則其所有埠都是不 活躍埠，使用網絡內所有活躍主機的活躍埠的參數閾值的算法平均值。(II)在線檢測階段(II-I)計算發起連接數的異常程度。按(I-I)計算該流量的發起連接數Sn。由於主機被網絡蠕蟲感染後，隨機變量X 的分布會發生漂移，導致隨機變量X的期望變大，這樣，Sn會一直變大，當Sn的增加到超過 一定的閾值I1,即說明發生了發起連接數異常。
定義一個變量ε i，標準化地衡量發生發起連接數異常的嚴重程度 其中，ε工越接近1，說明主機發起連接數目越異常。(II-2)計算失敗連接數的異常程度。按(1-2)計算該流量的Ratio值。定義變量ε 2，標準化地衡量發生失敗連接數異
常的嚴重程度 其中，ε 2越接近1，說明主機失敗連接數目越異常。(11-3)計算發散性異常程度。根據(1-3)計算該流量的H(A)值。定義一個變量ε 3，標準化地衡量發散性異常 的嚴重程度 其中，ε 3越大，說明發散性越異常越嚴重。(ΙΙ-4)計算包相似性的異常程度。根據(1-4)計算該流量的包相似性。定義一個變量ε 4，標準化地衡量包相似性異
常的嚴重程度 其中，ε 4越大，說明主機發出的數據包相似性越異常,
(II-5)將ε工 ε 4作為證據融合模型的輸入，計算最終異常評分F。證據整合模 型如下 異常檢測具體過程如下1)首先對到來的離線流量進行預處理，將數據包按照〈源地址、目的地址、源端 口、目的埠、傳輸層協議類型，負載 > 的六元組進行格式化；2)將數據包按源地址分類，同一源地址的數據包再按照目的埠分類，將同一個 源地址發往同一個目的埠的流量，按照時間窗(如lmin)進行異常檢測算法處理；3)如果發現有最終異常分大於閾值，則說明該主機出現異常，發出告警信息。告警 信息的格式是一個四維向量<IP Address, Protocol, Port, Time), IP Address表示出現異 常的主機地址；Protocol表示蠕蟲傳播使用的傳輸層協議，取值可以是TCP或UDP ；Port是 蠕蟲傳播所利用的目的埠 ；Time表示異常信息產生的時間。把異常主機發往異常目的端 口的數據包存入可疑流量池中，其他的流量則存入正常流量池。第四步特徵提取子系統以可疑池和正常池中的網絡流量為輸入，通過基於流量 聚類的特徵籤名算法，提取特徵籤名。具體過程如下(1) token 提取從流量池中任意選擇兩條數據流量，使用最長公共子序列LCS (Longest Common Sequence)算法提取長度不小於最短長度的公共token。把得到的公共token按照其出現的 頻率從高到低，存儲在hash表中。具體流程如圖3所示。從可疑流量池進行token提取， 得到可疑流量池token列表；從正常流量池抽樣部分流量進行token提取，得到正常流量池 token列表。(2)不變 token 選擇若某個token t在可疑流量池中出現的頻率表示為COVs (t)，而token t在正常流 量池中的頻率表示為COVn (t)，則token t的頻繁度定義為f (t) = COVs (t)而異常度定義 為g(t) = I-COVn(t) 0對可疑流量池token列表進行頻繁度和異常度過濾，選擇頻繁度和 異常度均大於一定閾值的token作為不變token，存入不變token集合中。(3)流量聚類首先，格式化流量。將不變token集合中的token作為屬性，將每一條流量記錄轉 化為一個η維的0-1向量，其中η為不變token集合中的token的個數。某一條流量含有 第i個token，則向量的第i位為1，否則為0。格式化流量過程如圖4所示。其次，計算類與類的距離。初始狀態下，可疑流量池中的每一條已經格式化的流量 自成一類，採用基於對數似然的方法計算兩類之間的距離。每次選擇距離最近(即相似度 最大)的兩類流量進行合併，直至聚成一類終止。第i類和第j類流量之間的距離可以表 示如下 其中， 其中，Du表示第i類和第j類之間的聚類，Ni表示第i類的流量數目，Niktl表示在 這個簇中，第k個特徵取值為0的流量數目，而Nikl表示在這個簇中，第k個特徵取值為1的 流量數目。一般地，把兩類合併為一個新類後，新類內部相似度會比原來兩類相似度有所降 低，Du表示把第i類和第j類合併後的對數似然下降度，下降度越低表示合併後的相似度 減少得越小，兩個簇的距離也就越小。接著使用SPSS的公司的Two-Step層次聚類算法對可疑流量池的流量進行層次聚 類。顧名思義，聚類過程分兩步1)初略確定聚類數目。聚類過程從最初的N類聚到1類，可以看成N個狀態，每個 狀態J都要計算一個BIC(J)值，然後通過計算BIC (J)的變化率dBIC(J)來確定初選最佳 聚類數目C。BIC ⑷=+ 2 J2 Iog(TV)
y=i 如果dBIC(l) <0，那麼最佳聚類數目是1，無需進行第二步選擇。否則，初選聚類 數為C = min {J| R1(J) <0.04}，接著進行精確確定聚類數目。具體流程如圖5所示。2)精確確定聚類數目。對於聚類成J類的聚類狀態(2 < JS C)，定義類間最小距 離為Clmin(J),即聚類成J類時，任意兩類之間的最小距離。定義R2 (J) = dmin(J)/dmin(J+l)， 在&(2)到&(0中選擇一個最大值和一個次大值，通過比較最大值與次大值的1. 15倍的 關係來確定精確聚類數目K，從而得到聚成的K個流量類。具體流程如圖6所示。(4)籤名生成實際中，由於異常檢測子系統進行流量分類時不能做到絕對準確，例如一些常用 目的埠如果被確定為可疑埠，那麼所有該埠的流量都會被加入可疑流量池，因此可 疑池中會存在一定的噪聲流量，同時網絡蠕蟲可能存在多態、多變種甚至多個網絡蠕蟲同 時爆發的情況，因此需要經過流量聚類後，再針對每一個流量類判斷是蠕蟲類還是噪聲類， 若是噪聲類，則丟棄，否則產生籤名。判斷方法是選擇該類中出現的若干token作為代表token，計算它們在該類和正 常池中的覆蓋率，假設該類種有N個Token，第i個Token在該類種的覆蓋率為C0V。lustCT (i)， 在正常池中的覆蓋率為COVnmiaJi)。由此得到一個判定分 如果得分大於一定的閾值ρ，則說明該類是噪聲類，直接丟棄，否則判斷為蠕蟲類。對於蠕蟲類，籤名生成過程為1)統計這個類中出現過的token有哪些，組成一個 token列表；2)按照每個token在該流量類中出現的頻率，從大到小排序；3)初始化特徵籤 名集合為空；4)選擇一個覆蓋率最大的token加入到籤名集合中；5)計算特徵籤名集合的 覆蓋率，如果覆蓋率小於一定的閾值，則停止，否則返回4) ；6)返回特徵籤名集合作為最終的特徵籤名。 第五步將提取出的特徵籤名及時更新到IDS的網絡攻擊特徵資料庫中，以遏制 網絡蠕蟲的傳播。
權利要求
一種網絡蠕蟲檢測與特徵自動提取方法，其步驟為1)對捕獲的網絡數據包進行異常檢測，根據檢測結果將數據包劃分為可疑網絡流量和正常網絡流量；2)將可疑網絡流量存儲在可疑流量池中，正常網絡流量存儲在正常流量池中；3)對可疑流量池和正常流量池中的網絡流量進行聚類，提取特徵籤名；4)將提取的特徵籤名更新到網絡攻擊資料庫中，檢測網絡蠕蟲。
2.如權利要求1所述的方法，其特徵在於所述對網絡數據包進行異常檢測的方法為1)將網絡數據包按照 的六元組進行格式化；2)將網絡數據包按源地址分類，同一源地址的網絡數據包再按照目的埠分類，將同 一個源地址發往同一個目的埠的流量，按照時間窗進行異常檢測；3)如果網絡數據包的異常評分大於設定閾值，則發出告警信息，所述告警信息為一四 維向量〈異常主機IP位址、傳輸層協議、異常目的埠、時間 > ；所述異常主機發出的針對 異常目的埠的流量為所述可疑網絡流量，其它流量為正常流量。
3.如權利要求1或2所述的方法，其特徵在於所述異常檢測方法中對網絡流量的發起 連接數異常、和/或失敗連接數異常、和/或發散性異常、和/或包相似性異常進行檢測，分 別得到一異常值。
4.如權利要求3所述的方法，其特徵在於所述異常評分的計算方法為1)設對網絡流量的發起連接數異常進行檢測得到的異常值為h、對網絡流量的失敗 連接數異常進行檢測得到的異常值為ε 2、對網絡流量的包發散性異常進行檢測得到的異 常值為ε 3、對網絡流量的包相似性異常進行檢測得到的異常值為ε4;2)將￡ι、ε2、ε3、ε4構成一證據鏈，採用證據鏈融合算法計算出一異常評分。
5.如權利要求4所述的方法，其特徵在於所述對網絡流量的發起連接數異常進行檢 測的方法為通過CUSUM模型探測某主機在一個時間窗內發起的連接數是否符合一個穩定 的泊松分布，根據泊松分布變化的嚴重程度確定異常值ε ！；所述對網絡流量的失敗連接數 異常進行檢測的方法為通過統計主機在一個時間窗內發起連接的成功率，判斷失敗連接 數是否異常，根據異常嚴重程度確定異常值ε 2 ；所述對網絡流量的包發散性異常進行檢 測的方法為將主機發往不同目的地址的數據包個數定義為一個隨機變量，計算該隨機變 量的信息熵，如果信息熵大於設定閾值，則觸發異常，根據信息熵確定異常值；所述對網絡 流量的包相似性異常進行檢測的方法為統計某主機在一個時間窗中發出掃描包的包長度 方差，如果數據包長度的方差小於一定的閾值，則觸發異常，根據包長度方差確定異常值為S 4 ο
6.如權利要求1或2所述的方法，其特徵在於所述提取特徵籤名的方法為1)對正常流量池中的數據流量進行隨機抽樣訓練，按照不同的目的埠分別產生正常 池的token列表，計算每個token出現的頻率並按照頻率排序；所述token為數據包負載字 節串中連續的子串；所述token提取方法為採用最長公共子序列算法提取長度不小於最 短長度的公共token ；2)對可疑流量池中的數據流量進行隨機抽樣訓練，按照不同的目的埠分別產生可疑 池的token列表，計算每個token出現的頻率並按照頻率排序；3)選擇在可疑池中出現的頻率大於一定閾值並且在正常池出現的頻率小於一定閾值 的token，組成不變token集合；4)選取可疑池中N條流量，將每一條流量記錄轉化為一個η維的0-1向量，其中η為不 變token集合中token的個數；然後對格式化後的流量進行層次聚類；5)判斷層次聚類得到的每一類是蠕蟲類還是噪聲類，如果是噪聲類，則直接丟棄；如果是蠕蟲類，則從該流量類中提取出一個token的集合，作為一個特徵籤名輸出。
7.如權利要求6所述的方法，其特徵在於所述特徵籤名的生成方法為1)針對聚類得到的每類，將該類中出現過的token組成一個特徵籤名列表；2)按照token在該類中出現的頻率，從大到小排序；3)將籤名集合初始化為空；4)計算特徵籤名列表中token在可疑池中的覆蓋率，將覆蓋率大於一定閾值的token 加入到籤名集合中，為最終的特徵籤名。
8.如權利要求6所述的方法，其特徵在於所述對N條流量格式化的方法為在不變 token集合中選取η個token，將每條數據流量用一個η維的0-1向量來表示，某一維為1， 表示存在該token，某一維為0，表示不存在該token，從而將流量信息轉化成了一個0_1矩 陣，矩陣的每一行代表一條流量記錄。
9.一種網絡蠕蟲檢測與特徵自動提取系統，其包括異常檢測子系統、特徵提取子系統、 網絡攻擊特徵資料庫、誤用檢測系統；所述誤用檢測系統通過網絡與外網連接，用於捕獲網絡數據包並將其發送給所述異常 檢測子系統；所述異常檢測子系統用於檢測接收到的網絡數據包，確定出可疑網絡流量和正常網絡 流量，並將可疑網絡流量存儲在可疑流量池中，正常網絡流量存儲在正常流量池中；所述特徵提取子系統用於對可疑流量池和正常流量池中的網絡流量進行聚類，提取特 徵籤名；所述網絡攻擊資料庫用於存儲蠕蟲特徵籤名。
10.如權利要求9所述的系統，其特徵在於所述異常檢測子系統對網絡流量的發起連 接數異常、和/或失敗連接數異常、和/或發散性異常、和/或包相似性異常進行檢測，分別 得到一異常值；所述異常檢測子系統包括一證據融合模塊，所述證據融合模塊用於根據多 個異常值產生一異常評分，通過與閾值比較來決定是否觸發異常，確定出可疑網絡流量和 正常網絡流量。
全文摘要
本發明公開了一種網絡蠕蟲檢測與特徵自動提取方法及其系統，屬於網絡安全技術領域。本發明的方法為1)對捕獲的網絡數據包進行異常檢測，根據檢測結果將數據包劃分為可疑網絡流量和正常網絡流量；2)將可疑網絡流量存儲在可疑流量池中，正常網絡流量存儲在正常流量池中；3)對可疑流量池和正常流量池中的網絡流量進行聚類，提取特徵籤名；4)將提取的特徵籤名更新到網絡攻擊資料庫中，檢測網絡蠕蟲。本發明的系統包括異常檢測子系統、特徵提取子系統、網絡攻擊特徵資料庫、誤用檢測系統。本發明能夠更加準確、及時地發現網絡蠕蟲，並且能夠自動提取蠕蟲的特徵並更新到已有誤用檢測系統的攻擊特徵資料庫中，從而真正達到遏制蠕蟲傳播的目的。
文檔編號H04L29/06GK101895521SQ20091008543
公開日2010年11月24日 申請日期2009年5月22日 優先權日2009年5月22日
發明者劉宇, 姚力, 張玉清 申請人:中國科學院研究生院