一種基於通信量的內網蠕蟲檢測方法
2023-05-13 07:47:21
專利名稱:一種基於通信量的內網蠕蟲檢測方法
技術領域:
本發明涉及計算機安全防護技術領域,尤其涉及一種內部子網蠕蟲檢測方法。
背景技術:
網絡蠕蟲是一種可獨立運行的惡意程序,它通過掃描網絡,發現存在系統漏洞的計算機系統或應用服務,感染該計算機,並獲取該計算機系統的控制權,進行傳播;網絡蠕蟲大規模感染會導致信息洩露、計算機系統資源過耗、網絡擁塞等嚴重後果。著名的Code Red蠕蟲、Slammer蠕蟲均在爆發後短期內直接造成10億美元以上的巨大損失。網絡蠕蟲已成為目前影響網絡安全的一個重大威脅。
防止蠕蟲泛濫的關鍵在於及早發現受感染的蠕蟲主機,然後由防範器對蠕蟲主機採取應對措施,如清除蠕蟲文件、隔離主機、過濾蠕蟲數據包等。因此,檢測蠕蟲主機是抑制蠕蟲傳播的關鍵步驟。研究蠕蟲檢測技術已成為保證網絡環境安全性,維護社會和個人利益的迫切需要。
目前對於網絡蠕蟲的檢測包括基於特徵碼的檢測方法和基於網絡異常的檢測方法兩大類。
基於特徵碼的檢測方法是較傳統的方法,該方法首先分析捕獲的蠕蟲樣本,得到該蠕蟲的特徵碼,更新蠕蟲檢測程序的特徵庫;然後由蠕蟲檢測程序根據這些新的特徵碼在網絡流量或者主機文件中進行特徵匹配,從而實現蠕蟲檢測。該檢測方法對已知蠕蟲具有良好的檢測結果,但存在缺點,缺點之一無法第一時間獲取新蠕蟲或變種蠕蟲的特徵碼,所以對新出現蠕蟲的檢測延遲較大,起不到預警作用;缺點之二無法檢測到動態改變代碼的多態蠕蟲,多態蠕蟲沒有固定的特徵碼,可以規避基於特徵碼的檢測方法。所以該類檢測方法在實際應用中具有較高的漏報率。
基於網絡異常的檢測方法是蠕蟲檢測技術的發展方向,該方法監測特定的網絡指標,根據指標異常來判斷蠕蟲的爆發。常用的方法如通過統計連接數,判斷連接累計值是否超過設置的閾值來檢測蠕蟲;通過統計ICMP消息異常來檢測蠕蟲的發生;通過計算失敗連接與成功連接比率,判斷是否超過預設閾值來檢測蠕蟲等。該類方法可以檢測到未知蠕蟲,但也存在缺點目前出現的基於網絡特徵的檢測方法或者由於檢測指標複雜,計算量大,所以檢測器的資源消耗大,不適應節點眾多、規模較大的子網;或者由於特徵不明確,檢測指標簡單,難以區分P2P應用和遊戲軟體,存在較高的誤報率。
發明內容
本發明的目的是克服了現有技術的不足,提供一種基於通信量的內網蠕蟲檢測方法。
基於通信量的內網蠕蟲檢測方法是以網絡鏡像流量為數據源,實時考察節點之間的通信情況,將通信歸類為正常通信和可疑通信,統計各節點和其他節點之間的可疑通信的通信量、通信時間,同時生成可疑通信樹,將通信量、通信時間和可疑通信樹的規模綜合計算得到可疑度,如果可疑度超出預設報警閾值,則認為內網中已爆發蠕蟲,具體包括以下步驟 1)確定報警閾值α和正常閾值β,β<α,確定調節系統k,初始化正常通信表、可疑通信表和可疑通信樹表,開始接收鏡像網絡流; 2)從鏡像網絡流中提取IP數據包,如果是與外網的通信數據包,則丟棄該IP數據包並重複執行步驟2),否則是內網IP數據包,提取IP數據包的TCP或UDP有效載荷,如果是TCP包且是拆分包的一部分,那麼等待重組完成後執行下一步驟,否則是獨立數據包,繼續執行下一步驟; 3)根據數據包是TCP或UDP協議以及埠號劃分通信分類,在正常通信表搜索該數據包所屬通信分類,若未找到,則是可疑通信,繼續執行下一步驟,否則是正常通信,跳轉到步驟2); 4)查找可疑通信樹表,如果尚無從屬於該通信分類的可疑通信樹,則為該通信分類創建可疑通信樹,數據包的源節點作為根節點,更新可疑通信樹表,繼續執行下一步驟; 5)遍歷可疑通信樹,在其中查找源節點,如果找到,繼續執行下一步驟,否則未找到,跳轉到步驟2); 6)在可疑通信樹的源節點的直接子節點中查找目標節點,如果未找到,則將目標節點作為源節點的子節點添加到樹中,在從源節點到目標節點的邊上記錄通信量和通信時間,如果找到目標節點,則更新已存在的從源節點到目標節點邊上的通信量和通信時間,其中通信量以字節為單位,通信時間以毫秒為單位; 7)記可疑通信樹邊數量為E,並給各條邊分配編號i,i=1,2,...,E,每條邊的通信量Fi,通信時間Ti,所有邊的平均通信量為
平均通信時間
所有邊通信量的標準差
所有邊通信時間的標準差
得到可疑度
更新可疑通信樹表中對應的可疑度M,若M>α,則認為子網爆發蠕蟲,產生報警並匯報感染蠕蟲的主機。
所述的初始化正常通信表、可疑通信表和可疑通信樹表步驟包括 1)所有可疑通信樹記錄在可疑通信樹表中並有計時器,計時器超時後刪除該可疑通信樹,並將可疑度M與正常通信閾值β比較,若M<β,將該通信分類加入正常通信表,否則將通信分類和M保存到可疑通信表; 2)可疑通信表每項的M隨時間變小,當M=0時將對應通信分類加入正常通信表; 3)正常通信表中保存正常通信分類和計時器,計時器超時後從正常通信表中刪除對應通信分類。
本發明克服了現有的網絡蠕蟲檢測方法難以檢測未知蠕蟲和難以區分蠕蟲與P2P應用等不足,可高效、及時地檢測到內部子網的未知蠕蟲,具有更低的誤報率。
圖1為本發明基於通信量的內網蠕蟲檢測方法的總體檢測流程圖; 圖2為本發明基於通信量的內網蠕蟲檢測方法的內部流程處理圖; 圖3為本發明基於通信量的內網蠕蟲檢測方法的關鍵數據管理圖; 圖4為本發明基於通信量的內網蠕蟲檢測方法的實施例部署示意圖; 圖5為本發明基於通信量的內網蠕蟲檢測方法的實施例動作圖。
具體實施例方式 本發明基於以下理論基礎 (1)子網內蠕蟲擴散時形成通信鏈,並構成樹狀通信結構。
(2)蠕蟲擴散時主機間的通信量和通信時間遠遠小於P2P應用。
如圖1~3所示,基於通信量的內網蠕蟲檢測方法包括 以網絡鏡像流量為數據源,實時考察節點之間的通信情況,將通信歸類為正常通信和可疑通信,統計各節點和其他節點之間的可疑通信的通信量、通信時間,同時生成可疑通信樹,將通信量、通信時間和可疑通信樹的規模綜合計算得到可疑度,如果可疑度超出預設報警閾值,則認為內網中已爆發蠕蟲,具體包括以下步驟 1)確定報警閾值α和正常閾值β,β<α,確定調節系統k,初始化正常通信表、可疑通信表和可疑通信樹表,開始接收鏡像網絡流; 2)從鏡像網絡流中提取IP數據包,如果是與外網的通信數據包,則丟棄該IP數據包並重複執行步驟2),否則是內網IP數據包,提取IP數據包的TCP或UDP有效載荷,如果是TCP包且是拆分包的一部分,那麼等待重組完成後執行下一步驟,否則是獨立數據包,繼續執行下一步驟; 3)根據數據包是TCP或UDP協議以及埠號劃分通信分類,在正常通信表搜索該數據包所屬通信分類,若未找到,則是可疑通信,繼續執行下一步驟,否則是正常通信,跳轉到步驟2); 4)查找可疑通信樹表,如果尚無從屬於該通信分類的可疑通信樹,則為該通信分類創建可疑通信樹,數據包的源節點作為根節點,更新可疑通信樹表,繼續執行下一步驟; 5)遍歷可疑通信樹,在其中查找源節點,如果找到,繼續執行下一步驟,否則未找到,跳轉到步驟2); 6)在可疑通信樹的源節點的直接子節點中查找目標節點,如果未找到,則將目標節點作為源節點的子節點添加到樹中,在從源節點到目標節點的邊上記錄通信量和通信時間,如果找到目標節點,則更新已存在的從源節點到目標節點邊上的通信量和通信時間,其中通信量以字節為單位,通信時間以毫秒為單位; 7)記可疑通信樹邊數量為E,並給各條邊分配編號i,i=1,2,...,E,每條邊的通信量Fi,通信時間Ti,所有邊的平均通信量為
平均通信時間
所有邊通信量的標準差
所有邊通信時間的標準差
得到可疑度
更新可疑通信樹表中對應的可疑度M,若M>α,則認為子網爆發蠕蟲,產生報警並匯報感染蠕蟲的主機。
所述的初始化正常通信表、可疑通信表和可疑通信樹表步驟包括 1)所有可疑通信樹記錄在可疑通信樹表中並有計時器,計時器超時後刪除該可疑通信樹,並將可疑度M與正常通信閾值β比較,若M<β,將該通信分類加入正常通信表,否則將通信分類和M保存到可疑通信表; 2)可疑通信表每項的M隨時間變小,當M=0時將對應通信分類加入正常通信表; 3)正常通信表中保存正常通信分類和計時器,計時器超時後從正常通信表中刪除對應通信分類。
實施例 如圖4所示,應用了基於通信量的內網蠕蟲檢測方法的檢測器部署在內網連接到外網的關鍵節點,與內網交換機或路由器構成連接,用於監測經過網絡中心節點的所有數據包,其上運行了基於通信量的內網蠕蟲檢測程序,實時檢測子網是否爆發蠕蟲。
如圖5所示,檢測器由流量採集單元、數據包提取單元、核心分析單元、可疑度比較單元和報警單元組成,其中核心分析單元結合正常通信表、可疑通信表和可疑通信樹表進行分析。
流量採集單元從交換機或路由器獲取整個子網的鏡像網絡流量; 數據包提取單元從流量採集單元提取IP數據包,過濾掉與外網的通信數據包,區分TCP和UDP數據包,重組拆分數據包,將提取到的數據包發送到核心分析單元; 核心分析單元將數據包分類為不同的通信類別,識別出可疑通信數據包,並為每個通信類別創建與維護一個可疑通信樹,樹的節點是可疑通信節點,樹的邊上記錄可疑節點之間的通信量和通信時間; 可疑度比較單元計算最近更新的可疑通信樹的可疑度,將可疑度與預設閾值對比,如果可疑度大於預設閾值,則認為該可疑通信樹中的通信是蠕蟲通信; 報警單元根據可疑度比較單元的結果,及時發出蠕蟲報警信息和可疑主機報告; 核心分析單元查詢正常通信表,動態生成並更新可疑通信樹表,可疑通信樹表與可疑通信表、正常通信表三者依靠內部計時器互動,實時更新正常通信表; 檢測器按上述規則運作,可實時檢測到內網蠕蟲的爆發,具有高檢測率和低誤報率的特點,尤其是在內網存在大量P2P流量時仍具有較低的誤報率。
權利要求
1.一種基於通信量的內網蠕蟲檢測方法,其特徵在於
以網絡鏡像流量為數據源,實時考察節點之間的通信情況,將通信歸類為正常通信和可疑通信,統計各節點和其他節點之間的可疑通信的通信量、通信時間,同時生成可疑通信樹,將通信量、通信時間和可疑通信樹的規模綜合計算得到可疑度,如果可疑度超出預設報警閾值,則認為內網中已爆發蠕蟲,具體包括以下步驟
1)確定報警閾值α和正常閾值β,β<α,確定調節系統k,初始化正常通信表、可疑通信表和可疑通信樹表,開始接收鏡像網絡流;
2)從鏡像網絡流中提取IP數據包,如果是與外網的通信數據包,則丟棄該IP數據包並重複執行步驟2),否則是內網IP數據包,提取IP數據包的TCP或UDP有效載荷,如果是TCP包且是拆分包的一部分,那麼等待重組完成後執行下一步驟,否則是獨立數據包,繼續執行下一步驟;
3)根據數據包是TCP或UDP協議以及埠號劃分通信分類,在正常通信表搜索該數據包所屬通信分類,若未找到,則是可疑通信,繼續執行下一步驟,否則是正常通信,跳轉到步驟2);
4)查找可疑通信樹表,如果尚無從屬於該通信分類的可疑通信樹,則為該通信分類創建可疑通信樹,數據包的源節點作為根節點,更新可疑通信樹表,繼續執行下一步驟;
5)遍歷可疑通信樹,在其中查找源節點,如果找到,繼續執行下一步驟,否則未找到,跳轉到步驟2);
6)在可疑通信樹的源節點的直接子節點中查找目標節點,如果未找到,則將目標節點作為源節點的子節點添加到樹中,在從源節點到目標節點的邊上記錄通信量和通信時間,如果找到目標節點,則更新已存在的從源節點到目標節點邊上的通信量和通信時間,其中通信量以字節為單位,通信時間以毫秒為單位;
7)記可疑通信樹邊數量為E,並給各條邊分配編號i,i=1,2,...,E,每條邊的通信量Fi,通信時間Ti,所有邊的平均通信量為
平均通信時間
所有邊通信量的標準差
所有邊通信時間的標準差
得到可疑度
更新可疑通信樹表中對應的可疑度M,若M>α,則認為子網爆發蠕蟲,產生報警並匯報感染蠕蟲的主機。
2.如權利要求1所述的一種基於通信量的內網蠕蟲檢測方法,其特徵在於所述的初始化正常通信表、可疑通信表和可疑通信樹表步驟包括
1)所有可疑通信樹記錄在可疑通信樹表中並有計時器,計時器超時後刪除該可疑通信樹,並將可疑度M與正常通信閾值β比較,若M<β,將該通信分類加入正常通信表,否則將通信分類和M保存到可疑通信表;
2)可疑通信表每項的M隨時間變小,當M=0時將對應通信分類加入正常通信表;
3)正常通信表中保存正常通信分類和計時器,計時器超時後從正常通信表中刪除對應通信分類。
全文摘要
本發明公開了一種基於通信量的內網蠕蟲檢測方法。該方法以網絡鏡像流量為數據源,實時考察節點之間的通信情況,將通信歸類為正常通信和可疑通信,統計各節點和其他節點之間的可疑通信的通信量、通信時間,同時生成可疑通信樹,將通信量、通信時間和可疑通信樹的規模綜合計算得到可疑度,如果可疑度超出預設報警閾值,則認為內網中已爆發蠕蟲並匯報蠕蟲感染情況。本發明克服了現有的網絡蠕蟲檢測方法難以檢測未知蠕蟲和難以區分蠕蟲與P2P應用等不足,可有效檢測到內網的未知蠕蟲。
文檔編號H04L29/06GK101820369SQ201010157898
公開日2010年9月1日 申請日期2010年4月27日 優先權日2010年4月27日
發明者林懷忠, 蘇嘯鳴, 王學松 申請人:浙江大學