CN101699787B - 一种用于对等网络的蠕虫检测方法 - Google Patents

Abstract

用于对等网络的蠕虫检测方法涉及对等网络安全领域，尤其涉及解决对等网络安全中的蠕虫检测问题的技术，是一种解决对等网络中的蠕虫检测与防御的解决方案。主要用于实现对等网络蠕虫的快速检测，提高对等网络应用的安全性，该方法按照设定的时间在互联网网络中进行对等网络的蠕虫检测，结合移动代理技术，使用派发的异常检测代理对对等网络流量进行异常分析，以及通过对等网络蠕虫指纹匹配和对等网络蠕虫传播行为特征分析，确定网络中是否存在对等网络蠕虫，同时可对检测出对等网络蠕虫后采取预警提示。

Description

一种用于对等网络的蠕虫检测方法

技术领域

本发明涉及对等网络安全领域，尤其涉及解决对等网络安全中的蠕虫检测问题的技术，是一种解决对等网络中的蠕虫检测与防御的解决方案。主要用于实现对等网络蠕虫的快速检测，提高对等网络应用的安全性。

背景技术

P2P是英文Peer-to-Peer的缩写，称为对等网络。Peer的英文含义是“(地位、能力等)同等者、同事、伙伴”。目前P2P技术受到学术界和产业界的双重关注，财富杂志更将P2P列为影响Internet未来的四项科技之一，与网格计算技术(Grid Computing)并成为分布式计算技术领域的两大研究热点。P2P的思想改变Internet原来的C/S计算(Client/Server Computing)或是B/S计算(Brower/Server Computing)这样不对称的计算模式，每个节点地位对等，可以同时成为服务的使用者和提供者，这为大规模的信息共享、直接通信和协同工作提供了灵活的、可扩展的计算平台。

网络安全问题一直是Internet网络研究的重点，随着计算机网络应用的深入发展，计算机病毒对信息安全的威胁日益增加。特别是在P2P环境下，方便的共享和快速的选路机制，为某些网络病毒提供了更好的入侵机会。随着P2P的广泛应用，基于P2P技术的网络安全问题日益严重，安全威胁事件逐年上升，近年来的增长态势变得尤为迅猛。其中，P2P网络蠕虫由于危害严重、攻击范围大、爆发速度快，已经成为目前互联网所面临的最为严重的安全威胁之一。

网络蠕虫的传播往往是通过Internet进行的，其行为模式和传播媒介十分丰富，经局部的特征分析很难准确识别未知网络蠕虫的破坏活动和影响范围，一般的防御措施难以奏效。目前，在Internet范围内研究网络蠕虫的传播模式和防御技术已经成为学术界的共识。这就需要建立一套全球范围的网络蠕虫应急机制，快速共享网络蠕虫的预警信息，达到联合遏制网络蠕虫传播和破坏的目的。然而，P2P网络日益流行，为蠕虫提供了温床。P2P蠕虫的出现，使网络面临新的威胁。这种蠕虫利用P2P系统进行传播，使其传播更加隐蔽、精确。因此，在P2P应用环境下，依赖传统网络共享技术很难实现大规模的数据集中与分析，对基于P2P网络的蠕虫检测及其传播规律、防护技术的研究十分迫切，因而成为近期在网络安全领域研究的一个热点。

P2P蠕虫是基于P2P软件的漏洞，利用对等网络拓扑及其交互性质自主传播。该类蠕虫可以利用P2P节点主机缓存列表(Host Cache)中的邻居节点来构建攻击列表，以实现准确的目标定位，因此，它具有更强的隐蔽性和破坏性，是P2P网络安全问题的重点研究对象。P2P蠕虫是利用P2P机制进行传播的恶意代码，通过P2P节点的共享列表，蠕虫很容易获得攻击目标的信息，所以其爆发时传播速度很快，这种大量的快速传播导致的直接后果是网络阻塞。由于P2P网络中逻辑相邻的节点，地理位置可能相隔很远，而参与P2P网络的节点数量又非常大，因此通过P2P系统传播的病毒，波及范围大，覆盖面广，从而造成的损失会很大。在P2P网络中，每个节点防御病毒的能力是不同的。只要有一个节点感染病毒，就可以通过内部共享和通信机制将病毒扩散到附近的邻居节点。在短时间内可以造成网络拥塞甚至瘫痪，共享信息丢失，机密信息失窃，甚至通过网络病毒可以完全控制整个网络。

其中，对P2P网络蠕虫传播模型的研究是很重要的方面。通过对P2P蠕虫传播模型的研究，可以得到其在网络上广泛传播的规律，进而研究抑制蠕虫传播的方法。本发明方法通过分析P2P蠕虫指纹和P2P网络蠕虫传播行为序列特征，同时采用移动代理(Agent)技术，提出一种用于P2P网络的蠕虫检测方法。

发明内容

技术问题：本发明的目的是提供一种P2P网络的蠕虫检测方法，来解决P2P网络蠕虫检测问题，与过去使用的网络蠕虫检测方法不同，本方法是针对P2P网络提出的一种P2P蠕虫检测方法，该方法可以达到快速准确检测P2P网络蠕虫目标。

技术方案：本发明的方法通过引入P2P蠕虫的指纹和分析P2P蠕虫传播行为序列特征，并结合移动Agent技术，其目的是为解决P2P网络蠕虫的快速、准确检测等问题。

本发明的用于对等网络的蠕虫检测方法按照设定的时间在互联网网络中进行对等网络的蠕虫检测，结合移动代理技术，使用派发的异常检测代理对对等网络流量进行异常分析，以及通过对等网络蠕虫指纹匹配和对等网络蠕虫传播行为特征分析，确定网络中是否存在对等网络蠕虫，同时可对检测出对等网络蠕虫后采取预警提示，该方法具体实现步骤如下：

1)对网络数据包进行缓存；

2)如果当前时间为蠕虫检测周期，则转到3)；否则，放行当前数据包，返回到1)；

3)对数据包进行对等网络协议特征匹配，滤除非对等网络流量；

4)对3)中滤除非对等网络流量后剩下的对等网络流量，提取其互联网地址和端口特征形成对等网络节点的集合；

5)对3)中滤除非对等网络流量后剩下的对等网络流量，通过派发的异常检测代理分析过后，根据分析结果进行如下步骤：如果对等网络蠕虫指纹匹配，这说明识别出来了对等网络蠕虫，则转到6)；如果匹配对等网络蠕虫传播序列特征，则说明识别出来了对等网络蠕虫，更新对等网络蠕虫特征库，然后转到6)；对等网络蠕虫指纹和蠕虫传播序列特征都不匹配的话则说明该数据包是正常对等网络流量数据，放行当前数据包；

6)对识别的对等网络蠕虫信息通过派发异常检测代理发布到步骤4)中的对等网络节点的集合中，以便于进行蠕虫的防御与处理。

使用派发的异常检测代理对对等网络流量进行异常分析，其异常检测代理分析包括如下步骤：

51)对等网络蠕虫检测代理管理创建异常检测代理：监测一段时间的网络流量，建立起一个基于时间的正常网络流量模型，对监测时间段内的对等网络协议流量建立一个动态流量基线；当某个时段，某对等网络协议流量与当前基线不符时，会给出一个对等网络流量的异常告警；该模型会以代理程序形式存在对等网络蠕虫检测代理管理系统内数据库中；称该模型为对等网络流量异常检测代理；

52)对等网络蠕虫检测代理管理系统派发51)中创建的对等网络流量异常检测代理到基于代理技术的对等网络客户端；

53)异常检测代理对步骤3)中的滤除非对等网络流量后剩下的对等网络流量进行蠕虫指纹识别和蠕虫传播序列分析。

对非正常对等网络流量进行对等网络蠕虫指纹识别，该识别的实现流程如下：

1)收集受保护网络的流量信息；

2)计算收集到的网络流量信息的特征值；

3)对流量特征值进行数据指纹特征计算；

4)在对等网络蠕虫指纹特征数据库中进行匹配，如果匹配则是对等网络蠕虫；如果不匹配则是正常流量。

对非正常对等网络流量进行对等网络蠕虫传播序列分析的实现流程如下：

1)收集受保护的网络连接信息；

2)将网络连接信息转换为连接信息状态值；

3)对连接信息状态值进行数据聚合的计算；

4)在对等网络蠕虫传播行为特征数据库中进行自相似性匹配，如果匹配说明是对等网络蠕虫；如果不匹配则是正常流量。

检测出对等网络蠕虫后可进行对等网络蠕虫预警的实现流程如下：

1)提取对等网络蠕虫流量，从中取得受感染机器的互联网地址信息；

2)在互联网地址数据库中匹配感染蠕虫机器位置信息，定位感染对等网络蠕虫机器的位置；

3)通知已经连接到该感染蠕虫机器的其他对等网络节点，终止与这个感染对等网络蠕虫机器之间的网络连接。

有益效果：采用本发明所述方法，与现有技术相比，本发明的方法通过引入P2P蠕虫的指纹和分析P2P蠕虫传播行为特征，并结合移动Agent技术，其目的是为解决P2P网络蠕虫的快速、准确检测等问题。该发明提出的方法并不复杂，可以实现解决P2P网络中的蠕虫检测问题，为P2P网络安全相关的蠕虫检测与防御机制的研究提供了重要的依据，同时提高了P2P系统的安全性和可靠性。

下面我们给出具体的说明。

P2P蠕虫指纹：恶意代码(包括蠕虫)的指纹是指唯一的识别这种代码的一组二进制序列，通过分析P2P网络中的蠕虫指纹，可以建立P2P蠕虫特征库，进而可以准确识别P2P蠕虫。

P2P蠕虫传播行为序列：P2P蠕虫是利用P2P机制进行传播的恶意代码，通过P2P节点的共享列表，蠕虫很容易获得攻击目标的信息，所以其爆发时传播速度很快，这种大量的快速传播导致的直接后果是网络阻塞。通过分析P2P网络中的蠕虫传播行为，可以建立P2P蠕虫传播行为序列特征库，进而提高了蠕虫识别的准确率。

Agent与P2P的融合：P2P网络将互联网的边缘节点的多种服务连接在一起，有效利用了各个P2P网络组织域中的空闲资源，因此在我们提出的检测方法中，各个基于Agent的P2P主机同时也是对等计算P2P的客户端。在对等计算P2P环境下实现基于Agent的蠕虫预警信息的发布是一种很好的解决方法，它高效地利用了Agent特有的自治性、移动性与安全性，同时提高了P2P网络的各个节点处协同预防蠕虫病毒和处理能力。

附图说明

图1是P2P网络蠕虫检测方法应用的网络体系结构。

图2是P2P网络蠕虫检测方法(P2PWDM)示意图，图中包括：蠕虫检测时间、异常检测Agent、P2P蠕虫指纹匹配、P2P蠕虫传播行为序列、提取P2P蠕虫传播特征、更新P2P蠕虫特征、发布蠕虫信息和P2P节点集合。

图3是P2P网络蠕虫指纹特征匹配流程示意图。表示本发明方法的基于蠕虫指纹特征检测流程示意。

图4是P2P网络蠕虫传播行为序列特征匹配流程示意图。表示本发明方法的基于蠕虫传播行为序列特征检测流程示意。

图5是P2P蠕虫预警示意图。表明本发明的方法检测到P2P蠕虫后，可以采取有效措施防御和处理。

具体实施方式

图1给出了本发明用于P2P网络的蠕虫检测方法设计的体系结构，它的功能部件包括P2P蠕虫检测Agent管理系统、移动Agent和基于Agent的P2P客户端。

下面我们给出几个主要部分的具体说明：

Agent管理系统：使用Agent技术提高了网络带宽资源利用率和整个系统的效率，本发明方法的Agent管理系统基本的功能主要有：蠕虫信息发布、Agent用户管理、Agent通信管理、蠕虫信息预警、异常P2P流量的检测。其中对异常P2P流量进行P2P蠕虫指纹特征和P2P蠕虫传播行为特征序列匹配分析，来准确判断该异常流量是否是P2P蠕虫流量。

移动Agent：移动Agent具有可移动性和跳跃性，可携带用户的计划，根据资源分布情况迁移到不同的节点，完成指定的任务。本发明方法的移动Agent与P2P客户端直接交换信息，用于发现其他P2P蠕虫的信息，实现P2P节点间的节点数据、蠕虫信息等的传送。

基于Agent的P2P主机：使用P2P技术的网络客户端，有与移动Agent交换信息的接口。

本发明方法首先对网络流量数据信息进行分类，从识别的P2P流量中进行P2P蠕虫指纹匹配和P2P蠕虫传播行为序列特征匹配，如果检测到P2P蠕虫流量，则通过移动Agent在P2P节点集合中进行发布蠕虫预警信息，并断开与感染蠕虫的P2P主机间的连接。

本方法主要分为以下模块：

(1)网络流量包分类

首先对互联网网络流量数据包进行流量分析并进行分类，共分为P2P流量和非P2P流量，同时对P2P流量进行异常检测过程，并提取相关的P2P节点信息(如IP、端口等)形成P2P节点的集合，以便后面检测到P2P蠕虫信息后进行蠕虫信息预警。其中网络流量分类方法可采用现有的一些流量分类方法：如基于端口的流量分类、基于有效载荷(Payload)的流量分类和基于流统计特征的流量分类方法等。

(2)P2P蠕虫指纹匹配

对于异常流量进行P2P蠕虫指纹匹配，以准确判断当前网络是否存在蠕虫病毒。蠕虫指纹特征值计算方法为：使用单向散列函数计算蠕虫传播流量特征值，并存入数据库。单向散列函数(one-way hash function)，也叫压缩函数，收缩函数，是把可变长度的输入串(叫做预映射，pre-image)转换成固定长度的输出串(叫做散列值)的一种函数。单向散列函数的算法实现有很多种，如Snefru，N-Hash，MD2，MD4，MD5，SHA-1算法等，本发明方法使用MD5算法。

(3)P2P蠕虫传播行为序列分析

对于异常的P2P流量进行蠕虫指纹匹配的同时，进行P2P蠕虫传播行为序列特征分析。蠕虫传播行为序列分析方法利用网络流量传播的自相似特征进行分析。

在网络流量中，把网络中存在的突发性、不随时间变化而变化的特性称作自相似。自相似也称为分形，指某一物体的局部可能在一定条件下或过程中，在某一方面状态、结构、信息、功能、能量等都表现出与整体的相似性，其连续时间定义如下：

定义1一个连续随机过程{X(t)，t ∈R}若满足条件：对于任何d≥1，t₁，t₂，…，t_d∈T和a＞0，有下式成立。

$(X\left({\mathrm{at}}_1\right),X\left({\mathrm{at}}_2\right),...,X\left({\mathrm{at}}_d\right))\underset{=}{d}(a^{H}X\left(t_{1^{\′}}\right),a^{H}X\left(t_2\right),...,a^{H}X\left(t_d\right))---\left(1\right)$

(1)式中，

表示渐进同分布，对所有的a＞0，{X(at)，t ∈R}的有限维分布与{a^HX(t)，t ∈R}的有限维分布的统计特性相同，则称X(t)是具有参数H的自相似过程。

定义1中的参数H称为自相似参数，通过估算网络流量数据构成的时间序列的参数H可以检验和度量P2P网络中的蠕虫传播过程的自相似及其程度。

(4)对发现的P2P蠕虫信息进行发布与预警

当发现P2P蠕虫后，分析该P2P蠕虫的拥有节点信息，并通过移动Agent把该蠕虫信息发布到(1)中的P2P节点集合中，以便于其他P2P节点对该蠕虫进行防御与处理。

下面结合图2对技术方案的实施作进一步的详细描述：

为了方便描述，假定如下的应用实例：

P2P蠕虫病毒库里面已经有了某个P2P蠕虫的指纹特征值(用Vhash)，P2P网络中某个用户(用A表示)的文件(用F表示)感染了P2P蠕虫病毒(V)，另一个P2P网络用户(用B表示)通过P2P网络请求下载A的文件，则检测到该蠕虫的具体实施方式如下：

(1)A启动了P2P客户端；

(2)B启动P2P客户端，向A发送下载文件F请求；

(3)A接收了B的下载请求，准备发送F文件，然而由于F感染了蠕虫病毒，所以发送了V传输给B；

(4)B接收到V后，缓存V的流量数据包；

(5)判断当前时间是否为预设定的P2P蠕虫检测时间；若是，则到(6)；否则让数据包通过；

(6)对流量进行分类，判断出该数据流量是异常P2P流量，则在P2P蠕虫病毒特征库进行P2P蠕虫指纹匹配和P2P蠕虫传播序列行为特征分析；同时提取P2P节点的相关信息形成P2P节点的集合；在该场景下则会匹配该蠕虫指纹特征值Vhash；

(7)检测出P2P蠕虫后，基于移动Agent将此蠕虫信息发布到P2P节点集合中，从而进行蠕虫防御与处理。

Claims (4)

1.一种用于对等网络的蠕虫检测方法，其特征在于按照设定的时间在互联网网络中进行对等网络的蠕虫检测，结合移动代理技术，使用派发的异常检测代理对对等网络流量进行异常分析，以及通过对等网络蠕虫指纹匹配和对等网络蠕虫传播行为特征分析，确定网络中是否存在对等网络蠕虫，同时可对检测出对等网络蠕虫后采取预警提示，该方法具体实现步骤如下：

1)对网络数据包进行缓存；

2)如果当前时间为蠕虫检测周期，则转到3)；否则，放行当前数据包，返回到1)；

3)对数据包进行对等网络协议特征匹配，滤除非对等网络流量；

4)对3)中滤除非对等网络流量后剩下的对等网络流量，提取其互联网地址和端口特征形成对等网络节点的集合；

5)对3)中滤除非对等网络流量后剩下的对等网络流量，通过派发的异常检测代理分析过后，根据分析结果进行如下步骤：如果对等网络蠕虫指纹匹配，这说明识别出来了对等网络蠕虫，则转到6)；如果匹配对等网络蠕虫传播序列特征，则说明识别出来了对等网络蠕虫，更新对等网络蠕虫特征库，然后转到6)；对等网络蠕虫指纹和蠕虫传播序列特征都不匹配的话则说明该数据包是正常对等网络流量数据，放行当前数据包；

6)对识别的对等网络蠕虫信息通过派发异常检测代理发布到步骤4)中的对等网络节点的集合中，以便于进行蠕虫的防御与处理；

其中，步骤5)中的异常检测代理分析包括如下步骤：

51)对等网络蠕虫检测代理管理创建异常检测代理：监测一段时间的网络流量，建立起一个基于时间的正常网络流量模型，对监测时间段内的对等网络协议流量建立一个动态流量基线；当某个时段，某对等网络协议流量与当前基线不符时，会给出一个对等网络流量的异常告警；该模型会以代理程序形式存在于对等网络蠕虫检测代理管理系统内的数据库中；称该模型为对等网络流量异常检测代理；

52)对等网络蠕虫检测代理管理系统派发51)中创建的对等网络流量异常检测代理到基于代理技术的对等网络客户端；

53)异常检测代理对步骤3)中的滤除非对等网络流量后剩下的对等网络流量进行蠕虫指纹识别和蠕虫传播序列分析；

2.如权利要求1所述的一种用于对等网络的蠕虫检测方法，其特征还在于，对对等网络流量进行对等网络蠕虫指纹识别，该识别的实现流程如下：

21)收集受保护网络的流量信息；

22)计算收集到的网络流量信息的特征值；

23)对流量特征值进行数据指纹特征计算；

24)在对等网络蠕虫指纹特征数据库中进行匹配，如果匹配则是对等网络蠕虫；如果不匹配则是正常流量。

3.如权利要求1所述的一种用于对等网络的蠕虫检测方法，其特征还在于，对对等网络流量进行对等网络蠕虫传播序列分析的实现流程如下：

31)收集受保护的网络连接信息；

32)将网络连接信息转换为连接信息状态值；

33)对连接信息状态值进行数据聚合的计算；

34)在对等网络蠕虫传播行为特征数据库中进行自相似性匹配，如果匹配说明是对等网络蠕虫；如果不匹配则是正常流量。

4.如权利要求1所述的一种用于对等网络的蠕虫检测方法，其特征在于，检测出对等网络蠕虫后可进行对等网络蠕虫预警的实现流程如下：

41)提取对等网络蠕虫流量，从中取得受感染机器的互联网地址信息；

42)在互联网地址数据库中匹配感染蠕虫机器位置信息，定位感染对等网络蠕虫机器的位置；

43)通知已经连接到该感染蠕虫机器的其他对等网络节点，终止与这个感染对等网络蠕虫机器之间的网络连接。

Images