CN101815076A - 一种内网蠕虫主机检测方法 - Google Patents

Abstract

本发明公开了一种内网蠕虫主机检测方法，该方法包括主机监测方法和主机考察方法。以网络镜像流量为数据来源，主机监测方法记录所有内网主机的重试连接目标主机的地址，据此计算内网重试数和外网重试分布信息熵，与预先设定的两个阈值比较，若两项指标均大于各自阈值，则认为主机可疑并发出可疑主机报告；主机考察方法考察被报告的可疑主机，统计主机的FCC发起频率和FCC成功率，并与预先设定的两个阈值比较，若两项指标均大于各自阈值，则认为主机是蠕虫主机，发出蠕虫主机报警。本发明克服了现有的网络蠕虫检测方法的检测漏报率和误报率较高、无法检测未知蠕虫、检测方法单一等不足，可有效检测到感染未知蠕虫的内网主机。

Description

一种内网蠕虫主机检测方法

技术领域

本发明涉及计算机安全防护技术领域，尤其涉及一种网络蠕虫检测器及方法。

背景技术

网络蠕虫是一种可独立运行的恶意程序，它通过扫描网络，发现存在系统漏洞的计算机系统或应用服务，感染该计算机，并获取该计算机系统的控制权，进行传播；网络蠕虫大规模感染会导致信息泄露、计算机系统资源过耗、网络拥塞等严重后果。著名的Code Red蠕虫、Slammer蠕虫均在爆发后短期内直接造成10亿美元以上的巨大损失。网络蠕虫已成为目前影响网络安全的一个重大因素。

防止蠕虫泛滥的关键在于及早发现受感染的蠕虫主机，然后由防范器对蠕虫主机采取应对措施，如清除蠕虫文件、隔离主机、过滤蠕虫数据包等。因此，检测蠕虫主机是抑制蠕虫传播的关键步骤。研究蠕虫检测技术已成为保证网络环境安全性，维护社会和个人利益的迫切需要。

目前对于网络蠕虫的检测包括的基于特征码的检测方法和基于网络异常的检测方法两大类。

基于特征码的检测方法是较传统的方法，该方法首先分析捕获的蠕虫样本，得到该蠕虫的特征码，更新蠕虫检测软件的特征库；然后由蠕虫检测程序根据这些新的特征码在网络流量或者主机文件中进行特征匹配，从而实现蠕虫检测。该检测方法对已知蠕虫具有良好的检测结果，但存在缺点，缺点之一：无法第一时间获取新蠕虫或变种蠕虫的特征码，所以对新出现蠕虫的检测延迟较大，起不到预警作用；缺点之二：无法检测到动态改变代码的多态蠕虫，该类蠕虫没有固定的特征码，可以规避基于特征码的检测方法。所以具有较高的漏报率。

基于网络异常的检测方法是蠕虫检测技术的发展方向，该方法监测特定的网络指标，根据指标异常来检测蠕虫的爆发。常用的方法如：通过统计连接数，判断连接累计值是否超过设置的阈值来检测蠕虫；通过统计ICMP消息异常来检测蠕虫的发生；通过计算失败连接与成功连接比率，判断是否超过预设阈值来检测蠕虫等。该方法可以检测到未知蠕虫，但也存在缺点：目前出现的基于网络特征的检测方法或者由于指标复杂，计算量大，所以检测器的资源消耗大，检测实时性差；或者由于特征不明确，检测指标简单，所以存在较高的误报率。

发明内容

本发明的目的是克服现有技术的不足，提供一种内网蠕虫主机检测方法。

内网蠕虫主机检测方法包括主机监测方法和主机考察方法，主机监测方法监测所有的内网主机，检测到可疑主机后，向主机考察方法发出可疑主机报告；主机考察方法考察被主机监测方法报告的可疑主机，确认可疑主机是否感染蠕虫，如果确认主机已感染蠕虫则发出蠕虫主机报警；

主机监测方法包括如下步骤：

1)设定监测周期的时间长度，设定内网重试比例的阈值α、外网地址分布信息熵的阈值β，获取内网内主机数量LScale，建立主机映射表；

2)开始监测周期，内网地址重试计数器数组{LCount_i}所有项重置为0，外网地址重试计数器数组{GCount_i}所有项重置为0，分类桶计数器数组表{B_i{n_k}}所有项重置为0，其中i＝1，2，...，LScale，k＝1，2，...，4096，清空连接请求表和重试队列；

3)监测内网中所有主机发出的数据包，抓取一个TCP协议的SYN数据包，提取SYN数据包中的源地址、源端口号、目标地址、目标端口号组成的四元组；

4)使用哈希函数一尝试将四元组映射到连接请求表中，若映射成功，则将该四元组存储到连接请求表中相应位置，若映射冲突，则将四元组加入重试队列队尾；

5)重复步骤3)、步骤4)，直到监测周期结束；

6)遍历重试队列中的四元组，根据主机映射表将源地址映射到i，1＜＝i＜＝LScale，如果四元组中的目标地址是内网地址，递增LCount_i，否则是外网地址，递增GCount_i，并使用哈希函数二将目标地址映射到k，1＜＝k＜＝4096，递增对应的在分类桶计数器数组B_i中的第k个分类桶计数器B_i.n_k；

7)重复步骤6)，直至遍历完重试队列；

8)对被监测主机i，计算内网重试比例d_i： $d_i=\frac{{\mathrm{LCount}}_i}{\mathrm{LScale}},$ 计算外网地址分布信息熵e_i，其中N＝GCount_i，K＝4096，n_k＝B_i.n_k： $e_i=\log N-\frac{1}{N}\underset{k}{\overset{K}{\mathrm{\Σ}}}{n}_k\log n_k;$

9)检验d_i＞α和e_i＞β，其中有一项为真就发出可疑主机报告，声明被监测主机i为可疑主机，否则认为该主机正常，不报告；

10)重复步骤8)、步骤9)，直至检验完所有主机。

主机考察方法包括如下步骤：

1)设定考察周期的时间T，设定FCC发起频率的阈值μ和FCC成功率的阈值λ；

2)侦听主机监测方法的输出信息，如接收到可疑主机报告，执行步骤3)；

3)对该可疑主机发起一个考察周期进行考察，将连接请求总数Conn和连接成功数Succ置为0，建立TCP指示队列和UDP指示队列；

4)观察从可疑主机出入的IP数据包，如果观察到可疑主机发出一个IP数据包，进入步骤5)，如果观察可疑主机接收一个IP数据包，进入步骤6)；

5)提取数据包的源端口号、目标地址、目标端口号组成的三元组，如果该数据包是TCP的SYN数据包，尝试使用哈希函数三将三元组映射到TCP指示队列，若映射成功，则将对应的项置为1，并递增Conn，进入步骤7)，若映射冲突，直接进入步骤7)，类似的，如果该数据包是UDP数据包，尝试使用哈希函数四将三元组映射到UDP指示队列，若映射成功，则将对应的项置为1，并递增Conn，进入步骤7)，若映射冲突，直接进入步骤7)；

6)提取数据包的目标端口号、源地址、源端口号组成的三元组，如果该数据包是TCP的SYN ACK数据包，尝试使用哈希函数三将三元组映射到TCP指示队列，若映射成功，直接进入步骤7)，若映射冲突，则将对应的项置为0，并递增Succ，进入步骤7)，类似的，如果该数据包是UDP数据包，尝试使用哈希函数四将三元组映射到UDP指示队列，若映射成功，直接进入步骤7)，若映射冲突，则将对应的项置为0，并递增Succ，进入步骤7)；

7)重复步骤4)～步骤6)，直到考察周期结束；

8)当考察周期结束时，计算FCC发起频率r以及FCC成功率s：r＝Conn/T，s＝Succ/Conn；

9)检验r＞μ和s＞λ，其中有一项为真，就发出蠕虫主机报警，否则认为主机正常，不发出报警。

本发明克服了现有的网络蠕虫检测技术不能快速检测到被未知蠕虫感染的主机，检测结果存在较高的误报率和漏报率的缺点，可准确、高效、实时地检测到内网中的未知蠕虫感染主机。

附图说明

图1为本发明蠕虫主机检测方法的总体检测流程图；

图2为本发明蠕虫主机检测方法的主机监测方法的内部处理流程图；

图3为本发明蠕虫主机检测方法的主机考察单元的内部处理流程图；

图4为按照本发明蠕虫主机检测方法实施的内网蠕虫主机检测器的功能单元关系图；

图5为按照本发明蠕虫主机检测方法实施的内网蠕虫主机检测器的部署示意图。

具体实施方式

本发明基于以下理论基础：

(1)蠕虫主机由于扫描目标地址的无目的性，所以有很大的概率扫描到不存在的主机(或主机未打开扫描端口、未开启蠕虫攻击的服务)，导致较高的重试连接率，并导致重试连接目标主机十分分散。利用信息熵可有效计算目标主机的分散程度。

(2)蠕虫主机由于要在短时间内感染尽量多的主机，所以发起FCC的频率比正常主机高，同时由于扫描的无目的性，所以FCC成功率也比正常主机低。

(3)主机监测方法与主机考察方法相继执行的串联检测架构可以降低误报率。

本发明利用了蠕虫主机和正常主机在重试连接目标主机特征和FCC(FirstContact Connection，第一次连接)特征上的差别。

如图1～3所示，内网蠕虫主机检测方法包括主机监测方法和主机考察方法，主机监测方法监测所有的内网主机，检测到可疑主机后，向主机考察方法发出可疑主机报告；主机考察方法考察被主机监测方法报告的可疑主机，确认可疑主机是否感染蠕虫，如果确认主机已感染蠕虫则发出蠕虫主机报警；

主机监测方法包括如下步骤：

1)设定监测周期的时间长度，设定内网重试比例的阈值α、外网地址分布信息熵的阈值β，获取内网内主机数量LScale，建立主机映射表；

2)开始监测周期，内网地址重试计数器数组{LCount_i}所有项重置为0，外网地址重试计数器数组{GCount_i}所有项重置为0，分类桶计数器数组表{B_i{n_k}}所有项重置为0，其中i＝1，2，...，LScale，k＝1，2，...，4096，清空连接请求表和重试队列；

3)监测内网中所有主机发出的数据包，抓取一个TCP协议的SYN数据包，提取SYN数据包中的源地址、源端口号、目标地址、目标端口号组成的四元组；

4)使用哈希函数一尝试将四元组映射到连接请求表中，若映射成功，则将该四元组存储到连接请求表中相应位置，若映射冲突，则将四元组加入重试队列队尾；

5)重复步骤3)、步骤4)，直到监测周期结束；

6)遍历重试队列中的四元组，根据主机映射表将源地址映射到i，1＜＝i＜＝LScale，如果四元组中的目标地址是内网地址，递增LCount_i，否则是外网地址，递增GCount_i，并使用哈希函数二将目标地址映射到k，1＜＝k＜＝4096，递增对应的在分类桶计数器数组B_i中的第k个分类桶计数器B_i.n_k；

7)重复步骤6)，直至遍历完重试队列；

8)对被监测主机i，计算内网重试比例d_i： $d_i=\frac{{\mathrm{LCount}}_i}{\mathrm{LScale}},$ 计算外网地址分布信息熵e_i，其中N＝GCount_i，K＝4096，n_k＝B_i.n_k： $e_i=\log N-\frac{1}{N}\underset{k}{\overset{K}{\mathrm{\Σ}}}{n}_k\log n_k;$

9)检验d_i＞α和e_i＞β，其中有一项为真就发出可疑主机报告，声明被监测主机i为可疑主机，否则认为该主机正常，不报告；

10)重复步骤8)、步骤9)，直至检验完所有主机。

主机考察方法包括如下步骤：

1)设定考察周期的时间T，设定FCC发起频率的阈值μ和FCC成功率的阈值λ；

2)侦听主机监测方法的输出信息，如接收到可疑主机报告，执行步骤3)；

3)对该可疑主机发起一个考察周期进行考察，将连接请求总数Conn和连接成功数Succ置为0，建立TCP指示队列和UDP指示队列；

4)观察从可疑主机出入的IP数据包，如果观察到可疑主机发出一个IP数据包，进入步骤5)，如果观察可疑主机接收一个IP数据包，进入步骤6)；

5)提取数据包的源端口号、目标地址、目标端口号组成的三元组，如果该数据包是TCP的SYN数据包，尝试使用哈希函数三将三元组映射到TCP指示队列，若映射成功，则将对应的项置为1，并递增Conn，进入步骤7)，若映射冲突，直接进入步骤7)，类似的，如果该数据包是UDP数据包，尝试使用哈希函数四将三元组映射到UDP指示队列，若映射成功，则将对应的项置为1，并递增Conn，进入步骤7)，若映射冲突，直接进入步骤7)；

6)提取数据包的目标端口号、源地址、源端口号组成的三元组，如果该数据包是TCP的SYN ACK数据包，尝试使用哈希函数三将三元组映射到TCP指示队列，若映射成功，直接进入步骤7)，若映射冲突，则将对应的项置为0，并递增Succ，进入步骤7)，类似的，如果该数据包是UDP数据包，尝试使用哈希函数四将三元组映射到UDP指示队列，若映射成功，直接进入步骤7)，若映射冲突，则将对应的项置为0，并递增Succ，进入步骤7)；

7)重复步骤4)～步骤6)，直到考察周期结束；

8)当考察周期结束时，计算FCC发起频率r以及FCC成功率s：r＝Conn/T，s＝Succ/Conn；

9)检验r＞μ和s＞λ，其中有一项为真，就发出蠕虫主机报警，否则认为主机正常，不发出报警。

如图4所示，按照本发明蠕虫主机检测方法实施的内网蠕虫主机检测器，由网络流量采集单元、主机监测单元、主机考察单元、配置管理单元。网络流量采集单元从镜像端口采集网络流，提供给主机监测单元和主机考察单元；主机监测单元分析网络镜像流量的数据包，生成可疑主机报告；主机考察单元接收到可疑主机报告后，分析网络镜像流量中的该主机的数据包，考察可疑主机，生成最终报警信息；配置管理单元用于配置主机监测单元和主机考察单元的参数。

如图5所示，按照本发明蠕虫主机检测方法实施的内网蠕虫主机检测器，部署在内网连接到外网的关键节点，使用两块网卡与内网交换机或路由器构成双线连接，一块网卡连接网络出口交换机或路由器的镜像端口，用于监听网络出口处的网络数据包，并运行蠕虫主机检测程序，判断主机是否为蠕虫主机；另一块网卡连接网络出口交换机或路由器通用端口，用于提交蠕虫主机报警信息。

内网蠕虫主机检测方法的检测器，由检测机和安装在检测机上的蠕虫主机检测程序组成。检测机连接网络出口交换机或路由器的镜像端口，用于监听网络出口处的网络数据包；蠕虫主机检测程序根据内网中主机的重试连接目标主机分布的信息熵值是否大于预定阈值，生成可疑主机报告；在产生可疑主机报告后，进一步考察可疑主机，根据FCC发起频率和FCC成功率是否超过预定阈值，生成最终的蠕虫主机报警。

该检测器部署在内网出口处，可监测内网所有计算机，实时检测到被蠕虫感染的计算机，并发出蠕虫主机报警，该报警信息可供网络管理人员用于及时排除网络故障，或提供给入侵防范系统用于实时防范。从而实现对整个内部网络的蠕虫主机检测，准确、高效、实时地检测到内网中的未知蠕虫感染主机。

Claims (1)

1.一种内网蠕虫主机检测方法，其特征在于包括主机监测方法和主机考察方法，主机监测方法监测所有的内网主机，检测到可疑主机后，向主机考察方法发出可疑主机报告；主机考察方法考察被主机监测方法报告的可疑主机，确认可疑主机是否感染蠕虫，如果确认主机已感染蠕虫则发出蠕虫主机报警；

主机监测方法包括如下步骤：

1)设定监测周期的时间长度，设定内网重试比例的阈值α、外网地址分布信息熵的阈值β，获取内网内主机数量LScale，建立主机映射表；

2)开始监测周期，内网地址重试计数器数组{LCount_i}所有项重置为0，外网地址重试计数器数组{GCount_i}所有项重置为0，分类桶计数器数组表{B_i{n_k}}所有项重置为0，其中i＝1，2，…，LScale，k＝1，2，…，4096，清空连接请求表和重试队列；

3)监测内网中所有主机发出的数据包，抓取一个TCP协议的SYN数据包，提取SYN数据包中的源地址、源端口号、目标地址、目标端口号组成的四元组；

4)使用哈希函数一尝试将四元组映射到连接请求表中，若映射成功，则将该四元组存储到连接请求表中相应位置，若映射冲突，则将四元组加入重试队列队尾；

5)重复步骤3)、步骤4)，直到监测周期结束；

6)遍历重试队列中的四元组，根据主机映射表将源地址映射到i，1＜＝i＜＝LScale，如果四元组中的目标地址是内网地址，递增LCount_i，否则是外网地址，递增GCount_i，并使用哈希函数二将目标地址映射到k，1＜＝k＜＝4096，递增对应的在分类桶计数器数组B_i中的第k个分类桶计数器B_i.n_k；

7)重复步骤6)，直至遍历完重试队列；

8)对被监测主机i，计算内网重试比例d_i： $d_i=\frac{{\mathrm{LCount}}_i}{\mathrm{LScale}},$ 计算外网地址分布信息熵e_i，其中N＝GCount_i，K＝4096，n_k＝B_i.n_k： $e_i=\log N-\frac{1}{N}\underset{k}{\overset{K}{\mathrm{\Σ}}}{n}_k\log n_k;$

9)检验d_i＞α和e_i＞β，其中有一项为真就发出可疑主机报告，声明被监测主机i为可疑主机，否则认为该主机正常，不报告；

10)重复步骤8)、步骤9)，直至检验完所有主机。

主机考察方法包括如下步骤：

1)设定考察周期的时间T，设定FCC发起频率的阈值μ和FCC成功率的阈值λ；

2)侦听主机监测方法的输出信息，如接收到可疑主机报告，执行步骤3)；

3)对该可疑主机发起一个考察周期进行考察，将连接请求总数Conn和连接成功数Succ置为0，建立TCP指示队列和UDP指示队列；

4)观察从可疑主机出入的IP数据包，如果观察到可疑主机发出一个IP数据包，进入步骤5)，如果观察可疑主机接收一个IP数据包，进入步骤6)；

5)提取数据包的源端口号、目标地址、目标端口号组成的三元组，如果该数据包是TCP的SYN数据包，尝试使用哈希函数三将三元组映射到TCP指示队列，若映射成功，则将对应的项置为1，并递增Conn，进入步骤7)，若映射冲突，直接进入步骤7)，类似的，如果该数据包是UDP数据包，尝试使用哈希函数四将三元组映射到UDP指示队列，若映射成功，则将对应的项置为1，并递增Conn，进入步骤7)，若映射冲突，直接进入步骤7)；

6)提取数据包的目标端口号、源地址、源端口号组成的三元组，如果该数据包是TCP的SYN ACK数据包，尝试使用哈希函数三将三元组映射到TCP指示队列，若映射成功，直接进入步骤7)，若映射冲突，则将对应的项置为0，并递增Succ，进入步骤7)，类似的，如果该数据包是UDP数据包，尝试使用哈希函数四将三元组映射到UDP指示队列，若映射成功，直接进入步骤7)，若映射冲突，则将对应的项置为0，并递增Succ，进入步骤7)；

7)重复步骤4)～步骤6)，直到考察周期结束；

8)当考察周期结束时，计算FCC发起频率r以及FCC成功率s：r＝Conn/T，s＝Succ/Conn；

9)检验r＞μ和s＞λ，其中有一项为真，就发出蠕虫主机报警，否则认为主机正常，不发出报警。

Images