CN102104606A - 一种内网蠕虫主机检测方法 - Google Patents
一种内网蠕虫主机检测方法 Download PDFInfo
- Publication number
- CN102104606A CN102104606A CN201110049816XA CN201110049816A CN102104606A CN 102104606 A CN102104606 A CN 102104606A CN 201110049816X A CN201110049816X A CN 201110049816XA CN 201110049816 A CN201110049816 A CN 201110049816A CN 102104606 A CN102104606 A CN 102104606A
- Authority
- CN
- China
- Prior art keywords
- early warning
- network
- worm
- routing table
- center device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 39
- 238000000034 method Methods 0.000 claims abstract description 12
- 238000004458 analytical method Methods 0.000 claims abstract description 5
- 238000005070 sampling Methods 0.000 claims abstract description 5
- 238000012806 monitoring device Methods 0.000 claims description 13
- 238000012544 monitoring process Methods 0.000 claims description 7
- 230000015572 biosynthetic process Effects 0.000 claims description 3
- 238000007689 inspection Methods 0.000 claims description 3
- 238000012353 t test Methods 0.000 abstract 1
- 238000005259 measurement Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 241000243686 Eisenia fetida Species 0.000 description 1
- 238000000692 Student's t-test Methods 0.000 description 1
- 238000013142 basic testing Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000035772 mutation Effects 0.000 description 1
- 208000014837 parasitic helminthiasis infectious disease Diseases 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于抽样分析的P2P蠕虫检测方法。该方法向P2P网络部署多个检测端点和一个决策中心装置,每个检测端点对应一个随机选中的P2P节点,安装路由表监测装置监测P2P节点路由表的访问次数,若访问次数超过了预先设定的正常水平,则向决策中心装置发出预警。决策中心预警每经过一个单位时间统计一次预警数量,并以最近若干次的预警数量统计值为样本值,使用t检验判断样本值是否超过预先设定的正常值,若超过正常值,认为P2P网络已爆发P2P蠕虫,并发出蠕虫爆发报警。本发明克服了现有的网络蠕虫检测方法不适于检测P2P蠕虫、对P2P蠕虫的检测率低误报率高等不足,可有效检测到P2P网络的蠕虫爆发。
Description
技术领域
本发明涉及一种P2P网络蠕虫检测方法,属于计算机安全防护技术领域。
背景技术
网络蠕虫是一种可独立运行的恶意程序,它通过扫描网络,发现存在系统漏洞的计算机系统或应用服务,感染该计算机,并获取该计算机系统的控制权,进行传播;网络蠕虫大规模感染会导致信息泄露、计算机系统资源过耗、网络拥塞等严重后果。著名的Code Red蠕虫、Slammer蠕虫均在爆发后短期内直接造成10亿美元以上的巨大损失。网络蠕虫已成为目前影响网络安全的一个重大因素。
防止蠕虫泛滥的关键在于及早发现受感染的蠕虫主机,然后由防范器对蠕虫主机采取应对措施,如清除蠕虫文件、隔离主机、过滤蠕虫数据包等。因此,检测蠕虫是抑制蠕虫传播的关键步骤。研究蠕虫检测技术已成为保证网络环境安全性,维护社会和个人利益的迫切需要。
目前对于网络蠕虫的检测包括的基于特征码的检测方法和基于网络异常的检测方法两大类。
基于特征码的检测方法是较传统的方法,该方法首先分析捕获的蠕虫样本得到该蠕虫的特征码;然后根据特征码在网络流量或者主机文件中进行特征匹配,从而实现蠕虫检测。该检测方法对已知蠕虫具有良好的检测结果,但存在缺点,缺点之一:无法第一时间获取新蠕虫或变种蠕虫的特征码,所以对新出现蠕虫的检测延迟较大,起不到预警作用;缺点之二:无法检测到动态改变代码的多态蠕虫,该类蠕虫没有固定的特征码,可以规避基于特征码的检测方法。具有较高的漏报率。该类检测方法无法预防爆发十分快速的P2P蠕虫。
基于网络异常的检测方法是蠕虫检测技术的发展方向,该方法监测特定的网络指标,根据指标异常来检测蠕虫的爆发。常用的方法如:通过统计连接数,判断连接累计值是否超过设置的阈值来检测蠕虫;通过统计ICMP消息异常来检测蠕虫的发生;通过计算失败连接与成功连接比率,判断是否超过预设阈值来检测蠕虫等。该方法可以检测到未知蠕虫,但也存在缺点:目前出现的基于网络特征的检测方法或者由于计算量大,检测实时性差;或者由于检测指标简单,存在较高的误报率。并且该类检测方法对P2P蠕虫的检测率较低。
t检验,亦称student t检验(Student's t test),主要用于样本含量较小(例如n<30),总体标准差σ未知的正态分布资料。它是用t分布理论来推断差异发生的概率,从而判定两个平均数的差异是否显著。
发明内容
本发明的目的是克服了现有技术无法检测P2P蠕虫或检测率不高的不足,提供一种基于抽样分析的P2P蠕虫检测方法。
基于抽样分析的P2P蠕虫检测方法的步骤如下:
1)在计算机中安装决策中心装置,并加入互联网,开放特定网络端口,接收来自检测端点的注册消息、预警消息;
2)在k台计算机中安装P2P客户端软件,同时安装路由表监测装置,每个检测端点利用P2P客户端软件加入P2P网络,成为P2P网络中的一个节点,每个检测端点利用路由表监测装置向决策中心装置注册,并与决策中心装置建立网络连接;
3)预先设定路由表访问次数的正常值为α,每个检测端点内的路由表监测装置实时监测所在P2P节点的路由表,每经过单位时间T统计一次路由表访问次数h,若路由表访问次数h>路由表访问次数的正常值α,则表明所监测P2P节点的行为出现异常,通过已建立的网络连接向决策中心装置发出包含时间戳t的预警消息;
4)预先设定预警数量正常值为β,根据接收到的预警所含时间戳t判断是否为属于当时单位时间T,统计当时单位时间T内的预警数量Ci,i=1,2,…,n,存储在预警数量数组C中,连续统计n次,形成包含n个值的预警数量数组C={C1,C2,…,Cn},使用统计学的t检验方法,检验预警数量数组C的预警数量平均值是否大于预警数量正常值β,若预警数量平均值大于预警数量正常值β则认为当前监测的P2P网络已爆发P2P蠕虫;
5)若决策中心装置认为P2P网络已爆发蠕虫,则发出蠕虫爆发报警。
本发明克服了现有的网络蠕虫检测技术不能快速检测P2P蠕虫爆发,检测结果存在较高漏报率的缺点,可准确、高效、实时地检测到P2P网络中爆发P2P蠕虫。
附图说明
图1为本发明P2P蠕虫检测方法的总体部署图;
图2为本发明P2P蠕虫检测方法的基本检测流程图;
图3为按照本发明P2P蠕虫检测方法的用于Chord网络的部署实例图;
图4为按照本发明P2P蠕虫检测方法的用于Chord网络的路由表监测装置和决策中心装置实现图。
具体实施方式
本发明基于以下理论基础:
(1)P2P蠕虫在P2P网络中爆发时,必须依靠P2P节点中的路由表传播,传播时会频繁访问路由表。
(2)P2P节点在正常情况下,其路由表在单位时间内的访问次数符合特定分布,访问次数在接近某个正常值,在蠕虫感染情况下,其路由表在单位时间内的访问次数必然骤增,明显超过正常值。
(3)t检验可较准确地判断一组数值的平均值是否超过某个值。
如图1~2所示,基于抽样分析的P2P蠕虫检测方法的步骤如下:
1)在计算机中安装决策中心装置,并加入互联网,开放特定网络端口,接收来自检测端点的注册消息、预警消息;
2)在k台计算机中安装P2P客户端软件,同时安装路由表监测装置,每个检测端点利用P2P客户端软件加入P2P网络,成为P2P网络中的一个节点,每个检测端点利用路由表监测装置向决策中心装置注册,并与决策中心装置建立网络连接;
3)预先设定路由表访问次数的正常值为α,每个检测端点内的路由表监测装置实时监测所在P2P节点的路由表,每经过单位时间T统计一次路由表访问次数h,若路由表访问次数h>路由表访问次数的正常值α,则表明所监测P2P节点的行为出现异常,通过已建立的网络连接向决策中心装置发出包含时间戳t的预警消息;
4)预先设定预警数量正常值为β,根据接收到的预警所含时间戳t判断是否为属于当时单位时间T,统计当时单位时间T内的预警数量Ci,i=1,2,…,n,存储在预警数量数组C中,连续统计n次,形成包含n个值的预警数量数组C={C1,C2,…,Cn},使用统计学的t检验方法,检验预警数量数组C的预警数量平均值是否大于预警数量正常值β,若预警数量平均值大于预警数量正常值β则认为当前监测的P2P网络已爆发P2P蠕虫;
5)若决策中心装置认为P2P网络已爆发蠕虫,则发出蠕虫爆发报警。
实施例
如图3所示,按照本发明P2P蠕虫检测方法部署检测端点与决策中心装置,所检测的网络是名为Chord的一种P2P网络。其中普通Chord网络节点约10000个,检测端点约50个,检测端点加入Chord网络,并向决策中心装置注册。决策中心装置登记所有检测端点,并与检测端点建立网络连接。检测端点通过已建立的网络连接向决策中心装置发送报警消息。
如图4所示,按照本发明P2P蠕虫检测方法实施的路由表监测装置和决策中心装置,路由表监测装置安装于检测端点。检测端点与决策中心装置使用网络通信,检测端点向决策中心装置注册,决策中心装置登记提交注册的检测端点。路由表监测装置实时监测所在节点的Chord路由表访问情况,如果Chord路由表访问次数超过正常值,则生成预警消息,并将预警消息发送给决策中心装置。决策中心装置统计来自所有检测端点的报警数量Ci,i=1,2,…,n,重复统计n次,形成报警数量数组C={C1,C2,…Cn},利用t检验判断报警数量数组的平均值是否超过预设的正常值,如果报警数量数组的平均值超过预设正常值,那么t表示爆发蠕虫,发出蠕虫爆发报警。
该检测方法有效监测P2P网络的异常,实现成本低,可实时检测到P2P网络中的蠕虫爆发,并发出蠕虫爆发报警,该报警信息可供网络管理人员用于及时排除网络故障,或采取防范措施,从而实现P2P蠕虫的检测,准确、高效、实时地检测到P2P蠕虫的爆发。
Claims (1)
1.一种基于抽样分析的P2P蠕虫检测方法,其特征在于它的步骤如下:
1)在计算机中安装决策中心装置,并加入互联网,开放特定网络端口,接收来自检测端点的注册消息、预警消息;
2)在k台计算机中安装P2P客户端软件,同时安装路由表监测装置,每个检测端点利用P2P客户端软件加入P2P网络,成为P2P网络中的一个节点,每个检测端点利用路由表监测装置向决策中心装置注册,并与决策中心装置建立网络连接;
3)预先设定路由表访问次数的正常值为α,每个检测端点内的路由表监测装置实时监测所在P2P节点的路由表,每经过单位时间T统计一次路由表访问次数h,若路由表访问次数h>路由表访问次数的正常值α,则表明所监测P2P节点的行为出现异常,通过已建立的网络连接向决策中心装置发出包含时间戳t的预警消息;
4)预先设定预警数量正常值为β,根据接收到的预警所含时间戳t判断是否为属于当时单位时间T,统计当时单位时间T内的预警数量Ci,i=1,2,…,n,存储在预警数量数组C中,连续统计n次,形成包含n个值的预警数量数组C={C1,C2,…,Cn},使用统计学的t检验方法,检验预警数量数组C的预警数量平均值是否大于预警数量正常值β,若预警数量平均值大于预警数量正常值β则认为当前监测的P2P网络已爆发P2P蠕虫;
5)若决策中心装置认为P2P网络已爆发蠕虫,则发出蠕虫爆发报警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201110049816 CN102104606B (zh) | 2011-03-02 | 2011-03-02 | 一种内网蠕虫主机检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201110049816 CN102104606B (zh) | 2011-03-02 | 2011-03-02 | 一种内网蠕虫主机检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102104606A true CN102104606A (zh) | 2011-06-22 |
CN102104606B CN102104606B (zh) | 2013-09-18 |
Family
ID=44157132
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 201110049816 Expired - Fee Related CN102104606B (zh) | 2011-03-02 | 2011-03-02 | 一种内网蠕虫主机检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102104606B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102368719A (zh) * | 2011-09-28 | 2012-03-07 | 浙江大学 | 一种p2p网络大规模蠕虫爆发检测方法 |
CN103425526A (zh) * | 2012-05-18 | 2013-12-04 | 腾讯科技(深圳)有限公司 | 一种接口调用的控制方法及装置 |
CN106302505A (zh) * | 2016-08-30 | 2017-01-04 | 广东美的制冷设备有限公司 | 一种路由器入侵侦测警示方法及系统 |
CN110191126A (zh) * | 2019-05-30 | 2019-08-30 | 重庆理工大学 | 一种非线性动力学p2p网络蠕虫传播预测方法 |
CN110191127A (zh) * | 2019-05-30 | 2019-08-30 | 重庆理工大学 | 一种非线性动力学p2p网络蠕虫免疫预测方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1997017A (zh) * | 2006-12-20 | 2007-07-11 | 浙江大学 | 一种网络蠕虫检测方法及其系统 |
CN101414927A (zh) * | 2008-11-20 | 2009-04-22 | 浙江大学 | 用于内网网络攻击检测的报警和响应系统 |
CN101815076A (zh) * | 2010-02-05 | 2010-08-25 | 浙江大学 | 一种内网蠕虫主机检测方法 |
-
2011
- 2011-03-02 CN CN 201110049816 patent/CN102104606B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1997017A (zh) * | 2006-12-20 | 2007-07-11 | 浙江大学 | 一种网络蠕虫检测方法及其系统 |
CN101414927A (zh) * | 2008-11-20 | 2009-04-22 | 浙江大学 | 用于内网网络攻击检测的报警和响应系统 |
CN101815076A (zh) * | 2010-02-05 | 2010-08-25 | 浙江大学 | 一种内网蠕虫主机检测方法 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102368719A (zh) * | 2011-09-28 | 2012-03-07 | 浙江大学 | 一种p2p网络大规模蠕虫爆发检测方法 |
CN103425526A (zh) * | 2012-05-18 | 2013-12-04 | 腾讯科技(深圳)有限公司 | 一种接口调用的控制方法及装置 |
CN103425526B (zh) * | 2012-05-18 | 2016-03-16 | 腾讯科技(深圳)有限公司 | 一种接口调用的控制方法及装置 |
CN106302505A (zh) * | 2016-08-30 | 2017-01-04 | 广东美的制冷设备有限公司 | 一种路由器入侵侦测警示方法及系统 |
CN106302505B (zh) * | 2016-08-30 | 2019-04-30 | 广东美的制冷设备有限公司 | 一种路由器入侵侦测警示方法及系统 |
CN110191126A (zh) * | 2019-05-30 | 2019-08-30 | 重庆理工大学 | 一种非线性动力学p2p网络蠕虫传播预测方法 |
CN110191127A (zh) * | 2019-05-30 | 2019-08-30 | 重庆理工大学 | 一种非线性动力学p2p网络蠕虫免疫预测方法 |
CN110191126B (zh) * | 2019-05-30 | 2020-07-17 | 重庆理工大学 | 一种非线性动力学p2p网络蠕虫传播预测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102104606B (zh) | 2013-09-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102340485B (zh) | 基于信息关联的网络安全态势感知系统及其方法 | |
KR100561628B1 (ko) | 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법 | |
CN1946077B (zh) | 基于及早通知检测异常业务的系统和方法 | |
KR101538709B1 (ko) | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 | |
US20150341389A1 (en) | Log analyzing device, information processing method, and program | |
CN104506385B (zh) | 一种软件定义网络安全态势评估方法 | |
CN100531219C (zh) | 一种网络蠕虫检测方法及其系统 | |
Dainotti et al. | Extracting benefit from harm: using malware pollution to analyze the impact of political and geophysical events on the Internet | |
CN102104606B (zh) | 一种内网蠕虫主机检测方法 | |
US20070150955A1 (en) | Event detection system, management terminal and program, and event detection method | |
CN110191004B (zh) | 一种端口检测方法及系统 | |
CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
CN117395076B (zh) | 基于大数据的网络感知异常检测系统与方法 | |
CN106254318A (zh) | 一种网络攻击分析方法 | |
CN113839935A (zh) | 网络态势感知方法、装置及系统 | |
CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
CN107332802B (zh) | 一种防火墙策略监控方法及装置 | |
KR20130020862A (ko) | 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법 | |
CN117560196A (zh) | 一种智慧变电站二次系统测试系统及方法 | |
CN114189361A (zh) | 防御威胁的态势感知方法、装置及系统 | |
Lu et al. | Detecting network anomalies using CUSUM and EM clustering | |
CN117097539A (zh) | 基于态势感知的网络安全状态感知方法及系统 | |
CN101815076B (zh) | 一种内网蠕虫主机检测方法 | |
JP2008244632A (ja) | 監視対象設定システム、監視対象設定方法、監視対象設定プログラム、ネットワーク監視システム、管理装置及び収集装置 | |
CN114756870A (zh) | 基于SoS体系的多维度信息安全风险评估系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130918 Termination date: 20160302 |
|
CF01 | Termination of patent right due to non-payment of annual fee |