CN102104606B - 一种内网蠕虫主机检测方法 - Google Patents

一种内网蠕虫主机检测方法 Download PDF

Info

Publication number
CN102104606B
CN102104606B CN 201110049816 CN201110049816A CN102104606B CN 102104606 B CN102104606 B CN 102104606B CN 201110049816 CN201110049816 CN 201110049816 CN 201110049816 A CN201110049816 A CN 201110049816A CN 102104606 B CN102104606 B CN 102104606B
Authority
CN
China
Prior art keywords
early warning
worm
network
routing table
center device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN 201110049816
Other languages
English (en)
Other versions
CN102104606A (zh
Inventor
林怀忠
黄观仁
苏啸鸣
王学松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN 201110049816 priority Critical patent/CN102104606B/zh
Publication of CN102104606A publication Critical patent/CN102104606A/zh
Application granted granted Critical
Publication of CN102104606B publication Critical patent/CN102104606B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于抽样分析的P2P蠕虫检测方法。该方法向P2P网络部署多个检测端点和一个决策中心装置,每个检测端点对应一个随机选中的P2P节点,安装路由表监测装置监测P2P节点路由表的访问次数,若访问次数超过了预先设定的正常水平,则向决策中心装置发出预警。决策中心预警每经过一个单位时间统计一次预警数量,并以最近若干次的预警数量统计值为样本值,使用t检验判断样本值是否超过预先设定的正常值,若超过正常值,认为P2P网络已爆发P2P蠕虫,并发出蠕虫爆发报警。本发明克服了现有的网络蠕虫检测方法不适于检测P2P蠕虫、对P2P蠕虫的检测率低误报率高等不足,可有效检测到P2P网络的蠕虫爆发。

Description

一种内网蠕虫主机检测方法
技术领域
本发明涉及一种P2P网络蠕虫检测方法,属于计算机安全防护技术领域。
背景技术
网络蠕虫是一种可独立运行的恶意程序,它通过扫描网络,发现存在系统漏洞的计算机系统或应用服务,感染该计算机,并获取该计算机系统的控制权,进行传播;网络蠕虫大规模感染会导致信息泄露、计算机系统资源过耗、网络拥塞等严重后果。著名的Code Red蠕虫、Slammer蠕虫均在爆发后短期内直接造成10亿美元以上的巨大损失。网络蠕虫已成为目前影响网络安全的一个重大因素。
防止蠕虫泛滥的关键在于及早发现受感染的蠕虫主机,然后由防范器对蠕虫主机采取应对措施,如清除蠕虫文件、隔离主机、过滤蠕虫数据包等。因此,检测蠕虫是抑制蠕虫传播的关键步骤。研究蠕虫检测技术已成为保证网络环境安全性,维护社会和个人利益的迫切需要。
目前对于网络蠕虫的检测包括的基于特征码的检测方法和基于网络异常的检测方法两大类。
基于特征码的检测方法是较传统的方法,该方法首先分析捕获的蠕虫样本得到该蠕虫的特征码;然后根据特征码在网络流量或者主机文件中进行特征匹配,从而实现蠕虫检测。该检测方法对已知蠕虫具有良好的检测结果,但存在缺点,缺点之一:无法第一时间获取新蠕虫或变种蠕虫的特征码,所以对新出现蠕虫的检测延迟较大,起不到预警作用;缺点之二:无法检测到动态改变代码的多态蠕虫,该类蠕虫没有固定的特征码,可以规避基于特征码的检测方法。具有较高的漏报率。该类检测方法无法预防爆发十分快速的P2P蠕虫。
基于网络异常的检测方法是蠕虫检测技术的发展方向,该方法监测特定的网络指标,根据指标异常来检测蠕虫的爆发。常用的方法如:通过统计连接数,判断连接累计值是否超过设置的阈值来检测蠕虫;通过统计ICMP消息异常来检测蠕虫的发生;通过计算失败连接与成功连接比率,判断是否超过预设阈值来检测蠕虫等。该方法可以检测到未知蠕虫,但也存在缺点:目前出现的基于网络特征的检测方法或者由于计算量大,检测实时性差;或者由于检测指标简单,存在较高的误报率。并且该类检测方法对P2P蠕虫的检测率较低。
t检验,亦称student t检验(Student's t test),主要用于样本含量较小(例如n<30),总体标准差σ未知的正态分布资料。它是用t分布理论来推断差异发生的概率,从而判定两个平均数的差异是否显著。
发明内容
本发明的目的是克服了现有技术无法检测P2P蠕虫或检测率不高的不足,提供一种基于抽样分析的P2P蠕虫检测方法。
基于抽样分析的P2P蠕虫检测方法的步骤如下:
1)在计算机中安装决策中心装置,并加入互联网,开放特定网络端口,接收来自检测端点的注册消息、预警消息;
2)在k台计算机中安装P2P客户端软件,同时安装路由表监测装置,每个检测端点利用P2P客户端软件加入P2P网络,成为P2P网络中的一个节点,每个检测端点利用路由表监测装置向决策中心装置注册,并与决策中心装置建立网络连接;
3)预先设定路由表访问次数的正常值为α,每个检测端点内的路由表监测装置实时监测所在P2P节点的路由表,每经过单位时间T统计一次路由表访问次数h,若路由表访问次数h>路由表访问次数的正常值α,则表明所监测P2P节点的行为出现异常,通过已建立的网络连接向决策中心装置发出包含时间戳t的预警消息;
4)预先设定预警数量正常值为β,根据接收到的预警所含时间戳t判断是否为属于当时单位时间T,统计当时单位时间T内的预警数量Ci,i=1,2,…,n,存储在预警数量数组C中,连续统计n次,形成包含n个值的预警数量数组C={C1,C2,…,Cn},使用统计学的t检验方法,检验预警数量数组C的预警数量平均值是否大于预警数量正常值β,若预警数量平均值大于预警数量正常值β则认为当前监测的P2P网络已爆发P2P蠕虫;
5)若决策中心装置认为P2P网络已爆发蠕虫,则发出蠕虫爆发报警。
本发明克服了现有的网络蠕虫检测技术不能快速检测P2P蠕虫爆发,检测结果存在较高漏报率的缺点,可准确、高效、实时地检测到P2P网络中爆发P2P蠕虫。
附图说明
图1为本发明P2P蠕虫检测方法的总体部署图;
图2为本发明P2P蠕虫检测方法的基本检测流程图;
图3为按照本发明P2P蠕虫检测方法的用于Chord网络的部署实例图;
图4为按照本发明P2P蠕虫检测方法的用于Chord网络的路由表监测装置和决策中心装置实现图。
具体实施方式
本发明基于以下理论基础:
(1)P2P蠕虫在P2P网络中爆发时,必须依靠P2P节点中的路由表传播,传播时会频繁访问路由表。
(2)P2P节点在正常情况下,其路由表在单位时间内的访问次数符合特定分布,访问次数在接近某个正常值,在蠕虫感染情况下,其路由表在单位时间内的访问次数必然骤增,明显超过正常值。
(3)t检验可较准确地判断一组数值的平均值是否超过某个值。
如图1~2所示,基于抽样分析的P2P蠕虫检测方法的步骤如下:
1)在计算机中安装决策中心装置,并加入互联网,开放特定网络端口,接收来自检测端点的注册消息、预警消息;
2)在k台计算机中安装P2P客户端软件,同时安装路由表监测装置,每个检测端点利用P2P客户端软件加入P2P网络,成为P2P网络中的一个节点,每个检测端点利用路由表监测装置向决策中心装置注册,并与决策中心装置建立网络连接;
3)预先设定路由表访问次数的正常值为α,每个检测端点内的路由表监测装置实时监测所在P2P节点的路由表,每经过单位时间T统计一次路由表访问次数h,若路由表访问次数h>路由表访问次数的正常值α,则表明所监测P2P节点的行为出现异常,通过已建立的网络连接向决策中心装置发出包含时间戳t的预警消息;
4)预先设定预警数量正常值为β,根据接收到的预警所含时间戳t判断是否为属于当时单位时间T,统计当时单位时间T内的预警数量Ci,i=1,2,…,n,存储在预警数量数组C中,连续统计n次,形成包含n个值的预警数量数组C={C1,C2,…,Cn},使用统计学的t检验方法,检验预警数量数组C的预警数量平均值是否大于预警数量正常值β,若预警数量平均值大于预警数量正常值β则认为当前监测的P2P网络已爆发P2P蠕虫;
5)若决策中心装置认为P2P网络已爆发蠕虫,则发出蠕虫爆发报警。
实施例
如图3所示,按照本发明P2P蠕虫检测方法部署检测端点与决策中心装置,所检测的网络是名为Chord的一种P2P网络。其中普通Chord网络节点约10000个,检测端点约50个,检测端点加入Chord网络,并向决策中心装置注册。决策中心装置登记所有检测端点,并与检测端点建立网络连接。检测端点通过已建立的网络连接向决策中心装置发送报警消息。
如图4所示,按照本发明P2P蠕虫检测方法实施的路由表监测装置和决策中心装置,路由表监测装置安装于检测端点。检测端点与决策中心装置使用网络通信,检测端点向决策中心装置注册,决策中心装置登记提交注册的检测端点。路由表监测装置实时监测所在节点的Chord路由表访问情况,如果Chord路由表访问次数超过正常值,则生成预警消息,并将预警消息发送给决策中心装置。决策中心装置统计来自所有检测端点的报警数量Ci,i=1,2,…,n,重复统计n次,形成报警数量数组C={C1,C2,…Cn},利用t检验判断报警数量数组的平均值是否超过预设的正常值,如果报警数量数组的平均值超过预设正常值,那么t表示爆发蠕虫,发出蠕虫爆发报警。
该检测方法有效监测P2P网络的异常,实现成本低,可实时检测到P2P网络中的蠕虫爆发,并发出蠕虫爆发报警,该报警信息可供网络管理人员用于及时排除网络故障,或采取防范措施,从而实现P2P蠕虫的检测,准确、高效、实时地检测到P2P蠕虫的爆发。

Claims (1)

1.一种基于抽样分析的P2P蠕虫检测方法,其特征在于它的步骤如下:
1)在计算机中安装决策中心装置,并加入互联网,开放特定网络端口,接收来自检测端点的注册消息、预警消息;
2)在k台计算机中安装P2P客户端软件,同时安装路由表监测装置,每个检测端点利用P2P客户端软件加入P2P网络,成为P2P网络中的一个节点,每个检测端点利用路由表监测装置向决策中心装置注册,并与决策中心装置建立网络连接;
3)预先设定路由表访问次数的正常值为α,每个检测端点内的路由表监测装置实时监测所在P2P节点的路由表,每经过单位时间T统计一次路由表访问次数h,若路由表访问次数h>路由表访问次数的正常值α,则表明所监测P2P节点的行为出现异常,通过已建立的网络连接向决策中心装置发出包含时间戳t的预警消息;
4)预先设定预警数量正常值为β,根据接收到的预警所含时间戳t判断是否为属于当时统计出路由表访问次数时的单位时间T,并统计该单位时间T内的预警数量Ci,i=1,2,…,n,存储在预警数量数组C中,连续统计n个单位时间内的预警信息,形成包含n个值的预警数量数组C={C1,C2,…,Cn},使用统计学的t检验方法,检验预警数量数组C的预警数量平均值是否大于预警数量正常值β,若预警数量平均值大于预警数量正常值β则认为当前监测的P2P网络已爆发P2P蠕虫;
5)若决策中心装置认为P2P网络已爆发蠕虫,则发出蠕虫爆发报警。
CN 201110049816 2011-03-02 2011-03-02 一种内网蠕虫主机检测方法 Expired - Fee Related CN102104606B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 201110049816 CN102104606B (zh) 2011-03-02 2011-03-02 一种内网蠕虫主机检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 201110049816 CN102104606B (zh) 2011-03-02 2011-03-02 一种内网蠕虫主机检测方法

Publications (2)

Publication Number Publication Date
CN102104606A CN102104606A (zh) 2011-06-22
CN102104606B true CN102104606B (zh) 2013-09-18

Family

ID=44157132

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 201110049816 Expired - Fee Related CN102104606B (zh) 2011-03-02 2011-03-02 一种内网蠕虫主机检测方法

Country Status (1)

Country Link
CN (1) CN102104606B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102368719A (zh) * 2011-09-28 2012-03-07 浙江大学 一种p2p网络大规模蠕虫爆发检测方法
CN103425526B (zh) * 2012-05-18 2016-03-16 腾讯科技(深圳)有限公司 一种接口调用的控制方法及装置
CN106302505B (zh) * 2016-08-30 2019-04-30 广东美的制冷设备有限公司 一种路由器入侵侦测警示方法及系统
CN110191126B (zh) * 2019-05-30 2020-07-17 重庆理工大学 一种非线性动力学p2p网络蠕虫传播预测方法
CN110191127B (zh) * 2019-05-30 2020-06-02 重庆理工大学 一种非线性动力学p2p网络蠕虫免疫预测方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1997017A (zh) * 2006-12-20 2007-07-11 浙江大学 一种网络蠕虫检测方法及其系统
CN101414927A (zh) * 2008-11-20 2009-04-22 浙江大学 用于内网网络攻击检测的报警和响应系统
CN101815076A (zh) * 2010-02-05 2010-08-25 浙江大学 一种内网蠕虫主机检测方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1997017A (zh) * 2006-12-20 2007-07-11 浙江大学 一种网络蠕虫检测方法及其系统
CN101414927A (zh) * 2008-11-20 2009-04-22 浙江大学 用于内网网络攻击检测的报警和响应系统
CN101815076A (zh) * 2010-02-05 2010-08-25 浙江大学 一种内网蠕虫主机检测方法

Also Published As

Publication number Publication date
CN102104606A (zh) 2011-06-22

Similar Documents

Publication Publication Date Title
KR100561628B1 (ko) 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법
EP3577872B1 (en) Method and attack detection function for detection of a distributed attack in a wireless network
KR100617310B1 (ko) 네트워크 트래픽 이상 징후 감지 장치 및 그 방법
CN102104606B (zh) 一种内网蠕虫主机检测方法
JP2010511359A (ja) ネットワーク異常検出のための方法と装置
CN110191004B (zh) 一种端口检测方法及系统
US20070150955A1 (en) Event detection system, management terminal and program, and event detection method
Xi et al. CNSSA: A comprehensive network security situation awareness system
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
CN115001877B (zh) 一种基于大数据的信息安全运维管理系统及方法
CN111740975A (zh) 一种网络安全态势感知系统及方法
CN113839935A (zh) 网络态势感知方法、装置及系统
CN100377534C (zh) 一种网络蠕虫检测系统及方法
CN117155625A (zh) 一种计算机网络监控系统
KR20130020862A (ko) 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법
CN117560196A (zh) 一种智慧变电站二次系统测试系统及方法
Lu et al. Detecting network anomalies using CUSUM and EM clustering
CN101815076B (zh) 一种内网蠕虫主机检测方法
JP2008244632A (ja) 監視対象設定システム、監視対象設定方法、監視対象設定プログラム、ネットワーク監視システム、管理装置及び収集装置
JP2008244635A (ja) ネットワーク監視システム、ネットワーク監視方法、ネットワーク監視プログラム及び収集装置
CN114257414A (zh) 一种网络安全智能值班方法及系统
CN106453226A (zh) 一种检测地址熵值的方法
CN102368719A (zh) 一种p2p网络大规模蠕虫爆发检测方法
CN101820369B (zh) 一种基于通信量的内网蠕虫检测方法
WO2010071625A1 (en) Systems and methods for forensic analysis of network behavior

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130918

Termination date: 20160302

CF01 Termination of patent right due to non-payment of annual fee