CN102111302B - 一种蠕虫检测方法 - Google Patents
一种蠕虫检测方法 Download PDFInfo
- Publication number
- CN102111302B CN102111302B CN 200910244234 CN200910244234A CN102111302B CN 102111302 B CN102111302 B CN 102111302B CN 200910244234 CN200910244234 CN 200910244234 CN 200910244234 A CN200910244234 A CN 200910244234A CN 102111302 B CN102111302 B CN 102111302B
- Authority
- CN
- China
- Prior art keywords
- worm
- network
- flow
- port
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种蠕虫检测方法,该方法包括:根据蠕虫传播的特性,监测网络中某端口的流量和数据包内容的相似程度,记录源IP地址,统计某端口流量大小和数据包内容相似程度,并计算二者的自信息量,根据该值表示网络受到蠕虫入侵的可能性大小。根据所记录源IP地址找出攻击者并封堵其流量,保证网络中其它主机免受蠕虫感染。
Description
技术领域
本发明涉及网络通信技术,特别涉及一种检测蠕虫攻击的方法。
背景技术
随着计算机网络的迅速发展,网络规模不断扩大,蠕虫对互联网的安全造成了越来越大的威胁。一方面,蠕虫危害网络中的计算机终端,导致目标计算机的重要信息泄露或者拒绝服务等。另一方面,对于没有采取相应安全措施的计算机网络,蠕虫攻击所带来的流量可能导致整个网络拥塞甚至瘫痪。
蠕虫的工作方式一般是:(1)搜索扫描:负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息之后,就得到一个可攻击的对象。(2)攻击:攻击模块按搜索扫描中找到的对象取得该主机的权限。(3)复制:通过原主机和新主机之间的交互,将蠕虫程序复制到新主机并启动。该过程可以利用系统本身的程序实现也可以利用蠕虫自带的程序实现。
通过分析蠕虫的行为特征可知,防御蠕虫的关键在于尽早地发现蠕虫。然后就可以对被感染的计算机采取相应的清除隔离等措施。因而对蠕虫的检测成为防治蠕虫的关键步骤。
传统的蠕虫检测通常使用特征码匹配的检测方法,这种方法必须首先获得已传播蠕虫的样本才能分析出特征码,才能更新蠕虫检测软件的特征库从而检测该类型的蠕虫,因而对于未知蠕虫的检测难以实现。
另外,常用的基于流量的检测蠕虫的方法有计算各个主机与其它主机的连接数目是否超过一定的阈值来判断该主机是否感染蠕虫。该方法的实质是通过检测蠕虫的扫描行为来检测蠕虫,其不足在于仅以连接数作为检测指标,策略简单,降低了检测的准确性。
1与本发明相关的现有技术一
申请号为200610155323.3的发明专利申请公开了一种网络蠕虫检测方法及系统,利用蠕虫扫描与正常主机网络访问行为在目标地址分布这一特征上的不同,提出记录被检测主机对每个目标地址发起的连接数,并根据发起连接数在目的地址中的分布计算该主机目标地址的熵值的方法来检测蠕虫。该方法预先设定网络蠕虫报警阈值,将计算所得熵值与预先设定的阈值进行比较,若熵值大于网络蠕虫报警阈值且小于或等于响应阈值,则认为该主机为可疑主机,给出报警;若熵值大于响应阈值,则触发响应机制;若熵值小于或等于蠕虫报警阈值,则继续检测,等待主机的下一次的连接发起,重新计算熵值作比较。
该方法的不足在于仅利用了连接目标地址分布这一特征,但是并非所有蠕虫都会对整个IP地址段进行扫描,因而会造成一定程度的漏报。
2与本发明相关的现有技术二
在基于目的端口流量相似度的蠕虫检测方法中提出利用目的端口流量自相似性来检测蠕虫的具体方法。该方法将端口分为可信端口和非可信端口两类,计算每个端口对应的包个数的相关系数。可信端口为有稳定通信流量的网络服务端口,正常情况下这些端口流量的相似度很高,蠕虫攻击时造成流量突然增大或是拒绝服务攻击导致端口流量大小相似度下降。非可信端口被普通程序随机开启进行网络通信,通信结束关闭。正常情况下非可信端口的流量相似度应该较低,若某一端口相似度持续稳定且具有较高传输率,则认为处于异常状态可能有蠕虫发生。
该方法没有数据包内容的相似性做判断。而流量大小的相似性难以全面的表征网络是否出现异常,如果蠕虫采用间歇性等智能的扫描策略,就会难以检测。
发明内容
本发明实施例提供的一种蠕虫检测方法,用以解决现有技术存在的不能及时、准确地检测蠕虫攻击的问题。
一种检测蠕虫攻击的方法包括:
尽管蠕虫的传播方式和负载功能有所不同,但大多数蠕虫在传播和复制过程中会产生大量基于特定端口的数据包,包括扫描包和攻击包。同一种蠕虫所发送的扫描包的内容是相同的,而且对于大部分蠕虫来说,同种蠕虫的攻击包内容也是相似的。同一端口的流量越大且数据包相似程度越高,其为蠕虫的可能性越大,因而根据同一端口流量超出正常值,内容相似的数据包数超出正常情况的联合概率来判断该流量是否为蠕虫。具有概率为p(xi)的事件xi的自信息量为I(xi)=-log2p(xi)。显然,p(xi)=1时,I(xi)=0;p(xi)=0时,I(xi)=∞。概率越小,给予观察者的信息量越大,因而小概率事件在自信息量上的表现明显。假设网络中某一端口产生大量数据包为事件x,网络中产生内容相似数据包为事件y,二者相互独立,则p(x,y)=p(x)p(y),那么有I(x,y)=I(x)+I(y)。根据自信息量的特性,通过以上公式计算同一端口产生大量内容相似数据包的自信息量,来判断网络是否受到蠕虫感染。
先对各个端口统计正常网络的流量值,得到一个基准流量。由于某些常用端口本身的背景流量较大,蠕虫扫描引起的变化不足以在流量上明显的表现出来。因此将端口分为常用端口和非常用端口。
对于某一非常用端口i,记基准流量值为N0(i),实际检测值为Na(i),假定Na(i)≤N0(i)时为未受蠕虫攻击的正常情况,用式pi(x)=N0(i)/Na(i)来表示流量正常与否的概率大小,即当Na(i)≤N0(i)时网络流量正常的概率为1,Na(i)值越大,网络流量正常的概率越小。该端口总数据包个数记为n(i),根据两个数据包内容的汉明距离计算数据包的相似性大小,对任意两个文本M1=(x1x2…xk…xn),M2=(y1y2…yk…yn),xk∈{0,1},yk∈{0,1},它们的汉明距离为
它们的相似度用下面的公式来刻画
所有n个数据包中,对数据包Mj,与数据包Mj内容相同的数据包个数记为mj,则
mj=Sim(Mj,M1)+Sim(Mj,M2)+…+Sim(Mj,Mj)+Sim(Mj,Mj+1)+…+Sim(Mj,Mn)
记集合Ψ代表所有抓取到的数据包,Φ代表所有内容不同的数据包:
令Φ=O,随机选取Ψ中包Mj进入Φ;
计算mj;
选取第一个与Mj不同的数据进入Φ;
对每一个新进入Φ的数据包,重复(2)、(3);
重复以上过程,直到再无数据包进入Φ;
不妨记Φ中数据包相应的相似数分别为m1…mj…mk,其中最大的记为m(i),用式m(i)/n(i)表示该端口数据包的相似程度。由于正常网络产生相似数据包数越多的概率应该越小,因而用式pi(y)=1-m(i)/n(i)来表示产生数据包相似程度正常与否的概率。为了提升性能,只在网络流量判断为异常后计算数据包相似程度异常的概率,且由于不同时段网络中的流量不同,对流量基准值的统计一天中分时段进行。根据上述计算自信息量的公式得到I(x,y)。根据I(x,y)的值与预先设定的阈值进行比较判断蠕虫是否存在。
记为非常用端口的平均基准流量,
为常用端口的平均基准流量。对某一常用端口j,记基准流量值为η0(j),实际检测值为ηa(j),假定ηa(j)≤η0(j)时为未受蠕虫攻击的正常情况;
时,端口j流量远小于平均流量,流量较小,用式
来表示流量正常与否的概率大小;当
时,ηa(j)<η0(j),可判定为正常,流量正常与否的概率为1;当
且
时,
ηa(j)值越大,网络流量正常的概率越小。采用与非常用端口相同的方法计算数据包相似程度正常与否的概率pj(y)。计算I(x,y),根据I(x,y)的值与预先设定的阈值进行比较判断蠕虫是否存在。
附图说明
图1为蠕虫防御检测的流程图;
具体实施方式
本方案可以部署在交换机或路由器的镜像端口等便于采集网络流量的设备中。
步骤1,分时段统计网络正常情况下各端口的流量值得到流量的基准值。
步骤2,统计各端口网络流量即数据包个数,在不同时段分别根据步骤1中统计的不同时段流量基准值判断流量是否异常。
步骤3,若流量异常,计算数据内容的相似度、评价全部数据包的相似程度,并记录数据包的源IP地址。
步骤4,分别计算网络流量正常的概率p(x)和数据包相似程度正常的概率p(y),并根据公式I(x,y)=I(x)+I(y)计算自信息量。
步骤5,根据所得自信息量的值将流量分为正常,警告,严重警告几个等级。其中,严重警告可自动封堵该流量源IP地址的流量;警告可由用户选择是否封堵该流量源IP地址的流量;正常流量则可放行。
Claims (1)
1.一种蠕虫检测方法,其特征在于,该方法包括:
监测网络中某端口的流量以及数据包内容的相似程度,记录源IP地址,统计某端口流量大小和数据包内容相似程度,并计算二者的自信息量I(xi),根据该值表示网络受到蠕虫入侵的可能性大小;根据所记录源IP地址找出攻击者并封堵其流量,保证网络中其它主机免受蠕虫感染;
其中自信息量I(xi)=-log2p(xi),其中p(xi)表示事件xi发生的概率;
假设网络中某一端口产生大量数据包为事件x,网络中产生内容相似数据包为事件y,二者相互独立,则p(x,y)=p(x)p(y),那么有I(x,y)=I(x)+I(y);根据自信息量的特性,通过以上公式计算同一端口产生大量内容相似数据包的自信息量I(x,y),并将I(x,y)与预先设定的阈值进行比较判断网络是否受到蠕虫感染。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910244234 CN102111302B (zh) | 2009-12-28 | 2009-12-28 | 一种蠕虫检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910244234 CN102111302B (zh) | 2009-12-28 | 2009-12-28 | 一种蠕虫检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102111302A CN102111302A (zh) | 2011-06-29 |
| CN102111302B true CN102111302B (zh) | 2013-10-02 |
Family
ID=44175336
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200910244234 Active CN102111302B (zh) | 2009-12-28 | 2009-12-28 | 一种蠕虫检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102111302B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104601604B (zh) * | 2014-06-12 | 2019-03-15 | 国家电网公司 | 网络安全态势分析方法 |
| CN106209404B (zh) * | 2015-04-30 | 2019-05-03 | 华为技术有限公司 | 网络异常流量分析方法及系统 |
| CN106921519A (zh) * | 2017-02-24 | 2017-07-04 | 广州咨元信息科技有限公司 | 一种基于自动化调度和流程管理进行ip路由封堵的方法 |
| CN109831462B (zh) * | 2019-03-29 | 2021-12-24 | 新华三信息安全技术有限公司 | 一种病毒检测方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1848754A (zh) * | 2005-04-13 | 2006-10-18 | 华为技术有限公司 | 一种切换服务器的控制方法 |
| CN1859199A (zh) * | 2006-02-20 | 2006-11-08 | 华为技术有限公司 | 一种网络蠕虫检测系统及方法 |
| CN1997017A (zh) * | 2006-12-20 | 2007-07-11 | 浙江大学 | 一种网络蠕虫检测方法及其系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050249214A1 (en) * | 2004-05-07 | 2005-11-10 | Tao Peng | System and process for managing network traffic |
-
2009
- 2009-12-28 CN CN 200910244234 patent/CN102111302B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1848754A (zh) * | 2005-04-13 | 2006-10-18 | 华为技术有限公司 | 一种切换服务器的控制方法 |
| CN1859199A (zh) * | 2006-02-20 | 2006-11-08 | 华为技术有限公司 | 一种网络蠕虫检测系统及方法 |
| CN1997017A (zh) * | 2006-12-20 | 2007-07-11 | 浙江大学 | 一种网络蠕虫检测方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102111302A (zh) | 2011-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Rao et al. | A model for generating synthetic network flows and accuracy index for evaluation of anomaly network intrusion detection systems | |
| CN111259204B (zh) | 基于图算法的apt检测关联分析方法 | |
| US8418247B2 (en) | Intrusion detection method and system | |
| US7735141B1 (en) | Intrusion event correlator | |
| US20060119486A1 (en) | Apparatus and method of detecting network attack situation | |
| WO2011077013A1 (en) | Intrusion detection in communication networks | |
| Xiao et al. | From patching delays to infection symptoms: Using risk profiles for an early discovery of vulnerabilities exploited in the wild | |
| CN101902349B (zh) | 一种检测端口扫描行为的方法和系统 | |
| CN110769007B (zh) | 一种基于异常流量检测的网络安全态势感知方法及装置 | |
| CN113904881B (zh) | 一种入侵检测规则误报处理方法和装置 | |
| CN102111302B (zh) | 一种蠕虫检测方法 | |
| CN110012037A (zh) | 基于不确定性感知攻击图的网络攻击预测模型构建方法 | |
| Musa et al. | Analysis of complex networks for security issues using attack graph | |
| CN108712365B (zh) | 一种基于流量日志的DDoS攻击事件检测方法及系统 | |
| CN114189361A (zh) | 防御威胁的态势感知方法、装置及系统 | |
| CN115632884B (zh) | 基于事件分析的网络安全态势感知方法与系统 | |
| CN117560196A (zh) | 一种智慧变电站二次系统测试系统及方法 | |
| CN112671800A (zh) | 一种威胁量化企业风险值的方法 | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| US20230156019A1 (en) | Method and system for scoring severity of cyber attacks | |
| CN113132414B (zh) | 一种多步攻击模式挖掘方法 | |
| JP2006115129A (ja) | ネットワーク異常検出システム | |
| WO2010071625A1 (en) | Systems and methods for forensic analysis of network behavior | |
| KR20060026293A (ko) | 네트워크 취약성 정보를 이용하여 오탐을 방지하는침입탐지 장치, 시스템 및 그 방법 | |
| Ukil | Application of Kolmogorov complexity in anomaly detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent for invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 100082, building 1, building 32, 612 North Main Street, Haidian District, Beijing, Xizhimen Applicant after: Beijing Safe-Code Technology Co., Ltd. Address before: 100876 No. 34 South College Road, Beijing, Haidian District Applicant before: Beijing Safe-Code Technology Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C53 | Correction of patent for invention or patent application | ||
| CB03 | Change of inventor or designer information |
Inventor after: Bai Yuan Inventor after: Xu Qin Inventor after: Luo Shoushan Inventor after: Bao Yibing Inventor before: Bai Yuan Inventor before: Xin Yang Inventor before: Luo Shoushan Inventor before: Bao Yibing |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: BAI YUAN XIN YANG LUO SHOUSHAN BAO YIBING TO: BAI YUAN XU QIN LUO SHOUSHANBAO YIBING |