CN102916975A - 一种推测网络蠕虫传播路径的方法 - Google Patents
一种推测网络蠕虫传播路径的方法 Download PDFInfo
- Publication number
- CN102916975A CN102916975A CN2012104579334A CN201210457933A CN102916975A CN 102916975 A CN102916975 A CN 102916975A CN 2012104579334 A CN2012104579334 A CN 2012104579334A CN 201210457933 A CN201210457933 A CN 201210457933A CN 102916975 A CN102916975 A CN 102916975A
- Authority
- CN
- China
- Prior art keywords
- propagation path
- worm
- conjecturing
- network
- limit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种推测网络蠕虫传播路径的方法。该方法采用时间窗口周期性地采集网络流量数据,生成主机联系图,通过运行聚积算法将较多的权值聚积到感染边上;挑选权值最大的Z条边作为当前时间窗口的网络蠕虫传播路径结果集;合并上次推测结果集与当前时间窗口结果集,推测感染树的顶层部分,实现对历史时间窗口推测结果的不断积累和当前时间窗口推测结果的反馈修正,提高推测的精度。本发明的优点在于:可以在不影响或轻微影响蠕虫检测系统性能的前提下,实现接近实时的网络蠕虫传播路径推测,能够较早地发现感染源与传播路径,并且推测准确性高,误报率与漏报率低,速度快。
Description
技术领域
本发明涉及网络蠕虫检测系统中一种推测蠕虫传播路径的方法,尤其涉及一种在线推测网络蠕虫传播路径的方法。
背景技术
蠕虫爆发后,获取网络蠕虫的传播路径(即追踪蠕虫的攻击路径)不仅可以推测最早被感染的节点,还可以推测在传播过程中造成其它节点被感染的传播路径。即使只获取到部分路径,对抑制蠕虫继续传播和调查取证也具有重大意义。
推测蠕虫传播路径的研究工作主要有:1.以流量图为基础的算法,包括主机联系图上的算法和协议图上的算法等。主机联系图上的算法使用随机行走的概率方法,通过收集在蠕虫传播过程中各主机间通信流量得到蠕虫传播路径。协议图上的算法通过监控各种协议图的异常变化,检测目标列表扫描蠕虫和发起该蠕虫攻击的主机生成蠕虫传播路径;2.使用网络望远镜得到的蠕虫监测历史数据来推断蠕虫的感染序列;3.对特定蠕虫进行逆向工程分析。例如通过对witty蠕虫的逆向工程方法来分析它的随机扫描算法和相对应的随机种子。
现有的蠕虫传播路径获取方法都是采用离线分析方式,即在蠕虫攻击爆发之后,经过一段采集流量的时间,通过获取的网络流量数据进行分析,得到推测结果,很难做到实时地追踪(即几乎能在网络蠕虫攻击过程中获得传播路径)。这类离线方法虽然最后能够获取蠕虫的传播路径和攻击源,但不能在蠕虫爆发之时就获取传播路径,而且不能显示蠕虫传播路径随时间的动态变化情况。因此,有必要研究在复杂网络环境下在线追踪网络蠕虫的方法,用于接近实时地追踪网络蠕虫初始传染源,抑制蠕虫的继续传播,保证更多主机不被网络蠕虫传染。
发明内容
鉴于上述现有技术中存在的问题,本发明提供一种在线推测网络蠕虫传播路径的方法。该方法包含以下步骤:
步骤一:根据网络情况设定蠕虫检测周期R(单位:秒)与时间窗口S(单位:秒),设置推测结果集为空;
步骤二:采集S秒网络流量,生成当前时间窗口的主机联系图;
步骤三:在主机联系图上应用聚积算法计算权值最大的Z条边作为当前时间窗口结果集;
步骤四:如果本次推测为第一次推测,将当前窗口结果集作为推测结果集;如果本次推测不为第一次推测,合并推测结果集与当前窗口结果集,选择权值最大的Z条边作为推测结果集;
步骤五:根据推测结果集重构感染树,推测蠕虫传播路径并告知客户;
步骤六:到达下一个检测周期后,转步骤二。
所述的步骤一当中设定检测周期,使用滑动窗口实时检测网络流量数据,实现蠕虫传播路径的在线检测。
所述的步骤三中计算当前时间窗口结果集采用聚积算法,是通过K次权值‘聚集-累积’过程,使得较多的权值聚积到感染边上,该算法执行至少包括以下步骤:
步骤1:在主机联系图上赋予每条边相同的初始权值;
步骤2:对于主机联系图上的每条边,将它的权值平均分配给它的前驱,生成每条边的新权值;
步骤3:重复步骤二K次;
步骤4:挑选权值最大的Z条边作为当前窗口蠕虫传播序列的结果集。
有益效果:本发明的优点在于:
1、应用聚积算法追踪蠕虫传播路径,可快速获取网络蠕虫的传播源和初始传播路径,计算复杂度与数据规模成正比;解决了传播路径选择冲突和相邻推测阶段传播路径合并等问题,能有效地提高准确率、降低误报率和漏报率。
2、采用滑动窗口采集网络流量数据,并R秒执行一次聚积算法,能尽早地发现蠕虫;每次执行只需采集最近S秒时间内的流量数据,降低了数据规模,减少了一次算法的运行时间。
3、在时间窗口中运行积聚算法从而接近实时地追踪网络蠕虫初始传染源,可在蠕虫爆发初期即可检测出感染边,获取网络蠕虫的传播源和初期传播路径,抑制蠕虫的继续传播。
附图说明
图1为本发明方法流程示意图。
具体实施方式
下面结合附图和实施例对本发明做进一步的说明:
实施方案详细介绍:
如图1所示,本发明的方法具体实施如下:
一、设定蠕虫检测周期R、检测时长S和推测结果集初值
根据网络情况设定蠕虫检测周期R(单位:秒)与检测时长S(单位:秒),设置推测结果集为空。
R和S值的选择,用户可以根据网络情况和检测侧重点而定(如及早检测出、检测时间短,检测准确率高)。算法执行的周期越短,越能及早地检测出蠕虫,但准确率会有所降低。随着执行周期的增大,算法的准确率有所增加,但准确率随执行周期的变化是平缓的,每60秒执行一次聚积算法即能达到近80%的准确率。在时间窗口内采集局部数据能够降低运行时间和内存开销,同时准确率也会有所降低。时间窗口S越大,算法的准确率越高,但S=2400和S=3600时的准确率相差很小。
二、采集S秒网络流量,生成当前时间窗口的主机联系图;
通过从捕包网卡等硬件设备采集最近S秒的网络流量生成主机联系图。主机联系图定义如下:
网络中的主机间通信定义为一个有向图G=<V,E>,称其为主机联系图。其中图的点集V=H×T,H是网络中主机的集合,T表示时间;图的边集E是V×V的一个子集。图G中的一条有向边e=<u,ts,v,te>表示网络中的一个流。其中<u,ts>∈H×T表示流的源主机和开始时间,<v,te>∈H×T表示流的目的主机和结束时间。如果一条边带有蠕虫攻击性,无论它是否成功的感染了目的主机,则被称为攻击边。如果一条攻击边成功地感染了一台以前未被感染的目的主机,则被称为感染边。G中除去攻击边之外的所有边称为正常边。
定义主机联系图中边的相邻关系,G中两条边e1=<u1,ts 1,v1,te 1>,e2=<u2,ts 2,v2,te 2>,若u2=v1且te 1<ts 2<te 1+Δt(Δt是预先设定的时间间隔参数),则称e2是e1的后继,e1是e2的前驱。e的前驱分别记为其中PRE(e)表示e的前驱个数。类似地,e的后继分别记为
其中SUC(e)表示e的后继个数,前驱和后继描述了边之间的相邻关系。
三、在主机联系图上计算权值最大的Z条边作为当前时间窗口结果集;
本发明提出了蠕虫传播路径的推测方法--聚积算法。首先赋予每条边相同的权值;然后算法通过K次权值‘聚集-累积’过程(聚积过程),使得较多的权值聚积到感染边上;最后挑选权值最大的Z条边推测出蠕虫传播的初始序列。
设p(e,i)为边e第i次聚积过程中的权增量,算法结束后e的总权值为
每一次权值聚积的过程,就是对上一次的权增量进行重新分配的过程。具体地,将上一次的权增量p(e,i-1)均匀地分配给e的所有前驱构成这些前驱边本次权增量的一部分。如此迭代K次,边的权增量不断地分配给他们的前驱。对权增量的重新分配过程,实际上也是权值在感染链上的逆聚积过程。算法执行过程如下:
1)i=0;p(e)=0.0;p(e,0)=1.0;
2)i=i+1;
p(e)=p(e)+p(e,i);
3)如果i<K则转到第2)步,否则转到第4)步;
4)挑选出p(e)最大的Z条边作为结果集(记为ANS),推测蠕虫传播初期的感染树.
参数K和Z的选择:使用聚积算法时仅需要较少的聚集次数就能得到很好的结果;随着Z的增大,越来越多的非感染边被选入结果集,适当增大Z有助于检测出隐蔽性高的蠕虫。
四、如果本次推测为第一次推测,将当前窗口结果集作为推测结果集;否则合并推测结果集与当前窗口结果集,从并集中选择权值最大的Z条边赋值给推测结果集。
五、根据推测结果集重构感染树,推测蠕虫传播路径并告知客户;
六、到达下一个检测周期后,转步骤二。
通过设定的检测周期,实现了蠕虫传播路径的在线检测。暂停R秒后,转步骤二进行下一次蠕虫检测,通过推测路径结果集保存本次检测结果并提供給下一次检测。
实施例
在由907个主机构成的网络环境中运行本发明所提出的蠕虫传播路径推测方法,检测周期R=60秒,时间窗口S=2400秒。聚积算法中聚积执行的次数K=9,结果集中感染边数Z=100。方法执行1小时后,推测得出的蠕虫传播路径准确率为92%。
上述仅为本发明的较佳实施例而已,并非用来限定本发明实施范围。即凡依本发明申请专利范围所作的均等变化与修饰,皆为本发明专利范围所涵盖。
Claims (3)
1.一种推测网络蠕虫传播路径的方法,其特征在于至少包括以下几个步骤:
步骤一:根据网络情况设定蠕虫检测周期R(单位:秒)与时间窗口S(单位:秒),设置推测结果集为空;
步骤二:采集S秒网络流量,生成当前时间窗口的主机联系图;
步骤三:在主机联系图上应用聚积算法计算权值最大的Z条边作为当前时间窗口结果集;
步骤四:如果本次推测为第一次推测,将当前窗口结果集作为推测结果集;如果本次推测不是第一次推测,合并推测结果集与当前窗口结果集,选择权值最大的Z条边作为推测结果集;
步骤五:根据推测结果集重构感染树,推测蠕虫传播路径并告知客户;
步骤六:到达下一个检测周期后,转步骤二。
2.根据权利要求1所述的一种推测网络蠕虫传播路径的方法,其特征在于:所述的步骤一当中设定检测周期,使用滑动窗口实时检测网络流量数据,实现蠕虫传播路径的在线推测。
3.根据权利要求1所述的一种推测网络蠕虫传播路径的方法,其特征在于:所述的步骤三中计算当前时间窗口结果集采用聚积算法,是通过K次权值‘聚集-累积’过程,使得较多的权值聚积到感染边上,该算法执行至少包括以下步骤:
步骤1:在主机联系图上赋予每条边相同的初始权值;
步骤2:对于主机联系图上的每条边,将它的权值平均分配给它的前驱,生成每条边的新权值;
步骤3:重复步骤二K次;
步骤4:挑选权值最大的Z条边作为当前窗口蠕虫传播序列的结果集。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104579334A CN102916975A (zh) | 2012-11-14 | 2012-11-14 | 一种推测网络蠕虫传播路径的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104579334A CN102916975A (zh) | 2012-11-14 | 2012-11-14 | 一种推测网络蠕虫传播路径的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102916975A true CN102916975A (zh) | 2013-02-06 |
Family
ID=47615209
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012104579334A Pending CN102916975A (zh) | 2012-11-14 | 2012-11-14 | 一种推测网络蠕虫传播路径的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102916975A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110445692A (zh) * | 2019-08-16 | 2019-11-12 | 杭州安恒信息技术股份有限公司 | 基于主机的流量画像生成方法、系统和计算机可读介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197809A (zh) * | 2006-12-08 | 2008-06-11 | 北京大学 | 一种阻断蠕虫传播的方法及实现该方法的装置 |
| CN101719906A (zh) * | 2009-11-10 | 2010-06-02 | 电子科技大学 | 一种基于蠕虫传播行为的蠕虫检测方法 |
-
2012
- 2012-11-14 CN CN2012104579334A patent/CN102916975A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197809A (zh) * | 2006-12-08 | 2008-06-11 | 北京大学 | 一种阻断蠕虫传播的方法及实现该方法的装置 |
| CN101719906A (zh) * | 2009-11-10 | 2010-06-02 | 电子科技大学 | 一种基于蠕虫传播行为的蠕虫检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李强等: "推测网络蠕虫传播路径的在线聚积算法", 《软件学报》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110445692A (zh) * | 2019-08-16 | 2019-11-12 | 杭州安恒信息技术股份有限公司 | 基于主机的流量画像生成方法、系统和计算机可读介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105212954B (zh) | 一种脉冲堆积事件实时处理方法与系统 | |
| US8762298B1 (en) | Machine learning based botnet detection using real-time connectivity graph based traffic features | |
| CN107979411B (zh) | 一种光纤链路的监测方法及装置 | |
| WO2013184206A3 (en) | Path scanning for the detection of anomalous subgraphs, anomaly/change detection and network situational awareness | |
| JP2014060722A (ja) | 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 | |
| CN112867939A (zh) | 光探测和测距的直流偏置和噪声功率的实时估计 | |
| CN105376110A (zh) | 以大数据流式技术实现网络数据包的分析方法及系统 | |
| CN106500830A (zh) | 一种开关门振动检测方法 | |
| CN110334105B (zh) | 一种基于Storm的流数据异常检测方法 | |
| Sasirekha et al. | Data processing and management in IoT and wireless sensor network | |
| CN106108913A (zh) | 误计步消除方法、装置及可穿戴设备 | |
| CN107631754A (zh) | 基于大数据平台的边坡监测方法及系统 | |
| CN103001972A (zh) | Ddos攻击的识别方法和识别装置及防火墙 | |
| CN107124158A (zh) | 基于对数量化的无线传感器网络滤波信息处理系统及方法 | |
| CN105357071B (zh) | 一种网络复杂流量识别方法及识别系统 | |
| CN113379099A (zh) | 一种基于机器学习与copula模型的高速公路交通流自适应预测方法 | |
| KR101187023B1 (ko) | 네트워크 비정상 트래픽 분석시스템 | |
| CN102916975A (zh) | 一种推测网络蠕虫传播路径的方法 | |
| Monte et al. | Standard of things, first step: Understanding and normalizing sensor signals | |
| CN106685962A (zh) | 一种反射型ddos攻击流量的防御系统及方法 | |
| Bozkır et al. | A new platform for machine-learning-based network traffic classification | |
| US9992045B2 (en) | On-line signal event detection and identification method and apparatus | |
| CN116933895A (zh) | 一种基于机器学习的物联网数据挖掘方法及系统 | |
| Hafeez et al. | Adaptive window based sampling on the edge for Internet of Things data streams | |
| Ogino | Evaluation of machine learning method for intrusion detection system on Jubatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130206 |