CN107682354B - 一种网络病毒检测方法、装置及设备 - Google Patents

一种网络病毒检测方法、装置及设备 Download PDF

Info

Publication number
CN107682354B
CN107682354B CN201711014990.4A CN201711014990A CN107682354B CN 107682354 B CN107682354 B CN 107682354B CN 201711014990 A CN201711014990 A CN 201711014990A CN 107682354 B CN107682354 B CN 107682354B
Authority
CN
China
Prior art keywords
dimension
network
value
information entropy
network traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711014990.4A
Other languages
English (en)
Other versions
CN107682354A (zh
Inventor
李拓
刘芳宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Neusoft Corp
Original Assignee
Neusoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Neusoft Corp filed Critical Neusoft Corp
Priority to CN201711014990.4A priority Critical patent/CN107682354B/zh
Publication of CN107682354A publication Critical patent/CN107682354A/zh
Application granted granted Critical
Publication of CN107682354B publication Critical patent/CN107682354B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开一种蠕虫病毒检测方法、装置及设备,所述方法包括:采集目标局域网中的网络流量;对所述网络流量进行解析,得到所述网络流量的统计信息;并计算所述统计信息的信息熵;将所述统计信息的信息熵与根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到所述网络流量的偏离参数;根据所述网络流量的偏离参数,确定所述目标局域网是否感染网络病毒。由于本发明考虑了各个局域网各个时间段的网络流量特征,为各个局域网的各个时间段计算网络病毒的检测标准,所以,本发明提供的网络病毒检测方法能够降低检测结果的误报率。

Description

一种网络病毒检测方法、装置及设备
技术领域
本申请涉及数据处理领域,具体涉及一种网络病毒检测方法、装置及设备。
背景技术
现有技术中,一般采用杀毒软件进行网络病毒的防范,但是,由于杀毒软件是基于特征码对网络病毒进行检测的,对于新爆发的网络病毒,尚未开发出特征码,所以,杀毒软件对于新爆发的网络病毒的防范无能为力。
另外,现有的其他网络病毒检测方法中,并未考虑各个局域网独有的流量特征,而是采用统一的标准对网络病毒进行检测,存在误报率过高的问题。
发明内容
本发明提供了一种网络病毒检测方法、装置及设备,能够降低网络病毒的误报率。
第一方面,本发明提供一种蠕虫病毒检测方法,所述方法包括:
采集目标局域网中的网络流量;
对所述网络流量进行解析,得到所述网络流量的统计信息;并计算所述统计信息的信息熵;
将所述统计信息的信息熵与根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到所述网络流量的偏离参数;
根据所述网络流量的偏离参数,确定所述目标局域网是否感染网络病毒。
可选的,所述网络病毒为蠕虫病毒;
所述对所述网络流量进行解析,得到所述网络流量的统计信息,包括:
对所述网络流量进行解析,得到所述网络流量在连接类别维度、应用层协议类型维度和\或连接成功率维度下的统计信息;
相应的,所述计算所述统计信息的信息熵,包括:
分别计算各个维度下的统计信息的信息熵;
相应的,所述将所述统计信息的信息熵与根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到所述网络流量的偏离参数,包括:
将各个维度下的统计信息的信息熵,分别与对应的维度下的根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到所述网络流量在各个维度下的偏离参数;
相应的,所述根据所述网络流量的偏离参数,确定所述目标局域网是否感染网络病毒,包括:
根据所述网络流量在各个维度下的偏离参数,确定所述目标局域网是否感染蠕虫病毒。
可选的,所述根据所述网络流量在各个维度下的偏离参数,确定所述目标局域网是否感染蠕虫病毒,包括:
根据所述网络流量在各个维度下的所述偏移参数,确定所述网络流量在各个维度下的偏离程度值;
根据所述网络流量在各个维度下的偏离程度值,确定所述目标局域网是否感染蠕虫病毒。
可选的,所述根据所述网络流量在各个维度下的所述偏移参数,确定所述网络流量在各个维度下的偏离程度值包括:
通过公式(1)计算所述网络流量在各维度下的偏离程度值;
Figure BDA0001446258910000021
其中,f(δ)表示各维度下的偏离程度值,δ表示各维度下的偏移参数。
可选的,所述根据所述网络流量在各个维度下的偏离程度值,确定所述待检测局域网是否感染蠕虫病毒,包括:
根据所述网络流量在各个维度下的偏离程度值,计算所述网络流量的综合置信度值;
判断所述综合置信度值是否大于预设异常门限值;
如果大于预设异常门限值,则确定所述局域网感染蠕虫病毒。
可选的,所述根据所述网络流量在各个维度下的偏离程度值,计算所述网络流量的综合置信度值,包括:
将所述网络流量在各个维度下的偏离程度值和对应的置信度修正因子的乘积,作为所述网络流量在所述检测维度下的第一置信度分配值,所述第一置信度分配值用于表示所述网络流量在所述维度下存在异常的可信程度;
将所述网络流量在各个维度下的第一置信度分配值进行合成,得到所述网络流量的综合置信度值。
可选的,所述方法还包括:
对于任一维度,将1与对应的置信度修正因子的差值,确定为所述网络流量在所述维度下的第二置信度分配值,所述第二置信度分配值用于表示在所述维度下不确定所述网络流量是否存在异常的可信程度;
将所述网络流量在各个维度下的第二置信度分配值进行合成,得到所述网络流量的第二置信度分配合成值;
所述判断所述综合置信度值是否大于预设异常门限值之前,还包括:
判断所述网络流量的综合置信度值是否大于所述第二置信度分配合成值,如果是,则继续执行判断所述综合置信度值是否大于预设异常门限值的步骤。
可选的,所述根据所述网络流量在各个维度下的所述偏移参数,确定所述网络流量在各个维度下的偏离程度值之前,还包括:
判断所述网络流量在各个维度下的偏离参数是否均为0;
如果所述网络流量在各个维度下的偏离参数均为0,则直接确定所述目标局域网未感染蠕虫病毒;
否则,在执行根据所述网络流量在各个维度下的所述偏移参数,确定所述网络流量在各个维度下的偏离程度值的步骤。
可选的,所述将所述统计信息的信息熵与根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到所述网络流量的偏离参数,包括:
将统计信息的信息熵在所述信息熵范围内的偏移参数确定为0;
将统计信息的信息熵小于所述信息熵范围的最小值的偏移参数,确定为所述最小值与所述信息熵之差;
将统计信息的信息熵大于所述信息熵范围的最大值的偏移参数,确定为所述信息熵与所述最大值之差。
可选的,所述分别计算各个维度下的统计信息的信息熵,包括:
计算所述网络流量中各种连接类别的占比;并根据各种连接类别的占比,计算所述连接类别维度下的统计信息的信息熵;
计算所述网络流量中各种应用层协议类型的概率;并根据各种应用层协议类型的概率,计算所述应用层协议类型维度下的统计信息的信息熵;
计算所述网络流量中运输层协议连接成功与失败的概率;并根据运输层协议连接成功与失败的概率,计算所述连接成功率维度下的统计信息的信息熵。
可选的,所述方法还包括:
计算所述目标局域网中各个时间段内的各个时间窗的历史网络流量的信息熵;
由每个时间段内的时间窗对应的信息熵最小值和信息熵最大值,确定每个时间段的信息熵范围。
可选的,所述采集目标局域网中的网络流量,包括:
以预设频率采集目标局域网中的网络流量,所述网络流量属于对应时间段内的任一时间窗,所述时间段被划分为若干等长的时间窗。
第二方面,本发明还提供了一种网络病毒检测装置,所述装置包括:
采集模块,用于采集目标局域网中的网络流量;
解析模块,用于对所述网络流量进行解析,得到所述网络流量的统计信息;
第一计算模块,用于计算所述统计信息的信息熵;
比较模块,用于将所述统计信息的信息熵与根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到所述网络流量的偏离参数;
第一确定模块,用于根据所述网络流量的偏离参数,确定所述目标局域网是否感染网络病毒。
可选的,所述网络病毒为蠕虫病毒;
所述解析模块,具体用于:
对所述网络流量进行解析,得到所述网络流量在连接类别维度、应用层协议类型维度和\或连接成功率维度下的统计信息;
相应的,所述第一计算单元,具体用于:
分别计算各个维度下的统计信息的信息熵;
相应的,所述比较单元,具体用于:
将各个维度下的统计信息的信息熵,分别与对应的维度下的根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到所述网络流量在各个维度下的偏离参数;
相应的,所述第一确定单元,具体用于:
根据所述网络流量在各个维度下的偏离参数,确定所述目标局域网是否感染蠕虫病毒。
可选的,所述第一确定模块,包括:
第一确定子模块,用于根据所述网络流量在各个维度下的所述偏移参数,确定所述网络流量在各个维度下的偏离程度值;
第二确定子模块,用于根据所述网络流量在各个维度下的偏离程度值,确定所述目标局域网是否感染蠕虫病毒。
可选的,所述第一确定子模块,具体用于:
通过公式(1)计算所述网络流量在各维度下的偏离程度值;
Figure BDA0001446258910000051
其中,f(δ)表示各维度下的偏离程度值,δ表示各维度下的偏移参数。
可选的,所述第二确定子模块,包括:
第一计算子模块,用于根据所述网络流量在各个维度下的偏离程度值,计算所述网络流量的综合置信度值;
第一判断子模块,用于判断所述综合置信度值是否大于预设异常门限值;
第三确定子模块,用于在所述第一判断子模块的结果为是时,确定所述局域网感染蠕虫病毒。
可选的,所述第一计算子模块,包括:
第二计算子模块,用于将所述网络流量在各个维度下的偏离程度值和对应的置信度修正因子的乘积,作为所述网络流量在所述检测维度下的第一置信度分配值,所述第一置信度分配值用于表示所述网络流量在所述维度下存在异常的可信程度;
第一合成子模块,用于将所述网络流量在各个维度下的第一置信度分配值进行合成,得到所述网络流量的综合置信度值。
可选的,所述装置还包括:
第二确定模块,用于对于任一维度,将1与对应的置信度修正因子的差值,确定为所述网络流量在所述维度下的第二置信度分配值,所述第二置信度分配值用于表示在所述维度下不确定所述网络流量是否存在异常的可信程度;
合成模块,用于将所述网络流量在各个维度下的第二置信度分配值进行合成,得到所述网络流量的第二置信度分配合成值;
第一判断模块,用于判断所述网络流量的综合置信度值是否大于所述第二置信度分配合成值;
第一触发模块,用于在所述第一判断模块的结果为是时,触发所述第一判断子模块。
可选的,所述装置还包括:
第二判断模块,用于判断所述网络流量在各个维度下的偏离参数是否均为0;
第三确定模块,用于在所述第二判断模块的结果为是时,直接确定所述目标局域网未感染蠕虫病毒;
第二触发模块,用于在所述第二判断模块的结果为否时,触发所述第一确定子模块。
可选的,所述比较模块,包括:
第四确定子模块,用于将统计信息的信息熵在所述信息熵范围内的偏移参数确定为0;
第五确定子模块,用于将统计信息的信息熵小于所述信息熵范围的最小值的偏移参数,确定为所述最小值与所述信息熵之差;
第六确定子模块,用于将统计信息的信息熵大于所述信息熵范围的最大值的偏移参数,确定为所述信息熵与所述最大值之差。
可选的,所述第一计算模块,包括:
第三计算子模块,用于计算所述网络流量中各种连接类别的占比;并根据各种连接类别的占比,计算所述连接类别维度下的统计信息的信息熵;
第四计算子模块,用于计算所述网络流量中各种应用层协议类型的概率;并根据各种应用层协议类型的概率,计算所述应用层协议类型维度下的统计信息的信息熵;
第五计算子模块,用于计算所述网络流量中运输层协议连接成功与失败的概率;并根据运输层协议连接成功与失败的概率,计算所述连接成功率维度下的统计信息的信息熵。
可选的,所述装置还包括:
第二计算模块,用于计算所述目标局域网中各个时间段内的各个时间窗的历史网络流量的信息熵;
第四确定模块,用于由每个时间段内的时间窗对应的信息熵最小值和信息熵最大值,确定每个时间段的信息熵范围。
可选的,所述采集模块,具体用于:
以预设频率采集目标局域网中的网络流量,所述网络流量属于对应时间段内的任一时间窗,所述时间段被划分为若干等长的时间窗。
第三方面,本发明提供一种网络病毒检测设备,所述设备包括存储器和处理器,
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令,执行以下步骤:采集目标局域网中的网络流量;对所述网络流量进行解析,得到所述网络流量的统计信息;并计算所述统计信息的信息熵;将所述统计信息的信息熵与根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到所述网络流量的偏离参数;根据所述网络流量的偏离参数,确定所述目标局域网是否感染网络病毒。
本发明提供的网络病毒检测方法中,通过对各个局域网中各个时间段采集的历史网络流量进行统计分析,得到各个局域网的各个时间段对应的信息熵范围。在对目标局域网中的网络流量进行检测时,将该网络流量的统计信息的信息熵与该目标局域网中对应的时间段的信息熵范围进行比较,更准确的得到该网络流量的偏离参数,最终根据该偏离参数确定目标局域网是否感染网络病毒。由于本发明考虑了各个局域网各个时间段的网络流量特征,为各个局域网的各个时间段计算网络病毒的检测标准,所以,本发明提供的网络病毒检测方法能够降低检测结果的误报率。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1-A为本申请实施例提供的一种网络病毒检测方法的流程图;
图1为本申请实施例提供的一种蠕虫病毒检测方法的流程图;
图2为本申请实施例提供的另一种蠕虫病毒检测方法的流程图;
图3为本申请实施例提供的一种网络病毒检测装置的结构示意图;
图4为本申请实施例提供的一种网络病毒检测设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
由于现有的网络病毒检测方法中,对于各个局域网采用统一的标准进行网络病毒的检测,并未考虑各个局域网独有的网络流量特征,存在网络病毒检测结果误报率过高的问题。
基于此,本发明提供了一种网络病毒检测方法,通过对各个局域网中各个时间段采集的历史网络流量进行统计分析,得到各个局域网的各个时间段对应的信息熵范围。在对目标局域网中的网络流量进行检测时,将该网络流量的统计信息的信息熵与该目标局域网中对应的时间段的信息熵范围进行比较,更准确的得到该网络流量的偏离参数,最终根据该偏离参数确定目标局域网是否感染网络病毒。由于本发明考虑了各个局域网各个时间段的网络流量特征,为各个局域网的各个时间段计算网络病毒的检测标准,所以,本发明提供的网络病毒检测方法能够降低检测结果的误报率。
本发明实施例提供了一种网络病毒检测方法,参考图1-A,为本发明实施例提供的一种网络病毒检测方法的流程图,所述方法可以应用于网络(如企业网)的交换机镜像口上,具体的,所述方法包括:
S110:采集目标局域网中的网络流量。
本发明实施例中,将任意一个局域网(如任一企业网)确定为目标局域网,采集该目标局域网中的网络流量。
实际应用中,各种局域网(如企业网)内的网络流量通常受人类动力学影响较大,网络管理员通常根据网络流量的人力动力学特性,合理对时间进行切片,得到若干时间片。例如,企业网中,由于工作日9:00-11:00为上班时间,11:00-12:00为午休时间,由于上班时间和午休时间的网络流量具有显著不同的特点,所以,企业网的网络管理员可以将工作日的9:00-11:00划分为一个时间段,将11:00-12:00划分为另一个时间段。具体的,采集到的目标局域网中的网络流量可以属于任一时间段。
S111:对所述网络流量进行解析,得到所述网络流量的统计信息;并计算所述统计信息的信息熵。
实际应用中,在采集到目标局域网的网络流量后,对该网络流量进行解析,可以得到该网络流量中各个数据流的五元组信息和状态信息等等,其中,五元组信息包括源IP,目的IP,源端口,目的端口和通讯协议类型,状态信息包括连接建立时间、连接拆除时间、TCP连接是否成功建立,应用层协议类型等等。
本发明实施例中,在得到网络流量中各个数据流的五元组信息和状态信息后,对各个数据流的五元组信息和状态信息进行统计,得到统计信息。例如,统计五元组信息中源IP,目的IP,源端口,目的端口相同的数据流,在得到各种统计信息后,计算各种统计信息的信息熵,具体的计算信息熵的方式在后续进行介绍。
S112:将所述统计信息的信息熵与根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到所述网络流量的偏离参数。
本发明实施例可以根据目标局域网中采集的历史网络流量,计算该目标局域网的各个时间段对应的信息熵范围。例如,对目标局域网中采集到的最近3个月内的历史网络流量进行分析,得到该目标局域网中每天的各个时间段的历史网络流量的流量特征,通过计算得到该目标局域网中每天的各个时间段对应的信息熵范围。
实际应用中,在计算网络流量的统计信息的信息熵后,将该信息熵与目标局域网中该网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到该网络流量的偏离参数。
一种实现方式中,将统计信息的信息熵在对应的信息熵范围内的偏移参数确定为0;将统计信息的信息熵小于对应的信息熵范围的最小值的偏移参数,确定为该最小值与该信息熵之差;将统计信息的信息熵大于对应的信息熵范围的最大值的偏移参数,确定为该信息熵与该最大值之差。
S113:根据所述网络流量的偏离参数,确定所述目标局域网是否感染网络病毒。
本发明实施例在得到该网络流量的偏离参数后,根据该网络流量的偏离参数确定目标局域网是否感染网络病毒,具体的确定方法在后续进行介绍。
本发明实施例提供的网络病毒检测方法,通过对各个局域网中各个时间段采集的历史网络流量进行统计分析,得到各个局域网的各个时间段对应的信息熵范围。在对目标局域网中的网络流量进行检测时,将该网络流量的统计信息的信息熵与该目标局域网中对应的时间段的信息熵范围进行比较,更准确的得到该网络流量的偏离参数,最终根据该偏离参数确定目标局域网是否感染网络病毒。由于本发明考虑了各个局域网各个时间段的网络流量特征,为各个局域网的各个时间段计算网络病毒的检测标准,所以,本发明提供的网络病毒检测方法能够降低检测结果的误报率。
蠕虫病毒是一种智能化的计算机网络病毒,不需要计算机使用者干预即可运行。它通过扫描计算机网络上存在系统漏洞的主机,通过网络从一台主机传播到另外一台主机。在局域网中,计算机之间通过交换机互联,一旦其中一台主机感染蠕虫病毒,往往会在较短时间内蔓延至整个局域网,使得网络流量存在异常,带来信息安全等问题。
目前,对于蠕虫病毒的检测并没有成熟的方法,而本发明基于蠕虫病毒对网络流量的影响,通过对网络流量的特征进行分析,确定网络中是否存在蠕虫病毒,实现对网络中蠕虫病毒的检测。
由于蠕虫病毒通过扫描计算机网络上存在系统漏洞的主机,从网络中的一台主机传播到另外一台主机,基于蠕虫病毒的传播特点,本发明提供的网络病毒检测方法能够从预设的检测维度对蠕虫病毒进行检测,保证了蠕虫病毒检测准确性。
为此,本发明实施例提供了一种蠕虫病毒检测方法,参考图1,为本发明实施例提供的一种蠕虫病毒检测方法的流程图,所述方法可以应用于网络(如企业网)的交换机镜像口上,具体的,所述方法包括:
S101:采集目标局域网中的网络流量。
时间窗是时间段内的一个更小的时间单位,时间段通常被划分为若干等长的时间窗。例如,9:00-11:00的时间段内每个5分钟都可以是一个时间窗,如9:00-9:05,9:05-9:10等。
为了降低网络病毒的误报率,本发明实施例可以以时间窗为单位进行网络流量的采集。具体的,可以以预设频率采集目标局域网中的网络流量,其中,该网络流量属于对应时间段内的任一时间窗。
S102:对所述网络流量进行解析,得到所述网络流量在连接类别维度、应用层协议类型维度和\或连接成功率维度下的统计信息。
本发明实施例中,基于蠕虫病毒的传播特点,从连接类别维度、应用层协议类型维度和连接成功率维度中的至少一个维度,对网络流量进行检测,以确定网络是否感染蠕虫病毒。
具体的,在采集到目标局域网中任一时间窗内的网络流量后,对该网络流量进行解析,得到该网络流量中各个数据流的五元组信息和状态信息,其中,五元组信息包括源IP,目的IP,源端口,目的端口和通讯协议类型,状态信息包括连接建立时间、连接拆除时间、TCP连接是否成功建立,应用层协议类型等等。基于预设维度,对该网络流量中各个数据流的五元组信息和状态信息进行统计,得到该网络流量中在各个维度下的统计信息,具体统计方法分别在后续文字中进行介绍。
S103:分别计算各个维度下的统计信息的信息熵。
信息熵是度量样本集合纯度最常用的一种公知指标,本发明实施例利用各个维度下的统计信息的信息熵作为蠕虫病毒的检测基础。
以下分别从各个维度进行信息熵的详细介绍:
一种情况下,对于连接类别维度,统计该网络流量中各种连接类别的会话数目,具体的,基于五元组信息统计各种连接类别的会话数目,一种实现方式中,将除了源端口之外的其余四元组信息相同的连接确定为属于同一种连接类别。例如,该网络流量中存在两条连接为(1.1.1.1:8000->2.2.2.2:9000,TCP)和(1.1.1.1:8001->2.2.2.2:9000,TCP),在无视源端口8000和8001的不同后,将两个连接泛化为(1.1.1.1:x->2.2.2.2:9000,TCP),确定属于同一个连接类别。基于上述方法,统计该网络流量中各种连接类别的会话数目,并计算各种连接类别的会话数目占总的会话数目的比例,即各种连接类别的占比。
假设,第k种连接类别的占比为Pk(k=1、2…n),则利用信息熵计算公式(2),计算连接类别维度下的统计信息的信息熵Ent(D):
Figure BDA0001446258910000121
另一种情况下,对于应用层协议类型维度,统计该网络流量中各种应用层协议类型的会话数目,具体的,应用层协议类型可以包括邮件协议、http协议、其他协议。通过统计该网络流量中各种应用层协议类型的会话数目,计算各种应用层协议类型的会话数目占总的会话数目的比例,即各种应用层协议类型的概率。
假设Pk代表第k中应用层协议的概率,如P1代表邮件协议的概率、P2代表http协议的概率,P3代表其他协议的概率,则也可以利用信息熵计算公式(2),计算应用层协议类型维度下的统计信息的信息熵。
另一种情况下,对于连接成功率维度,统计该网络流量中运输层协议连接成功与失败的概率。具体的,对于TCP协议,完成三次握手即为连接成功,对于UDP协议,被连接的主机有应答即为连接成功。
假设Pk代表运输层协议连接成功与失败的概率,如P1代表运输层协议连接成功的概率,P2代表运输层协议连接失败的概率,则也可以利用信息熵计算公式(2),计算连接成功率维度下的统计信息的信息熵。
S104:将各个维度下的统计信息的信息熵,分别与对应的维度下的根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到所述网络流量在各个维度下的偏离参数。
本发明实施例中,通过目标局域网(如企业网)的各个时间段采集的历史网络流量的特征,获取该目标局域网中各个时间段对应的预设维度的信息熵范围。
一种实现方式中,首先计算目标局域网中各个维度下各个时间段内的各个时间窗的历史网络流量的信息熵,然后,由每个时间段内的时间窗对应的信息熵最小值和信息熵最大值,确定该目标局域网中各个维度下对应时间段的信息熵范围。也就是说,各个维度下每个时间段对应的信息熵范围是由该维度下对应时间段内时间窗对应的信息熵最小值和信息熵最大值组成。例如,信息熵范围可以由[Emin,Emax]表示,其中Emin表示最小信息熵,Emax最大信息熵。
实际应用中,在蠕虫病毒的检测过程中,可以以预设频率采集目标局域网内任一时间窗的网络流量,并确定采集到网络流量的时间窗所属的时间段,例如采集到的网络流量属于9:05-9:10时间窗,则确定该时间窗属于9:00-11:00时间段内。然后,确定目标局域网中该时间段对应的各个维度的信息熵范围,作为后续比较步骤的比较标准。
实际应用中,在通过计算得到各个维度下的统计信息的信息熵后,将各个信息熵分别与对应的维度的信息熵范围进行比较,判断各个信息熵是否属于对应的维度的信息熵范围,最终确定该网络流量在各个维度下的偏离参数。
本发明的一种实现方式中,在计算该网络流量在各个维度下的偏离参数之前,首先判断该网络流量在各个维度下的偏离参数是否均为0,即信息熵是否属对应维度的信息熵范围,如果是,则可以直接确定该目标局域网未感染蠕虫病毒;否则开始计算该网络流量在各个维度下的偏离参数。
具体的,对于任一维度,首先判断该维度下的统计信息的信息熵是否处于该维度的信息熵范围;如果是,则将该网络流量在该维度下的偏移参数确定为0;如果该维度下的统计信息的信息熵小于该维度的信息熵范围的最小值,则将该网络流量在该维度下的偏移参数确定为该最小值与该信息熵之差;如果该维度下的统计信息的信息熵大于该维度的信息熵范围的最大值,则将该网络流量在该维度下的偏移参数确定为该信息熵与该最大值之差。
S105:根据所述网络流量在各个维度下的偏离参数,确定所述目标局域网是否感染蠕虫病毒。
本发明实施例中,在得到该网络流量在各个维度下的偏离参数后,根据各个维度下的偏移参数,确定各个维度下的偏离程度值,其中,偏离程度值与偏移参数成正比。
假设E表示任一维度下的统计信息的信息熵,如果E∈[Emin,Emax],则设置该网络流量在该维度下的偏移参数δ=0;如果E<Emin,则设置δ=Emin-E;如果E>Emax,则δ=E–Emax。
根据该维度下的偏移参数,确定该维度下的偏离程度值的一种实现方式中,可以利用公式(1)计算该维度下的偏离程度值:
Figure BDA0001446258910000141
其中,f(δ)表示该维度下的偏离程度值,δ表示该维度下的偏移参数。
本发明实施例中,在得到该网络流量在各个维度下的偏离程度值后,根据该网络流量在各个维度下的偏离程度值,计算该网络流量的综合置信度值。
其中,综合置信度值用于表示综合各个维度确定网络流量存在异常的可信程度。
为了计算该网络流量的综合置信度值,首先计算该网络流量在各个维度下的第一置信度分配值,其次,将各个维度下的第一置信度分配值进行合成,最终得到该网络流量的综合置信度值。
一种实现方式中,可以根据该网络流量在各个维度下的偏离程度值和预设的置信度修正因子,计算该网络流量在各个维度下的第一置信度分配值。其中,该第一置信度分配值用于表示该网络流量在各个维度下存在异常的概率。
实际应用中,各个检测维度对应的置信度修正因子(以α表示),可以根据预先学习到的各个维度对应的信息熵范围的可信程度确定,通常可信程度越高,α的取值越大,α的取值范围一般是[0,1]。
一种实现方式中,对于任一维度,将该维度下的偏离程度值与置信度修正因子的乘积,作为该网络流量在该维度下的第一置信度分配值,即f(δ)*α。
本发明实施例中,在计算得到该网络流量在各个维度下的第一置信度分配值后,采用预设合成规则,将各个维度下的第一置信度分配值进行合成,得到该网络流量的综合置信度值。其中,预设合成规则可以为Dempster合成规则,采用Dempster合成规则能够得到更准确的综合置信度值。
本发明实施例中,在得到该网络流量的综合置信度值后,判断该综合置信度值是否大于预设异常门限值,如果是,确定网络已经感染蠕虫病毒,此时可以通过警报等方式提醒网络管理员。如果该综合置信度值不大于预设异常门限值,则说明网络未感染蠕虫病毒。
为了提高后续蠕虫病毒检测的准确性,本发明实施例还可以根据本次检测结果的准确性,对异常门限值进行调整。具体的,如果本次检测结果的准确性不高,则增大异常门限值,用于后续蠕虫病毒的检测。
本发明实施例提供的蠕虫病毒检测方法中,通过学习目标局域网中各个时间段的网络流量特征,获取目标局域网中各个时间段对应的预设维度的信息熵范围。当采集到目标局域网中的网络流量后,对该网络流量进行解析,通过计算该网络流量在各个维度下的统计信息的信息熵,并将其与对应的信息熵范围进行比较,确定各个维度下的偏离程度值,最终计算出该网络流量的综合置信度值。如果该综合置信度值大于预设异常门限值,则确定网络感染蠕虫病毒。本发明实施例基于蠕虫病毒的传播特点,从预设维度对蠕虫病毒进行检测,能够保证蠕虫病毒检测准确性。
另外,为了提高蠕虫病毒的检测准确性,降低误报率,本发明实施例还提供了一种蠕虫病毒检测方法,其中,在判断综合置信度值是否大于预设异常门限值之前,首先判断综合置信度值与计算得到的第二置信度分配合成值的关系,如果综合置信度值小于第二置信度分配合成值,则说明本次网络流量检测不准确,停止后续步骤的执行。
参考图2,为本发明实施例提供的另一种蠕虫病毒检测方法的流程图,具体的,本发明实施例提供的蠕虫病毒检测方法包括:
S201:采集目标局域网中的网络流量。
S202:对所述网络流量进行解析,得到所述网络流量在连接类别维度、应用层协议类型维度和\或连接成功率维度下的统计信息。
S203:分别计算各个维度下的统计信息的信息熵。
S204:将各个维度下的统计信息的信息熵,分别与对应的维度下的根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到所述网络流量在各个维度下的偏离参数。
S201-S204与上述S101-S104相同,可参照理解,在此不再赘述。
S205:根据所述网络流量在各个维度下的所述偏移参数,确定所述网络流量在各个维度下的偏离程度值。
S206:将所述网络流量在各个维度下的偏离程度值和对应的置信度修正因子的乘积,作为所述网络流量在各个维度下的第一置信度分配值,所述第一置信度分配值用于表示所述网络流量在各个维度下存在异常的可信程度。
本发明实施例中,对于任一维度下的第一置信度分配值,均是通过该维度下的偏离程度值f(δ)和该维度下的置信度修正因子α的乘积确定,即为f(δ)*α。其中,f(δ)*α表示网络流量在该维度下存在异常的可信程度。
S207:将所述网络流量在各个维度下的第一置信度分配值进行合成,得到所述网络流量的综合置信度值。
本发明实施例中,采用预设的合成规则,将该网络流量在各个维度下的第一置信度值进行合成,得到该网络流量的综合置信度值。
S208:对于任一维度,将1与对应的置信度修正因子的差值,确定为所述网络流量在所述维度下的第二置信度分配值,所述第二置信度分配值表示在所述维度下不确定所述网络流量是否存在异常的可信程度。
为了进一步提高蠕虫病毒的检测准确性,本发明实施例需要计算该网络流量在各个维度下的第二置信度分配值。
实际应用中,对于任一维度,将1与该维度的置信度修正因子的差值,作为该网络流量在该维度下的第二置信度分配值,即1-α。其中,第二置信度分配值用于表示不确定网络流量是否存在异常的可信程度。
S209:将所述网络流量在各个维度下的第二置信度分配值进行合成,得到所述网络流量的第二置信度分配合成值。
本发明实施例中,在得到该网络流量在各个维度下的第二置信度分配值后,采用预设的合成规则,如Dempster合成规则,将各个维度下的第二置信度分配值进行合成,得到该网络流量的第二置信度分配合成值。其中,第二置信度分配合成值用于表示综合各个维度后不确定网络流量是否存在异常的可信程度。
S210:判断所述网络流量的综合置信度值是否大于所述第二置信度分配合成值,如果是,则执行S211。
由于如果网络流量存在异常的可信程度要大于不确定网络流量是否存在异常的可信程度,所以,在S210执行之前,可以先判断该网络流量的综合置信度值是否大于第二置信度分配合成值,如果是,则继续执行S210,否则结束蠕虫病毒检测流程。
S211:判断所述综合置信度值是否大于预设异常门限值,如果是,则执行S211。
S212:确定目标局域网已感染蠕虫病毒。
本发明实施例中,在确定网络流量的综合置信度值大于第二置信度分配合成值后,判断该综合置信度值是否大于预设异常门限值,如果是,确定网络已经感染蠕虫病毒,此时可以通过警报等方式提醒网络管理员。如果该综合置信度值不大于预设异常门限值,则说明目标局域网未感染蠕虫病毒,结束蠕虫病毒检测流程即可。
本发明实施例提供的蠕虫病毒检测方法中,在判断综合置信度值与预设异常门限值的大小关系之前,首先确定网络流量存在异常的可信程度大于不确定网络流量是否存在异常的可信程度,即综合置信度值大于第二置信度分配合成值。通过综合置信度值与第二置信度分配合成值的预先比较,进一步提高了蠕虫病毒的检测准确性,减低误报率。
另外,实际应用中,可以通过学习局域网(如企业网)中各个时间段的网络流量的特征,预先获取各个时间段对应的预设维度的信息熵范围。具体的,学习流程可以参照上述检测流量进行理解。
一种实现方式中,通过嗅探器采集局域网中各个时间段的网络流量,并对采集到的网络流量进行解析,例如识别网络流量中的连接类别、应用层协议类型等等。具体的,可以通过维护会话表的形式,将解析到的网络流量中的信息存储于会话表中,其中会话表的每个表项用于存储一个数据流的五元组信息和状态信息等。通过学习存储在会话表中的各个时间段的网络流量的信息,获取各个时间段对应的预设检测维度的信息熵范围。
实际应用中,将局域网中每个时间段内的时间窗作为学习样本,通过计算每个时间窗内的网络流量中信息的信息熵,确定各个时间段对应的预设维度的信息熵范围,其中,由任一时间段内的各个时间窗对应的信息熵中最小信息熵和最大信息熵确定该时间段对应的预设维度的信息熵范围。
相应的,本发明还提供了一种蠕虫病毒检测装置,参考图3,为本发明实施例提供的一种蠕虫病毒检测装置的结构示意图,所述装置包括:
采集模块301,用于采集目标局域网中的网络流量;
解析模块302,用于对所述网络流量进行解析,得到所述网络流量的统计信息;
第一计算模块303,用于计算所述统计信息的信息熵;
比较模块304,用于将所述统计信息的信息熵与根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到所述网络流量的偏离参数;
第一确定模块305,用于根据所述网络流量的偏离参数,确定所述目标局域网是否感染网络病毒。
一种实施方式中,所述网络病毒为蠕虫病毒;
所述解析模块,具体用于:
对所述网络流量进行解析,得到所述网络流量在连接类别维度、应用层协议类型维度和\或连接成功率维度下的统计信息;
相应的,所述第一计算单元,具体用于:
分别计算各个维度下的统计信息的信息熵;
相应的,所述比较单元,具体用于:
将各个维度下的统计信息的信息熵,分别与对应的维度下的根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到所述网络流量在各个维度下的偏离参数;
相应的,所述第一确定单元,具体用于:
根据所述网络流量在各个维度下的偏离参数,确定所述目标局域网是否感染蠕虫病毒。
具体的,所述第一确定模块,包括:
第一确定子模块,用于根据所述网络流量在各个维度下的所述偏移参数,确定所述网络流量在各个维度下的偏离程度值;
第二确定子模块,用于根据所述网络流量在各个维度下的偏离程度值,确定所述目标局域网是否感染蠕虫病毒。
具体的,所述第一确定子模块,具体用于:
通过公式(1)计算所述网络流量在各维度下的偏离程度值;
Figure BDA0001446258910000191
其中,f(δ)表示各维度下的偏离程度值,δ表示各维度下的偏移参数。
具体的,所述第二确定子模块,包括:
第一计算子模块,用于根据所述网络流量在各个维度下的偏离程度值,计算所述网络流量的综合置信度值;
第一判断子模块,用于判断所述综合置信度值是否大于预设异常门限值;
第三确定子模块,用于在所述第一判断子模块的结果为是时,确定所述局域网感染蠕虫病毒。
具体的,所述第一计算子模块,包括:
第二计算子模块,用于将所述网络流量在各个维度下的偏离程度值和对应的置信度修正因子的乘积,作为所述网络流量在所述检测维度下的第一置信度分配值,所述第一置信度分配值用于表示所述网络流量在所述维度下存在异常的可信程度;
第一合成子模块,用于将所述网络流量在各个维度下的第一置信度分配值进行合成,得到所述网络流量的综合置信度值。
具体的,所述装置还包括:
第二确定模块,用于对于任一维度,将1与对应的置信度修正因子的差值,确定为所述网络流量在所述维度下的第二置信度分配值,所述第二置信度分配值用于表示在所述维度下不确定所述网络流量是否存在异常的可信程度;
合成模块,用于将所述网络流量在各个维度下的第二置信度分配值进行合成,得到所述网络流量的第二置信度分配合成值;
第一判断模块,用于判断所述网络流量的综合置信度值是否大于所述第二置信度分配合成值;
第一触发模块,用于在所述第一判断模块的结果为是时,触发所述第一判断子模块。
另外,所述装置还包括:
第二判断模块,用于判断所述网络流量在各个维度下的偏离参数是否均为0;
第三确定模块,用于在所述第二判断模块的结果为是时,直接确定所述目标局域网未感染蠕虫病毒;
第二触发模块,用于在所述第二判断模块的结果为否时,触发所述第一确定子模块。
具体的,所述比较模块,包括:
第四确定子模块,用于将统计信息的信息熵在所述信息熵范围内的偏移参数确定为0;
第五确定子模块,用于将统计信息的信息熵小于所述信息熵范围的最小值的偏移参数,确定为所述最小值与所述信息熵之差;
第六确定子模块,用于将统计信息的信息熵大于所述信息熵范围的最大值的偏移参数,确定为所述信息熵与所述最大值之差。
具体的,所述第一计算模块,包括:
第三计算子模块,用于计算所述网络流量中各种连接类别的占比;并根据各种连接类别的占比,计算所述连接类别维度下的统计信息的信息熵;
第四计算子模块,用于计算所述网络流量中各种应用层协议类型的概率;并根据各种应用层协议类型的概率,计算所述应用层协议类型维度下的统计信息的信息熵;
第五计算子模块,用于计算所述网络流量中运输层协议连接成功与失败的概率;并根据运输层协议连接成功与失败的概率,计算所述连接成功率维度下的统计信息的信息熵。
另外,所述装置还包括:
第二计算模块,用于计算所述目标局域网中各个时间段内的各个时间窗的历史网络流量的信息熵;
第四确定模块,用于由每个时间段内的时间窗对应的信息熵最小值和信息熵最大值,确定每个时间段的信息熵范围。
具体的,所述采集模块,具体用于:
以预设频率采集目标局域网中的网络流量,所述网络流量属于对应时间段内的任一时间窗,所述时间段被划分为若干等长的时间窗。
本发明实施例提供的网络病毒检测方法,通过对各个局域网中各个时间段采集的历史网络流量进行统计分析,得到各个局域网的各个时间段对应的信息熵范围。在对目标局域网中的网络流量进行检测时,将该网络流量的统计信息的信息熵与该目标局域网中对应的时间段的信息熵范围进行比较,更准确的得到该网络流量的偏离参数,最终根据该偏离参数确定目标局域网是否感染网络病毒。由于本发明考虑了各个局域网各个时间段的网络流量特征,为各个局域网的各个时间段计算网络病毒的检测标准,所以,本发明提供的网络病毒检测方法能够降低检测结果的误报率。
另外,本发明实施例还可以基于蠕虫病毒的传播特点,从预设的维度对蠕虫病毒进行检测,能够保证蠕虫病毒检测准确性。另外,通过综合置信度值与第二置信度分配合成值的预先比较,本发明实施例能够进一步提高蠕虫病毒的检测准确性,减低误报率。
相应的,本发明实施例还提供一种网络病毒检测设备,参见图4所示,可以包括:
处理器401、存储器402、输入装置403和输出装置404。网络病毒检测设备中的处理器401的数量可以一个或多个,图4中以一个处理器为例。在本发明的一些实施例中,处理器401、存储器402、输入装置403和输出装置404可通过总线或其它方式连接,其中,图4中以通过总线连接为例。
存储器402可用于存储软件程序以及模块,处理器401通过运行存储在存储器602的软件程序以及模块,从而执行网络病毒检测设备的各种功能应用以及数据处理。存储器402可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等。此外,存储器402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。输入装置403可用于接收输入的数字或字符信息,以及产生与网络病毒检测设备的用户设置以及功能控制有关的信号输入。
具体在本实施例中,处理器401会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器402中,并由处理器401来运行存储在存储器402中的应用程序,从而实现各种功能:
采集目标局域网中的网络流量;对所述网络流量进行解析,得到所述网络流量的统计信息;并计算所述统计信息的信息熵;将所述统计信息的信息熵与根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到所述网络流量的偏离参数;根据所述网络流量的偏离参数,确定所述目标局域网是否感染网络病毒。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请实施例所提供的一种网络病毒检测方法、装置及设备进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (21)

1.一种网络病毒检测方法,其特征在于,所述网络病毒为蠕虫病毒,所述方法包括:
采集目标局域网中的网络流量;
对所述网络流量进行解析,得到所述网络流量在连接类别维度、应用层协议类型维度和\或连接成功率维度下的统计信息;
分别计算各个维度下的统计信息的信息熵;所述分别计算各个维度下的统计信息的信息熵,包括:计算所述网络流量中各种连接类别的占比;并根据各种连接类别的占比,计算所述连接类别维度下的统计信息的信息熵;计算所述网络流量中各种应用层协议类型的概率;并根据各种应用层协议类型的概率,计算所述应用层协议类型维度下的统计信息的信息熵;计算所述网络流量中运输层协议连接成功与失败的概率;并根据运输层协议连接成功与失败的概率,计算所述连接成功率维度下的统计信息的信息熵;
将各个维度下的统计信息的信息熵,分别与对应的维度下的根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到所述网络流量在各个维度下的偏离参数;
根据所述网络流量在各个维度下的偏离参数,确定所述目标局域网是否感染蠕虫病毒。
2.根据权利要求1所述的方法,其特征在于,所述根据所述网络流量在各个维度下的偏离参数,确定所述目标局域网是否感染蠕虫病毒,包括:
根据所述网络流量在各个维度下的所述偏离参数,确定所述网络流量在各个维度下的偏离程度值;
根据所述网络流量在各个维度下的偏离程度值,确定所述目标局域网是否感染蠕虫病毒。
3.根据权利要求2所述的方法,其特征在于,所述根据所述网络流量在各个维度下的所述偏离参数,确定所述网络流量在各个维度下的偏离程度值包括:
通过公式(1)计算所述网络流量在各维度下的偏离程度值;
Figure FDA0002457894520000011
其中,f(δ)表示各维度下的偏离程度值,δ表示各维度下的偏离参数。
4.根据权利要求2所述的方法,其特征在于,所述根据所述网络流量在各个维度下的偏离程度值,确定所述目标局域网是否感染蠕虫病毒,包括:
根据所述网络流量在各个维度下的偏离程度值,计算所述网络流量的综合置信度值;
判断所述综合置信度值是否大于预设异常门限值;
如果大于预设异常门限值,则确定所述局域网感染蠕虫病毒。
5.根据权利要求4所述的方法,其特征在于,所述根据所述网络流量在各个维度下的偏离程度值,计算所述网络流量的综合置信度值,包括:
将所述网络流量在各个维度下的偏离程度值和对应的置信度修正因子的乘积,作为所述网络流量在检测维度下的第一置信度分配值,所述第一置信度分配值用于表示所述网络流量在所述维度下存在异常的可信程度;
将所述网络流量在各个维度下的第一置信度分配值进行合成,得到所述网络流量的综合置信度值。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
对于任一维度,将1与对应的置信度修正因子的差值,确定为所述网络流量在所述维度下的第二置信度分配值,所述第二置信度分配值用于表示在所述维度下不确定所述网络流量是否存在异常的可信程度;
将所述网络流量在各个维度下的第二置信度分配值进行合成,得到所述网络流量的第二置信度分配合成值;
所述判断所述综合置信度值是否大于预设异常门限值之前,还包括:
判断所述网络流量的综合置信度值是否大于所述第二置信度分配合成值,如果是,则继续执行判断所述综合置信度值是否大于预设异常门限值的步骤。
7.根据权利要求2所述的方法,其特征在于,所述根据所述网络流量在各个维度下的所述偏离参数,确定所述网络流量在各个维度下的偏离程度值之前,还包括:
判断所述网络流量在各个维度下的偏离参数是否均为0;
如果所述网络流量在各个维度下的偏离参数均为0,则直接确定所述目标局域网未感染蠕虫病毒;
否则,在执行根据所述网络流量在各个维度下的所述偏离参数,确定所述网络流量在各个维度下的偏离程度值的步骤。
8.根据权利要求1-7任一项所述的方法,其特征在于,所述将各个维度下的统计信息的信息熵,分别与对应的维度下的根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到所述网络流量在各个维度下的偏离参数,包括:
将统计信息的信息熵在所述信息熵范围内的偏离参数确定为0;
将统计信息的信息熵小于所述信息熵范围的最小值的偏离参数,确定为所述最小值与所述信息熵之差;
将统计信息的信息熵大于所述信息熵范围的最大值的偏离参数,确定为所述信息熵与所述最大值之差。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
计算所述目标局域网中各个时间段内的各个时间窗的历史网络流量的信息熵;
由每个时间段内的时间窗对应的信息熵最小值和信息熵最大值,确定每个时间段的信息熵范围。
10.根据权利要求9所述的方法,其特征在于,所述采集目标局域网中的网络流量,包括:
以预设频率采集目标局域网中的网络流量,所述网络流量属于对应时间段内的任一时间窗,所述时间段被划分为若干等长的时间窗。
11.一种网络病毒检测装置,其特征在于,所述网络病毒为蠕虫病毒,所述装置包括:
采集模块,用于采集目标局域网中的网络流量;
解析模块,用于对所述网络流量进行解析,得到所述网络流量在连接类别维度、应用层协议类型维度和\或连接成功率维度下的统计信息;
第一计算模块,用于分别计算各个维度下的统计信息的信息熵;
比较模块,用于将各个维度下的统计信息的信息熵,分别与对应的维度下的根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到所述网络流量在各个维度下的偏离参数;
第一确定模块,用于根据所述网络流量在各个维度下的偏离参数,确定所述目标局域网是否感染蠕虫病毒;
所述第一计算模块,包括:
第三计算子模块,用于计算所述网络流量中各种连接类别的占比;并根据各种连接类别的占比,计算所述连接类别维度下的统计信息的信息熵;
第四计算子模块,用于计算所述网络流量中各种应用层协议类型的概率;并根据各种应用层协议类型的概率,计算所述应用层协议类型维度下的统计信息的信息熵;
第五计算子模块,用于计算所述网络流量中运输层协议连接成功与失败的概率;并根据运输层协议连接成功与失败的概率,计算所述连接成功率维度下的统计信息的信息熵。
12.根据权利要求11所述的装置,其特征在于,所述第一确定模块,包括:
第一确定子模块,用于根据所述网络流量在各个维度下的所述偏离参数,确定所述网络流量在各个维度下的偏离程度值;
第二确定子模块,用于根据所述网络流量在各个维度下的偏离程度值,确定所述目标局域网是否感染蠕虫病毒。
13.根据权利要求12所述的装置,其特征在于,所述第一确定子模块,具体用于:
通过公式(1)计算所述网络流量在各维度下的偏离程度值;
Figure FDA0002457894520000041
其中,f(δ)表示各维度下的偏离程度值,δ表示各维度下的偏离参数。
14.根据权利要求12所述的装置,其特征在于,所述第二确定子模块,包括:
第一计算子模块,用于根据所述网络流量在各个维度下的偏离程度值,计算所述网络流量的综合置信度值;
第一判断子模块,用于判断所述综合置信度值是否大于预设异常门限值;
第三确定子模块,用于在所述第一判断子模块的结果为是时,确定所述局域网感染蠕虫病毒。
15.根据权利要求14所述的装置,其特征在于,所述第一计算子模块,包括:
第二计算子模块,用于将所述网络流量在各个维度下的偏离程度值和对应的置信度修正因子的乘积,作为所述网络流量在检测维度下的第一置信度分配值,所述第一置信度分配值用于表示所述网络流量在所述维度下存在异常的可信程度;
第一合成子模块,用于将所述网络流量在各个维度下的第一置信度分配值进行合成,得到所述网络流量的综合置信度值。
16.根据权利要求15所述的装置,其特征在于,所述装置还包括:
第二确定模块,用于对于任一维度,将1与对应的置信度修正因子的差值,确定为所述网络流量在所述维度下的第二置信度分配值,所述第二置信度分配值用于表示在所述维度下不确定所述网络流量是否存在异常的可信程度;
合成模块,用于将所述网络流量在各个维度下的第二置信度分配值进行合成,得到所述网络流量的第二置信度分配合成值;
第一判断模块,用于判断所述网络流量的综合置信度值是否大于所述第二置信度分配合成值;
第一触发模块,用于在所述第一判断模块的结果为是时,触发所述第一判断子模块。
17.根据权利要求12所述的装置,其特征在于,所述装置还包括:
第二判断模块,用于判断所述网络流量在各个维度下的偏离参数是否均为0;
第三确定模块,用于在所述第二判断模块的结果为是时,直接确定所述目标局域网未感染蠕虫病毒;
第二触发模块,用于在所述第二判断模块的结果为否时,触发所述第一确定子模块。
18.根据权利要求11-17任一项所述的装置,其特征在于,所述比较模块,包括:
第四确定子模块,用于将统计信息的信息熵在所述信息熵范围内的偏离参数确定为0;
第五确定子模块,用于将统计信息的信息熵小于所述信息熵范围的最小值的偏离参数,确定为所述最小值与所述信息熵之差;
第六确定子模块,用于将统计信息的信息熵大于所述信息熵范围的最大值的偏离参数,确定为所述信息熵与所述最大值之差。
19.根据权利要求11所述的装置,其特征在于,所述装置还包括:
第二计算模块,用于计算所述目标局域网中各个时间段内的各个时间窗的历史网络流量的信息熵;
第四确定模块,用于由每个时间段内的时间窗对应的信息熵最小值和信息熵最大值,确定每个时间段的信息熵范围。
20.根据权利要求19所述的装置,其特征在于,所述采集模块,具体用于:
以预设频率采集目标局域网中的网络流量,所述网络流量属于对应时间段内的任一时间窗,所述时间段被划分为若干等长的时间窗。
21.一种网络病毒检测设备,其特征在于,所述网络病毒为蠕虫病毒,所述设备包括存储器和处理器,
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令,执行以下步骤:采集目标局域网中的网络流量;对所述网络流量进行解析,得到所述网络流量在连接类别维度、应用层协议类型维度和\或连接成功率维度下的统计信息;分别计算各个维度下的统计信息的信息熵;将各个维度下的统计信息的信息熵,分别与对应的维度下的根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较,得到所述网络流量在各个维度下的偏离参数;根据所述网络流量在各个维度下的偏离参数,确定所述目标局域网是否感染蠕虫病毒;所述分别计算各个维度下的统计信息的信息熵,包括:计算所述网络流量中各种连接类别的占比;并根据各种连接类别的占比,计算所述连接类别维度下的统计信息的信息熵;计算所述网络流量中各种应用层协议类型的概率;并根据各种应用层协议类型的概率,计算所述应用层协议类型维度下的统计信息的信息熵;计算所述网络流量中运输层协议连接成功与失败的概率;并根据运输层协议连接成功与失败的概率,计算所述连接成功率维度下的统计信息的信息熵。
CN201711014990.4A 2017-10-25 2017-10-25 一种网络病毒检测方法、装置及设备 Active CN107682354B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711014990.4A CN107682354B (zh) 2017-10-25 2017-10-25 一种网络病毒检测方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711014990.4A CN107682354B (zh) 2017-10-25 2017-10-25 一种网络病毒检测方法、装置及设备

Publications (2)

Publication Number Publication Date
CN107682354A CN107682354A (zh) 2018-02-09
CN107682354B true CN107682354B (zh) 2020-06-12

Family

ID=61141774

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711014990.4A Active CN107682354B (zh) 2017-10-25 2017-10-25 一种网络病毒检测方法、装置及设备

Country Status (1)

Country Link
CN (1) CN107682354B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108959493A (zh) * 2018-06-25 2018-12-07 阿里巴巴集团控股有限公司 指标异常波动的检测方法、装置及设备
CN109362059A (zh) * 2018-11-22 2019-02-19 广东工业大学 一种车联网路由改进方法
CN109495482A (zh) * 2018-11-23 2019-03-19 江苏华存电子科技有限公司 一种网络数据信息安全传输方法
CN109831462B (zh) * 2019-03-29 2021-12-24 新华三信息安全技术有限公司 一种病毒检测方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101355463A (zh) * 2008-08-27 2009-01-28 成都市华为赛门铁克科技有限公司 网络攻击的判断方法、系统和设备
CN105847283A (zh) * 2016-05-13 2016-08-10 深圳市傲天科技股份有限公司 一种基于信息熵方差分析的异常流量检测方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9465939B2 (en) * 2014-06-27 2016-10-11 Mcafee, Inc. Mitigation of malware

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101355463A (zh) * 2008-08-27 2009-01-28 成都市华为赛门铁克科技有限公司 网络攻击的判断方法、系统和设备
CN105847283A (zh) * 2016-05-13 2016-08-10 深圳市傲天科技股份有限公司 一种基于信息熵方差分析的异常流量检测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"基于信息熵的网络流异常监测和三维可视方法";陈鹏等;《计算机工程与应用》;20150211;第88-93页 *
"基于相对熵的网络流量异常检测方法";张登银等;《南京邮电大学学报(自然科学版)》;20121015;第32卷(第5期);全文 *

Also Published As

Publication number Publication date
CN107682354A (zh) 2018-02-09

Similar Documents

Publication Publication Date Title
CN107682354B (zh) 一种网络病毒检测方法、装置及设备
CN109962891B (zh) 监测云安全的方法、装置、设备和计算机存储介质
CN110519290B (zh) 异常流量检测方法、装置及电子设备
CN102340485B (zh) 基于信息关联的网络安全态势感知系统及其方法
CN110535702B (zh) 一种告警信息处理方法及装置
US10343630B2 (en) Monitoring method and apparatus
US20120304288A1 (en) Modeling and Outlier Detection in Threat Management System Data
EP3329640B1 (en) Network operation
CN110430226B (zh) 网络攻击检测方法、装置、计算机设备及存储介质
CN111355697A (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
CN111262851A (zh) Ddos攻击检测方法、装置、电子设备及存储介质
CN106850511B (zh) 识别访问攻击的方法及装置
CN111147300B (zh) 一种网络安全告警置信度评估方法及装置
CN115795330A (zh) 一种基于ai算法的医疗信息异常检测方法及系统
CN114866296A (zh) 入侵检测方法、装置、设备及可读存储介质
CN114785567A (zh) 一种流量识别方法、装置、设备及介质
CN114363212A (zh) 一种设备检测方法、装置、设备和存储介质
CN113901441A (zh) 一种用户异常请求检测方法、装置、设备及存储介质
CN112165498B (zh) 一种渗透测试的智能决策方法及装置
CN117319001A (zh) 网络安全评估方法、装置、存储介质和计算机设备
CN115618283B (zh) 一种跨站点脚本攻击检测方法、装置、设备及存储介质
CN114358581A (zh) 性能指标的异常阈值确定方法和装置、设备、存储介质
CN114172707A (zh) Fast-Flux僵尸网络检测方法、装置、设备及存储介质
CN114205146B (zh) 一种多源异构安全日志的处理方法及装置
CN113572768B (zh) 一种僵尸网络家族传播源数量变化异常的分析方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant