CN1674530A - 一种实时检测网络蠕虫病毒的方法 - Google Patents
一种实时检测网络蠕虫病毒的方法 Download PDFInfo
- Publication number
- CN1674530A CN1674530A CNA2005100419073A CN200510041907A CN1674530A CN 1674530 A CN1674530 A CN 1674530A CN A2005100419073 A CNA2005100419073 A CN A2005100419073A CN 200510041907 A CN200510041907 A CN 200510041907A CN 1674530 A CN1674530 A CN 1674530A
- Authority
- CN
- China
- Prior art keywords
- address
- network
- packet
- connection
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及计算机网络应用的防火墙技术领域,具体涉及一种实时检测网络蠕虫病毒的方法。本发明要提供一种实时检测网络蠕虫病毒的方法,以克服现有技术存在的适应范围窄、效率低和实施效果差的问题。为克服现有技术存在的问题,本发明的技术方案是:一种实时检测网络蠕虫病毒的方法,它是通过在防火墙上对接收到的数据包进行网络连接特征分析来进行病毒的识别,实时检测网络蠕虫。本发明从蠕虫传播机制着手,改变了现有技术的蠕虫爆发后再进行事后处理的思路,进行实时检测与防范。因此与现有技术相比,本发明的优点是适应范围宽、效率高和实施效果好。
Description
所属技术领域:
本发明涉及计算机网络应用的防火墙技术领域,具体涉及一种实时检测网络蠕虫病毒的方法。
背景技术:
网络蠕虫是一种严重威胁信息系统安全的恶意程序,具有自我复制和自动传播功能。网络蠕虫大量的快速自身复制和传播将占用大量网络资源,引起网络阻塞甚至网络瘫痪,最终造成巨大的经济损失。
对网络蠕虫的防治,目前主要有三种方法。第一种方法是通过安装系统补丁来防止蠕虫:由于蠕虫主要是攻击系统的漏洞,在蠕虫爆发后,相关的系统开发商发布最新的系统补丁,由用户通过自动升级或手动安装,从而防治蠕虫;第二种方法是蠕虫爆发后依赖于传统的杀毒技术进行防治(杀毒):蠕虫爆发后,杀毒软件厂商通过分析蠕虫传播的网络数据包,找出蠕虫网络数据包的特征或所包含的特征字符串,然后发布最新的杀毒升级补丁,由用户通过自动升级或手动安装,从而防治蠕虫。第三种方法原理与第二种相似,它是在蠕虫爆发后,网络管理员通过找出蠕虫网络数据包的传输特征,通过在路由器或防火墙手工添加对应的过滤规则,来过滤特定的网络数据包,从而抑制、减缓蠕虫的传播。
现有技术存在的共有问题是:1、适应范围窄:这三种方法都只能针对已知、并且已广泛传播的病毒,对于未知或新爆发的病毒,就无能为力了;2、效率低:这三种方法都有较大的滞后性,都是在蠕虫爆发后进行补救,无法有效的抑制传播迅速的网络蠕虫;3、实施效果差:三种方法都依赖于手工操作,但在实际环境中,由于用户安全意识的薄弱,网络管理员技术管理水平的局限以及单机作业等各种原因,实施起来效果较差,根本无法形成有效的保护网。因此这三种方法都无法很好的抑制蠕虫病毒。
发明内容:
本发明要提供一种实时检测网络蠕虫病毒的方法,以克服现有技术存在的适应范围窄、效率低和实施效果差的问题。
为克服现有技术存在的问题,本发明的技术方案是:一种实时检测网络蠕虫病毒的方法,它是通过在防火墙上对接收到的数据包进行网络连接特征分析来进行病毒的识别,实时检测网络蠕虫。
上述方案是根据建立的网络连接链表和主机连接数表进行网络连接特征分析。
上述网络连接链表用来记录当前已经建立的连接,表项内容可以包括连接的源IP地址、目的IP地址、源端口号、目的端口号、连接的状态、连接老化时间等内容;初始化时,链表为空,连接的状态包括两种:NEW,REPLYED;所述主机连接数表记录内部网络主机连接建立情况,表项内容可以包括:主机IP地址、未应答连接数目等。
上述方法的具体方案是:
(一)从内部网络接收数据包具体分析过程:
步骤1:从内部网络端口接收IP数据包;
步骤2:根据防火墙过滤规则列表,对IP数据包进行过滤;如果过滤规则允许接收IP数据包,则执行步骤3,否则执行步骤1。
步骤3:根据IP数据包的源IP地址、目的IP地址、源端口号、目的端口号在网络连接链表中查找,判断是否属于连接链表中的一项。如果属于,将该项的老化时间重设为T0,然后执行步骤6,如果不属于,执行步骤4;
步骤4:在网络连接链表中增加一项,并设置该项的源IP地址、目的IP地址、源端口号、目的端口号为接收数据包的相应值。同时设置连接的状态为NEW,设置连接老化时间为T0秒;
步骤5:在主机连接数表,查找数据包的源IP地址,如果有匹配项,在对应的未应答连接数目中加1;如果无匹配项,新增一项,并将未应答连接数目设置为1;
步骤6:检查主机连接数表的该项,如果未应答连接数目超过预定阀值A,则执行步骤7,否则执行步骤9;
步骤7:在日志中记录该源IP地址,发出告警信息;在防火墙中添加一条规则,丢弃源IP地址为该地址的所有数据包,规则生效时间为T;
步骤8:丢弃该数据包;
步骤9:根据路由表,向外部网络接口转发IP数据包;
(二)从外部网络接收数据包的具体分析过程是:
步骤1:从外部网络端口接收IP数据包;
步骤2:根据防火墙过滤规则列表,对IP数据包进行过滤;
步骤3:提取IP数据包中的源IP地址、目的IP地址、源端口号、目的端口号。在相应的网络连接链表中进行检索,检索的标准是IP数据包的源IP地址、目的IP地址、源端口号、目的端口号分别对应链表项的目的IP地址、源IP地址、目的端口号、源端口号。如果有匹配项,执行步骤4,否则执行步骤6;
步骤4:如果该对应链表项的连接状态为NEW,则将对应状态修改为REPLYED,并执行步骤5;如果对应状态为REPLYED,则执行步骤6;
步骤5:根据数据包的IP目的地址在主机连接数表中查找,如果有匹配项,将对应的未应答连接数目中减1;如果未应答连接数目减为0,则删除该表项。
步骤6:根据路由表,向内部网络接口转发IP数据包。
上述方案中,定时器处理过程是:
初始化:定时器由系统定时中断调用,每一秒执行一次;
步骤:依次检查网络连接链表中的每一项,并将连接老化时间减1,如果连接老化时间为0,则删除该表项。
通过对蠕虫传播机制进行分析,可以发现,蠕虫传播具有比较明显的、异常的网络传输特征,感染网络蠕虫病毒的主机主要有以下三个特征:
(1)、以尽可能的最大速度向IP地址不同的计算机发起连接请求。一台感染网络蠕虫病毒的主机的新连接发起频率可能达到至少100HZ以上,而一台正常的主机通常仅为0.5HZ到2HZ。
(2)、网络连接之间缺乏地址相关性。感染网络蠕虫病毒的主机将尝试向大量不同IP地址的主机发起连接,而正常的主机在连接之间具有一定的地址相关性,如会重复向同一个IP地址发起连接请求。
(3)、感染网络蠕虫病毒的主机所发出的网络连接请求,绝大部分都不会收到应答;而正常的网络连接,只有小部分会没有应答。
本发明从蠕虫传播机制着手,改变了现有技术的蠕虫爆发后再进行事后处理的思路,进行实时检测与防范,因此与现有技术相比,本发明的优点是:
1、适应范围宽:本发明不仅可针对已知的并且已广泛传播的病毒进行防治,更可以对于未知或新爆发的病毒进行防治;
2、效率高:本发明是在蠕虫的传播中进行防治,通过对防火墙所接收的数据包进行连接状态分析,即时检测网络中的蠕虫病毒,并定位局域网内感染蠕虫病毒的计算机,然后通过自动设置的阻断规则,及时抑制网络蠕虫病毒的传播,可有效的抑制传播迅速的网络蠕虫;
3、实施效果好:本发明不依赖于手工操作,而是由防火墙在检测到蠕虫病毒后,自动添加防火墙阻断过滤规则,限制感染蠕虫病毒的计算机的网络传播,因此实施起来效果好,可在网络上形成有效的保护网。
附图说明:
图1是从内部网络接收数据包处理流程图;
图2为从外部网络接收数据包处理流程图;
图3是定时器处理流程图;
图4是本发明的运行系统图。
具体实施方式:
下面将结合附图和实施例对本发明做进一步说明。
本发明是通过在防火墙上对接收到的数据包进行网络连接特征分析来进行病毒的识别,实时检测网络蠕虫,定位局域网内感染蠕虫病毒的计算机,通过自动设置阻断规则,及时抑制网络蠕虫病毒的传播。依据本发明的方法构建的防火墙设备中增加一个网络蠕虫实时检测与自动抑制模块,该模块完成对网络蠕虫病毒的实时检测、报警和自动抑制的功能。参见图4,模块在防火墙网络协议栈中位于网络过滤模块和路由转发模块之间。从网络接口接收到的数据包,经过网络过滤模块过滤后,由网络蠕虫实时检测与自动抑制模块进行网络蠕虫的检测和处理,处理通过的数据包,再交由路由转发模块处理。
利用本方法构建防火墙的具体步骤是:
一、首先建立网络连接链表和主机连接数表。
(1)网络连接链表的数据结构见表1
(表1)
| 源IP地址 | 目的IP地址 | 源端口 | 目的端口 | 状态 | 老化时间 |
| SIP | DIP | SPORT | DPORT | (NEW,REPLYED) | T0 |
其中,网络连接的状态分为NEW和REPLYED两种。其中NEW表示内部主机新发起一个网络连接,并且未收到从外部来的应答;REPLYED表示内部主机发起的网络连接已经收到从外部来的应答。
(2)主机连接数表的数据结构见表2
(表2)
| 主机IP地址 | 未应答连接数目 |
| HIP | UNREPLYED_NUM |
二、构建的防火墙进行实时检测的步骤如下:
(一)从内部网络接收数据包具体分析过程:
步骤1:从内部网络端口接收IP数据包;
步骤2:根据防火墙过滤规则列表,对IP数据包进行过滤;如果过滤规则允许接收IP数据包,则执行步骤3,否则执行步骤1。
步骤3:根据IP数据包的源IP地址、目的IP地址、源端口号、目的端口号在网络连接链表中查找,判断是否属于连接链表中的一项。如果属于,将该项的老化时间重设为T0,然后执行步骤6,如果不属于,执行步骤4;
步骤4:在网络连接链表中增加一项,并设置该项的源IP地址、目的IP地址、源端口号、目的端口号为接收数据包的相应值。同时设置连接的状态为NEW,设置连接老化时间为T0秒;
步骤5:在主机连接数表,查找数据包的源IP地址,如果有匹配项,在对应的未应答连接数目中加1;如果无匹配项,新增一项,并将未应答连接数目设置为1;
步骤6:检查主机连接数表的该项,如果未应答连接数目超过预定阀值A,则执行步骤7,否则执行步骤9;
步骤7:在日志中记录该源IP地址,发出告警信息;在防火墙中添加一条规则,丢弃源IP地址为该地址的所有数据包,规则生效时间为T;
步骤8:丢弃该数据包;
步骤9:根据路由表,向外部网络接口转发IP数据包。
对于从内部网络接口收到的数据包,首先经过内部网络接口的过滤规则进行过滤,然后进入蠕虫检测模块进行检测处理。在通过蠕虫检测模块检测后,再进入路由转发模块进行处理。
在内部网络接口,蠕虫检测模块通过建立网络连接链表和主机连接数表,统计内部网络中每一台主机所建立的未收到应答的连接数。如果未应答的连接数超过预设的门限,则这台主机可以认为已经感染了蠕虫病毒,并处于不正常的网络状态。此时,可以通过日志、告警来通知管理员该主机的信息,同时可以通过自动设置阻断规则来抑制该主机上蠕虫病毒向外界的传播。在设置门限时,管理员可以根据内部不同主机的用途来设置不同的门限,从而降低误判率。
(二)从外部网络接收数据包的具体分析过程是:
步骤1:从外部网络端口接收IP数据包;
步骤2:根据防火墙过滤规则列表,对IP数据包进行过滤;
步骤3:提取IP数据包中的源IP地址、目的IP地址、源端口号、目的端口号。在相应的网络连接链表中进行检索,检索的标准是IP数据包的源IP地址、目的IP地址、源端口号、目的端口号分别对应链表项的目的IP地址、源IP地址、目的端口号、源端口号。如果有匹配项,执行步骤4,否则执行步骤6;
步骤4:如果该对应链表项的连接状态为NEW,则将对应状态修改为REPLYED,并执行步骤5;如果对应状态为REPLYED,则执行步骤6;
步骤5:根据数据包的IP目的地址在主机连接数表中查找,如果有匹配项,将对应的未应答连接数目中减1;如果未应答连接数目减为0,则删除该表项。
步骤6:根据路由表,向内部网络接口转发IP数据包。
在外部网络接口,蠕虫检测模块通过对接收的数据包进行判断,设置当前网络连接链表中的连接状态,即当前连接是否已收到应答的状态。
定时模块由系统中断定时调用,主要对网络连接链表中的连接进行超时处理,对长时间没有数据交换的连接,从网络连接表中清除。
(三)上面所说的(一)和(二)中,定时器处理过程是:
初始化:定时器由系统定时中断调用,每一秒执行一次;
步骤:依次检查网络连接链表中的每一项,并将连接老化时间减1,如果连接老化时间为0,则删除该表项。
Claims (5)
1、一种实时检测网络蠕虫病毒的方法,它是通过在防火墙上对接收到的数据包进行网络连接特征分析来进行病毒的识别,实时检测网络蠕虫。
2、如权利要求1所述的一种实时检测网络蠕虫病毒的方法,其特征在于:根据建立的网络连接链表和主机连接数表进行网络连接特征分析。
3、如权利要求2所述的一种实时检测网络蠕虫病毒的方法,其特征在于:所述网络连接链表用来记录当前已经建立的连接,表项内容可以包括连接的源IP地址、目的IP地址、源端口号、目的端口号、连接的状态、连接老化时间等内容;初始化时,链表为空,连接的状态包括两种:NEW,REPLYED;主机连接数表记录内部网络主机连接建立情况,表项内容可以包括:主机IP地址、未应答连接数目。
4、如权利要求3所述的一种实时检测网络蠕虫病毒的方法,其特征在于:
(一)从内部网络接收数据包具体分析过程为,
步骤1:从内部网络端口接收IP数据包;
步骤2:根据防火墙过滤规则列表,对IP数据包进行过滤;如果过滤规则允许接收IP数据包,则执行步骤3,否则执行步骤1。
步骤3:根据IP数据包的源IP地址、目的IP地址、源端口号、目的端口号在网络连接链表中查找,判断是否属于连接链表中的一项。如果属于,将该项的老化时间重设为T0,然后执行步骤6,如果不属于,执行步骤4;
步骤4:在网络连接链表中增加一项,并设置该项的源IP地址、目的IP地址、源端口号、目的端口号为接收数据包的相应值。同时设置连接的状态为NEW,设置连接老化时间为T0秒;
步骤5:在主机连接数表,查找数据包的源IP地址,如果有匹配项,在对应的未应答连接数目中加1;如果无匹配项,新增一项,并将未应答连接数目设置为1;
步骤6:检查主机连接数表的该项,如果未应答连接数目超过预定阀值A,则执行步骤7,否则执行步骤9;
步骤7:在日志中记录该源IP地址,发出告警信息;在防火墙中添加一条规则,丢弃源IP地址为该地址的所有数据包,规则生效时间为T;
步骤8:丢弃该数据包;
步骤9:根据路由表,向外部网络接口转发IP数据包;
(二)从外部网络接收数据包的具体分析过程为,
步骤1:从外部网络端口接收IP数据包;
步骤2:根据防火墙过滤规则列表,对IP数据包进行过滤;
步骤3:提取IP数据包中的源IP地址、目的IP地址、源端口号、目的端口号。在相应的网络连接链表中进行检索,检索的标准是IP数据包的源IP地址、目的IP地址、源端口号、目的端口号分别对应链表项的目的IP地址、源IP地址、目的端口号、源端口号。如果有匹配项,执行步骤4,否则执行步骤6;
步骤4:如果该对应链表项的连接状态为NEW,则将对应状态修改为REPLYED,并执行步骤5;如果对应状态为REPLYED,则执行步骤6;
步骤5:根据数据包的IP目的地址在主机连接数表中查找,如果有匹配项,将对应的未应答连接数目中减1;如果未应答连接数目减为0,则删除该表项。
步骤6:根据路由表,向内部网络接口转发IP数据包。
5、如权利要求4或7所述的一种实时检测网络蠕虫病毒的方法,其特征在于:定时器处理过程是,
(1)初始化:定时器由系统定时中断调用,每一秒执行一次;
(2)步骤:依次检查网络连接链表中的每一项,并将连接老化时间减1,如果连接老化时间为0,则删除该表项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100419073A CN100433641C (zh) | 2005-04-07 | 2005-04-07 | 一种实时检测网络蠕虫病毒的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100419073A CN100433641C (zh) | 2005-04-07 | 2005-04-07 | 一种实时检测网络蠕虫病毒的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1674530A true CN1674530A (zh) | 2005-09-28 |
| CN100433641C CN100433641C (zh) | 2008-11-12 |
Family
ID=35046812
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100419073A Expired - Fee Related CN100433641C (zh) | 2005-04-07 | 2005-04-07 | 一种实时检测网络蠕虫病毒的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100433641C (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101854342A (zh) * | 2009-03-31 | 2010-10-06 | 凹凸电子(武汉)有限公司 | 应用程序识别系统、装置以及识别网络应用程序的方法 |
| CN102123396A (zh) * | 2011-02-14 | 2011-07-13 | 恒安嘉新(北京)科技有限公司 | 基于通信网的手机病毒和恶意软件的云检测方法 |
| CN101184094B (zh) * | 2007-12-06 | 2011-07-27 | 北京启明星辰信息技术股份有限公司 | 一种适于局域网环境的网络节点扫描检测方法和系统 |
| CN101707539B (zh) * | 2009-11-26 | 2012-01-04 | 成都市华为赛门铁克科技有限公司 | 蠕虫病毒检测方法、装置和网关设备 |
| CN101589595B (zh) * | 2007-01-23 | 2013-04-24 | 阿尔卡特朗讯公司 | 用于潜在被污染端系统的牵制机制 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2436710C (en) * | 2001-01-31 | 2011-06-14 | Lancope, Inc. | Network port profiling |
| CN1549126A (zh) * | 2003-05-16 | 2004-11-24 | 北京爱迪安网络技术有限公司 | 检测蠕虫病毒及延缓病毒传播的方法 |
| US7596807B2 (en) * | 2003-07-03 | 2009-09-29 | Arbor Networks, Inc. | Method and system for reducing scope of self-propagating attack code in network |
| CN1322711C (zh) * | 2004-05-14 | 2007-06-20 | 清华大学 | 因特网蠕虫病毒的早期预警方法 |
-
2005
- 2005-04-07 CN CNB2005100419073A patent/CN100433641C/zh not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101589595B (zh) * | 2007-01-23 | 2013-04-24 | 阿尔卡特朗讯公司 | 用于潜在被污染端系统的牵制机制 |
| CN101184094B (zh) * | 2007-12-06 | 2011-07-27 | 北京启明星辰信息技术股份有限公司 | 一种适于局域网环境的网络节点扫描检测方法和系统 |
| CN101854342A (zh) * | 2009-03-31 | 2010-10-06 | 凹凸电子(武汉)有限公司 | 应用程序识别系统、装置以及识别网络应用程序的方法 |
| CN101707539B (zh) * | 2009-11-26 | 2012-01-04 | 成都市华为赛门铁克科技有限公司 | 蠕虫病毒检测方法、装置和网关设备 |
| CN102123396A (zh) * | 2011-02-14 | 2011-07-13 | 恒安嘉新(北京)科技有限公司 | 基于通信网的手机病毒和恶意软件的云检测方法 |
| CN102123396B (zh) * | 2011-02-14 | 2014-08-13 | 恒安嘉新(北京)科技有限公司 | 基于通信网的手机病毒和恶意软件的云检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100433641C (zh) | 2008-11-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1874303A (zh) | 一种黑名单实现的方法 | |
| CN1725705A (zh) | 流量攻击网络设备的报文特征的检测方法 | |
| US7540025B2 (en) | Mitigating network attacks using automatic signature generation | |
| CN1878082A (zh) | 网络攻击的防护方法 | |
| CN1655518A (zh) | 网络安全系统和方法 | |
| CN1160899C (zh) | 分布式网络动态安全保护系统 | |
| CN1905555A (zh) | 基于ngn业务的防火墙控制系统及方法 | |
| CN1578227A (zh) | 一种动态ip数据包过滤方法 | |
| CN101599963B (zh) | 网络疑似威胁信息筛选器及筛选处理方法 | |
| CN101036369A (zh) | 分组的脱机分析 | |
| CN1697404A (zh) | 一种交互式的网络蠕虫检测系统和方法 | |
| CN101064597A (zh) | 网络安全设备以及使用该网络安全设备处理包数据的方法 | |
| CN101056306A (zh) | 网络设备及其访问控制方法 | |
| CN1968278A (zh) | 数据包内容的分析处理方法及系统 | |
| CN101039326A (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
| CN1674530A (zh) | 一种实时检测网络蠕虫病毒的方法 | |
| CA2464784A1 (en) | Multi-layered firewall architecture | |
| CN1893375A (zh) | 用于检测和减轻分布式拒绝服务攻击的系统和方法 | |
| CN1725709A (zh) | 网络设备与入侵检测系统联动的方法 | |
| CN101060521A (zh) | 信息包过滤方法及网络防火墙 | |
| CN1960246A (zh) | 过滤网络中终端与目的主机间传输的危害性数据的方法 | |
| CN104022924A (zh) | 一种http通信内容检测的方法 | |
| CN1153146C (zh) | 网关级计算机网络病毒防范的方法 | |
| CN103248606A (zh) | 一种面向IPv4和IPv6的网络病毒检测方法及系统 | |
| CN1968180A (zh) | 一种基于多级聚集的异常流量控制方法与系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20081112 Termination date: 20210407 |