CN1848745A - 基于网络流量特征的蠕虫病毒检测方法 - Google Patents
基于网络流量特征的蠕虫病毒检测方法 Download PDFInfo
- Publication number
- CN1848745A CN1848745A CN 200510011561 CN200510011561A CN1848745A CN 1848745 A CN1848745 A CN 1848745A CN 200510011561 CN200510011561 CN 200510011561 CN 200510011561 A CN200510011561 A CN 200510011561A CN 1848745 A CN1848745 A CN 1848745A
- Authority
- CN
- China
- Prior art keywords
- flow
- target port
- doubtful
- worm
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明为一种检测已知和未知蠕虫病毒的方法,该方法记录所有协议目标端口的流量或不同目标地址连接数目超过一定阈值的计算机数目,如果最近一段时间内,某个协议目标端口的流量或不同目标地址连接数目超过一定阈值的计算机数目的持续增长时间超过一定阈值,并且其持续增长的趋势和该协议目标端口的网络总流量的增长趋势相关,则认为该协议目标端口的流量中包含蠕虫病毒。本发明的有益效果是可以检测到已知或未知蠕虫病毒传播的源头和传播所用网络协议和目标端口,以便于在病毒发作的初期就加以控制,防止病毒的大规模传播,从而保护网络的正常运转。
Description
技术领域
本发明涉及网络信息安全技术领域,是一种利用网络流量统计特征检测蠕虫病毒的方法。
背景技术
随着通信技术应用的深入,蠕虫病毒对通信网络安全的威胁日益增加。多样化的传播途径和复杂的应用环境使蠕虫病毒的发生频率越来越高,造成的损失也越来越大。
传统的蠕虫病毒检测方式基于蠕虫病毒特征码的检测,必须首先获得已传播的蠕虫病毒的样本,才能分析出特征码,更新病毒特征库,然后病毒检测程序才能检测该类型的蠕虫病毒,该方法不能适应新蠕虫病毒的出现和病毒的新的变种,无法检测未知类型的蠕虫病毒。
在国内专利文献CN1549126A中描述了一种在IDS中检测蠕虫病毒的方法,该方法通过计算各个主机和其他主机的连接数目是否超过一定阈值来判断是否存在蠕虫病毒。大多数蠕虫病毒会通过网络扫描发现潜在的传染目标,所以该方法的实质是通过检测蠕虫病毒的扫描行为检测蠕虫病毒,通过限制超过阈值的连接,达到阻止蠕虫传播的目的。该方法的不足在于,扫描不一定是由蠕虫病毒发起的,例如:人为的端口扫描显然和蠕虫病毒无关,点对点下载工具软件也会导致连接数目异常。该方法的不足降低了检测的准确率。
网络蠕虫病毒和其他恶意代码的最大区别是蠕虫病毒的主动性和独立性,蠕虫病毒通过网络传播,无须用户干预就能够独立地或者依赖文件共享对目标主机发起主动攻击。一方面,蠕虫病毒危害网络内的计算机终端,导致目标计算机的重要信息泄露、资料丢失或拒绝服务等,另一方面,在一个没有采取相应安全措施且拥有大量易感染计算机的网络内,蠕虫病毒所带来的流量会导致网络拥塞直至整个网络的瘫痪。
发明内容
因此,本发明要解决的技术问题是提供一种技术方法,它能提供检测已知和未知蠕虫病毒的先决条件,同时又具有较好的检测准确性。
本发明所提供的技术方法基于以下技术方案:蠕虫传播的过程中,相关协议目标端口的流量超过一定阈值、或者和其他计算机的连接数目超过一定阈值的主机数目会持续增长,整个网络内符合该协议的目标端口的总流量也会出现一定的增长趋势。如果流量或连接数目超过一定阈值的主机数目的持续增长时间超过一定阈值,并且其持续增长的趋势和网络总流量的增长趋势相关,则认为该流量是由蠕虫病毒的传播产生的。
该方法包括以下步骤:
1依次检查各个主机的各个协议目标端口的网络流量或不同目标地址连接数目是否超过阈值,如果超过则标志该主机协议目标端口的流量为疑似异常。
2检查最近N个时刻各个协议目标端口上流量疑似异常的不同主机的数目序列,如果某个协议目标端口的流量疑似异常的主机数目随着时间持续增长,则认为该协议目标端口的流量疑似异常。
3如果最近N个时刻,某协议目标端口上流量疑似异常,则计算最近N个时刻内,该协议目标端口上流量疑似异常的不同主机数目的序列和所有主机该协议目标端口上的流量序列的简单相关系数(又称Pearson相关系数或皮尔逊相关系数),如果该系数大于阈值,则认为存在蠕虫流量。
本发明的有益效果是可以从流量特征中检测已知或未知蠕虫病毒传播的源头和传播所用网络协议、目标端口,以便于在病毒发作的初期就加以控制,防止病毒的大规模传播,从而保护网络的正常运转。
附图说明
图1是流量特征基线统计过程的图示。
图2是实时蠕虫病毒流量检测过程的图示。
具体实施方式
本发明具体实施包括2个过程,流量特征基线统计过程和实时蠕虫病毒流量过程,流量特征基线统计过程用于获得网络流量基线表,实时蠕虫病毒检测过程用于检测蠕虫病毒流量。
实时蠕虫病毒流量过程必须运行在流量特征基线统计过程结束并取得网络流量基线表之后。
流量特征基线统计流程,如图1:
1定义参数INTERVALH,以INTERVALH秒为采样周期,获得来自网络设备的当前流量信息表{传输层协议,目标端口,源IP地址,字节流量,数据包流量,单位时间内连接数均值}和本采样周期结束时间,为描述方便,本采样周期结束时间简称为采样时间。
2合并当前流量信息表中传输层协议、目标端口相同的记录,添加合并后的记录{采样时间,传输层协议,目标端口,字节流量、数据包流量、单位时间内不同目标地址连接数均值}到历史流量数据表中。
3定义参数H,判断是否已完成H个周期的流量采集,如果是则转至4,否则转至1。
4在历史流量数据表中,统计一天24小时内,以INTERVALH秒为间隔的各时刻的字节流量均值、数据包流量均值、单位时间内不同目标地址连接数均值的平均值,得到网络流量基线表,{时刻,传输层协议,目标端口,基线字节流量均值、基线数据包流量均值、基线单位时间内连接数均值}。
实时蠕虫病毒流量检测流程,必须在流量特征基线统计过程完成后才能运行,如图2:
1定义参数INTERVALD,以INTERVALD秒为周期,获得并记录来自网络设备的当前流量信息表{采样时间,传输层协议,源IP地址,目标端口,字节流量,数据包流量,单位时间内连接数均值},为描述方便,本采样周期结束时间简称为采样时间。
2根据当前流量信息表,合并传输层协议、目标端口相同的记录,得到当前流量汇总信息表{采样时间,传输层协议,目标端口,字节流量,数据包流量,单位时间内连接数均值}。
3依次取得当前流量信息表中的记录,称为当前流量信息记录。
4在网络流量基线表中检索传输层协议、目标端口和当前流量信息记录中传输层协议、目标端口相同的、并且采样时刻和当前流量信息记录中时刻的差的绝对值最小的记录,得到网络流量基线表中该记录的基线字节流量均值、基线数据包流量均值、基线单位时间内连接数均值。
5定义参数K,判断是否当前流量信息记录中的字节流量大于K*基线字节流量均值,或者,数据包流量大于K*基线数据包流量均值,或者,单位时间内连接数均值大于K*基线单位时间内连接数均值,如果是,标示当前流量信息记录{采样时间,传输层协议,源IP地址,目标端口,字节流量,数据包流量,单位时间内连接数均值}中的源IP地址为疑似异常源IP地址,否则转至7。
6统计疑似异常源IP地址,得到疑似异常源IP地址表{采样时间,疑似异常传输层协议,疑似异常目标端口,疑似异常源IP地址数目,疑似异常源IP地址链表},表中源IP地址数目是指,当前流量信息表中,相同疑似异常传输层协议、疑似异常目标端口的不同疑似异常源IP地址的记录数目。
7判断是否已遍历当前流量信息表中每一条记录,如果是转至8,否则,转至3。
8定义参数M,清空异常协议端口表,遍历最近时间内的M个疑似异常源IP地址表,如果存在传输层协议、目标端口相同的疑似异常源IP地址数目在不同的表中按时间顺序持续增长,则在异常协议端口表中添加记录{疑似异常传输层协议,疑似异常目标端口}。
9遍历异常协议端口表,依次取得表中每一条记录,称为当前异常协议端口记录。
10根据当前异常协议端口记录所包含的疑似异常传输层协议和疑似异常目标端口,按照时间顺序,分别从最近的M个当前流量汇总信息表、网络流量基线表中得到疑似异常行为源IP地址表中取得字节流量序列、基线字节流量均值序列、源IP地址数目序列,计算(字节流量序列-基线字节流量均值序列)和疑似异常行为主机表的源IP地址数目序列的相关系数C。
11定义阈值P,判断相关系数C是否大于P,如果是,则认为疑似异常传输层协议和疑似异常目标端口所表示的网络流量中包含蠕虫病毒,在疑似异常源IP地址表中检索疑似异常源IP地址链表,得到包含可能受感染计算机源IP地址信息,并形成蠕虫流量告警。
12判断是否已完成对异常协议端口表的遍历,如果是,则清空疑似异常源IP地址表中的疑似异常源IP地址链表,保存当前流量汇总信息表、疑似异常源IP地址表,转至1,否则,转至9。
Claims (2)
1、一种检测蠕虫病毒的方法,其特征在于,记录所有协议目标端口的流量或不同目标地址连接数目超过一定阈值的计算机数目,如果最近一段时间内,某个协议目标端口的流量或不同目标地址连接数目超过一定阈值的计算机数目的持续增长时间超过一定阈值,并且其持续增长的趋势和该协议目标端口的网络总流量的增长趋势相关,则认为该协议目标端口的流量中包含蠕虫病毒。
2、按照权利要求书1所述的一种检测蠕虫病毒传播的方法,其特征在于,该方法包括以下步骤:
A按照流量的协议、源IP地址和目标端口,分组统计流量和不同目标主机连接数目。
B依次检查所有主机的所有协议目标端口的网络流量或不同目标地址连接数目是否超过阈值,如果超过则标志该主机协议目标端口流量为疑似异常。
C检查最近N个时刻各个协议目标端口上流量疑似异常的不同主机的数目序列,如果某个协议目标端口的流量疑似异常的主机数目随着时间持续增长,则认为该协议目标端口的流量疑似异常。
D如果最近N个时刻,某协议目标端口上流量疑似异常,则计算最近N个时刻内,该协议目标端口上流量疑似异常的不同主机数目的序列和所有主机该协议目标端口上的流量序列的简单相关系数(又称Pearson相关系数或皮尔逊相关系数),如果该系数大于阈值,则认为存在蠕虫流量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200510011561 CN1848745A (zh) | 2005-04-13 | 2005-04-13 | 基于网络流量特征的蠕虫病毒检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200510011561 CN1848745A (zh) | 2005-04-13 | 2005-04-13 | 基于网络流量特征的蠕虫病毒检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1848745A true CN1848745A (zh) | 2006-10-18 |
Family
ID=37078125
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200510011561 Pending CN1848745A (zh) | 2005-04-13 | 2005-04-13 | 基于网络流量特征的蠕虫病毒检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1848745A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013152672A1 (zh) * | 2012-04-09 | 2013-10-17 | 腾讯科技(深圳)有限公司 | 病毒趋势异常的监控方法及装置 |
| US20150249676A1 (en) * | 2014-02-28 | 2015-09-03 | Fujitsu Limited | Monitoring method and monitoring apparatus |
| CN104901822A (zh) * | 2014-03-04 | 2015-09-09 | 北京奇虎科技有限公司 | 一种应用程序传播过程的跟踪方法和装置 |
| CN107920077A (zh) * | 2017-11-21 | 2018-04-17 | 湖北鑫英泰系统技术股份有限公司 | 一种用于电力调度系统的拒接服务攻击判断方法及装置 |
| CN109831462A (zh) * | 2019-03-29 | 2019-05-31 | 新华三信息安全技术有限公司 | 一种病毒检测方法及装置 |
| CN111224997A (zh) * | 2020-01-17 | 2020-06-02 | 杭州迪普科技股份有限公司 | 一种抑制病毒在局域网中传播的方法及装置 |
| CN111245855A (zh) * | 2020-01-17 | 2020-06-05 | 杭州迪普科技股份有限公司 | 一种抑制病毒在局域网中传播的方法及装置 |
-
2005
- 2005-04-13 CN CN 200510011561 patent/CN1848745A/zh active Pending
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013152672A1 (zh) * | 2012-04-09 | 2013-10-17 | 腾讯科技(深圳)有限公司 | 病毒趋势异常的监控方法及装置 |
| US9817973B2 (en) | 2012-04-09 | 2017-11-14 | Tencent Technology (Shenzhen) Company Limited | Method and device for monitoring virus trend abnormality |
| US20150249676A1 (en) * | 2014-02-28 | 2015-09-03 | Fujitsu Limited | Monitoring method and monitoring apparatus |
| US9516050B2 (en) * | 2014-02-28 | 2016-12-06 | Fujitsu Limited | Monitoring propagation in a network |
| CN104901822A (zh) * | 2014-03-04 | 2015-09-09 | 北京奇虎科技有限公司 | 一种应用程序传播过程的跟踪方法和装置 |
| CN107920077A (zh) * | 2017-11-21 | 2018-04-17 | 湖北鑫英泰系统技术股份有限公司 | 一种用于电力调度系统的拒接服务攻击判断方法及装置 |
| CN109831462A (zh) * | 2019-03-29 | 2019-05-31 | 新华三信息安全技术有限公司 | 一种病毒检测方法及装置 |
| CN109831462B (zh) * | 2019-03-29 | 2021-12-24 | 新华三信息安全技术有限公司 | 一种病毒检测方法及装置 |
| CN111224997A (zh) * | 2020-01-17 | 2020-06-02 | 杭州迪普科技股份有限公司 | 一种抑制病毒在局域网中传播的方法及装置 |
| CN111245855A (zh) * | 2020-01-17 | 2020-06-05 | 杭州迪普科技股份有限公司 | 一种抑制病毒在局域网中传播的方法及装置 |
| CN111245855B (zh) * | 2020-01-17 | 2022-04-26 | 杭州迪普科技股份有限公司 | 一种抑制病毒在局域网中传播的方法及装置 |
| US11736514B2 (en) | 2020-01-17 | 2023-08-22 | Hangzhou Dptech Technologies Co., Ltd. | Suppressing virus propagation in a local area network |
| US12003530B2 (en) | 2020-01-17 | 2024-06-04 | Hangzhou Dptech Technologies Co., Ltd. | Suppressing virus propagation in a local area network |
| US12095809B2 (en) | 2020-01-17 | 2024-09-17 | Hangzhou Dptech Technologies Co., Ltd. | Suppressing virus propagation in a local area network |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1848745A (zh) | 基于网络流量特征的蠕虫病毒检测方法 | |
| CN1330131C (zh) | 一种交互式的网络蠕虫检测系统和方法 | |
| CN101282340B (zh) | 网络攻击处理方法及处理装置 | |
| EP1490768B1 (en) | Adaptive behavioural intrusion detection | |
| Wagner et al. | Entropy based worm and anomaly detection in fast IP networks | |
| CN1492328A (zh) | 用于检测tcp syn洪水式攻击的统计方法 | |
| CN1203641C (zh) | 网络入侵监测的方法和系统 | |
| CN109040130B (zh) | 基于属性关系图的主机网络行为模式度量方法 | |
| CN102271068A (zh) | 一种dos/ddos攻击检测方法 | |
| US20070234425A1 (en) | Multistep integrated security management system and method using intrusion detection log collection engine and traffic statistic generation engine | |
| CN1809000A (zh) | 一种网络入侵的检测方法 | |
| CN100377534C (zh) | 一种网络蠕虫检测系统及方法 | |
| CN107864110A (zh) | 僵尸网络主控端检测方法和装置 | |
| CN1812394A (zh) | 使用即时消息软件的数据检测网络地址转换设备的方法 | |
| CN1612534A (zh) | 使用基于硬件的模式匹配的蠕虫阻击系统和方法 | |
| CN101202744A (zh) | 一种自学习检测蠕虫的装置及其方法 | |
| CN104021348A (zh) | 一种隐匿p2p程序实时检测方法及系统 | |
| Lui et al. | Agent-based network intrusion detection system using data mining approaches | |
| CN101197810A (zh) | 一种实时检测蠕虫的方法 | |
| CN102238047B (zh) | 基于Web通信群体外联行为的拒绝服务攻击检测方法 | |
| CN1317855C (zh) | 一种入侵检测系统及其入侵检测方法 | |
| CN100484043C (zh) | 网络防syn洪流攻击检测方法 | |
| CN1549126A (zh) | 检测蠕虫病毒及延缓病毒传播的方法 | |
| CN105592041A (zh) | 网络攻击抓包方法及装置 | |
| CN111865951A (zh) | 一种基于数据包特征提取的网络数据流异常检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C57 | Notification of unclear or unknown address | ||
| DD01 | Delivery of document by public notice |
Addressee: Gao Peng Document name: Notice of application for publication of patent for invention and entry into the substantive examination procedure |
|
| C57 | Notification of unclear or unknown address | ||
| DD01 | Delivery of document by public notice |
Addressee: Gao Peng Document name: Notice of first review |
|
| C57 | Notification of unclear or unknown address | ||
| DD01 | Delivery of document by public notice |
Addressee: Gao Peng Document name: Notification that Application Deemed to be Withdrawn |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |