專利名稱:一種實(shí)時(shí)檢測蠕蟲的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及蠕蟲檢測方法����,特別涉及計(jì)算機(jī)網(wǎng)絡(luò)與數(shù)據(jù)通信中的蠕蟲
背景技術(shù):
自1988年莫里斯從實(shí)驗(yàn)室制造出第一個(gè)蠕蟲病毒以來,計(jì)算機(jī)蠕蟲病 毒以其快速��、多樣化的傳播方式不斷給網(wǎng)絡(luò)世界帶來災(zāi)害�。特別是1999年 以后,高危蠕蟲病毒的不斷出現(xiàn)����,多次均使世界經(jīng)濟(jì)蒙受了輕則幾十億、 重則幾百億美元的巨大損失���。
Internet蠕蟲雖然常常被歸類到廣義的病毒中��,但蠕蟲同傳統(tǒng)意義上的 病毒除了在復(fù)制和傳染方面具有相似性之外�����,還有很多不同點(diǎn)�����,如蠕蟲主 要以計(jì)算機(jī)為攻擊目標(biāo)�,病毒主要以文件系統(tǒng)為攻擊目標(biāo);蠕蟲具有主動(dòng) 攻擊特性�����,而病毒在傳播時(shí)需要計(jì)算機(jī)使用者的觸發(fā)等等�。正是這些與病 毒的不同之處,導(dǎo)致傳統(tǒng)的病毒檢測策略應(yīng)用到對抗蠕蟲時(shí)���,基本上不再 適用�。在產(chǎn)生的破壞性上�����,蠕蟲也不是普通病毒所能比擬的��,網(wǎng)絡(luò)的發(fā)展 使得蠕蟲可以在短短的時(shí)間內(nèi)蔓延整個(gè)Internet,造成Internet大面積無法 正常工作�����。因此對Internet蠕蟲有效檢測方法����,尤其是對各種類型蠕蟲����、包 括目前暫時(shí)未知的����,都廣泛有效的檢測方法的研究就非常關(guān)鍵����。
現(xiàn)有的蠕蟲檢測系統(tǒng)主要有以下兩種 (1)由入侵檢測系統(tǒng)(IDS, Intrusion Detection System)來完成。這 類系統(tǒng)都是需要將網(wǎng)絡(luò)中所有的流量都鏡像到IDS系統(tǒng)中����,然后由IDS對 偵聽到的IP數(shù)據(jù)包進(jìn)行分析,當(dāng)發(fā)現(xiàn)IP數(shù)據(jù)包中特征碼與IDS中蠕蟲特征 碼庫相匹配時(shí)�����,即報(bào)告發(fā)現(xiàn)蠕蟲����。該方法由于采用與傳統(tǒng)病毒檢測方法相 類似的特征匹配方法, 一方面���,由于特征庫匹配性能較低���,造成整體蠕蟲 檢測性能低下����;另一方面��,對特征庫的實(shí)時(shí)更新提出了更高的要求�,導(dǎo)致 適應(yīng)范圍窄;最后����,該方法無法適用于未公開特征碼的新型蠕蟲。
(2)由流量異常分析系統(tǒng)來完成�����。這類系統(tǒng)通常是由具備該功能的網(wǎng) 絡(luò)設(shè)備來收集各網(wǎng)絡(luò)設(shè)備上的流量信息���,并對它們進(jìn)行統(tǒng)計(jì)與分析。然后 利用某種預(yù)定的流量異常閾值來判定是否是蠕蟲���。該方法主要以蠕蟲活動(dòng) 常會(huì)導(dǎo)致流量異常變化作為理論依據(jù)�。由于僅從流量的變化規(guī)律來分析�����, 存在一定程度的誤報(bào)。
以上兩種方法��,都存在適應(yīng)范圍窄����、效率低、靈敏度較低����、誤報(bào)率較 高的問題。因此迫切需要一種適用范圍廣�����、效率高���、靈敏度高���、誤報(bào)率低 的蠕蟲檢測方法。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種實(shí)時(shí)檢測蠕蟲的方法���,該方法能夠高效實(shí) 時(shí)檢測網(wǎng)絡(luò)中可能感染蠕蟲的主機(jī)����,具有適應(yīng)范圍廣、性能高�����、靈敏度可 調(diào)��、誤報(bào)率低等優(yōu)點(diǎn)���。
本發(fā)明的實(shí)時(shí)檢測蠕蟲的方法的特征在于��,包括如下步驟偵聽網(wǎng)絡(luò) 數(shù)據(jù)包并對其進(jìn)行處理的步驟�����,在該步驟中對收集的數(shù)據(jù)包按照TCP/IP協(xié) 議模型進(jìn)行分層與分類�,并建立記錄各主機(jī)發(fā)送數(shù)據(jù)包情況的設(shè)備發(fā)包統(tǒng) 計(jì)信息表;判定是否是ARP請求數(shù)據(jù)包的步驟,如果是則更新設(shè)備發(fā)包統(tǒng) 計(jì)信息表,如果不是則判定是否是IP新建連接;判定是否是IP新建連接的 步驟����,如果不是則返回到偵聽網(wǎng)絡(luò)數(shù)據(jù)包并對其進(jìn)行處理的步驟��,如果是 新建連接則更新設(shè)備發(fā)包統(tǒng)計(jì)信息表�����;判斷該設(shè)備是否是可疑設(shè)備的步驟, 根據(jù)設(shè)備發(fā)包統(tǒng)計(jì)信息表的內(nèi)容判定是否是感染蠕蟲的可疑設(shè)備��,如果是 感染蠕蟲的設(shè)備對其進(jìn)行標(biāo)記����,如果不是則返回到偵聽網(wǎng)絡(luò)數(shù)據(jù)包并對其 進(jìn)行處理的步驟。
本發(fā)明的實(shí)時(shí)檢測蠕蟲的方法的特征還在于��,在所述偵聽網(wǎng)絡(luò)數(shù)據(jù)的 步驟中����,利用報(bào)文中源MAC地址、源IP地址作為散列參數(shù)計(jì)算索引值��, 并以該索引值建立主機(jī)信息散列表��,該主機(jī)信息散列表用于根據(jù)索引值索 引記錄網(wǎng)絡(luò)中各設(shè)備發(fā)送數(shù)據(jù)包情況的設(shè)備發(fā)包統(tǒng)計(jì)信息表�����。
本發(fā)明的實(shí)時(shí)檢測蠕蟲的方法的特征還在于���,在所述判斷該設(shè)備是否 是可疑設(shè)備的步驟中����,根據(jù)ARP請求數(shù)據(jù)包發(fā)送頻率來判定是否是可疑設(shè)
備。
本發(fā)明的實(shí)時(shí)檢測蠕蟲的方法的特征還在于�����,在所述判斷該設(shè)備是否 是可疑設(shè)備的步驟中�����,根據(jù)IP數(shù)據(jù)包中新建連接的頻率來判定是否是可疑 設(shè)備����。
本發(fā)明的實(shí)時(shí)檢測蠕蟲的方法的特征還在于,所述新建連接包括:TCP���、
UDP�����、 ICMP等�����。
本發(fā)明的實(shí)時(shí)檢測蠕蟲的方法的特征還在于�,所述ARP請求數(shù)據(jù)包發(fā) 送頻率通過設(shè)定蠕蟲行為特征描述結(jié)構(gòu)中特定閾值M并計(jì)算上次計(jì)算頻率 直至當(dāng)前時(shí)間的時(shí)間差A(yù) t來計(jì)算�����。
本發(fā)明的實(shí)時(shí)檢測蠕蟲的方法的特征還在于�����,所述新建連接的頻率通 過設(shè)定蠕蟲行為特征描述結(jié)構(gòu)中特定閾值M并計(jì)算上次計(jì)算頻率直至當(dāng)前 時(shí)間的時(shí)間差A(yù)t來計(jì)算�����。
本發(fā)明的實(shí)時(shí)檢測蠕蟲的方法的特征還在于����,根據(jù)ARP數(shù)據(jù)包目的地 址分布情況判定是否是蠕蟲。
本發(fā)明的實(shí)時(shí)檢測蠕蟲的方法的特征還在于���,根據(jù)IP新建連接數(shù)據(jù)包 目標(biāo)相似度分布來判定是否是蠕蟲�����。
本發(fā)明的理論基礎(chǔ)蠕蟲的一個(gè)重要特征是其具有很強(qiáng)的傳播性��。蠕 蟲快速擴(kuò)散時(shí)��,伴隨著大量而復(fù)雜的網(wǎng)絡(luò)行為��。 一般而言��,蠕蟲會(huì)采用各 種方式獲得被攻擊目標(biāo)主機(jī)的IP (例如隨機(jī)或順序生成目標(biāo)IP),并向它們 發(fā)送攻擊數(shù)據(jù)包���。由于TCP/IP協(xié)議機(jī)制原因����,蠕蟲主機(jī)主要采用以下方式 中的一種進(jìn)行傳播(1)獲得被攻擊主機(jī)的MAC地址���,直接建立與該主機(jī) 的通信(2)通過路由器來轉(zhuǎn)發(fā)攻擊數(shù)據(jù)�。對于第一種情況�����,蠕蟲常常會(huì) 以很高或較高的頻率向廣播域內(nèi)發(fā)送ARP廣播包請求目標(biāo)地址的MAC; 對于第二情況���,蠕蟲會(huì)以很高或較高頻率向路由器請求建立IP連接����。此外, 蠕蟲發(fā)送給不同目標(biāo)主機(jī)的信息內(nèi)容上有高度的相似性與時(shí)間局部性����。因 此綜合利用上述蠕蟲行為特征��,即可高效����、準(zhǔn)確的檢測網(wǎng)絡(luò)中可能存在的 蠕蟲。 '
本發(fā)明建立在對蠕蟲行為特征的分析���,并與蠕蟲行為特征描述結(jié)構(gòu)進(jìn) 行匹配���。對于匹配上的主機(jī),將判定其感染蠕蟲�����。
該方法基于對蠕蟲行為特征進(jìn)行分析���,從而能夠高效地檢測網(wǎng)絡(luò)中可 能存在的蠕蟲�。因此���,本發(fā)明的實(shí)時(shí)監(jiān)測蠕蟲的方法能夠高效實(shí)時(shí)檢測網(wǎng) 絡(luò)中可能感染蠕蟲的主機(jī)�����,具有適應(yīng)范圍廣�����、性能高��、靈敏度可調(diào)��、誤報(bào) 率低等優(yōu)點(diǎn)�����。
圖1是本發(fā)明的實(shí)時(shí)檢測蠕蟲的方法的流程圖���。
圖2是本發(fā)明的實(shí)時(shí)檢測蠕蟲的方法的一個(gè)實(shí)施例�。
圖3是本發(fā)明的實(shí)時(shí)檢測蠕蟲的方法中采用的主機(jī)信息散列表���。
具體實(shí)施方式
.
以下參照附圖對本發(fā)明的實(shí)時(shí)檢測蠕蟲的方法進(jìn)行詳細(xì)說明�����。圖1是 本發(fā)明的實(shí)時(shí)檢測蠕蟲的方法的流程圖�����,圖3是本發(fā)明的實(shí)時(shí)檢測蠕蟲的 方法中采用的主機(jī)信息散列表����。
本發(fā)明的實(shí)時(shí)檢測蠕蟲的方法包括如下步驟偵聽網(wǎng)絡(luò)數(shù)據(jù)包并對其
進(jìn)行處理的步驟SIO�,在該步驟中對收集的數(shù)據(jù)包按照TCP/IP協(xié)議模型進(jìn)
行分層與分類并建立記錄各主機(jī)發(fā)送數(shù)據(jù)包情況的設(shè)備發(fā)包統(tǒng)計(jì)信息表; 判定是否是ARP請求數(shù)據(jù)包的步驟S20�����,在該步驟中���,對偵聽到的數(shù)據(jù)包 判定其是否是ARP請求數(shù)據(jù)包�����,如果是ARP請求數(shù)據(jù)包則前進(jìn)到更新設(shè)備 發(fā)包統(tǒng)計(jì)信息表的步驟S40�,如果不是則前進(jìn)到判定是否是IP新建連接的 步驟S30;判定是否是新建連接的步驟30����,如果不是新建連接則回到偵聽 網(wǎng)絡(luò)數(shù)據(jù)包并對其進(jìn)行處理的步驟SIO�����,如果是新建連接則更新設(shè)備發(fā)包統(tǒng) 計(jì)信息表(S40);更新設(shè)備發(fā)包統(tǒng)計(jì)信息表的步驟S40,該步驟用于更新設(shè) 備發(fā)包的統(tǒng)計(jì)信息���;判斷該設(shè)備是否是可疑設(shè)備的步驟S50,在該步驟中根 據(jù)設(shè)備發(fā)包統(tǒng)計(jì)信息表判定發(fā)送ARP請求數(shù)據(jù)包和IP新建連接的頻率是否 超過規(guī)定的閾值�,如果超過規(guī)定的閾值則判定該設(shè)備可疑,將其標(biāo)志為蠕 蟲感染可疑主機(jī)(S60)并返回步驟SIO��,如果沒有超過規(guī)定的閾值則清空設(shè) 備發(fā)包統(tǒng)計(jì)信息表中的ARP請求包計(jì)數(shù)器和IP新建連接請求計(jì)數(shù)器并返回 到偵聽網(wǎng)絡(luò)數(shù)據(jù)包并對其進(jìn)行處理的步驟SIO��。
圖2是本發(fā)明的實(shí)時(shí)檢測蠕蟲的方法的一個(gè)實(shí)施例����。在偵聽網(wǎng)絡(luò)數(shù)據(jù) 并對其進(jìn)行處理的步驟S110中需要對收集的數(shù)據(jù)包按照TCP/IP協(xié)議模型 進(jìn)行分層與分類,分層與分類的方法通過偵聽網(wǎng)絡(luò)偵聽所有的報(bào)文數(shù)據(jù)�����, 提取報(bào)文中的相關(guān)信息����,對于ARP數(shù)據(jù)包,提取ARP數(shù)據(jù)包中包括的源 IP地址�、目的IP地址���、源MAC地址、目的MAC地址�����;對于IP數(shù)據(jù)包���, 提取IP數(shù)據(jù)包中包括的IP五元組信息(源地址�����、目的地址、源端口/ICMP id�����、目的端口/ICMPtype和code��、協(xié)議號(hào))����、IP數(shù)據(jù)包發(fā)生的時(shí)間、建立連 接后���,第一個(gè)有效的內(nèi)容數(shù)據(jù)包��,以及基于連接的上下文關(guān)系���。
所述的報(bào)文數(shù)據(jù)偵聽與收集操作方法關(guān)鍵步驟如下
(1) 將信息收集單元以透明橋方式接入網(wǎng)絡(luò)環(huán)境中���;
(2) 將單元中的網(wǎng)卡設(shè)置為混雜模式,從而可以偵聽所有二層交換機(jī) 下的網(wǎng)絡(luò)主機(jī)之間通信的數(shù)據(jù)包��;
(3) 將收集到的信息存放在緩沖存貯設(shè)備例如高速內(nèi)存等���,等待信息 處理單元處理���。
接下來,對于偵聽到的數(shù)據(jù)報(bào)文���,在對數(shù)據(jù)包依TCP/IP分層分類之后�, 可利用報(bào)文中源MAC地址���、源IP地址或者其他特定標(biāo)識(shí)作為散列參數(shù)計(jì) 算索引值���,并以該索引值建立或索引用于記錄網(wǎng)絡(luò)中各主機(jī)發(fā)送數(shù)據(jù)包情 況(設(shè)備發(fā)包統(tǒng)計(jì)信息表)的信息表����,以下稱由上述索引值組成的信息表 為主機(jī)信息散列表����,如圖3所示,圖中���,IO為主機(jī)信息散列表��,20為記錄 網(wǎng)絡(luò)中各主機(jī)發(fā)送數(shù)據(jù)包情況的設(shè)備發(fā)包統(tǒng)計(jì)信息表�。具體步驟如下將 源IP地址和源MAC地址代入散列參數(shù)計(jì)算公式中計(jì)算索引值,利用該索引 值在主機(jī)信息散列表中索引與該主機(jī)對應(yīng)的設(shè)備發(fā)包統(tǒng)計(jì)信息表�����,在索引 到表項(xiàng)時(shí)����,將源IP地址與源MAC地址與該表項(xiàng)的對應(yīng)字段進(jìn)行匹配���,并 更新該表項(xiàng)����。入表信息包括源MAC地址、源IP地址����、數(shù)據(jù)發(fā)生時(shí)間。
在接下來的判定是否是ARP請求數(shù)據(jù)包的步驟S120中判定其是否是 ARP請求數(shù)據(jù)包����,如果收到的數(shù)據(jù)包是ARP廣播請求包,檢索對應(yīng)主機(jī)在 散列表中的表項(xiàng)(S125)�,將設(shè)備發(fā)包統(tǒng)計(jì)信息表20中的ARP請求包計(jì)數(shù) 器加l,并計(jì)算ARP請求頻率(S140)����,計(jì)算方法見后續(xù)說明。對于對應(yīng)表項(xiàng)不存在����,但散列表索引值相同的表項(xiàng),采用在表項(xiàng)后追加鏈?zhǔn)奖眄?xiàng)的方 式或其它可以解決散列沖突的方法建立新的表項(xiàng)���,入表信息同上���。
判定是否是IP新建連接的步驟S130與上述判定是否是ARP請求數(shù)據(jù) 包的步驟S120相同,這里省略其說明。
接下來���,匹配蠕蟲行為異常描述結(jié)構(gòu)S155�����,根據(jù)匹配結(jié)果判定是否感 染蠕蟲S160����,如果感染蠕蟲����,將該主機(jī)標(biāo)注為蠕蟲感染可疑主機(jī),并返回 到SllO�����。 '
在本實(shí)施例中�,根據(jù)設(shè)備發(fā)包統(tǒng)計(jì)信息表判定發(fā)送ARP請求數(shù)據(jù)包和 IP新建連接的頻率是否超過規(guī)定的閾值來判定該設(shè)備是否可疑。主機(jī)ARP 廣播請求包發(fā)送頻率的計(jì)算方法如下預(yù)先設(shè)置一個(gè)蠕蟲行為特征描述結(jié) 構(gòu)的ARP頻率閾值M次/秒�。每當(dāng)收到一個(gè)ARP廣播請求包時(shí),將主機(jī)信 息散列表中該主機(jī)對應(yīng)的表項(xiàng)中ARP請求包計(jì)數(shù)器加一�。直到當(dāng)該計(jì)數(shù)器 數(shù)值超過M值時(shí)���,算出自上次計(jì)算頻率直至當(dāng)前時(shí)間的時(shí)間差A(yù)t��。如果At 時(shí)間大于一秒����,則說明最近△ t時(shí)間內(nèi),ARP廣播請求包的平均發(fā)送頻率低 于M次/秒�����,否則其發(fā)送頻率高于M次/秒����。計(jì)算完ARP請求頻率之后,將 在該表項(xiàng)中清空ARP請求包計(jì)數(shù)器��,并保存當(dāng)前時(shí)間作為下一輪ARP計(jì)數(shù) 的起始時(shí)間��。如果該主機(jī)的ARP請求包發(fā)送頻率超過蠕蟲行為特征描述結(jié) 構(gòu)中特定閾值M次/秒�����,則判定該設(shè)備ARP廣播請求包發(fā)送可疑�����,并在與 該主機(jī)對應(yīng)的設(shè)備發(fā)包統(tǒng)計(jì)信息表20中設(shè)置ARP請求發(fā)包可疑標(biāo)志,并 將ARP可疑標(biāo)志被設(shè)置時(shí)標(biāo)設(shè)置為當(dāng)前時(shí)間�����。
對于當(dāng)前ARP請求發(fā)包頻率沒有超過蠕蟲行為特征描述結(jié)構(gòu)中特定閾 值���,但之前已被標(biāo)注為ARP請求發(fā)包可疑的主機(jī)��,將統(tǒng)計(jì)如下幾個(gè)數(shù)據(jù) 自被懷疑成ARP請求發(fā)包可疑設(shè)備之后�,持續(xù)到當(dāng)前時(shí)間一直沒有再次發(fā) 送ARP廣播請求數(shù)據(jù)的時(shí)間A Tl; ARP請求頻率已持續(xù)低于某一個(gè)蠕蟲行 為特征描述結(jié)構(gòu)中特定閾值的時(shí)間AT2�。如果AT1或AT2大于它們對應(yīng)的 預(yù)先定義的蠕蟲行為特征描述結(jié)構(gòu)中的特定閾值,則認(rèn)為該設(shè)備ARP請求 發(fā)送不再可疑��。并清除與該主機(jī)對應(yīng)的設(shè)備發(fā)包統(tǒng)計(jì)信息表20中的ARP 請求發(fā)包可疑標(biāo)志�����。否則認(rèn)為該主機(jī)ARP請求包發(fā)送仍然可疑����,但不更 新被設(shè)置成ARP請求發(fā)包可疑的時(shí)標(biāo)。
對于IP報(bào)文�,采用與ARP類似方式統(tǒng)計(jì)IP新建連接請求頻率。這些 新建連接請求���,包括TCP���、 UDP、 ICMP等��。
另外��,在本實(shí)施例中�����,為了進(jìn)一步增加判斷的可靠性���,還從ARP目的 地址行為異常和IP目標(biāo)端口行為異常兩個(gè)方面進(jìn)一步判斷是否是蠕蟲�, ARP數(shù)據(jù)包目的地址行為異常和IP目標(biāo)端口行為異常的統(tǒng)計(jì)方法如下
ARP數(shù)據(jù)包目的地址分布統(tǒng)計(jì)計(jì)算方法
(1) 將該主機(jī)ARP目的地址登記到該主機(jī)信息散列表對應(yīng)表項(xiàng)中����,該 表項(xiàng)歷史目標(biāo)地址列表中,維護(hù)最近某一個(gè)特定時(shí)間長內(nèi)若干個(gè)目的地址 的信息���;
(2) 對于本次目標(biāo)地址沒有存在到該主機(jī)信息列表的���,則將表示目標(biāo)地 址統(tǒng)計(jì)數(shù)的計(jì)數(shù)器加1�。對于本次目標(biāo)地址已經(jīng)在該主機(jī)信息列表的��,則跳 出本次統(tǒng)計(jì)
(3) 在每次統(tǒng)計(jì)目的地址分布情況時(shí)�,首先需要對該目地地址列表進(jìn)行 老化。由于每一個(gè)主機(jī)對應(yīng)的歷史目的地址列表并不大���,因此���,老化策略 可直接遍歷該列表,并刪除該表項(xiàng)建立時(shí)間超過預(yù)定時(shí)間的表項(xiàng)��。
IP新建數(shù)據(jù)包目標(biāo)相似度分布統(tǒng)計(jì)計(jì)算方法
(1) 對于已經(jīng)判定是IP新建連接的數(shù)據(jù)包���,將分析其目標(biāo)端口����。主機(jī) 信息散列表中該主機(jī)對應(yīng)的表項(xiàng)中�����,維護(hù)著一個(gè)最近某一特定時(shí)間長內(nèi)若 干的目標(biāo)端口的崳中計(jì)算單元��。
(2) 對于本次新建數(shù)據(jù)包目標(biāo)端口已經(jīng)在該歷史目標(biāo)端口列表中出現(xiàn) 的����,將對該目標(biāo)端口的計(jì)數(shù)器加1����,否則跳出本次統(tǒng)計(jì)
(3) 在每次統(tǒng)計(jì)目標(biāo)端口分布情況時(shí)��,首先需要對該目標(biāo)端口列表進(jìn) 行老化�����。由于每一個(gè)主機(jī)對應(yīng)的歷史目標(biāo)端口列表并不大�����,因此�����,老化策 略可直接遍歷該列表���,并刪除該表項(xiàng)超過預(yù)定時(shí)間的表項(xiàng)。
由于蠕蟲發(fā)送給不同目標(biāo)主機(jī)的信息內(nèi)容上有高度的相似性與時(shí)間局 部性�����。因此綜合利用上述蠕蟲行為特征,即可高效���、準(zhǔn)確的檢測網(wǎng)絡(luò)中可 能存在的蠕蟲����。
該方法基于k蠕蟲行為特征進(jìn)行分析�,從而能夠高效的檢測網(wǎng)絡(luò)中可 能存在的蠕蟲。因此�����,本發(fā)明的實(shí)時(shí)監(jiān)測蠕蟲的方法能夠高效實(shí)時(shí)檢測網(wǎng)絡(luò)中可能感染蠕蟲的主機(jī)�����,具有適應(yīng)范圍廣�、性能高、靈敏度可調(diào)����、誤報(bào) 率低等優(yōu)點(diǎn)。
權(quán)利要求
1�����、一種實(shí)時(shí)檢測蠕蟲的方法,其特征在于����,包括如下步驟偵聽網(wǎng)絡(luò)數(shù)據(jù)包并對其進(jìn)行處理的步驟,在該步驟中對收集的數(shù)據(jù)包按照TCP/IP協(xié)議模型進(jìn)行分層與分類�����,并建立記錄各主機(jī)發(fā)送數(shù)據(jù)包情況的設(shè)備發(fā)包統(tǒng)計(jì)信息表�;判定是否是ARP請求數(shù)據(jù)包的步驟��,如果是則更新設(shè)備發(fā)包統(tǒng)計(jì)信息表��,如果不是則判定是否是IP新建連接��;判定是否是IP新建連接的步驟��,如果不是則返回到偵聽網(wǎng)絡(luò)數(shù)據(jù)包并對其進(jìn)行處理的步驟�,如果是新建連接則更新設(shè)備發(fā)包統(tǒng)計(jì)信息表;判斷該設(shè)備是否是可疑設(shè)備的步驟�����,根據(jù)設(shè)備發(fā)包統(tǒng)計(jì)信息表的內(nèi)容判定是否是感染蠕蟲的可疑設(shè)備�����,如果是感染蠕蟲的設(shè)備對其進(jìn)行標(biāo)記,如果不是則返回到偵聽網(wǎng)絡(luò)數(shù)據(jù)包并對其進(jìn)行處理的步驟��。
2�、 如權(quán)利要求1所述的實(shí)時(shí)檢測蠕蟲的方法,其特征在于���,在所述偵 聽網(wǎng)絡(luò)數(shù)據(jù)包的歩驟中�,利用報(bào)文中源MAC地址��、源IP地址作為散列參 數(shù)計(jì)算索引值����,并以該索引值建立主機(jī)信息散列表,該主機(jī)信息散列表用 于根據(jù)索引值索引記錄網(wǎng)絡(luò)中各設(shè)備發(fā)送數(shù)據(jù)包情況的設(shè)備發(fā)包統(tǒng)計(jì)信息 表��。
3�����、 如權(quán)利要求1所述的實(shí)時(shí)檢測蠕蟲的方法�����,其特征在于,在所述判 斷該設(shè)備是否是可疑設(shè)備的步驟中�����,根據(jù)ARP請求數(shù)據(jù)包發(fā)送頻率來判定 是否是可疑設(shè)備�����。
4�、 如權(quán)利要求1所述的實(shí)時(shí)檢測蠕蟲的方法,其特征在于����,在所述判 斷該設(shè)備是否是可疑設(shè)備的步驟中����,根據(jù)IP數(shù)據(jù)包中新建連接的頻率來判 定是否是可疑設(shè)備。
5�、 如權(quán)利要求4所述的實(shí)時(shí)檢測蠕蟲的方法,其特征在于��,所述新建 連接包括TCP�����、 UDP、 ICMP等����。
6、 如權(quán)利要求3所述的實(shí)時(shí)檢測蠕蟲的方法�,其特征在于,所述ARP 請求數(shù)據(jù)包發(fā)送頻率通過設(shè)定蠕蟲行為特征描述結(jié)構(gòu)中特定閾值M并計(jì)算 上次計(jì)算頻率直至當(dāng)前時(shí)間的時(shí)間差A(yù) t來計(jì)算����。
7、 如權(quán)利要求4所述的實(shí)時(shí)檢測蠕蟲的方法�,其特征在于,所述新建 連接的頻率通過設(shè)定蠕蟲行為特征描述結(jié)構(gòu)中特定閾值M并計(jì)算上次計(jì)算 頻率直至當(dāng)前時(shí)間的時(shí)間差A(yù) t來計(jì)算��。
8�����、 如權(quán)利要求3所述的實(shí)時(shí)檢測蠕蟲的方法��,其特征在于��,根據(jù)ARP 數(shù)據(jù)包目的地址分布情況判定是否是蠕蟲��。
9、 如權(quán)利要求4所述的實(shí)時(shí)檢測蠕蟲的方法�����,其特征在于���,根據(jù)IP 新建連接數(shù)據(jù)包目標(biāo)相似度分布來判定是否是蠕蟲���。
全文摘要
本發(fā)明的目的在于提供一種實(shí)時(shí)檢測蠕蟲的方法,其包括如下步驟偵聽網(wǎng)絡(luò)數(shù)據(jù)包并對其進(jìn)行處理的步驟�,在該步驟中對收集的數(shù)據(jù)包按照TCP/IP協(xié)議模型進(jìn)行分層與分類,并建立記錄各主機(jī)發(fā)送數(shù)據(jù)包情況的設(shè)備發(fā)包統(tǒng)計(jì)信息表�;判定是否是ARP請求數(shù)據(jù)包的步驟,如果是則更新設(shè)備發(fā)包統(tǒng)計(jì)信息表���,如果不是則判定是否是IP新建連接�����;判定是否是IP新建連接的步驟,如果不是則返回到偵聽網(wǎng)絡(luò)數(shù)據(jù)包并對其進(jìn)行處理的步驟��,如果是則更新設(shè)備發(fā)包統(tǒng)計(jì)信息表���;判斷該設(shè)備是否是可疑設(shè)備的步驟�����,根據(jù)設(shè)備發(fā)包統(tǒng)計(jì)信息表的內(nèi)容判定是否是感染蠕蟲的可疑設(shè)備�����,如果是對其進(jìn)行標(biāo)記��,如果不是則返回到偵聽網(wǎng)絡(luò)數(shù)據(jù)包并對其進(jìn)行處理的步驟�。
文檔編號(hào)H04L29/06GK101197810SQ20061014039
公開日2008年6月11日 申請日期2006年12月8日 優(yōu)先權(quán)日2006年12月8日
發(fā)明者吳開宇, 張建宇, 楊仁斌, 韜 韋, 龔曉銳 申請人:北京大學(xué)