專利名稱:一種內(nèi)網(wǎng)蠕蟲主機檢測方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機安全防護技術(shù)領(lǐng)域�,尤其涉及一種網(wǎng)絡蠕蟲檢測器及方法。
背景技術(shù):
網(wǎng)絡蠕蟲是一種可獨立運行的惡意程序��,它通過掃描網(wǎng)絡��,發(fā)現(xiàn)存在系統(tǒng)漏洞的 計算機系統(tǒng)或應用服務�,感染該計算機,并獲取該計算機系統(tǒng)的控制權(quán)��,進行傳播���;網(wǎng)絡蠕 蟲大規(guī)模感染會導致信息泄露��、計算機系統(tǒng)資源過耗����、網(wǎng)絡擁塞等嚴重后果��。著名的Code Red蠕蟲�����、Slammer蠕蟲均在爆發(fā)后短期內(nèi)直接造成10億美元以上的巨大損失����。網(wǎng)絡蠕蟲 已成為目前影響網(wǎng)絡安全的一個重大因素���。防止蠕蟲泛濫的關(guān)鍵在于及早發(fā)現(xiàn)受感染的蠕蟲主機,然后由防范器對蠕蟲主機 采取應對措施���,如清除蠕蟲文件���、隔離主機����、過濾蠕蟲數(shù)據(jù)包等。因此���,檢測蠕蟲主機是抑制 蠕蟲傳播的關(guān)鍵步驟�。研究蠕蟲檢測技術(shù)已成為保證網(wǎng)絡環(huán)境安全性���,維護社會和個人利 益的迫切需要��。目前對于網(wǎng)絡蠕蟲的檢測包括的基于特征碼的檢測方法和基于網(wǎng)絡異常的檢測 方法兩大類����。基于特征碼的檢測方法是較傳統(tǒng)的方法��,該方法首先分析捕獲的蠕蟲樣本��,得到 該蠕蟲的特征碼��,更新蠕蟲檢測軟件的特征庫�;然后由蠕蟲檢測程序根據(jù)這些新的特征碼 在網(wǎng)絡流量或者主機文件中進行特征匹配,從而實現(xiàn)蠕蟲檢測���。該檢測方法對已知蠕蟲具 有良好的檢測結(jié)果����,但存在缺點���,缺點之一無法第一時間獲取新蠕蟲或變種蠕蟲的特征 碼�,所以對新出現(xiàn)蠕蟲的檢測延遲較大���,起不到預警作用�;缺點之二 無法檢測到動態(tài)改變 代碼的多態(tài)蠕蟲��,該類蠕蟲沒有固定的特征碼�����,可以規(guī)避基于特征碼的檢測方法。所以具有 較高的漏報率�。基于網(wǎng)絡異常的檢測方法是蠕蟲檢測技術(shù)的發(fā)展方向���,該方法監(jiān)測特定的網(wǎng)絡指 標��,根據(jù)指標異常來檢測蠕蟲的爆發(fā)�����。常用的方法如通過統(tǒng)計連接數(shù),判斷連接累計值是 否超過設置的閾值來檢測蠕蟲�����;通過統(tǒng)計ICMP消息異常來檢測蠕蟲的發(fā)生����;通過計算失敗 連接與成功連接比率,判斷是否超過預設閾值來檢測蠕蟲等�����。該方法可以檢測到未知蠕蟲, 但也存在缺點目前出現(xiàn)的基于網(wǎng)絡特征的檢測方法或者由于指標復雜��,計算量大��,所以檢 測器的資源消耗大�,檢測實時性差;或者由于特征不明確�,檢測指標簡單,所以存在較高的 誤報率��。
發(fā)明內(nèi)容
本發(fā)明的目的是克服現(xiàn)有技術(shù)的不足�,提供一種內(nèi)網(wǎng)蠕蟲主機檢測方法。內(nèi)網(wǎng)蠕蟲主機檢測方法包括主機監(jiān)測方法和主機考察方法�,主機監(jiān)測方法監(jiān)測所 有的內(nèi)網(wǎng)主機,檢測到可疑主機后�����,向主機考察方法發(fā)出可疑主機報告�����;主機考察方法考察 被主機監(jiān)測方法報告的可疑主機��,確認可疑主機是否感染蠕蟲,如果確認主機已感染蠕蟲 則發(fā)出蠕蟲主機報警�;
主機監(jiān)測方法包括如下步驟1)設定監(jiān)測周期的時間長度,設定內(nèi)網(wǎng)重試比例的閾值α�、外網(wǎng)地址分布信息熵的閾值β,獲取內(nèi)網(wǎng)內(nèi)主機數(shù)量LScale����,建立主機映射表;2)開始監(jiān)測周期��,內(nèi)網(wǎng)地址重試計數(shù)器數(shù)組{LCoimtJ所有項重置為0��,外網(wǎng)地址 重試計數(shù)器數(shù)組{GCoimtJ所有項重置為0��,分類桶計數(shù)器數(shù)組表{BiKJ}所有項重置為0�����, 其中i = 1�����,2����,. . .���,LScale, k = 1����,2,. . .��,4096�,清空連接請求表和重試隊列;3)監(jiān)測內(nèi)網(wǎng)中所有主機發(fā)出的數(shù)據(jù)包�����,抓取一個TCP協(xié)議的SYN數(shù)據(jù)包�����,提取SYN 數(shù)據(jù)包中的源地址��、源端口號����、目標地址、目標端口號組成的四元組����;4)使用哈希函數(shù)一嘗試將四元組映射到連接請求表中���,若映射成功,則將該四元 組存儲到連接請求表中相應位置�����,若映射沖突����,則將四元組加入重試隊列隊尾;5)重復步驟3)����、步驟4),直到監(jiān)測周期結(jié)束�����;6)遍歷重試隊列中的四元組����,根據(jù)主機映射表將源地址映射到i����,l <= i < = LScale�����,如果四元組中的目標地址是內(nèi)網(wǎng)地址�����,遞增LCounti���,否則是外網(wǎng)地址,遞增 GCoimti,并使用哈希函數(shù)二將目標地址映射到k��,l < = k <= 4096����,遞增對應的在分類桶 計數(shù)器數(shù)組Bi中的第k個分類桶計數(shù)器Bi. nk ;7)重復步驟6)���,直至遍歷完重試隊列��;
, LCounti8)對被監(jiān)測主機i���,計算內(nèi)網(wǎng)重試比例Cli Ji =-^����,計算外網(wǎng)地址分布信息
LScale
1 κ
熵 ei�,其中 N = GCounti, K = 4096,nk = Bi. nk :e. = IogN--^nk \o%nk .
N k�����,9)檢驗屯> α和ei> β����,其中有一項為真就發(fā)出可疑主機報告,聲明被監(jiān)測主 機i為可疑主機�,否則認為該主機正常,不報告�;10)重復步驟8)、步驟9)�����,直至檢驗完所有主機�����。主機考察方法包括如下步驟1)設定考察周期的時間T���,設定FCC發(fā)起頻率的閾值μ和FCC成功率的閾值λ ��;2)偵聽主機監(jiān)測方法的輸出信息����,如接收到可疑主機報告,執(zhí)行步驟3)��;3)對該可疑主機發(fā)起一個考察周期進行考察��,將連接請求總數(shù)Corm和連接成功 數(shù)Succ置為0�����,建立TCP指示隊列和UDP指示隊列����;4)觀察從可疑主機出入的IP數(shù)據(jù)包,如果觀察到可疑主機發(fā)出一個IP數(shù)據(jù)包���,進 入步驟5)�����,如果觀察可疑主機接收一個IP數(shù)據(jù)包��,進入步驟6)���;5)提取數(shù)據(jù)包的源端口號��、目標地址��、目標端口號組成的三元組����,如果該數(shù)據(jù)包是 TCP的SYN數(shù)據(jù)包�,嘗試使用哈希函數(shù)三將三元組映射到TCP指示隊列,若映射成功��,則將對 應的項置為1�����,并遞增Corm�����,進入步驟7)���,若映射沖突����,直接進入步驟7),類似的���,如果該數(shù) 據(jù)包是UDP數(shù)據(jù)包,嘗試使用哈希函數(shù)四將三元組映射到UDP指示隊列����,若映射成功,則將 對應的項置為1��,并遞增Corm�,進入步驟7),若映射沖突���,直接進入步驟7)����;6)提取數(shù)據(jù)包的目標端口號��、源地址�����、源端口號組成的三元組,如果該數(shù)據(jù)包是 TCP的SYN ACK數(shù)據(jù)包�,嘗試使用哈希函數(shù)三將三元組映射到TCP指示隊列,若映射成功�,直 接進入步驟7),若映射沖突����,則將對應的項置為0,并遞增Succ�,進入步驟7),類似的�,如果 該數(shù)據(jù)包是UDP數(shù)據(jù)包,嘗試使用哈希函數(shù)四將三元組映射到UDP指示隊列�,若映射成功,直接進入步驟7)�,若映射沖突,則將對應的項置為0���,并遞增Succ�,進入步驟7)�����;7)重復步驟4) 步驟6),直到考察周期結(jié)束����;8)當考察周期結(jié)束時,計算FCC發(fā)起頻率r以及FCC成功率s :r = Conn/T, s = Succ/Conn ���;9)檢驗r > μ和s > λ����,其中有一項為真�����,就發(fā)出蠕蟲主機報警��,否則認為主機 正常��,不發(fā)出報警�。本發(fā)明克服了現(xiàn)有的網(wǎng)絡蠕蟲檢測技術(shù)不能快速檢測到被未知蠕蟲感染的主機�, 檢測結(jié)果存在較高的誤報率和漏報率的缺點,可準確���、高效����、實時地檢測到內(nèi)網(wǎng)中的未知蠕 蟲感染主機。
圖1為本發(fā)明蠕蟲主機檢測方法的總體檢測流程圖�;圖2為本發(fā)明蠕蟲主機檢測方法的主機監(jiān)測方法的內(nèi)部處理流程圖;圖3為本發(fā)明蠕蟲主機檢測方法的主機考察單元的內(nèi)部處理流程圖����;圖4為按照本發(fā)明蠕蟲主機檢測方法實施的內(nèi)網(wǎng)蠕蟲主機檢測器的功能單元關(guān) 系圖;圖5為按照本發(fā)明蠕蟲主機檢測方法實施的內(nèi)網(wǎng)蠕蟲主機檢測器的部署示意圖����。
具體實施例方式本發(fā)明基于以下理論基礎(chǔ)(1)蠕蟲主機由于掃描目標地址的無目的性,所以有很大的概率掃描到不存在的 主機(或主機未打開掃描端口�、未開啟蠕蟲攻擊的服務),導致較高的重試連接率�,并導致 重試連接目標主機十分分散。利用信息熵可有效計算目標主機的分散程度����。(2)蠕蟲主機由于要在短時間內(nèi)感染盡量多的主機,所以發(fā)起FCC的頻率比正常 主機高�,同時由于掃描的無目的性,所以FCC成功率也比正常主機低���。(3)主機監(jiān)測方法與主機考察方法相繼執(zhí)行的串聯(lián)檢測架構(gòu)可以降低誤報率�。本發(fā)明利用了蠕蟲主機和正常主機在重試連接目標主機特征和 FCC(FirstContact Connection,第一次連接)特征上的差別����。如圖1 3所示,內(nèi)網(wǎng)蠕蟲主機檢測方法包括主機監(jiān)測方法和主機考察方法���,主機 監(jiān)測方法監(jiān)測所有的內(nèi)網(wǎng)主機���,檢測到可疑主機后,向主機考察方法發(fā)出可疑主機報告����;主 機考察方法考察被主機監(jiān)測方法報告的可疑主機,確認可疑主機是否感染蠕蟲����,如果確認 主機已感染蠕蟲則發(fā)出蠕蟲主機報警�;主機監(jiān)測方法包括如下步驟1)設定監(jiān)測周期的時間長度,設定內(nèi)網(wǎng)重試比例的閾值α�、外網(wǎng)地址分布信息熵 的閾值β,獲取內(nèi)網(wǎng)內(nèi)主機數(shù)量LScale��,建立主機映射表����;2)開始監(jiān)測周期�,內(nèi)網(wǎng)地址重試計數(shù)器數(shù)組{LCoimtJ所有項重置為0��,外網(wǎng)地址 重試計數(shù)器數(shù)組{GCoimtJ所有項重置為0����,分類桶計數(shù)器數(shù)組表{BiKJ}所有項重置為0, 其中i = 1��,2�,. . .,LScale, k = 1�,2,. . .�����,4096�,清空連接請求表和重試隊列;3)監(jiān)測內(nèi)網(wǎng)中所有主機發(fā)出的數(shù)據(jù)包����,抓取一個TCP協(xié)議的SYN數(shù)據(jù)包,提取SYN數(shù)據(jù)包中的源地址���、源端口號����、目標地址、目標端口號組成的四元組���;4)使用哈希函數(shù)一嘗試將四元組映射到連接請求表中����,若映射成功�����,則將該四元 組存儲到連接請求表中相應位置���,若映射沖突�����,則將四元組加入重試隊列隊尾;5)重復步驟3)����、步驟4)����,直到監(jiān)測周期結(jié)束����;6)遍歷重試隊列中的四元組,根據(jù)主機映射表將源地址映射到i��,l <= i < = LScale����,如果四元組中的目標地址是內(nèi)網(wǎng)地址,遞增LCounti��,否則是外網(wǎng)地址�,遞增 GCoimti,并使用哈希函數(shù)二將目標地址映射到k,l < = k <= 4096���,遞增對應的在分類桶 計數(shù)器數(shù)組Bi中的第k個分類桶計數(shù)器Bi. nk ��;7)重復步驟6)�����,直至遍歷完重試隊列�����;
, LCount8)對被監(jiān)測主機i���,計算內(nèi)網(wǎng)重試比例Cli -Mj = ο 7 ‘�����,計算外網(wǎng)地址分布信息
LScale
1 κ
熵 e” 其中 N = GCounti, K = 4096�����,nk = Bi. nk ^. = \ogN--^Jlk log^ .
N k���,9)檢驗屯> α和ei> β,其中有一項為真就發(fā)出可疑主機報告��,聲明被監(jiān)測主 機i為可疑主機��,否則認為該主機正常����,不報告����;10)重復步驟8)���、步驟9),直至檢驗完所有主機�。主機考察方法包括如下步驟1)設定考察周期的時間T,設定FCC發(fā)起頻率的閾值μ和FCC成功率的閾值λ ���;2)偵聽主機監(jiān)測方法的輸出信息�����,如接收到可疑主機報告��,執(zhí)行步驟3)���;3)對該可疑主機發(fā)起一個考察周期進行考察,將連接請求總數(shù)Corm和連接成功 數(shù)Succ置為0�,建立TCP指示隊列和UDP指示隊列;4)觀察從可疑主機出入的IP數(shù)據(jù)包��,如果觀察到可疑主機發(fā)出一個IP數(shù)據(jù)包����,進 入步驟5)���,如果觀察可疑主機接收一個IP數(shù)據(jù)包,進入步驟6)���;5)提取數(shù)據(jù)包的源端口號�����、目標地址����、目標端口號組成的三元組�,如果該數(shù)據(jù)包是 TCP的SYN數(shù)據(jù)包,嘗試使用哈希函數(shù)三將三元組映射到TCP指示隊列�����,若映射成功�����,則將對 應的項置為1��,并遞增Corm,進入步驟7)����,若映射沖突�����,直接進入步驟7)��,類似的�����,如果該數(shù) 據(jù)包是UDP數(shù)據(jù)包�,嘗試使用哈希函數(shù)四將三元組映射到UDP指示隊列,若映射成功��,則將 對應的項置為1�����,并遞增Corm���,進入步驟7)���,若映射沖突��,直接進入步驟7)����;6)提取數(shù)據(jù)包的目標端口號���、源地址����、源端口號組成的三元組���,如果該數(shù)據(jù)包是 TCP的SYN ACK數(shù)據(jù)包�,嘗試使用哈希函數(shù)三將三元組映射到TCP指示隊列��,若映射成功��,直 接進入步驟7)�����,若映射沖突����,則將對應的項置為0��,并遞增Succ����,進入步驟7)�,類似的���,如果 該數(shù)據(jù)包是UDP數(shù)據(jù)包��,嘗試使用哈希函數(shù)四將三元組映射到UDP指示隊列���,若映射成功, 直接進入步驟7)�,若映射沖突,則將對應的項置為0�����,并遞增Succ�����,進入步驟7);7)重復步驟4) 步驟6)�,直到考察周期結(jié)束;8)當考察周期結(jié)束時���,計算FCC發(fā)起頻率r以及FCC成功率s :r = Conn/T, s = Succ/Conn �;9)檢驗r > μ和s > λ��,其中有一項為真���,就發(fā)出蠕蟲主機報警����,否則認為主機 正常����,不發(fā)出報警。如圖4所示�����,按照本發(fā)明蠕蟲主機檢測方法實施的內(nèi)網(wǎng)蠕蟲主機檢測器�,由網(wǎng)絡流量采集單元、主機監(jiān)測單元���、主機考察單元�����、配置管理單元��。網(wǎng)絡流量采集單元從鏡像端口采集網(wǎng)絡流�,提供給主機監(jiān)測單元和主機考察單元;主機監(jiān)測單元分析網(wǎng)絡鏡像流量的 數(shù)據(jù)包����,生成可疑主機報告���;主機考察單元接收到可疑主機報告后����,分析網(wǎng)絡鏡像流量中的 該主機的數(shù)據(jù)包����,考察可疑主機,生成最終報警信息���;配置管理單元用于配置主機監(jiān)測單元 和主機考察單元的參數(shù)����。如圖5所示,按照本發(fā)明蠕蟲主機檢測方法實施的內(nèi)網(wǎng)蠕蟲主機檢測器��,部署在 內(nèi)網(wǎng)連接到外網(wǎng)的關(guān)鍵節(jié)點�����,使用兩塊網(wǎng)卡與內(nèi)網(wǎng)交換機或路由器構(gòu)成雙線連接��,一塊網(wǎng) 卡連接網(wǎng)絡出口交換機或路由器的鏡像端口�����,用于監(jiān)聽網(wǎng)絡出口處的網(wǎng)絡數(shù)據(jù)包�,并運行 蠕蟲主機檢測程序,判斷主機是否為蠕蟲主機���;另一塊網(wǎng)卡連接網(wǎng)絡出口交換機或路由器 通用端口����,用于提交蠕蟲主機報警信息�����。內(nèi)網(wǎng)蠕蟲主機檢測方法的檢測器,由檢測機和安裝在檢測機上的蠕蟲主機檢測程 序組成�。檢測機連接網(wǎng)絡出口交換機或路由器的鏡像端口,用于監(jiān)聽網(wǎng)絡出口處的網(wǎng)絡數(shù) 據(jù)包�;蠕蟲主機檢測程序根據(jù)內(nèi)網(wǎng)中主機的重試連接目標主機分布的信息熵值是否大于預 定閾值,生成可疑主機報告���;在產(chǎn)生可疑主機報告后�,進一步考察可疑主機����,根據(jù)FCC發(fā)起 頻率和FCC成功率是否超過預定閾值,生成最終的蠕蟲主機報警��。該檢測器部署在內(nèi)網(wǎng)出口處����,可監(jiān)測內(nèi)網(wǎng)所有計算機����,實時檢測到被蠕蟲感染的 計算機,并發(fā)出蠕蟲主機報警���,該報警信息可供網(wǎng)絡管理人員用于及時排除網(wǎng)絡故障����,或提 供給入侵防范系統(tǒng)用于實時防范。從而實現(xiàn)對整個內(nèi)部網(wǎng)絡的蠕蟲主機檢測����,準確、高效��、 實時地檢測到內(nèi)網(wǎng)中的未知蠕蟲感染主機�����。
權(quán)利要求
一種內(nèi)網(wǎng)蠕蟲主機檢測方法���,其特征在于包括主機監(jiān)測方法和主機考察方法���,主機監(jiān)測方法監(jiān)測所有的內(nèi)網(wǎng)主機,檢測到可疑主機后��,向主機考察方法發(fā)出可疑主機報告����;主機考察方法考察被主機監(jiān)測方法報告的可疑主機,確認可疑主機是否感染蠕蟲,如果確認主機已感染蠕蟲則發(fā)出蠕蟲主機報警��;主機監(jiān)測方法包括如下步驟1)設定監(jiān)測周期的時間長度�����,設定內(nèi)網(wǎng)重試比例的閾值α����、外網(wǎng)地址分布信息熵的閾值β,獲取內(nèi)網(wǎng)內(nèi)主機數(shù)量LScale�,建立主機映射表;2)開始監(jiān)測周期��,內(nèi)網(wǎng)地址重試計數(shù)器數(shù)組{LCounti}所有項重置為0�,外網(wǎng)地址重試計數(shù)器數(shù)組{GCounti}所有項重置為0,分類桶計數(shù)器數(shù)組表{Bi{nk}}所有項重置為0����,其中i=1,2���,…,LScale��,k=1�,2����,…�,4096,清空連接請求表和重試隊列�����;3)監(jiān)測內(nèi)網(wǎng)中所有主機發(fā)出的數(shù)據(jù)包����,抓取一個TCP協(xié)議的SYN數(shù)據(jù)包,提取SYN數(shù)據(jù)包中的源地址�、源端口號、目標地址�����、目標端口號組成的四元組�����;4)使用哈希函數(shù)一嘗試將四元組映射到連接請求表中�,若映射成功,則將該四元組存儲到連接請求表中相應位置,若映射沖突�,則將四元組加入重試隊列隊尾;5)重復步驟3)���、步驟4)�����,直到監(jiān)測周期結(jié)束���;6)遍歷重試隊列中的四元組,根據(jù)主機映射表將源地址映射到i����,1<=i<=LScale,如果四元組中的目標地址是內(nèi)網(wǎng)地址���,遞增LCounti���,否則是外網(wǎng)地址,遞增GCounti�,并使用哈希函數(shù)二將目標地址映射到k,1<=k<=4096��,遞增對應的在分類桶計數(shù)器數(shù)組Bi中的第k個分類桶計數(shù)器Bi.nk�����;7)重復步驟6)����,直至遍歷完重試隊列;8)對被監(jiān)測主機i���,計算內(nèi)網(wǎng)重試比例di <mrow><msub> <mi>d</mi> <mi>i</mi></msub><mo>=</mo><mfrac> <msub><mi>LCount</mi><mi>i</mi> </msub> <mi>LScale</mi></mfrac><mo>,</mo> </mrow>計算外網(wǎng)地址分布信息熵ei���,其中N=GCounti,K=4096����,nk=Bi.nk <mrow><msub> <mi>e</mi> <mi>i</mi></msub><mo>=</mo><mi>log</mi><mi>N</mi><mo>-</mo><mfrac> <mn>1</mn> <mi>N</mi></mfrac><munderover> <mi>Σ</mi> <mi>k</mi> <mi>K</mi></munderover><msub> <mi>n</mi> <mi>k</mi></msub><mi>log</mi><msub> <mi>n</mi> <mi>k</mi></msub><mo>;</mo> </mrow>9)檢驗di>α和ei>β,其中有一項為真就發(fā)出可疑主機報告�����,聲明被監(jiān)測主機i為可疑主機��,否則認為該主機正常���,不報告�����;10)重復步驟8)���、步驟9)��,直至檢驗完所有主機��。主機考察方法包括如下步驟1)設定考察周期的時間T�,設定FCC發(fā)起頻率的閾值μ和FCC成功率的閾值λ���;2)偵聽主機監(jiān)測方法的輸出信息���,如接收到可疑主機報告,執(zhí)行步驟3)���;3)對該可疑主機發(fā)起一個考察周期進行考察��,將連接請求總數(shù)Conn和連接成功數(shù)Succ置為0�,建立TCP指示隊列和UDP指示隊列�����;4)觀察從可疑主機出入的IP數(shù)據(jù)包,如果觀察到可疑主機發(fā)出一個IP數(shù)據(jù)包�,進入步驟5),如果觀察可疑主機接收一個IP數(shù)據(jù)包�,進入步驟6)����;5)提取數(shù)據(jù)包的源端口號、目標地址����、目標端口號組成的三元組,如果該數(shù)據(jù)包是TCP的SYN數(shù)據(jù)包��,嘗試使用哈希函數(shù)三將三元組映射到TCP指示隊列�,若映射成功,則將對應的項置為1�����,并遞增Conn���,進入步驟7)�,若映射沖突,直接進入步驟7)�����,類似的���,如果該數(shù)據(jù)包是UDP數(shù)據(jù)包�����,嘗試使用哈希函數(shù)四將三元組映射到UDP指示隊列��,若映射成功�,則將對應的項置為1�����,并遞增Conn�����,進入步驟7)���,若映射沖突����,直接進入步驟7);6)提取數(shù)據(jù)包的目標端口號����、源地址、源端口號組成的三元組�����,如果該數(shù)據(jù)包是TCP的SYN ACK數(shù)據(jù)包����,嘗試使用哈希函數(shù)三將三元組映射到TCP指示隊列����,若映射成功,直接進入步驟7)�,若映射沖突,則將對應的項置為0�����,并遞增Succ�,進入步驟7)�����,類似的�,如果該數(shù)據(jù)包是UDP數(shù)據(jù)包�,嘗試使用哈希函數(shù)四將三元組映射到UDP指示隊列,若映射成功����,直接進入步驟7),若映射沖突���,則將對應的項置為0���,并遞增Succ,進入步驟7)����;7)重復步驟4)~步驟6),直到考察周期結(jié)束�����;8)當考察周期結(jié)束時,計算FCC發(fā)起頻率r以及FCC成功率sr=Conn/T���,s=Succ/Conn�;9)檢驗r>μ和s>λ�����,其中有一項為真�����,就發(fā)出蠕蟲主機報警����,否則認為主機正常����,不發(fā)出報警。
全文摘要
本發(fā)明公開了一種內(nèi)網(wǎng)蠕蟲主機檢測方法��,該方法包括主機監(jiān)測方法和主機考察方法���。以網(wǎng)絡鏡像流量為數(shù)據(jù)來源�,主機監(jiān)測方法記錄所有內(nèi)網(wǎng)主機的重試連接目標主機的地址,據(jù)此計算內(nèi)網(wǎng)重試數(shù)和外網(wǎng)重試分布信息熵�����,與預先設定的兩個閾值比較�,若兩項指標均大于各自閾值,則認為主機可疑并發(fā)出可疑主機報告�����;主機考察方法考察被報告的可疑主機���,統(tǒng)計主機的FCC發(fā)起頻率和FCC成功率����,并與預先設定的兩個閾值比較����,若兩項指標均大于各自閾值,則認為主機是蠕蟲主機���,發(fā)出蠕蟲主機報警��。本發(fā)明克服了現(xiàn)有的網(wǎng)絡蠕蟲檢測方法的檢測漏報率和誤報率較高�、無法檢測未知蠕蟲、檢測方法單一等不足����,可有效檢測到感染未知蠕蟲的內(nèi)網(wǎng)主機。
文檔編號H04L29/06GK101815076SQ201019146038
公開日2010年8月25日 申請日期2010年2月5日 優(yōu)先權(quán)日2010年2月5日
發(fā)明者林懷忠, 王學松, 蘇嘯鳴 申請人:浙江大學