一種內網蠕蟲主機檢測方法技術

本發(fā)明專利技術公開了一種內網蠕蟲主機檢測方法，該方法包括主機監(jiān)測方法和主機考察方法。以網絡鏡像流量為數據來源，主機監(jiān)測方法記錄所有內網主機的重試連接目標主機的地址，據此計算內網重試數和外網重試分布信息熵，與預先設定的兩個閾值比較，若兩項指標均大于各自閾值，則認為主機可疑并發(fā)出可疑主機報告；主機考察方法考察被報告的可疑主機，統(tǒng)計主機的FCC發(fā)起頻率和FCC成功率，并與預先設定的兩個閾值比較，若兩項指標均大于各自閾值，則認為主機是蠕蟲主機，發(fā)出蠕蟲主機報警。本發(fā)明專利技術克服了現有的網絡蠕蟲檢測方法的檢測漏報率和誤報率較高、無法檢測未知蠕蟲、檢測方法單一等不足，可有效檢測到感染未知蠕蟲的內網主機。

【技術實現步驟摘要】

本專利技術涉及計算機安全防護
，尤其涉及一種網絡蠕蟲檢測器及方法。
技術介紹
網絡蠕蟲是一種可獨立運行的惡意程序，它通過掃描網絡，發(fā)現存在系統(tǒng)漏洞的計算機系統(tǒng)或應用服務，感染該計算機，并獲取該計算機系統(tǒng)的控制權，進行傳播；網絡蠕蟲大規(guī)模感染會導致信息泄露、計算機系統(tǒng)資源過耗、網絡擁塞等嚴重后果。著名的Code?Red蠕蟲、Slammer蠕蟲均在爆發(fā)后短期內直接造成10億美元以上的巨大損失。網絡蠕蟲已成為目前影響網絡安全的一個重大因素。防止蠕蟲泛濫的關鍵在于及早發(fā)現受感染的蠕蟲主機，然后由防范器對蠕蟲主機采取應對措施，如清除蠕蟲文件、隔離主機、過濾蠕蟲數據包等。因此，檢測蠕蟲主機是抑制蠕蟲傳播的關鍵步驟。研究蠕蟲檢測技術已成為保證網絡環(huán)境安全性，維護社會和個人利益的迫切需要。目前對于網絡蠕蟲的檢測包括的基于特征碼的檢測方法和基于網絡異常的檢測方法兩大類?；谔卣鞔a的檢測方法是較傳統(tǒng)的方法，該方法首先分析捕獲的蠕蟲樣本，得到該蠕蟲的特征碼，更新蠕蟲檢測軟件的特征庫；然后由蠕蟲檢測程序根據這些新的特征碼在網絡流量或者主機文件中進行特征匹配，從而實現蠕蟲檢測。該檢測方法對已知蠕蟲具有良好的檢測結果，但存在缺點，缺點之一：無法第一時間獲取新蠕蟲或變種蠕蟲的特征碼，所以對新出現蠕蟲的檢測延遲較大，起不到預警作用；缺點之二：無法檢測到動態(tài)改變代碼的多態(tài)蠕蟲，該類蠕蟲沒有固定的特征碼，可以規(guī)避基于特征碼的檢測方法。所以具有較高的漏報率?；诰W絡異常的檢測方法是蠕蟲檢測技術的發(fā)展方向，該方法監(jiān)測特定的網絡指標，根據指標異常來檢測蠕蟲的爆發(fā)。常用的方法如：通過統(tǒng)計連接數，判斷連接累計值是否超過設置的閾值來檢測蠕蟲；通過統(tǒng)計ICMP消息異常來檢測蠕蟲的發(fā)生；通過計算失敗連接與成功連接比率，判斷是否超過預設閾值來檢測蠕蟲等。該方法可以檢測到未知蠕蟲，但也存在缺點：目前出現的基于網絡特征的檢測方法或者由于指標復雜，計算量大，所以檢測器的資源消耗大，檢測實時性差；或者由于特征不明確，檢測指標簡單，所以存在較高的誤報率。
技術實現思路
本專利技術的目的是克服現有技術的不足，提供一種內網蠕蟲主機檢測方法。內網蠕蟲主機檢測方法包括主機監(jiān)測方法和主機考察方法，主機監(jiān)測方法監(jiān)測所有的內網主機，檢測到可疑主機后，向主機考察方法發(fā)出可疑主機報告；主機考察方法考察被主機監(jiān)測方法報告的可疑主機，確認可疑主機是否感染蠕蟲，如果確認主機已感染蠕蟲則發(fā)出蠕蟲主機報警；-->主機監(jiān)測方法包括如下步驟：1)設定監(jiān)測周期的時間長度，設定內網重試比例的閾值α、外網地址分布信息熵的閾值β，獲取內網內主機數量LScale，建立主機映射表；2)開始監(jiān)測周期，內網地址重試計數器數組{LCounti本文檔來自技高網...

【技術保護點】
一種內網蠕蟲主機檢測方法，其特征在于包括主機監(jiān)測方法和主機考察方法，主機監(jiān)測方法監(jiān)測所有的內網主機，檢測到可疑主機后，向主機考察方法發(fā)出可疑主機報告；主機考察方法考察被主機監(jiān)測方法報告的可疑主機，確認可疑主機是否感染蠕蟲，如果確認主機已感染蠕蟲則發(fā)出蠕蟲主機報警；主機監(jiān)測方法包括如下步驟：1)設定監(jiān)測周期的時間長度，設定內網重試比例的閾值α、外網地址分布信息熵的閾值β，獲取內網內主機數量LScale，建立主機映射表；2)開始監(jiān)測周期，內網地址重試計數器數組{LCounti}所有項重置為0，外網地址重試計數器數組{GCounti}所有項重置為0，分類桶計數器數組表{Bi{nk}}所有項重置為0，其中i＝1，2，…，LScale，k＝1，2，…，4096，清空連接請求表和重試隊列；3)監(jiān)測內網中所有主機發(fā)出的數據包，抓取一個TCP協(xié)議的SYN數據包，提取SYN數據包中的源地址、源端口號、目標地址、目標端口號組成的四元組；4)使用哈希函數一嘗試將四元組映射到連接請求表中，若映射成功，則將該四元組存儲到連接請求表中相應位置，若映射沖突，則將四元組加入重試隊列隊尾；5)重復步驟3)、步驟4)，直到監(jiān)測周期結束；6)遍歷重試隊列中的四元組，根據主機映射表將源地址映射到i，1＜＝i＜＝LScale，如果四元組中的目標地址是內網地址，遞增LCounti，否則是外網地址，遞增GCounti，并使用哈希函數二將目標地址映射到k，1＜＝k＜＝4096，遞增對應的在分類桶計數器數組Bi中的第k個分類桶計數器Bi.nk；7)重復步驟6)，直至遍歷完重試隊列；8)對被監(jiān)測主機i，計算內網重試比例di： d i = LCount i LScale , 計算外網地址分布信息熵ei，其中N＝GCounti，K＝4096，nk＝Bi.nk： e i = log N - 1 N Σ k K n k log n k ; 9)檢驗di＞α和ei＞β，其中有一項為真就發(fā)出可疑主機報告，聲明被監(jiān)測主機i為可疑主機，否則認為該主機正常，不報告；10)重復步驟8)、步驟9)，直至檢驗完所有主機。主機考察方法包括如下步驟：1)設定考察周期的時間T，設定FCC發(fā)起頻率的閾值μ和FCC成功率的閾值λ；2)偵聽主機監(jiān)測方法的輸出信息，如接收到可疑主機報告，執(zhí)行步驟3)；3)對該可疑主機發(fā)起一個考察周期進行考察，將連接請求總數Conn和連接成功數Succ置為0，建立TCP指示隊列和UDP指示隊列；4)觀察從可疑主機出入的IP數據包，如果觀察到可疑主機發(fā)出一個IP數據包，進入步驟5)，如果觀察可疑主機接收一個IP數據包，進入步驟6)；5)提取數據包的源端口號、目標地址、目標端口號組成的三元組，如果該數據包是TCP的SYN數據包，嘗試使用哈希函數三將三元組映射到TCP指示隊列，若映射成功，則將對應的項置為1，并遞增Conn，進入步驟7)，若映射沖突，直接進入步驟7)，類似的，如果該數據包是UDP數據包，嘗試使用哈希函數四將三元組映射到UDP指示隊列，若映射成功，則將對應的項置為1，并遞增Conn，進入步驟7)，若映射沖突，直接進入步驟7)；6)提取數據包的目標端口號、源地址、源端口號組成的三元組，如果該數據包是TCP的SYN?ACK數據包，嘗試使用哈希函數三將三元組映射到TCP指示隊列，若映射成功，直接進入步驟7)，若映射沖突，則將對應的項置為0，并遞增Succ，進入步驟7)，類似的，如果該數據包是UDP數據包，嘗試使用哈希函數四將三元組映射到UDP指示隊列，若映射成功，直接進入步驟7)，若映射沖突，則將對應的項置為0，并遞增Succ，進入步驟7)；7)重復步驟4)～步驟6)，直到考察周期結束；8)當考察周期結束時，計算FCC發(fā)起頻率r以及FCC成功率s：r＝Conn/T，s＝Succ/Conn；9)檢驗r＞μ和s＞λ，其中有一項為真，就發(fā)出蠕蟲主機報警，否則認為主機正常，不發(fā)出報警。...

【技術特征摘要】
1.一種內網蠕蟲主機檢測方法，其特征在于包括主機監(jiān)測方法和主機考察方法，主機監(jiān)測方法監(jiān)測所有的內網主機，檢測到可疑主機后，向主機考察方法發(fā)出可疑主機報告；主機考察方法考察被主機監(jiān)測方法報告的可疑主機，確認可疑主機是否感染蠕蟲，如果確認主機已...

【專利技術屬性】
技術研發(fā)人員：林懷忠，蘇嘯鳴，王學松，
申請(專利權)人：浙江大學，
類型：發(fā)明
國別省市：浙江;33