本發明專利技術公開了一種面向BT下載網絡的蠕蟲檢測方法。該方法向BT網絡的所有客戶端節點部署鄰節點緩存監控裝置,每個鄰節點緩存監控裝置利用鄰節點緩存尋找相鄰的鄰節點緩存監控裝置,形成基于BT網絡的監控裝置網絡。監控裝置監測到所在節點與相鄰節點通信時,向該相鄰節點的監控裝置發送一個已有的或生成的警告消息,警告消息包含計數器與計時器,被發送時會累加計數器并重置計時器。每個監控裝置收到警告消息時,檢查警告消息的計數器是否超出正常閾值,若超出正常閾值就認為BT網絡出現蠕蟲活動,若未超出預定閾值則在計時器歸零時丟棄該警告消息。本發明專利技術克服了現有的網絡蠕蟲檢測方法不適于檢測BT網絡蠕蟲的不足,可有效檢測到BT網絡蠕蟲的爆發。
【技術實現步驟摘要】
本專利技術涉及一種面向BT下載網絡的蠕蟲檢測方法,屬于計算機安全防護
技術介紹
網絡蠕蟲是一種可獨立運行的惡意程序,它通過掃描網絡,發現存在系統漏洞的計算機系統或應用服務,感染該計算機,并獲取該計算機系統的控制權,進行傳播;網絡蠕蟲大規模感染會導致信息泄露、計算機系統資源過耗、網絡擁塞等嚴重后果。著名的Code Red蠕蟲、Slammer蠕蟲均在爆發后短期內直接造成10億美元以上的巨大損失。網絡蠕蟲已成為目前影響網絡安全的一個重大因素。BT是一種互聯網上新興的的P2P傳輸協議,全名叫〃BitTorrent〃,中文全稱 “比特流”是一種開放式傳輸協議。根據BitTorrent協議,文件發布者會根據要發布的文件生成提供一個.torrent文件,即種子文件。下載者要下載文件內容,需要先得到相應的.torrent文件,然后使用BT客戶端軟件進行下載。防止蠕蟲泛濫的關鍵在于及早發現受感染的蠕蟲主機,然后由防范器對蠕蟲主機采取應對措施,如清除蠕蟲文件、隔離主機、過濾蠕蟲數據包等。因此,檢測蠕蟲是抑制蠕蟲傳播的關鍵步驟。研究蠕蟲檢測技術已成為保證網絡環境安全性,維護社會和個人利益的迫切需要。目前對于網絡蠕蟲的檢測包括的基于特征碼的檢測方法和基于網絡異常的檢測方法兩大類。基于特征碼的檢測方法是較傳統的方法,該方法首先分析捕獲的蠕蟲樣本得到該蠕蟲的特征碼;然后根據特征碼在網絡流量或者主機文件中進行特征匹配,從而實現蠕蟲檢測。該檢測方法對已知蠕蟲具有良好的檢測結果,但存在缺點,缺點之一無法第一時間獲取新蠕蟲或變種蠕蟲的特征碼,所以對新出現蠕蟲的檢測延遲較大,起不到預警作用;缺點之二 無法檢測到動態改變代碼的多態蠕蟲,該類蠕蟲沒有固定的特征碼,可以規避基于特征碼的檢測方法。具有較高的漏報率。該類檢測方法無法預防爆發十分快速的BT網絡蠕蟲。基于網絡異常的檢測方法是蠕蟲檢測技術的發展方向,該方法監測特定的網絡指標,根據指標異常來檢測蠕蟲的爆發。常用的方法如通過統計連接數,判斷連接累計值是否超過設置的閾值來檢測蠕蟲;通過統計ICMP消息異常來檢測蠕蟲的發生;通過計算失敗連接與成功連接比率,判斷是否超過預設閾值來檢測蠕蟲等。該方法可以檢測到未知蠕蟲, 但也存在缺點目前出現的基于網絡特征的檢測方法或者由于計算量大,檢測實時性差; 或者由于檢測指標簡單,存在較高的誤報率。并且該類檢測方法對BT網絡蠕蟲的檢測率較低
技術實現思路
本專利技術的目的是克服了現有技術不適于檢測BT網絡蠕蟲的不足,提供一種面向 BT下載網絡的蠕蟲檢測方法。面向BT下載網絡的蠕蟲檢測方法的步驟如下1)在所有BT客戶端節點安裝監控裝置,監控裝置讀取所在BT客戶端節點的鄰節點緩存信息,尋找相鄰的BT客戶端節點并與該BT客戶端節點中的監控裝置建立連接,監控裝置與所有相鄰監控裝置建立連接,每個監控裝置對所在BT客戶端節點與相鄰BT客戶端節點所交換的流量數進行初始采樣,設置時間段m,并將m平均為ρ段,監控裝置監控每m/p時間內BT客戶端節點與所有相鄰BT客戶端節點所交換的網絡流量數,并將該流量數記錄在該監控裝置的流量監控表中,并擬合其分布,每個監控裝置根據相鄰BT客戶端節點的數量建立警告消息集,設置正常閾值α ;2)監控裝置監控所在BT客戶端節點,等待來自相鄰監測裝置的警告消息,若監控裝置的警告消息集中存在警告消息則根據時間推移減少警告消息中計時器的值,并在計時器歸零時丟棄該警告消息,若該BT客戶端節點與相鄰BT客戶端節點發生持續通信,則進入步驟 3),若收到來自某個相鄰監測裝置的警告消息,則進入步驟4);3)若監控裝置中沒有警告消息,則生成一個警告消息,初始化計數器的值為1,計時器的值為t,若已存在警告消息,將警告消息的計數器增加1,計時器的值重置為t,然后將生成或修改后的警告消息發送給正在通信的BT客戶端節點上的監控裝置,進入步驟2);4)查看收到的警告消息中的計數器,發送到決策中心裝置,若計數器低于正常閾值 α,將該警告消息存儲于監控裝置的警告消息集中,若警告消息集中已存在同一來源的警告消息,則只保存擁有較大計數器的警告消息,進入步驟2),若計數器超過正常閾值α,則該監控裝置對所在BT客戶端節點與相鄰BT客戶端節點所交換的流量數進行重新采樣,并將得到的流量數發送到決策中心裝置,決策中心裝置對初始采樣得到的流量統計數和重新采樣得到的流量統計數進行比較,若兩次統計得到的流量不屬于同一分布,則認為BT網絡中出現蠕蟲活動,發出蠕蟲報警。本專利技術克服了現有的網絡蠕蟲檢測技術不能快速檢測BT網絡蠕蟲爆發,檢測結果存在較高漏報率的缺點,可準確、高效、實時地檢測到BT網絡中爆發的蠕蟲。附圖說明圖1為面向BT下載網絡的蠕蟲檢測方法的總體部署圖; 圖2為BT下載網絡的蠕蟲檢測方法的基本檢測流程圖3為按照本專利技術BT下載網絡的蠕蟲檢測方法的用于Chord網絡的部署實例圖; 圖4為按照本專利技術的用于Chord網絡的路由表監測裝置和決策中心裝置實現圖。具體實施例方式本專利技術基于以下理論基礎(1)在網絡中,BT客戶端在進行下載活動時,要和該網絡中的其他客戶端進行通訊,符合蠕蟲傳播的條件。(2)BT客戶端在正常情況下,其監控裝置在單位時間內的警告消息符合特定分布, 警告消息在接近某個正常值,在蠕蟲感染情況下,其警告消息在單位時間內的訪問次數必然驟增,明顯超過正常值。如圖1 2所示,面向BT下載網絡的蠕蟲檢測方法的步驟如下1)在所有BT客戶端節點安裝監控裝置,監控裝置讀取所在BT客戶端節點的鄰節點緩存信息,尋找相鄰的BT客戶端節點并與該BT客戶端節點中的監控裝置建立連接,監控裝置與所有相鄰監控裝置建立連接,每個監控裝置對所在BT客戶端節點與相鄰BT客戶端節點所交換的流量數進行初始采樣,設置時間段m,并將m平均為ρ段,監控裝置監控每m/p時間內BT客戶端節點與所有相鄰BT客戶端節點所交換的網絡流量數,并將該流量數記錄在該監控裝置的流量監控表中,并擬合其分布,每個監控裝置根據相鄰BT客戶端節點的數量建立警告消息集,設置正常閾值α ;2)監控裝置監控所在BT客戶端節點,等待來自相鄰監測裝置的警告消息,若監控裝置的警告消息集中存在警告消息則根據時間推移減少警告消息中計時器的值,并在計時器歸零時丟棄該警告消息,若該BT客戶端節點與相鄰BT客戶端節點發生持續通信,則進入步驟 3),若收到來自某個相鄰監測裝置的警告消息,則進入步驟4);3)若監控裝置中沒有警告消息,則生成一個警告消息,初始化計數器的值為1,計時器的值為t,若已存在警告消息,將警告消息的計數器增加1,計時器的值重置為t,然后將生成或修改后的警告消息發送給正在通信的BT客戶端節點上的監控裝置,進入步驟2);4)查看收到的警告消息中的計數器,發送到決策中心裝置,若計數器低于正常閾值 α,將該警告消息存儲于監控裝置的警告消息集中,若警告消息集中已存在同一來源的警告消息,則只保存擁有較大計數器的警告消息,進入步驟2),若計數器超過正常閾值α,則該監控裝置對所在BT客戶端節點與相鄰BT客戶端節點所交換的流量數進行重新采樣,并將得到的流量數發送到決策中心裝置,決策中心裝置對初始采樣得到的流量統計數和重新采樣得到的流量統計數進行比較,若兩次統計得到的流量本文檔來自技高網...
【技術保護點】
1.一種面向BT下載網絡的蠕蟲檢測方法,其特征在于它的步驟如下:1)在所有BT客戶端節點安裝監控裝置,監控裝置讀取所在BT客戶端節點的鄰節點緩存信息,尋找相鄰的BT客戶端節點并與該BT客戶端節點中的監控裝置建立連接,監控裝置與所有相鄰監控裝置建立連接,每個監控裝置對所在BT客戶端節點與相鄰BT客戶端節點所交換的流量數進行初始采樣,設置時間段m,并將m平均為p段,監控裝置監控每m/p時間內BT客戶端節點與所有相鄰BT客戶端節點所交換的網絡流量數,并將該流量數記錄在該監控裝置的流量監控表中,并擬合其分布,每個監控裝置根據相鄰BT客戶端節點的數量建立警告消息集,設置正常閾值α;2)監控裝置監控所在BT客戶端節點,等待來自相鄰監測裝置的警告消息,若監控裝置的警告消息集中存在警告消息則根據時間推移減少警告消息中計時器的值,并在計時器歸零時丟棄該警告消息,若該BT客戶端節點與相鄰BT客戶端節點發生持續通信,則進入步驟3),若收到來自某個相鄰監測裝置的警告消息,則進入步驟4);3)若監控裝置中沒有警告消息,則生成一個警告消息,初始化計數器的值為1,計時器的值為t,若已存在警告消息,將警告消息的計數器增加1,計時器的值重置為t,然后將生成或修改后的警告消息發送給正在通信的BT客戶端節點上的監控裝置,進入步驟2);4)查看收到的警告消息中的計數器,發送到決策中心裝置,若計數器低于正常閾值α,將該警告消息存儲于監控裝置的警告消息集中,若警告消息集中已存在同一來源的警告消息,則只保存擁有較大計數器的警告消息,進入步驟2),若計數器超過正常閾值α,則該監控裝置對所在BT客戶端節點與相鄰BT客戶端節點所交換的流量數進行重新采樣,并將得到的流量數發送到決策中心裝置,決策中心裝置對初始采樣得到的流量統計數和重新采樣得到的流量統計數進行比較,若兩次統計得到的流量不屬于同一分布,則認為BT網絡中出現蠕蟲活動,發出蠕蟲報警。...
【技術特征摘要】
1. 一種面向BT下載網絡的蠕蟲檢測方法,其特征在于它的步驟如下1)在所有BT客戶端節點安裝監控裝置,監控裝置讀取所在BT客戶端節點的鄰節點緩存信息,尋找相鄰的BT客戶端節點并與該BT客戶端節點中的監控裝置建立連接,監控裝置與所有相鄰監控裝置建立連接,每個監控裝置對所在BT客戶端節點與相鄰BT客戶端節點所交換的流量數進行初始采樣,設置時間段m,并將m平均為ρ段,監控裝置監控每m/p時間內BT客戶端節點與所有相鄰BT客戶端節點所交換的網絡流量數,并將該流量數記錄在該監控裝置的流量監控表中,并擬合其分布,每個監控裝置根據相鄰BT客戶端節點的數量建立警告消息集,設置正常閾值α ;2)監控裝置監控所在BT客戶端節點,等待來自相鄰監測裝置的警告消息,若監控裝置的警告消息集中存在警告消息則根據時間推移減少警告消息中計時器的值,并在計時器歸零時丟棄該警告消息,若該BT客戶端節點與相鄰BT客戶端節點發生持續通信,則...
【專利技術屬性】
技術研發人員:林懷忠,陳萍,張知臨,蔣雨倩,
申請(專利權)人:浙江大學,
類型:發明
國別省市:86
0來自[北京市聯通] 2015年02月24日 19:33蠕蟲,讀作:rúchóng。意指許多相當小的、多少有點細長的像蚯蚓樣的光裸而柔軟的動物。