本發(fā)明專利技術公開了一種蠕蟲檢測方法及裝置,用以解決現(xiàn)有技術中無法有效的抑制蠕蟲的傳播的問題。該方法終端將待發(fā)送的數(shù)據(jù)包添加到該待發(fā)送的數(shù)據(jù)包的目的地址對應的等待隊列中,檢測在設定周期內添加到等待隊列中的數(shù)據(jù)包的數(shù)量是否超過設定數(shù)量,若是,則確定自身感染了蠕蟲,斷開與該目的地址對應的設備的連接。通過上述方法,終端可以主動的檢測出自身是否正在對網(wǎng)絡中的其他設備進行攻擊,當檢測出自身正在攻擊網(wǎng)絡中的其他設備時,斷開自身與其他設備的連接,實現(xiàn)自我隔離,從而可以有效的抑制蠕蟲的傳播。
【技術實現(xiàn)步驟摘要】
本專利技術涉及網(wǎng)絡安全
,尤其涉及一種蠕蟲檢測方法及裝置。
技術介紹
互聯(lián)網(wǎng)的應用給人們的日常生活和工作帶來了極大的方便,但隨著網(wǎng)絡規(guī)模的不斷擴大,網(wǎng)絡復雜度的不斷增加,網(wǎng)絡所產(chǎn)生的漏洞也越來越多,互聯(lián)網(wǎng)中的安全問題及其帶來的損失也越來越大。在互聯(lián)網(wǎng)安全問題造成的損失中,計算機惡意軟件造成的損失占用最大的比重。計算機惡意軟件主要包括計算機病毒、蠕蟲、木馬、后門、邏輯炸彈等。其中,計算機病毒是一段能夠使自己添加到其他可執(zhí)行程序上的代碼,其本身不 能獨立運行,而需要由其宿主程序來激活它運行。蠕蟲則是一種無需用戶干預能夠獨立運行的程序,其通過不停的獲取網(wǎng)絡中存在漏洞的終端上的部分或者全部控制權限來進行傳播,蠕蟲的攻擊流程具體如圖I所示。圖I為現(xiàn)有技術中蠕蟲攻擊的過程,具體包括以下步驟SlOl :感染了蠕蟲的終端探測網(wǎng)絡中的攻擊目標。S102 :對探測到的攻擊目標進行攻擊,獲取攻擊目標的權限。S103 :蠕蟲將自身復制到攻擊目標中,并返回步驟SlOl。由于蠕蟲具有自我復制功能,因此被感染的終端又會重復上述步驟SlOf S103,以繼續(xù)傳播蠕蟲。可見,與一般的計算機病毒相比,蠕蟲的傳播速度更快,影響的范圍更廣。據(jù)計算機緊急響應小組(CERT)的統(tǒng)計,僅在2011年10月16 22日這一周的時間,境內感染飛客(Conficker)螺蟲的終端就高達160. 2萬臺,一周之內被篡改的網(wǎng)站高達508個。因此,如何對網(wǎng)絡中的蠕蟲進行有效的檢測和防御成為一個亟待解決的問題。在現(xiàn)有技術中,對蠕蟲進行檢測的一種方法為基于蜜罐(Honeypot)技術對蠕蟲進行檢測。具體為將Honeypot命名為與終端的某個系統(tǒng)文件相似的名稱,并通過Honeypot提供有漏洞的服務,以誘騙網(wǎng)絡中的螺蟲對Honeypot進行攻擊,當Honeypot檢測到蠕蟲的攻擊時,提取蠕蟲的特征并添加到特征庫中,用以后續(xù)對具有該特征的數(shù)據(jù)包進行防御。另一種蠕蟲檢測方法為基于內容的檢測方法。具體的,將接收到的數(shù)據(jù)包分為正常數(shù)據(jù)包和可疑數(shù)據(jù)包,將可疑數(shù)據(jù)包進行會話重組,按照一定規(guī)則將重組后的會話中的數(shù)據(jù)劃分為若干個字符串,統(tǒng)計各個字符串出現(xiàn)的頻率,將頻率大于設定閾值的字符串作為蠕蟲的特征添加到特征庫中,用以后續(xù)對具有該特征的數(shù)據(jù)包進行防御。在通過基于內容的檢測方法進行蠕蟲檢測時,也可以不對接收到的數(shù)據(jù)包區(qū)分正常數(shù)據(jù)包和可疑數(shù)據(jù)包,而是將每個數(shù)據(jù)包中的數(shù)據(jù)都進行字符串的劃分,并統(tǒng)計各個字符串出現(xiàn)的頻率,根據(jù)統(tǒng)計的頻率進后續(xù)步驟。可見,現(xiàn)有技術中的蠕蟲檢測方法都是終端根據(jù)接收到的數(shù)據(jù)包檢測自身是否受到了蠕蟲的攻擊的被動檢測方法,即使檢測出自身受到了攻擊而進行防御,最多也只能保護該終端自身不被蠕蟲感染,無法保證網(wǎng)絡中的其他設備不被蠕蟲感染,從而無法有效的抑制蠕蟲的傳播
技術實現(xiàn)思路
本專利技術實施例提供一種蠕蟲檢測方法及裝置,用以解決現(xiàn)有技術中無法有效的抑制蠕蟲的傳播的問題。本專利技術實施例提供的一種蠕蟲檢測方法,包括終端確定待發(fā)送的數(shù)據(jù)包的目的地址,將所述待發(fā)送的數(shù)據(jù)包添加到所述目的地址對應的等待隊列中;并檢測在設定周期內添加到所述等待隊列中的數(shù)據(jù)包的數(shù)量是否超過設定數(shù)量;以及若是,則確定自身感染了蠕蟲,斷開與所述目的地址對應的設備的連接。本專利技術實施例提供的一種蠕蟲檢測裝置,包括攔截模塊,用于確定待發(fā)送的數(shù)據(jù)包的目的地址,將所述待發(fā)送的數(shù)據(jù)包添加到所述目的地址對應的等待隊列中;檢測模塊,用于檢測在設定周期內添加到所述等待隊列中的數(shù)據(jù)包的數(shù)量是否超過設定數(shù)量;控制模塊,用于當所述檢測模塊檢測到在設定周期內添加到所述等待隊列中的數(shù)據(jù)包的數(shù)量超過設定數(shù)量時,確定感染了蠕蟲,斷開與所述目的地址對應的設備的連接。本專利技術實施例提供一種蠕蟲檢測方法及裝置,該方法終端將待發(fā)送的數(shù)據(jù)包添加到該待發(fā)送的數(shù)據(jù)包的目的地址對應的等待隊列中,檢測在設定周期內添加到等待隊列中的數(shù)據(jù)包的數(shù)量是否超過設定數(shù)量,若是,則確定自身感染了蠕蟲,斷開與該目的地址對應的設備的連接。通過上述方法,終端可以主動的檢測出自身是否正在對網(wǎng)絡中的其他設備進行攻擊,當檢測出自身正在攻擊網(wǎng)絡中的其他設備時,斷開自身與其他設備的連接,實現(xiàn)自我隔離,從而可以有效的抑制蠕蟲的傳播。附圖說明圖I為現(xiàn)有技術中蠕蟲攻擊的過程;圖2為本專利技術實施例提供的蠕蟲檢測過程;圖3為本專利技術實施例提供的另一種蠕蟲檢測過程;圖4為本專利技術實施例提供的蠕蟲檢測裝置結構示意圖。具體實施例方式由于蠕蟲是通過不停的獲取網(wǎng)絡中存在漏洞的終端上的部分或者全部控制權限來進行傳播的,因此蠕蟲在開始傳播時必然是由網(wǎng)絡中的某一臺或某幾臺終端開始向其他設備傳播。本專利技術實施例為了有效的抑制蠕蟲的傳播,摒棄了現(xiàn)有技術中被動檢測終端自身是否受到了蠕蟲攻擊的方法,而是主動的檢測終端自身是否正在攻擊網(wǎng)絡中的其他設備,若檢測到正在攻擊其他設備,則該終端斷開自身與其他設備的連接,實現(xiàn)自我隔離,以保證該終端自身感染的蠕蟲不能再通過網(wǎng)絡攻擊其他設備,從而抑制蠕蟲在網(wǎng)絡中的傳播。下面結合說明書附圖,對本專利技術實施例進行詳細描述。圖2為本專利技術實施例提供的蠕蟲檢測過程,具體包括以下步驟S201 :終端確定待發(fā)送的數(shù)據(jù)包的目的地址,將該待發(fā)送的數(shù)據(jù)包添加到該目的地址對應的等待隊列中。在本專利技術實施例中,終端通過網(wǎng)絡與其他設備連接,終端針對與自身連接的其他設備,建立與該其他設備的地址對應的等待隊列。當終端要向該其他設備發(fā)送數(shù)據(jù)包時,待發(fā)送的數(shù)據(jù)包的目的地址即為該其他設備的地址,因此終端先將該待發(fā)送的數(shù)據(jù)包添加到該目的地址對應的等待隊列中,也即先將該待發(fā)送的數(shù)據(jù)包添加到建立的該其他設備對應的等待隊列中。 S202:檢測在設定周期內添加到該等待隊列中的數(shù)據(jù)包的數(shù)量是否超過設定數(shù)量,若是,執(zhí)行步驟S204,否則執(zhí)行步驟S203。由于螺蟲在進行攻擊行為時,一般會在短時間內向攻擊目標發(fā)送大量的螺蟲攻擊數(shù)據(jù)包,用于以掃描形式對攻擊目標進行探測,因此,在本專利技術實施例中,終端可以從與該目的地址對應的設備建立連接開始,在每個設定周期的結束時刻,檢測該設定周期內添加到該等待隊列中的數(shù)據(jù)包的數(shù)量是否超過設定數(shù)量,若是,則說明該終端感染了蠕蟲,并且該終端感染的蠕蟲正在對該目的地址對應的設備進行攻擊。其中,該設定周期和設定數(shù)量可以根據(jù)需要進行設定。例如,該設定周期可以設定為I秒,將終端與該目的地址對應的設備建立連接的時刻作為第0秒,則在第I秒到來時,終端檢測從第0秒到第I秒這I秒的周期內添加到該等待隊列中的數(shù)據(jù)包的數(shù)量是否超過設定數(shù)量,在第2秒到來時,檢測從第I秒到第2秒這I秒的周期內添加到該等待隊列中的數(shù)據(jù)包的數(shù)量是否超過設定數(shù)量。S203:檢測在該設定周期內添加到該等待隊列的數(shù)據(jù)包中是否存在蠕蟲攻擊數(shù)據(jù)包,若存在,執(zhí)行步驟S204,否則執(zhí)行步驟S205。如果在步驟S202中未檢測到在該設定周期內添加到該等待隊列中的數(shù)據(jù)包的數(shù)量超過設定數(shù)量,則終端可能并未感染蠕蟲,此時可以將在該設定周期內添加到該等待隊列中的數(shù)據(jù)包直接發(fā)送出去。但是,考慮到在實際應用中,感染了蠕蟲的終端在對其他設備進行攻擊時,也可能并不是在短時間內向攻擊目標發(fā)送大量的以掃描形式進行探測的蠕蟲攻擊數(shù)據(jù)包,而是只發(fā)送少量的蠕蟲攻擊數(shù)據(jù)包,如果直接將在該設定周期內本文檔來自技高網(wǎng)...
【技術保護點】
【技術特征摘要】
1.一種蠕蟲檢測方法,其特征在于,包括 終端確定待發(fā)送的數(shù)據(jù)包的目的地址,將所述待發(fā)送的數(shù)據(jù)包添加到所述目的地址對應的等待隊列中;并 檢測在設定周期內添加到所述等待隊列中的數(shù)據(jù)包的數(shù)量是否超過設定數(shù)量;以及 若是,則確定自身感染了蠕蟲,斷開與所述目的地址對應的設備的連接。2.如權利要求I所述的方法,其特征在于,所述方法還包括 當確定在設定周期內添加到所述等待隊列中的數(shù)據(jù)包的數(shù)量未超過設定數(shù)量時,檢測在所述設定周期內添加到所述等待隊列的數(shù)據(jù)包中是否存在蠕蟲攻擊數(shù)據(jù)包; 若存在,則確定自身感染了蠕蟲,斷開與所述目的地址對應的設備的連接,否則,發(fā)送在所述設定周期內添加到所述等待隊列中的數(shù)據(jù)包。3.如權利要求2所述的方法,其特征在于,將所述待發(fā)送的數(shù)據(jù)包添加到所述目的地址對應的等待隊列中之前,所述方法還包括 所述終端確定所述待發(fā)送的數(shù)據(jù)包的目的地址不在保存的已訪問地址表中; 當連續(xù)發(fā)送了設定次數(shù)的在設定周期內添加到所述等待隊列中的數(shù)據(jù)包時,所述方法還包括 將所述目的地址添加到保存的已訪問地址表中。4.如權利要求2所述的方法,其特征在于,檢測在所述設定周期內添加到所述等待隊列的數(shù)據(jù)包中是否存在蠕蟲攻擊數(shù)據(jù)包,具體包括 判斷在所述設定周期內添加到所述等待隊列的數(shù)據(jù)包中是否存在特征與蠕蟲特征庫中的特征相匹配的數(shù)據(jù)包,若存在,則確定在所述設定周期內添加到所述等待隊列的數(shù)據(jù)包中存在蠕蟲攻擊數(shù)據(jù)包,否則,確定在所述設定周期內添加到所述等待隊列的數(shù)據(jù)包中不存在蠕蟲攻擊數(shù)據(jù)包。5.如權利要求I所述的方法,其特征在于,當所述終端確定自身感染了蠕蟲時,所述方法還包括 確定在所述設定周期內添加到所述等待隊列的數(shù)據(jù)包中存在的蠕蟲攻擊數(shù)據(jù)包的數(shù)量; 當確定的蠕蟲攻擊數(shù)據(jù)包的數(shù)量小于第一數(shù)量閾值時,減小所述設定數(shù)量,當確定的蠕蟲攻擊數(shù)據(jù)包的數(shù)量大于第二數(shù)量閾值時,增大所述設定數(shù)量,其中,所述第一數(shù)量閾值小于所述第二數(shù)量閾值。6.如權利要求I或2所述的方法,其特征在于,當所述終端確定自身感染了蠕蟲時,所述方法還包括 所述終端刪除所述等待隊列中的所有數(shù)據(jù)包,并查殺感染的蠕蟲;以及 在完成蠕蟲的查殺后,恢復與所述目的地址對應的設備的連接。7.—種蠕蟲檢測裝置,其特征在于,包括 攔截模塊,用...
【專利技術屬性】
技術研發(fā)人員:孫建坡,
申請(專利權)人:北京神州綠盟信息安全科技股份有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。