发明名称 |
一种蠕虫特征自动提取的方法及系统 |
摘要 |
本发明涉及信息安全技术领域,具体地来说为一种基于行为踪迹分析的蠕虫特征自动提取的方法。首先,通过学网络流量为网络的访问惯建模,基于CUSUM(Cumulative Sum)算法检测网络中违背惯模型的流量即为可疑的蠕虫流量。然后,对于网络蠕虫的行为踪迹进行了定义和分类。在可疑的蠕虫流量中利用Petri网关联分析网络蠕虫的行为踪迹。最后,运用评判函数确定提取踪迹中网络蠕虫的特征码。实验表明文中的方法可以高效准确地提取网络蠕虫的特征码。通过理论分析和实验数据相结合得到如下结论:网络蠕虫的行为踪迹虽然不能够准确地区分蠕虫的身份,但是它却能帮助确定蠕虫的特征码的位置,从而有效地提取蠕虫的特征码。 |
申请公布号 |
CN103501302A |
申请公布日期 |
2014.01.08 |
申请号 |
CN201310473701.2 |
申请日期 |
2013.10.12 |
申请人 |
沈阳航空航天大学 |
发明人 |
郭薇;周翰逊;张国栋;贾大宇 |
分类号 |
H04L29/06(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
沈阳维特专利商标事务所(普通合伙) 21229 |
代理人 |
甄玉荃 |
主权项 |
一种蠕虫特征自动提取的方法,其特征在于,包括:1)收集通过计算机网卡的数据报文,分析数据流量,将离线学习网络中的目标IP地址作为受保护的IP地址存入数据库中,为网络的访问习惯建模,然后通过CUSUM算法发现网络中违背习惯模型的可疑的蠕虫的网络流量,并识别出可疑的网络蠕虫IP地址;2)根据可疑的网络蠕虫数据通过关联算法分析可疑网络蠕虫的攻击踪迹,将攻击踪迹进一步聚集抽象出相同的攻击踪迹,确定蠕虫特征码的位置;3)根据网络蠕虫聚集抽象出的相同攻击踪迹提取蠕虫攻击踪迹中的特征码,运用评判函数确定攻击踪迹中网络蠕虫的特征码。 |
地址 |
110136 辽宁省沈阳市沈北新区道义南大街37号 |