| 发明名称 | 一种用于对等网络的蠕虫检测方法 | ||
| 摘要 | 用于对等网络的蠕虫检测方法涉及对等网络安全领域,尤其涉及解决对等网络安全中的蠕虫检测问题的技术,是一种解决对等网络中的蠕虫检测与防御的解决方案。主要用于实现对等网络蠕虫的快速检测,提高对等网络应用的安全性,该方法按照设定的时间在互联网网络中进行对等网络的蠕虫检测,结合移动代理技术,使用派发的异常检测代理对对等网络流量进行异常分析,以及通过对等网络蠕虫指纹匹配和对等网络蠕虫传播行为特征分析,确定网络中是否存在对等网络蠕虫,同时可对检测出对等网络蠕虫后采取预警提示。 | ||
| 申请公布号 | CN101699787B | 申请公布日期 | 2013.01.02 |
| 申请号 | CN200910185425.3 | 申请日期 | 2009.11.09 |
| 申请人 | 南京邮电大学 | 发明人 | 王汝传;徐鹤;韩志杰;李致远;李玲娟;吴敏;支萌萌 |
| 分类号 | H04L12/26(2006.01)I;H04L29/06(2006.01)I;H04L29/08(2006.01)I | 主分类号 | H04L12/26(2006.01)I |
| 代理机构 | 南京经纬专利商标代理有限公司 32200 | 代理人 | 叶连生 |
| 主权项 | 一种用于对等网络的蠕虫检测方法,其特征在于按照设定的时间在互联网网络中进行对等网络的蠕虫检测,结合移动代理技术,使用派发的异常检测代理对对等网络流量进行异常分析,以及通过对等网络蠕虫指纹匹配和对等网络蠕虫传播行为特征分析,确定网络中是否存在对等网络蠕虫,同时可对检测出对等网络蠕虫后采取预警提示,该方法具体实现步骤如下:1)对网络数据包进行缓存;2)如果当前时间为蠕虫检测周期,则转到3);否则,放行当前数据包,返回到1);3)对数据包进行对等网络协议特征匹配,滤除非对等网络流量;4)对3)中滤除非对等网络流量后剩下的对等网络流量,提取其互联网地址和端口特征形成对等网络节点的集合;5)对3)中滤除非对等网络流量后剩下的对等网络流量,通过派发的异常检测代理分析过后,根据分析结果进行如下步骤:如果对等网络蠕虫指纹匹配,这说明识别出来了对等网络蠕虫,则转到6);如果匹配对等网络蠕虫传播序列特征,则说明识别出来了对等网络蠕虫,更新对等网络蠕虫特征库,然后转到6);对等网络蠕虫指纹和蠕虫传播序列特征都不匹配的话则说明该数据包是正常对等网络流量数据,放行当前数据包;6)对识别的对等网络蠕虫信息通过派发异常检测代理发布到步骤4)中的对等网络节点的集合中,以便于进行蠕虫的防御与处理;其中,步骤5)中的异常检测代理分析包括如下步骤:51)对等网络蠕虫检测代理管理创建异常检测代理:监测一段时间的网络流量,建立起一个基于时间的正常网络流量模型,对监测时间段内的对等网络协议流量建立一个动态流量基线;当某个时段,某对等网络协议流量与当前基线不符时,会给出一个对等网络流量的异常告警;该模型会以代理程序形式存在于对等网络蠕虫检测代理管理系统内的数据库中;称该模型为对等网络流量异常检测代理;52)对等网络蠕虫检测代理管理系统派发51)中创建的对等网络流量异常检测代理到基于代理技术的对等网络客户端;53)异常检测代理对步骤3)中的滤除非对等网络流量后剩下的对等网络流量进行蠕虫指纹识别和蠕虫传播序列分析; | ||
| 地址 | 210003 江苏省南京市新模范马路66号 | ||