| 发明名称 | 一种基于通信量的内网蠕虫检测方法 | ||
| 摘要 | 本发明公开了一种基于通信量的内网蠕虫检测方法。该方法以网络镜像流量为数据源,实时考察节点之间的通信情况,将通信归类为正常通信和可疑通信,统计各节点和其他节点之间的可疑通信的通信量、通信时间,同时生成可疑通信树,将通信量、通信时间和可疑通信树的规模综合计算得到可疑度,如果可疑度超出预设报警阈值,则认为内网中已爆发蠕虫并汇报蠕虫感染情况。本发明克服了现有的网络蠕虫检测方法难以检测未知蠕虫和难以区分蠕虫与P2P应用等不足,可有效检测到内网的未知蠕虫。 | ||
| 申请公布号 | CN101820369A | 申请公布日期 | 2010.09.01 |
| 申请号 | CN201010157898.5 | 申请日期 | 2010.04.27 |
| 申请人 | 浙江大学 | 发明人 | 林怀忠;苏啸鸣;王学松 |
| 分类号 | H04L12/26(2006.01)I;H04L29/06(2006.01)I;H04L29/08(2006.01)I | 主分类号 | H04L12/26(2006.01)I |
| 代理机构 | 杭州求是专利事务所有限公司 33200 | 代理人 | 张法高 |
| 主权项 | 1.一种基于通信量的内网蠕虫检测方法,其特征在于:以网络镜像流量为数据源,实时考察节点之间的通信情况,将通信归类为正常通信和可疑通信,统计各节点和其他节点之间的可疑通信的通信量、通信时间,同时生成可疑通信树,将通信量、通信时间和可疑通信树的规模综合计算得到可疑度,如果可疑度超出预设报警阈值,则认为内网中已爆发蠕虫,具体包括以下步骤:1)确定报警阈值α和正常阈值β,β<α,确定调节系统k,初始化正常通信表、可疑通信表和可疑通信树表,开始接收镜像网络流;2)从镜像网络流中提取IP数据包,如果是与外网的通信数据包,则丢弃该IP数据包并重复执行步骤2),否则是内网IP数据包,提取IP数据包的TCP或UDP有效载荷,如果是TCP包且是拆分包的一部分,那么等待重组完成后执行下一步骤,否则是独立数据包,继续执行下一步骤;3)根据数据包是TCP或UDP协议以及端口号划分通信分类,在正常通信表搜索该数据包所属通信分类,若未找到,则是可疑通信,继续执行下一步骤,否则是正常通信,跳转到步骤2);4)查找可疑通信树表,如果尚无从属于该通信分类的可疑通信树,则为该通信分类创建可疑通信树,数据包的源节点作为根节点,更新可疑通信树表,继续执行下一步骤;5)遍历可疑通信树,在其中查找源节点,如果找到,继续执行下一步骤,否则未找到,跳转到步骤2);6)在可疑通信树的源节点的直接子节点中查找目标节点,如果未找到,则将目标节点作为源节点的子节点添加到树中,在从源节点到目标节点的边上记录通信量和通信时间,如果找到目标节点,则更新已存在的从源节点到目标节点边上的通信量和通信时间,其中通信量以字节为单位,通信时间以毫秒为单位;7)记可疑通信树边数量为E,并给各条边分配编号i,i=1,2,...,E,每条边的通信量F<sub>i</sub>,通信时间T<sub>i</sub>,所有边的平均通信量为<img file="FSA00000098094300011.GIF" wi="286" he="135" />平均通信时间<img file="FSA00000098094300012.GIF" wi="259" he="134" />所有边通信量的标准差<img file="FSA00000098094300013.GIF" wi="520" he="135" />所有边通信时间的标准差<img file="FSA00000098094300014.GIF" wi="505" he="134" />得到可疑度<img file="FSA00000098094300015.GIF" wi="708" he="194" />更新可疑通信树表中对应的可疑度M,若M>α,则认为子网爆发蠕虫,产生报警并汇报感染蠕虫的主机。 | ||
| 地址 | 310027 浙江省杭州市西湖区浙大路38号 | ||