一种实时检测网络蠕虫病毒的方法

摘要

本发明涉及计算机网络应用的防火墙技术领域，具体涉及一种实时检测网络蠕虫病毒的方法。本发明要提供一种实时检测网络蠕虫病毒的方法，以克服现有技术存在的适应范围窄、效率低和实施效果差的问题。为克服现有技术存在的问题，本发明的技术方案是：一种实时检测网络蠕虫病毒的方法，它是通过在防火墙上对接收到的数据包进行网络连接特征分析来进行病毒的识别，实时检测网络蠕虫。本发明从蠕虫传播机制着手，改变了现有技术的蠕虫爆发后再进行事后处理的思路，进行实时检测与防范。因此与现有技术相比，本发明的优点是适应范围宽、效率高和实施效果好。

主权项

1、一种实时检测网络蠕虫病毒的方法，它是通过在防火墙上对接收到的数据包进行网络连接特征分析来进行病毒的识别，实时检测网络蠕虫，其具体步骤如下：(一)从内部网络接收数据包具体分析过程为，步骤1：从内部网络端口接收IP数据包；步骤2：根据防火墙过滤规则列表，对IP数据包进行过滤；如果过滤规则允许接收IP数据包，则执行步骤3，否则执行步骤1；步骤3：根据IP数据包的源IP地址、目的IP地址、源端口号、目的端口号在网络连接链表中查找，判断是否属于连接链表中的一项，如果属于，设置其状态为REPLYED，将该项的老化时间重设为T0，然后执行步骤5，如果不属于，执行步骤4；所述网络连接链表用来记录当前已经建立的连接，表项内容包括连接的源IP地址、目的IP地址、源端口号、目的端口号、连接的状态、连接老化时间内容；初始化时，链表为空，连接的状态包括两种：NEW，REPLYED；主机连接数表记录内部网络主机连接建立情况，表项内容包括：主机IP地址、未应答连接数目；步骤4：在网络连接链表中增加一项，并设置该项的源IP地址、目的IP地址、源端口号、目的端口号为接收数据包的相应值；同时设置连接的状态为NEW，设置连接老化时间为T0秒，处理之后执行步骤9；步骤5：在主机连接数表，查找数据包的源IP地址，如果有匹配项，在对应的未应答连接数目中加1；如果无匹配项，新增一项，并将未应答连接数目设置为1；步骤6：检查主机连接数表的未应答连接数目，如果未应答连接数目超过预定阈值A，则执行步骤7，否则执行步骤9；步骤7：在日志中记录该源IP地址，发出告警信息；在防火墙中添加一条规则，丢弃源IP地址为该地址的所有数据包，规则生效时间为T；步骤8：丢弃该数据包；步骤9：根据路由表，向外部网络接口转发IP数据包；(二)从外部网络接收数据包的具体分析过程为，步骤1：从外部网络端口接收IP数据包；步骤2：根据防火墙过滤规则列表，对IP数据包进行过滤；步骤3：提取IP数据包中的源IP地址、目的IP地址、源端口号、目的端口号，在相应的网络连接链表中进行检索，检索的标准是IP数据包的源IP地址、目的IP地址、源端口号、目的端口号分别对应链表项的目的IP地址、源IP地址、目的端口号、源端口号；如果有匹配项，执行步骤4，否则执行步骤6；步骤4：如果该对应链表项的连接状态为NEW，则将对应状态修改为REPLYED，并执行步骤5；如果对应状态为REPLYED，则执行步骤6；步骤5：根据数据包的目的IP地址在主机连接数表中查找，如果有匹配项，将对应的未应答连接数目中减1；如果未应答连接数目减为0，则删除该表项；步骤6：根据路由表，向内部网络接口转发IP数据包。