因特网蠕虫病毒的早期预警方法

摘要

因特网蠕虫病毒的早期预警方法属于因特网及节点系统安全领域，其特征在于：它首先在全因特网各节点系统已有网络管理软件基础上为由私有内部网和公共因特网用户共同组成的对等网络组配置一套对等网络应用程序，然后为各节点系统构建含有自动合成和人工处理两部分的特征数据结构，并以特征表的形式给出消息累加特征值。一旦其节点系统或网络出现异常，对等网络应用程序便启动协同机制，以对等网络消息的形式向全因特网各节点系统分发预警消息，以便其采取保守的行为；若接收消息的节点上消息累加特征值超过预警值，便会激活系统查毒、过滤操作，达到预警和快速阻断蠕虫传播的目的。它同时满足了安全性、自治性和全因特网早期预警的要求。

主权项

1.因特网蠕虫病毒的早期预警方法，其特征在于，它依次含有以下步骤：(1)构建一个全因特网的分布式防御系统，其依次含有以下步骤：(1.1)在全因特网各节点机已有的网络管理软件基础上，再配置下列由Sun公司的Java/JXTA平台开发的对等网络组使用的对等网络应用程序，所述的对等网络即P2P网络，P2P是Peer-to-Peer的缩写，所述的对等网络组是私有内部网和公共因特网的用户共同组成的，该对等网络应用程序中包括以下协议：(1.1.1)JXTA的对等用户或者节点发现协议；(1.1.2)JXTA的对等用户管道绑定协议；(1.1.3)JXTA的对等用户信息协议；(1.1.4)JXTA的对等用户解析协议；(1.1.5)JXTA的集合点协议；(1.1.6)公共密钥身份证书系统；此外，还有一个用于访问万维网的客户机/服务器协议，即超文件传输协议，简称HTTP协议；(1.2)节点用户再在指定的服务器上注册，得到一个特定的ID，同时设定节点用户的信任等级；(2)用计算机语言向全因特网的各节点机写入特征数据结构，再以特征表的形式预先给定下述各子数据域的消息累加计数预警值，并存入节点系统的一个主机中；(2.1)上述特征数据结构由自动合成部分和人工处理部分两部分组成：自动合成部分包括如下子数据域：(2.1.1)电子邮件域，含有如下子数据域：①邮件标题，②附件名称，③附件大小，④附件格式；(2.1.2)网络协议域，含有如下子数据域：①协议，②端口；人工处理部分包括如下子数据域：(2.1.3)操作系统域，含有如下子数据域：①操作系统类型，②操作系统版本号，③浏览器类型，④浏览器版本号，⑤异常描述；(2.1.4)电子邮件域，含有如下子数据域：①邮件标题，②附件名称，③附件大小，④附件格式，⑤异常描述；(2.1.5)网络协议域，含有如下子数据域：①协议，②端口，③异常描述；(3)节点机上的对等网络应用程序初始化，把特征表上所有子数据域总消息计数值清零，并设定每个子数据域消息累加计数预警值，同时对等网络应用程序通过JXTA的对等网络发现协议监听是否有其他节点发送过来的消息；(4)当节点ID:1上的系统和网络监控程序发现节点系统或者网络异常，节点上的对等网络应用程序便自动收集系统消息并按照特征数据结构的自动合成部分生成系统预警消息；系统管理员在对等网络应用程序的“预警消息发送界面”填入自己发现的节点系统和网络异常状况，形成人工处理部分的系统预警消息，从而形成“系统与网络异常”表；(5)分发系统预警消息其依次含有以下步骤：(5.1)节点ID:1上的对等网络应用程序向目录/路径服务器查询自己可以直接到达的节点ID；(5.2)上述服务器发回可以直接到达的节点和中继节点的节点ID号；(5.3)节点ID:1上的对等网络应用程序把自动合成部分的系统预警消息分发给在步骤(5.2)中所述的节点；(5.4)上述中继节点通过JXTA的集合点协议自动根据彼此相互允许的通信协议把人工合成部分的系统预警消息分发给在自己处注册的所有节点；(6)系统预警消息的接收与处理：(6.1)各接收节点上的对等网络应用程序接收到自动合成部分的系统预警消息后，查找与消息中对应的子数据域，若子数据域中有相同的内容，则在对应的总消息计数值上加1；否则，便在特征表对应的子数据域中，将对应的总消息计数值设置为1；(6.2)对于人工处理部分的系统预警消息，节点ID:1直接以对等网络用户消息的形式通知步骤(5.2)中所述的两类节点的网络系统管理员；中继节点也以同样的方式通知在自己处注册的各节点的网络系统管理员；(7)当某一个节点多个相似消息的累积超出预警值时，该节点的对等网络应用程序便向网络监控设备发出警报，该设备便采取阻断蠕虫病毒的入侵和外传的操作；如果累积计数值很高但没有超过预警值，该设备采取关闭部分或者全部服务的保守操作。