專利名稱：一種用于對(duì)等網(wǎng)絡(luò)的蠕蟲檢測(cè)方法
技術(shù)領(lǐng)域：
本發(fā)明涉及對(duì)等網(wǎng)絡(luò)安全領(lǐng)域，尤其涉及解決對(duì)等網(wǎng)絡(luò)安全中的蠕蟲檢測(cè)問題的
技術(shù)，是一種解決對(duì)等網(wǎng)絡(luò)中的蠕蟲檢測(cè)與防御的解決方案。主要用于實(shí)現(xiàn)對(duì)等網(wǎng)絡(luò)蠕蟲 的快速檢測(cè)，提高對(duì)等網(wǎng)絡(luò)應(yīng)用的安全性。
背景技術(shù)：
P2P是英文Peer-to-Peer的縮寫，稱為對(duì)等網(wǎng)絡(luò)。Peer的英文含義是"(地位、能 力等)同等者、同事、伙伴"。目前P2P技術(shù)受到學(xué)術(shù)界和產(chǎn)業(yè)界的雙重關(guān)注，財(cái)富雜志更將 P2P列為影響Internet未來的四項(xiàng)科技之一，與網(wǎng)格計(jì)算技術(shù)(Grid Computing)并成為分 布式計(jì)算技術(shù)領(lǐng)域的兩大研究熱點(diǎn)。P2P的思想改變Internet原來的C/S計(jì)算(Client/ Server Computing)或是B/S計(jì)算(Brower/Server Computing)這樣不對(duì)稱的計(jì)算模式，每 個(gè)節(jié)點(diǎn)地位對(duì)等，可以同時(shí)成為服務(wù)的使用者和提供者，這為大規(guī)模的信息共享、直接通信 和協(xié)同工作提供了靈活的、可擴(kuò)展的計(jì)算平臺(tái)。 網(wǎng)絡(luò)安全問題一直是Internet網(wǎng)絡(luò)研究的重點(diǎn)，隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的深入發(fā) 展，計(jì)算機(jī)病毒對(duì)信息安全的威脅日益增加。特別是在P2P環(huán)境下，方便的共享和快速的選 路機(jī)制，為某些網(wǎng)絡(luò)病毒提供了更好的入侵機(jī)會(huì)。隨著P2P的廣泛應(yīng)用，基于P2P技術(shù)的網(wǎng) 絡(luò)安全問題日益嚴(yán)重，安全威脅事件逐年上升，近年來的增長態(tài)勢(shì)變得尤為迅猛。其中，P2P 網(wǎng)絡(luò)蠕蟲由于危害嚴(yán)重、攻擊范圍大、爆發(fā)速度快，已經(jīng)成為目前互聯(lián)網(wǎng)所面臨的最為嚴(yán)重 的安全威脅之一。 網(wǎng)絡(luò)蠕蟲的傳播往往是通過Internet進(jìn)行的，其行為模式和傳播媒介十分豐富， 經(jīng)局部的特征分析很難準(zhǔn)確識(shí)別未知網(wǎng)絡(luò)蠕蟲的破壞活動(dòng)和影響范圍，一般的防御措施難 以奏效。目前，在Internet范圍內(nèi)研究網(wǎng)絡(luò)蠕蟲的傳播模式和防御技術(shù)已經(jīng)成為學(xué)術(shù)界的 共識(shí)。這就需要建立一套全球范圍的網(wǎng)絡(luò)蠕蟲應(yīng)急機(jī)制，快速共享網(wǎng)絡(luò)蠕蟲的預(yù)警信息， 達(dá)到聯(lián)合遏制網(wǎng)絡(luò)蠕蟲傳播和破壞的目的。然而，P2P網(wǎng)絡(luò)日益流行，為蠕蟲提供了溫床。 P2P蠕蟲的出現(xiàn)，使網(wǎng)絡(luò)面臨新的威脅。這種蠕蟲利用P2P系統(tǒng)進(jìn)行傳播，使其傳播更加隱 蔽、精確。因此，在P2P應(yīng)用環(huán)境下，依賴傳統(tǒng)網(wǎng)絡(luò)共享技術(shù)很難實(shí)現(xiàn)大規(guī)模的數(shù)據(jù)集中與 分析，對(duì)基于P2P網(wǎng)絡(luò)的蠕蟲檢測(cè)及其傳播規(guī)律、防護(hù)技術(shù)的研究十分迫切，因而成為近期 在網(wǎng)絡(luò)安全領(lǐng)域研究的一個(gè)熱點(diǎn)。 P2P蠕蟲是基于P2P軟件的漏洞，利用對(duì)等網(wǎng)絡(luò)拓?fù)浼捌浣换バ再|(zhì)自主傳播。該類 蠕蟲可以利用P2P節(jié)點(diǎn)主機(jī)緩存列表(Host Cache)中的鄰居節(jié)點(diǎn)來構(gòu)建攻擊列表，以實(shí)現(xiàn) 準(zhǔn)確的目標(biāo)定位，因此，它具有更強(qiáng)的隱蔽性和破壞性，是P2P網(wǎng)絡(luò)安全問題的重點(diǎn)研究對(duì) 象。P2P蠕蟲是利用P2P機(jī)制進(jìn)行傳播的惡意代碼，通過P2P節(jié)點(diǎn)的共享列表，蠕蟲很容易 獲得攻擊目標(biāo)的信息，所以其爆發(fā)時(shí)傳播速度很快，這種大量的快速傳播導(dǎo)致的直接后果 是網(wǎng)絡(luò)阻塞。由于P2P網(wǎng)絡(luò)中邏輯相鄰的節(jié)點(diǎn)，地理位置可能相隔很遠(yuǎn)，而參與P2P網(wǎng)絡(luò)的 節(jié)點(diǎn)數(shù)量又非常大，因此通過P2P系統(tǒng)傳播的病毒，波及范圍大，覆蓋面廣，從而造成的損 失會(huì)很大。在P2P網(wǎng)絡(luò)中，每個(gè)節(jié)點(diǎn)防御病毒的能力是不同的。只要有一個(gè)節(jié)點(diǎn)感染病毒，就可以通過內(nèi)部共享和通信機(jī)制將病毒擴(kuò)散到附近的鄰居節(jié)點(diǎn)。在短時(shí)間內(nèi)可以造成網(wǎng)絡(luò) 擁塞甚至癱瘓，共享信息丟失，機(jī)密信息失竊，甚至通過網(wǎng)絡(luò)病毒可以完全控制整個(gè)網(wǎng)絡(luò)。
其中，對(duì)P2P網(wǎng)絡(luò)蠕蟲傳播模型的研究是很重要的方面。通過對(duì)P2P蠕蟲傳播模 型的研究，可以得到其在網(wǎng)絡(luò)上廣泛傳播的規(guī)律，進(jìn)而研究抑制蠕蟲傳播的方法。本發(fā)明方 法通過分析P2P蠕蟲指紋和P2P網(wǎng)絡(luò)蠕蟲傳播行為序列特征，同時(shí)采用移動(dòng)代理(Agent) 技術(shù)，提出一種用于P2P網(wǎng)絡(luò)的蠕蟲檢測(cè)方法。

發(fā)明內(nèi)容
技術(shù)問題本發(fā)明的目的是提供一種P2P網(wǎng)絡(luò)的蠕蟲檢測(cè)方法，來解決P2P網(wǎng)絡(luò)蠕 蟲檢測(cè)問題，與過去使用的網(wǎng)絡(luò)蠕蟲檢測(cè)方法不同，本方法是針對(duì)P2P網(wǎng)絡(luò)提出的一種P2P 蠕蟲檢測(cè)方法，該方法可以達(dá)到快速準(zhǔn)確檢測(cè)P2P網(wǎng)絡(luò)蠕蟲目標(biāo)。 技術(shù)方案本發(fā)明的方法通過引入P2P蠕蟲的指紋和分析P2P蠕蟲傳播行為序列 特征，并結(jié)合移動(dòng)Agent技術(shù)，其目的是為解決P2P網(wǎng)絡(luò)蠕蟲的快速、準(zhǔn)確檢測(cè)等問題。
本發(fā)明的用于對(duì)等網(wǎng)絡(luò)的蠕蟲檢測(cè)方法按照設(shè)定的時(shí)間在互聯(lián)網(wǎng)網(wǎng)絡(luò)中進(jìn)行對(duì) 等網(wǎng)絡(luò)的蠕蟲檢測(cè)，結(jié)合移動(dòng)代理技術(shù)，使用派發(fā)的異常檢測(cè)代理對(duì)對(duì)等網(wǎng)絡(luò)流量進(jìn)行異 常分析，以及通過對(duì)等網(wǎng)絡(luò)蠕蟲指紋匹配和對(duì)等網(wǎng)絡(luò)蠕蟲傳播行為特征分析，確定網(wǎng)絡(luò)中 是否存在對(duì)等網(wǎng)絡(luò)蠕蟲，同時(shí)可對(duì)檢測(cè)出對(duì)等網(wǎng)絡(luò)蠕蟲后采取預(yù)警提示，該方法具體實(shí)現(xiàn) 步驟如下 1)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行緩存； 2)如果當(dāng)前時(shí)間為蠕蟲檢測(cè)周期，則轉(zhuǎn)到3);否則，放行當(dāng)前數(shù)據(jù)包，返回到1);
3)對(duì)數(shù)據(jù)包進(jìn)行對(duì)等網(wǎng)絡(luò)協(xié)議特征匹配，濾除非對(duì)等網(wǎng)絡(luò)流量；
4)對(duì)3)中濾除非對(duì)等網(wǎng)絡(luò)流量后剩下的對(duì)等網(wǎng)絡(luò)流量，提取其互聯(lián)網(wǎng)地址和端 口特征形成對(duì)等網(wǎng)絡(luò)節(jié)點(diǎn)的集合； 5)對(duì)3)中濾除非對(duì)等網(wǎng)絡(luò)流量后剩下的對(duì)等網(wǎng)絡(luò)流量，通過派發(fā)的異常檢測(cè)代 理分析過后，如果是正常對(duì)等網(wǎng)絡(luò)流量數(shù)據(jù)則放過，對(duì)非正常對(duì)等網(wǎng)絡(luò)流量進(jìn)行對(duì)等網(wǎng)絡(luò) 蠕蟲指紋識(shí)別和對(duì)等網(wǎng)絡(luò)蠕蟲傳播序列分析如果對(duì)等網(wǎng)絡(luò)蠕蟲指紋匹配，這說明識(shí)別出 來了對(duì)等網(wǎng)絡(luò)蠕蟲，則轉(zhuǎn)到6);如果不匹配對(duì)等網(wǎng)絡(luò)蠕蟲指紋特征，則進(jìn)行對(duì)等網(wǎng)絡(luò)蠕蟲 傳播序列分析，如何匹配對(duì)等網(wǎng)絡(luò)蠕蟲傳播序列特征，則說明識(shí)別出來了對(duì)等網(wǎng)絡(luò)蠕蟲，更 新對(duì)等網(wǎng)絡(luò)蠕蟲特征庫，然后轉(zhuǎn)到6);對(duì)等網(wǎng)絡(luò)蠕蟲指紋和蠕蟲傳播序列特征都不匹配的 話則放行當(dāng)前數(shù)據(jù)包； 6)對(duì)識(shí)別的對(duì)等網(wǎng)絡(luò)蠕蟲信息通過派發(fā)移動(dòng)代理發(fā)布到步驟4)中的對(duì)等網(wǎng)絡(luò)節(jié) 點(diǎn)的集合中，以便于進(jìn)行蠕蟲的防御與處理。 2.如權(quán)利要求1所述的一種用于對(duì)等網(wǎng)絡(luò)的蠕蟲檢測(cè)方法，其特征還在于使用派 發(fā)的異常檢測(cè)代理對(duì)對(duì)等網(wǎng)絡(luò)流量進(jìn)行異常分析，其異常檢測(cè)代理分析的實(shí)現(xiàn)流程如下
1)對(duì)等網(wǎng)絡(luò)蠕蟲檢測(cè)代理管理創(chuàng)建異常檢測(cè)代理監(jiān)測(cè)一段時(shí)間的網(wǎng)絡(luò)流量，建 立起一個(gè)基于時(shí)間的正常網(wǎng)絡(luò)流量模型，對(duì)監(jiān)測(cè)時(shí)間段內(nèi)的對(duì)等網(wǎng)絡(luò)協(xié)議流量建立一個(gè)動(dòng) 態(tài)流量基線；當(dāng)某個(gè)時(shí)段，某對(duì)等網(wǎng)絡(luò)協(xié)議流量與當(dāng)前基線不符時(shí)，會(huì)給出一個(gè)對(duì)等網(wǎng)絡(luò)流 量的異常告警；該模型會(huì)以代理程序形式存在對(duì)等網(wǎng)絡(luò)蠕蟲檢測(cè)代理管理系統(tǒng)內(nèi)數(shù)據(jù)庫 中；稱該模型為對(duì)等網(wǎng)絡(luò)流量異常檢測(cè)代理；
2)對(duì)等網(wǎng)絡(luò)蠕蟲檢測(cè)代理管理系統(tǒng)派發(fā)1)中創(chuàng)建的對(duì)等網(wǎng)絡(luò)流量異常檢測(cè)代理
到基于代理技術(shù)的對(duì)等網(wǎng)絡(luò)客戶端； 3)異常檢測(cè)代理對(duì)對(duì)等網(wǎng)絡(luò)流量進(jìn)行判定； 4)對(duì)3)檢查的結(jié)果，如果判定是正常對(duì)等網(wǎng)絡(luò)流量，則通過；如果判定是異常對(duì)
等網(wǎng)絡(luò)流量，則進(jìn)一步進(jìn)行對(duì)等網(wǎng)絡(luò)蠕蟲指紋識(shí)別和對(duì)等網(wǎng)絡(luò)蠕蟲傳播行為序列分析。 3.如權(quán)利要求1所述的一種用于對(duì)等網(wǎng)絡(luò)的蠕蟲檢測(cè)方法，其特征還在于，對(duì)非
正常對(duì)等網(wǎng)絡(luò)流量進(jìn)行對(duì)等網(wǎng)絡(luò)蠕蟲指紋識(shí)別，該識(shí)別的實(shí)現(xiàn)流程如下 1)收集受保護(hù)網(wǎng)絡(luò)的流量信息； 2)計(jì)算收集到的網(wǎng)絡(luò)流量信息的特征值； 3)對(duì)流量特征值進(jìn)行數(shù)據(jù)指紋特征計(jì)算； 4)在對(duì)等網(wǎng)絡(luò)蠕蟲指紋特征數(shù)據(jù)庫中進(jìn)行匹配，如果匹配則是對(duì)等網(wǎng)絡(luò)蠕蟲；如 果不匹配則是正常流量。 4.如權(quán)利要求1所述的一種用于對(duì)等網(wǎng)絡(luò)的蠕蟲檢測(cè)方法，其特征還在于，對(duì)非
正常對(duì)等網(wǎng)絡(luò)流量進(jìn)行對(duì)等網(wǎng)絡(luò)蠕蟲傳播序列分析的實(shí)現(xiàn)流程如下 1)收集受保護(hù)的網(wǎng)絡(luò)連接信息； 2)將網(wǎng)絡(luò)連接信息轉(zhuǎn)換為連接信息狀態(tài)值； 3)對(duì)連接信息狀態(tài)值進(jìn)行數(shù)據(jù)聚合的計(jì)算； 4)在對(duì)等網(wǎng)絡(luò)蠕蟲傳播行為特征數(shù)據(jù)庫中進(jìn)行自相似性匹配，如果匹配說明是對(duì) 等網(wǎng)絡(luò)蠕蟲；如果不匹配則是正常流量。
5.如權(quán)利要求1所述的一種用于對(duì)等網(wǎng)絡(luò)的蠕蟲檢測(cè)方法，其特征在于，檢測(cè)出
對(duì)等網(wǎng)絡(luò)蠕蟲后可進(jìn)行對(duì)等網(wǎng)絡(luò)蠕蟲預(yù)警的實(shí)現(xiàn)流程如下 1)提取對(duì)等網(wǎng)絡(luò)蠕蟲流量，從中取得受感染機(jī)器的互聯(lián)網(wǎng)地址信息； 2)在互聯(lián)網(wǎng)地址數(shù)據(jù)庫中匹配感染蠕蟲機(jī)器位置信息，定位感染對(duì)等網(wǎng)絡(luò)蠕蟲機(jī)
器的位置； 3)通知已經(jīng)連接到該感染蠕蟲機(jī)器的其他對(duì)等網(wǎng)絡(luò)節(jié)點(diǎn)，終止與這個(gè)感染對(duì)等網(wǎng) 絡(luò)蠕蟲機(jī)器之間的網(wǎng)絡(luò)連接。 有益效果采用本發(fā)明所述方法，與現(xiàn)有技術(shù)相比，本發(fā)明的方法通過引入P2P蠕 蟲的指紋和分析P2P蠕蟲傳播行為特征，并結(jié)合移動(dòng)Agent技術(shù)，其目的是為解決P2P網(wǎng)絡(luò) 蠕蟲的快速、準(zhǔn)確檢測(cè)等問題。該發(fā)明提出的方法并不復(fù)雜，可以實(shí)現(xiàn)解決P2P網(wǎng)絡(luò)中的蠕 蟲檢測(cè)問題，為P2P網(wǎng)絡(luò)安全相關(guān)的蠕蟲檢測(cè)與防御機(jī)制的研究提供了重要的依據(jù)，同時(shí) 提高了 P2P系統(tǒng)的安全性和可靠性。
下面我們給出具體的說明。 P2P蠕蟲指紋惡意代碼(包括蠕蟲)的指紋是指唯一的識(shí)別這種代碼的一組二 進(jìn)制序列，通過分析P2P網(wǎng)絡(luò)中的蠕蟲指紋，可以建立P2P蠕蟲特征庫，進(jìn)而可以準(zhǔn)確識(shí)別 P2P蠕蟲。 P2P蠕蟲傳播行為序列P2P蠕蟲是利用P2P機(jī)制進(jìn)行傳播的惡意代碼，通過P2P 節(jié)點(diǎn)的共享列表，蠕蟲很容易獲得攻擊目標(biāo)的信息，所以其爆發(fā)時(shí)傳播速度很快，這種大量 的快速傳播導(dǎo)致的直接后果是網(wǎng)絡(luò)阻塞。通過分析P2P網(wǎng)絡(luò)中的蠕蟲傳播行為，可以建立 P2P蠕蟲傳播行為序列特征庫，進(jìn)而提高了蠕蟲識(shí)別的準(zhǔn)確率。
Agent與P2P的融合P2P網(wǎng)絡(luò)將互聯(lián)網(wǎng)的邊緣節(jié)點(diǎn)的多種服務(wù)連接在一起，有效 利用了各個(gè)P2P網(wǎng)絡(luò)組織域中的空閑資源，因此在我們提出的檢測(cè)方法中，各個(gè)基于Agent 的P2P主機(jī)同時(shí)也是對(duì)等計(jì)算P2P的客戶端。在對(duì)等計(jì)算P2P環(huán)境下實(shí)現(xiàn)基于Agent的蠕 蟲預(yù)警信息的發(fā)布是一種很好的解決方法，它高效地利用了 Agent特有的自治性、移動(dòng)性 與安全性，同時(shí)提高了 P2P網(wǎng)絡(luò)的各個(gè)節(jié)點(diǎn)處協(xié)同預(yù)防蠕蟲病毒和處理能力。


圖1是P2P網(wǎng)絡(luò)蠕蟲檢測(cè)方法應(yīng)用的網(wǎng)絡(luò)體系結(jié)構(gòu)。 圖2是P2P網(wǎng)絡(luò)蠕蟲檢測(cè)方法(P2PWDM)示意圖，圖中包括蠕蟲檢測(cè)時(shí)間、異常檢 測(cè)Agent、 P2P蠕蟲指紋匹配、P2P蠕蟲傳播行為序列、提取P2P蠕蟲傳播特征、更新P2P蠕 蟲特征、發(fā)布蠕蟲信息和P2P節(jié)點(diǎn)集合。 圖3是P2P網(wǎng)絡(luò)蠕蟲指紋特征匹配流程示意圖。表示本發(fā)明方法的基于蠕蟲指紋 特征檢測(cè)流程示意。 圖4是P2P網(wǎng)絡(luò)蠕蟲傳播行為序列特征匹配流程示意圖。表示本發(fā)明方法的基于 蠕蟲傳播行為序列特征檢測(cè)流程示意。 圖5是P2P蠕蟲預(yù)警示意圖。表明本發(fā)明的方法檢測(cè)到P2P蠕蟲后，可以采取有 效措施防御和處理。
具體實(shí)施例方式
圖1給出了本發(fā)明用于P2P網(wǎng)絡(luò)的蠕蟲檢測(cè)方法設(shè)計(jì)的體系結(jié)構(gòu)，它的功能部件 包括P2P蠕蟲檢測(cè)Agent管理系統(tǒng)、移動(dòng)Agent和基于Agent的P2P客戶端。
下面我們給出幾個(gè)主要部分的具體說明 Agent管理系統(tǒng)使用Agent技術(shù)提高了網(wǎng)絡(luò)帶寬資源利用率和整個(gè)系統(tǒng)的效率， 本發(fā)明方法的Agent管理系統(tǒng)基本的功能主要有蠕蟲信息發(fā)布、Agent用戶管理、Agent通 信管理、蠕蟲信息預(yù)警、異常P2P流量的檢測(cè)。其中對(duì)異常P2P流量進(jìn)行P2P蠕蟲指紋特征 和P2P蠕蟲傳播行為特征序列匹配分析，來準(zhǔn)確判斷該異常流量是否是P2P蠕蟲流量。
移動(dòng)Agent :移動(dòng)Agent具有可移動(dòng)性和跳躍性，可攜帶用戶的計(jì)劃，根據(jù)資源分 布情況遷移到不同的節(jié)點(diǎn)，完成指定的任務(wù)。本發(fā)明方法的移動(dòng)Agent與P2P客戶端直接 交換信息，用于發(fā)現(xiàn)其他P2P蠕蟲的信息，實(shí)現(xiàn)P2P節(jié)點(diǎn)間的節(jié)點(diǎn)數(shù)據(jù)、蠕蟲信息等的傳送。
基于Agent的P2P主機(jī)使用P2P技術(shù)的網(wǎng)絡(luò)客戶端，有與移動(dòng)Agent交換信息的 接口。 本發(fā)明方法首先對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)信息進(jìn)行分類，從識(shí)別的P2P流量中進(jìn)行P2P 蠕蟲指紋匹配和P2P蠕蟲傳播行為序列特征匹配，如果檢測(cè)到P2P蠕蟲流量，則通過移動(dòng) Agent在P2P節(jié)點(diǎn)集合中進(jìn)行發(fā)布蠕蟲預(yù)警信息，并斷開與感染蠕蟲的P2P主機(jī)間的連接。
本方法主要分為以下模塊
(1)網(wǎng)絡(luò)流量包分類 首先對(duì)互聯(lián)網(wǎng)網(wǎng)絡(luò)流量數(shù)據(jù)包進(jìn)行流量分析并進(jìn)行分類，共分為P2P流量和非 P2P流量，同時(shí)對(duì)P2P流量進(jìn)行異常檢測(cè)過程，并提取相關(guān)的P2P節(jié)點(diǎn)信息(如IP、端口 等)形成P2P節(jié)點(diǎn)的集合，以便后面檢測(cè)到P2P蠕蟲信息后進(jìn)行蠕蟲信息預(yù)警。其中網(wǎng)絡(luò)流量分類方法可采用現(xiàn)有的一些流量分類方法如基于端口的流量分類、基于有效載荷 (Payload)的流量分類和基于流統(tǒng)計(jì)特征的流量分類方法等。
(2)P2P蠕蟲指紋匹配 對(duì)于異常流量進(jìn)行P2P蠕蟲指紋匹配，以準(zhǔn)確判斷當(dāng)前網(wǎng)絡(luò)是否存在蠕蟲病毒。 蠕蟲指紋特征值計(jì)算方法為使用單向散列函數(shù)計(jì)算蠕蟲傳播流量特征值，并存入數(shù)據(jù)庫。 單向散列函數(shù)(one-way hash function)，也叫壓縮函數(shù)，收縮函數(shù)，是把可變長度的輸入 串(叫做預(yù)映射，pre-image)轉(zhuǎn)換成固定長度的輸出串(叫做散列值)的一種函數(shù)。單向 散列函數(shù)的算法實(shí)現(xiàn)有很多種，如Snefru， N-Hash， MD2， MD4， MD5， SHA-1算法等，本發(fā)明方 法使用MD5算法。 (3) P2P蠕蟲傳播行為序列分析 對(duì)于異常的P2P流量進(jìn)行蠕蟲指紋匹配的同時(shí)，進(jìn)行P2P蠕蟲傳播行為序列特征
分析。蠕蟲傳播行為序列分析方法利用網(wǎng)絡(luò)流量傳播的自相似特征進(jìn)行分析。 在網(wǎng)絡(luò)流量中，把網(wǎng)絡(luò)中存在的突發(fā)性、不隨時(shí)間變化而變化的特性稱作自相似。
自相似也稱為分形，指某一物體的局部可能在一定條件下或過程中，在某一方面狀態(tài)、結(jié)
構(gòu)、信息、功能、能量等都表現(xiàn)出與整體的相似性，其連續(xù)時(shí)間定義如下 定義1 一個(gè)連續(xù)隨機(jī)過程{X(t) ， t G R}若滿足條件對(duì)于任何(1^1，^，^，…， td G T和a > O，有下式成立。(X(0，Z(ag,…,X(《))^""鄰)，aH鄰2)，…,W鄰》) (i) (1)式中，g表示漸進(jìn)同分布，對(duì)所有的aX)， {X(at)， t G R}的有限維分布與
{aHX(t)， t G R}的有限維分布的統(tǒng)計(jì)特性相同，則稱X(t)是具有參數(shù)H的自相似過程。
定義1中的參數(shù)H稱為自相似參數(shù)，通過估算網(wǎng)絡(luò)流量數(shù)據(jù)構(gòu)成的時(shí)間序列的參 數(shù)H可以檢驗(yàn)和度量P2P網(wǎng)絡(luò)中的蠕蟲傳播過程的自相似及其程度。
(4)對(duì)發(fā)現(xiàn)的P2P蠕蟲信息進(jìn)行發(fā)布與預(yù)警 當(dāng)發(fā)現(xiàn)P2P蠕蟲后，分析該P(yáng)2P蠕蟲的擁有節(jié)點(diǎn)信息，并通過移動(dòng)Agent把該蠕蟲 信息發(fā)布到(1)中的P2P節(jié)點(diǎn)集合中，以便于其他P2P節(jié)點(diǎn)對(duì)該蠕蟲進(jìn)行防御與處理。
下面結(jié)合圖2對(duì)技術(shù)方案的實(shí)施作進(jìn)一步的詳細(xì)描述
為了方便描述，假定如下的應(yīng)用實(shí)例 P2P蠕蟲病毒庫里面已經(jīng)有了某個(gè)P2P蠕蟲的指紋特征值(用Vhash) ， P2P網(wǎng)絡(luò) 中某個(gè)用戶(用A表示)的文件(用F表示)感染了P2P蠕蟲病毒(V)，另一個(gè)P2P網(wǎng)絡(luò)用 戶(用B表示)通過P2P網(wǎng)絡(luò)請(qǐng)求下載A的文件，則檢測(cè)到該蠕蟲的具體實(shí)施方式
如下
(l)A啟動(dòng)了 P2P客戶端； (2)B啟動(dòng)P2P客戶端，向A發(fā)送下載文件F請(qǐng)求； (3) A接收了 B的下載請(qǐng)求，準(zhǔn)備發(fā)送F文件，然而由于F感染了蠕蟲病毒，所以發(fā) 送了V傳輸給B; (4)B接收到V后，緩存V的流量數(shù)據(jù)包； (5)判斷當(dāng)前時(shí)間是否為預(yù)設(shè)定的P2P蠕蟲檢測(cè)時(shí)間；若是，則到(6);否則讓數(shù) 據(jù)包通過； (6)對(duì)流量進(jìn)行分類，判斷出該數(shù)據(jù)流量是異常P2P流量，則在P2P蠕蟲病毒特征庫進(jìn)行P2P蠕蟲指紋匹配和P2P蠕蟲傳播序列行為特征分析；同時(shí)提取P2P節(jié)點(diǎn)的相關(guān)信
息形成P2P節(jié)點(diǎn)的集合；在該場(chǎng)景下則會(huì)匹配該蠕蟲指紋特征值Vhash ; (7)檢測(cè)出P2P蠕蟲后，基于移動(dòng)Agent將此蠕蟲信息發(fā)布到P2P節(jié)點(diǎn)集合中，從
而進(jìn)行蠕蟲防御與處理。
權(quán)利要求
一種用于對(duì)等網(wǎng)絡(luò)的蠕蟲檢測(cè)方法，其特征在于按照設(shè)定的時(shí)間在互聯(lián)網(wǎng)網(wǎng)絡(luò)中進(jìn)行對(duì)等網(wǎng)絡(luò)的蠕蟲檢測(cè)，結(jié)合移動(dòng)代理技術(shù)，使用派發(fā)的異常檢測(cè)代理對(duì)對(duì)等網(wǎng)絡(luò)流量進(jìn)行異常分析，以及通過對(duì)等網(wǎng)絡(luò)蠕蟲指紋匹配和對(duì)等網(wǎng)絡(luò)蠕蟲傳播行為特征分析，確定網(wǎng)絡(luò)中是否存在對(duì)等網(wǎng)絡(luò)蠕蟲，同時(shí)可對(duì)檢測(cè)出對(duì)等網(wǎng)絡(luò)蠕蟲后采取預(yù)警提示，該方法具體實(shí)現(xiàn)步驟如下1)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行緩存；2)如果當(dāng)前時(shí)間為蠕蟲檢測(cè)周期，則轉(zhuǎn)到3)；否則，放行當(dāng)前數(shù)據(jù)包，返回到1)；3)對(duì)數(shù)據(jù)包進(jìn)行對(duì)等網(wǎng)絡(luò)協(xié)議特征匹配，濾除非對(duì)等網(wǎng)絡(luò)流量；4)對(duì)3)中濾除非對(duì)等網(wǎng)絡(luò)流量后剩下的對(duì)等網(wǎng)絡(luò)流量，提取其互聯(lián)網(wǎng)地址和端口特征形成對(duì)等網(wǎng)絡(luò)節(jié)點(diǎn)的集合；5)對(duì)3)中濾除非對(duì)等網(wǎng)絡(luò)流量后剩下的對(duì)等網(wǎng)絡(luò)流量，通過派發(fā)的異常檢測(cè)代理分析過后，如果是正常對(duì)等網(wǎng)絡(luò)流量數(shù)據(jù)則放過，對(duì)非正常對(duì)等網(wǎng)絡(luò)流量進(jìn)行對(duì)等網(wǎng)絡(luò)蠕蟲指紋識(shí)別和對(duì)等網(wǎng)絡(luò)蠕蟲傳播序列分析如果對(duì)等網(wǎng)絡(luò)蠕蟲指紋匹配，這說明識(shí)別出來了對(duì)等網(wǎng)絡(luò)蠕蟲，則轉(zhuǎn)到6)；如果不匹配對(duì)等網(wǎng)絡(luò)蠕蟲指紋特征，則進(jìn)行對(duì)等網(wǎng)絡(luò)蠕蟲傳播序列分析，如何匹配對(duì)等網(wǎng)絡(luò)蠕蟲傳播序列特征，則說明識(shí)別出來了對(duì)等網(wǎng)絡(luò)蠕蟲，更新對(duì)等網(wǎng)絡(luò)蠕蟲特征庫，然后轉(zhuǎn)到6)；對(duì)等網(wǎng)絡(luò)蠕蟲指紋和蠕蟲傳播序列特征都不匹配的話則放行當(dāng)前數(shù)據(jù)包；6)對(duì)識(shí)別的對(duì)等網(wǎng)絡(luò)蠕蟲信息通過派發(fā)移動(dòng)代理發(fā)布到步驟4)中的對(duì)等網(wǎng)絡(luò)節(jié)點(diǎn)的集合中，以便于進(jìn)行蠕蟲的防御與處理。
2. 如權(quán)利要求1所述的一種用于對(duì)等網(wǎng)絡(luò)的蠕蟲檢測(cè)方法，其特征還在于使用派發(fā)的 異常檢測(cè)代理對(duì)對(duì)等網(wǎng)絡(luò)流量進(jìn)行異常分析，其異常檢測(cè)代理分析的實(shí)現(xiàn)流程如下1) 對(duì)等網(wǎng)絡(luò)蠕蟲檢測(cè)代理管理創(chuàng)建異常檢測(cè)代理監(jiān)測(cè)一段時(shí)間的網(wǎng)絡(luò)流量，建立起 一個(gè)基于時(shí)間的正常網(wǎng)絡(luò)流量模型，對(duì)監(jiān)測(cè)時(shí)間段內(nèi)的對(duì)等網(wǎng)絡(luò)協(xié)議流量建立一個(gè)動(dòng)態(tài)流 量基線；當(dāng)某個(gè)時(shí)段，某對(duì)等網(wǎng)絡(luò)協(xié)議流量與當(dāng)前基線不符時(shí)，會(huì)給出一個(gè)對(duì)等網(wǎng)絡(luò)流量的 異常告警；該模型會(huì)以代理程序形式存在對(duì)等網(wǎng)絡(luò)蠕蟲檢測(cè)代理管理系統(tǒng)內(nèi)數(shù)據(jù)庫中；稱 該模型為對(duì)等網(wǎng)絡(luò)流量異常檢測(cè)代理；2) 對(duì)等網(wǎng)絡(luò)蠕蟲檢測(cè)代理管理系統(tǒng)派發(fā)1)中創(chuàng)建的對(duì)等網(wǎng)絡(luò)流量異常檢測(cè)代理到基 于代理技術(shù)的對(duì)等網(wǎng)絡(luò)客戶端；3) 異常檢測(cè)代理對(duì)對(duì)等網(wǎng)絡(luò)流量進(jìn)行判定；4) 對(duì)3)檢查的結(jié)果，如果判定是正常對(duì)等網(wǎng)絡(luò)流量，則通過；如果判定是異常對(duì)等網(wǎng) 絡(luò)流量，則進(jìn)一步進(jìn)行對(duì)等網(wǎng)絡(luò)蠕蟲指紋識(shí)別和對(duì)等網(wǎng)絡(luò)蠕蟲傳播行為序列分析。
3. 如權(quán)利要求1所述的一種用于對(duì)等網(wǎng)絡(luò)的蠕蟲檢測(cè)方法，其特征還在于，對(duì)非正常 對(duì)等網(wǎng)絡(luò)流量進(jìn)行對(duì)等網(wǎng)絡(luò)蠕蟲指紋識(shí)別，該識(shí)別的實(shí)現(xiàn)流程如下1) 收集受保護(hù)網(wǎng)絡(luò)的流量信息；2) 計(jì)算收集到的網(wǎng)絡(luò)流量信息的特征值；3) 對(duì)流量特征值進(jìn)行數(shù)據(jù)指紋特征計(jì)算；4) 在對(duì)等網(wǎng)絡(luò)蠕蟲指紋特征數(shù)據(jù)庫中進(jìn)行匹配，如果匹配則是對(duì)等網(wǎng)絡(luò)蠕蟲；如果不 匹配則是正常流量。
4. 如權(quán)利要求1所述的一種用于對(duì)等網(wǎng)絡(luò)的蠕蟲檢測(cè)方法，其特征還在于，對(duì)非正常對(duì)等網(wǎng)絡(luò)流量進(jìn)行對(duì)等網(wǎng)絡(luò)蠕蟲傳播序列分析的實(shí)現(xiàn)流程如下1) 收集受保護(hù)的網(wǎng)絡(luò)連接信息；2) 將網(wǎng)絡(luò)連接信息轉(zhuǎn)換為連接信息狀態(tài)值；3) 對(duì)連接信息狀態(tài)值進(jìn)行數(shù)據(jù)聚合的計(jì)算；4) 在對(duì)等網(wǎng)絡(luò)蠕蟲傳播行為特征數(shù)據(jù)庫中進(jìn)行自相似性匹配，如果匹配說明是對(duì)等網(wǎng) 絡(luò)蠕蟲；如果不匹配則是正常流量。
5.如權(quán)利要求1所述的一種用于對(duì)等網(wǎng)絡(luò)的蠕蟲檢測(cè)方法，其特征在于，檢測(cè)出對(duì)等 網(wǎng)絡(luò)蠕蟲后可進(jìn)行對(duì)等網(wǎng)絡(luò)蠕蟲預(yù)警的實(shí)現(xiàn)流程如下1) 提取對(duì)等網(wǎng)絡(luò)蠕蟲流量，從中取得受感染機(jī)器的互聯(lián)網(wǎng)地址信息；2) 在互聯(lián)網(wǎng)地址數(shù)據(jù)庫中匹配感染蠕蟲機(jī)器位置信息，定位感染對(duì)等網(wǎng)絡(luò)蠕蟲機(jī)器的 位置；3) 通知已經(jīng)連接到該感染蠕蟲機(jī)器的其他對(duì)等網(wǎng)絡(luò)節(jié)點(diǎn)，終止與這個(gè)感染對(duì)等網(wǎng)絡(luò)蠕 蟲機(jī)器之間的網(wǎng)絡(luò)連接。
全文摘要
用于對(duì)等網(wǎng)絡(luò)的蠕蟲檢測(cè)方法涉及對(duì)等網(wǎng)絡(luò)安全領(lǐng)域，尤其涉及解決對(duì)等網(wǎng)絡(luò)安全中的蠕蟲檢測(cè)問題的技術(shù)，是一種解決對(duì)等網(wǎng)絡(luò)中的蠕蟲檢測(cè)與防御的解決方案。主要用于實(shí)現(xiàn)對(duì)等網(wǎng)絡(luò)蠕蟲的快速檢測(cè)，提高對(duì)等網(wǎng)絡(luò)應(yīng)用的安全性，該方法按照設(shè)定的時(shí)間在互聯(lián)網(wǎng)網(wǎng)絡(luò)中進(jìn)行對(duì)等網(wǎng)絡(luò)的蠕蟲檢測(cè)，結(jié)合移動(dòng)代理技術(shù)，使用派發(fā)的異常檢測(cè)代理對(duì)對(duì)等網(wǎng)絡(luò)流量進(jìn)行異常分析，以及通過對(duì)等網(wǎng)絡(luò)蠕蟲指紋匹配和對(duì)等網(wǎng)絡(luò)蠕蟲傳播行為特征分析，確定網(wǎng)絡(luò)中是否存在對(duì)等網(wǎng)絡(luò)蠕蟲，同時(shí)可對(duì)檢測(cè)出對(duì)等網(wǎng)絡(luò)蠕蟲后采取預(yù)警提示。
文檔編號(hào)H04L29/06GK101699787SQ20091018542
公開日2010年4月28日 申請(qǐng)日期2009年11月9日 優(yōu)先權(quán)日2009年11月9日
發(fā)明者吳敏, 徐鶴, 支萌萌, 李玲娟, 李致遠(yuǎn), 王汝傳, 韓志杰 申請(qǐng)人:南京郵電大學(xué)