国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種推測網(wǎng)絡(luò)蠕蟲傳播路徑的方法

      文檔序號:7865418閱讀:170來源:國知局
      專利名稱:一種推測網(wǎng)絡(luò)蠕蟲傳播路徑的方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及網(wǎng)絡(luò)蠕蟲檢測系統(tǒng)中一種推測蠕蟲傳播路徑的方法,尤其涉及一種在線推測網(wǎng)絡(luò)蠕蟲傳播路徑的方法。
      背景技術(shù)
      蠕蟲爆發(fā)后,獲取網(wǎng)絡(luò)蠕蟲的傳播路徑(即追蹤蠕蟲的攻擊路徑)不僅可以推測最早被感染的節(jié)點(diǎn),還可以推測在傳播過程中造成其它節(jié)點(diǎn)被感染的傳播路徑。即使只獲取到部分路徑,對抑制蠕蟲繼續(xù)傳播和調(diào)查取證也具有重大意義。推測蠕蟲傳播路徑的研究工作主要有1.以流量圖為基礎(chǔ)的算法,包括主機(jī)聯(lián)系圖上的算法和協(xié)議圖上的算法等。主機(jī)聯(lián)系圖上的算法使用隨機(jī)行走的概率方法,通過收集在蠕蟲傳播過程中各主機(jī)間通信流量得到蠕蟲傳播路徑。協(xié)議圖上的算法通過監(jiān)控各種 協(xié)議圖的異常變化,檢測目標(biāo)列表掃描蠕蟲和發(fā)起該蠕蟲攻擊的主機(jī)生成蠕蟲傳播路徑;
      2.使用網(wǎng)絡(luò)望遠(yuǎn)鏡得到的蠕蟲監(jiān)測歷史數(shù)據(jù)來推斷蠕蟲的感染序列;3.對特定蠕蟲進(jìn)行逆向工程分析。例如通過對witty蠕蟲的逆向工程方法來分析它的隨機(jī)掃描算法和相對應(yīng)的隨機(jī)種子。現(xiàn)有的蠕蟲傳播路徑獲取方法都是采用離線分析方式,即在蠕蟲攻擊爆發(fā)之后,經(jīng)過一段采集流量的時(shí)間,通過獲取的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行分析,得到推測結(jié)果,很難做到實(shí)時(shí)地追蹤(即幾乎能在網(wǎng)絡(luò)蠕蟲攻擊過程中獲得傳播路徑)。這類離線方法雖然最后能夠獲取蠕蟲的傳播路徑和攻擊源,但不能在蠕蟲爆發(fā)之時(shí)就獲取傳播路徑,而且不能顯示蠕蟲傳播路徑隨時(shí)間的動態(tài)變化情況。因此,有必要研究在復(fù)雜網(wǎng)絡(luò)環(huán)境下在線追蹤網(wǎng)絡(luò)蠕蟲的方法,用于接近實(shí)時(shí)地追蹤網(wǎng)絡(luò)蠕蟲初始傳染源,抑制蠕蟲的繼續(xù)傳播,保證更多主機(jī)不被網(wǎng)絡(luò)蠕蟲傳染。

      發(fā)明內(nèi)容
      鑒于上述現(xiàn)有技術(shù)中存在的問題,本發(fā)明提供一種在線推測網(wǎng)絡(luò)蠕蟲傳播路徑的方法。該方法包含以下步驟步驟一根據(jù)網(wǎng)絡(luò)情況設(shè)定蠕蟲檢測周期R(單位秒)與時(shí)間窗口 S(單位秒),設(shè)置推測結(jié)果集為空;步驟二 采集S秒網(wǎng)絡(luò)流量,生成當(dāng)前時(shí)間窗口的主機(jī)聯(lián)系圖;步驟三在主機(jī)聯(lián)系圖上應(yīng)用聚積算法計(jì)算權(quán)值最大的Z條邊作為當(dāng)前時(shí)間窗口結(jié)果集;步驟四如果本次推測為第一次推測,將當(dāng)前窗口結(jié)果集作為推測結(jié)果集;如果本次推測不為第一次推測,合并推測結(jié)果集與當(dāng)前窗口結(jié)果集,選擇權(quán)值最大的Z條邊作為推測結(jié)果集;步驟五根據(jù)推測結(jié)果集重構(gòu)感染樹,推測蠕蟲傳播路徑并告知客戶;步驟六到達(dá)下一個(gè)檢測周期后,轉(zhuǎn)步驟二。
      所述的步驟一當(dāng)中設(shè)定檢測周期,使用滑動窗口實(shí)時(shí)檢測網(wǎng)絡(luò)流量數(shù)據(jù),實(shí)現(xiàn)蠕蟲傳播路徑的在線檢測。所述的步驟三中計(jì)算當(dāng)前時(shí)間窗口結(jié)果集采用聚積算法,是通過K次權(quán)值‘聚集-累積’過程,使得較多的權(quán)值聚積到感染邊上,該算法執(zhí)行至少包括以下步驟步驟I :在王機(jī)聯(lián)系圖上賦予每條邊相同的初始權(quán)值;步驟2 :對于主機(jī)聯(lián)系圖上的每條邊,將它的權(quán)值平均分配給它的前驅(qū),生成每條邊的新權(quán)值;步驟3 :重復(fù)步驟二 K次;步驟4 :挑選權(quán)值最大的Z條邊作為當(dāng)前窗口蠕蟲傳播序列的結(jié)果集。有益效果本發(fā)明的優(yōu)點(diǎn)在于I、應(yīng)用聚積算法追蹤蠕蟲傳播路徑,可快速獲取網(wǎng)絡(luò)蠕蟲的傳播源和初始傳播路徑,計(jì)算復(fù)雜度與數(shù)據(jù)規(guī)模成正比;解決了傳播路徑選擇沖突和相鄰?fù)茰y階段傳播路徑合并等問題,能有效地提高準(zhǔn)確率、降低誤報(bào)率和漏報(bào)率。2、采用滑動窗口采集網(wǎng)絡(luò)流量數(shù)據(jù),并R秒執(zhí)行一次聚積算法,能盡早地發(fā)現(xiàn)蠕蟲;每次執(zhí)行只需采集最近S秒時(shí)間內(nèi)的流量數(shù)據(jù),降低了數(shù)據(jù)規(guī)模,減少了一次算法的運(yùn) 行時(shí)間。3、在時(shí)間窗口中運(yùn)行積聚算法從而接近實(shí)時(shí)地追蹤網(wǎng)絡(luò)蠕蟲初始傳染源,可在蠕蟲爆發(fā)初期即可檢測出感染邊,獲取網(wǎng)絡(luò)蠕蟲的傳播源和初期傳播路徑,抑制蠕蟲的繼續(xù)傳播。


      圖I為本發(fā)明方法流程示意圖。
      具體實(shí)施例方式下面結(jié)合附圖和實(shí)施例對本發(fā)明做進(jìn)一步的說明實(shí)施方案詳細(xì)介紹如圖I所示,本發(fā)明的方法具體實(shí)施如下一、設(shè)定蠕蟲檢測周期R、檢測時(shí)長S和推測結(jié)果集初值根據(jù)網(wǎng)絡(luò)情況設(shè)定蠕蟲檢測周期R(單位秒)與檢測時(shí)長S(單位秒),設(shè)置推測結(jié)果集為空。R和S值的選擇,用戶可以根據(jù)網(wǎng)絡(luò)情況和檢測側(cè)重點(diǎn)而定(如及早檢測出、檢測時(shí)間短,檢測準(zhǔn)確率高)。算法執(zhí)行的周期越短,越能及早地檢測出蠕蟲,但準(zhǔn)確率會有所降低。隨著執(zhí)行周期的增大,算法的準(zhǔn)確率有所增加,但準(zhǔn)確率隨執(zhí)行周期的變化是平緩的,每60秒執(zhí)行一次聚積算法即能達(dá)到近80%的準(zhǔn)確率。在時(shí)間窗口內(nèi)采集局部數(shù)據(jù)能夠降低運(yùn)行時(shí)間和內(nèi)存開銷,同時(shí)準(zhǔn)確率也會有所降低。時(shí)間窗口 S越大,算法的準(zhǔn)確率越高,但S = 2400和S = 3600時(shí)的準(zhǔn)確率相差很小。二、采集S秒網(wǎng)絡(luò)流量,生成當(dāng)前時(shí)間窗口的主機(jī)聯(lián)系圖;通過從捕包網(wǎng)卡等硬件設(shè)備采集最近S秒的網(wǎng)絡(luò)流量生成主機(jī)聯(lián)系圖。主機(jī)聯(lián)系圖定義如下
      網(wǎng)絡(luò)中的主機(jī)間通信定義為一個(gè)有向圖G=〈V,E>,稱其為主機(jī)聯(lián)系圖。其中圖的點(diǎn)集V = HXT,H是網(wǎng)絡(luò)中主機(jī)的集合,T表示時(shí)間;圖的邊集E是VXV的一個(gè)子集。圖G中的一條有向邊e=〈u,ts,v,te>表示網(wǎng)絡(luò)中的一個(gè)流。其中<u,ts> e HXT表示流的源主機(jī)和開始時(shí)間,〈V,te> e HXT表示流的目的主機(jī)和結(jié)束時(shí)間。如果一條邊帶有蠕蟲攻擊性,無論它是否成功的感染了目的主機(jī),則被稱為攻擊邊。如果一條攻擊邊成功地感染了一臺以前未被感染的目的主機(jī),則被稱為感染邊。G中除去攻擊邊之外的所有邊稱為正常邊。定義主機(jī)聯(lián)系圖中邊的相鄰關(guān)系,G中兩條邊G1 = <u1; ts17 V1, e2=<u2, ts2, v2,1^2>,若U2=V1且CtVtVA t (Δ t是預(yù)先設(shè)定的時(shí)間間隔參數(shù)),則稱e2是ei的后繼,G1是e2的前驅(qū)。e的前驅(qū)分別記為,其中PRE (e)表示e的前驅(qū)個(gè)數(shù)。類似地,e的后繼分別記為心心,…,,其中SUC(e)表示e的后繼個(gè)數(shù),前驅(qū)和后繼描述了邊之間的相鄰關(guān)系。三、在主機(jī)聯(lián)系圖上計(jì)算權(quán)值最大的Z條邊作為當(dāng)前時(shí)間窗口結(jié)果集; 本發(fā)明提出了蠕蟲傳播路徑的推測方法一聚積算法。首先賦予每條邊相同的權(quán)值;然后算法通過K次權(quán)值‘聚集-累積’過程(聚積過程),使得較多的權(quán)值聚積到感染邊上;最后挑選權(quán)值最大的Z條邊推測出蠕蟲傳播的初始序列。設(shè)p(e,i)為邊e第i次聚積過程中的權(quán)增量,算法結(jié)束后e的總權(quán)值為p(e)=i>(e,o。每一次權(quán)值聚積的過程,就是對上一次的權(quán)增量進(jìn)行重新分配的過程。具體
      ι I
      地,將上一次的權(quán)增量P (e, i-Ι)均勻地分配給e的所有前驅(qū)w,構(gòu)成這些前驅(qū)邊本次權(quán)增量的一部分。如此迭代K次,邊的權(quán)增量不斷地分配給他們的前驅(qū)。對權(quán)增量的重新分配過程,實(shí)際上也是權(quán)值在感染鏈上的逆聚積過程。算法執(zhí)行過程如下I) i=0 ;p (e) = O. O ;p (e,O) =1.0;2) i=i+l ;s·;⑴p (e) = p(e)+p(e, i);3)如果i〈K則轉(zhuǎn)到第2)步,否則轉(zhuǎn)到第4)步;4)挑選出ρ (e)最大的Z條邊作為結(jié)果集(記為ANS),推測蠕蟲傳播初期的感染樹·參數(shù)K和Z的選擇使用聚積算法時(shí)僅需要較少的聚集次數(shù)就能得到很好的結(jié)果;隨著Z的增大,越來越多的非感染邊被選入結(jié)果集,適當(dāng)增大Z有助于檢測出隱蔽性高的蠕蟲。四、如果本次推測為第一次推測,將當(dāng)前窗口結(jié)果集作為推測結(jié)果集;否則合并推測結(jié)果集與當(dāng)前窗口結(jié)果集,從并集中選擇權(quán)值最大的Z條邊賦值給推測結(jié)果集。五、根據(jù)推測結(jié)果集重構(gòu)感染樹,推測蠕蟲傳播路徑并告知客戶;六、到達(dá)下一個(gè)檢測周期后,轉(zhuǎn)步驟二。通過設(shè)定的檢測周期,實(shí)現(xiàn)了蠕蟲傳播路徑的在線檢測。暫停R秒后,轉(zhuǎn)步驟二進(jìn)行下一次蠕蟲檢測,通過推測路徑結(jié)果集保存本次檢測結(jié)果并提供給下一次檢測。實(shí)施例在由907個(gè)主機(jī)構(gòu)成的網(wǎng)絡(luò)環(huán)境中運(yùn)行本發(fā)明所提出的蠕蟲傳播路徑推測方法,檢測周期R = 60秒,時(shí)間窗口 S=2400秒。聚積算法中聚積執(zhí)行的次數(shù)K=9,結(jié)果集中感染邊數(shù)Ζ=100。方法執(zhí)行I小時(shí)后,推測得出的蠕蟲傳播路徑準(zhǔn)確率為92%。
      上述僅為本發(fā)明的較佳實(shí)施例而已,并非用來限定本發(fā)明實(shí)施范圍。即凡依本發(fā)明申請專利范圍所作的均等變化與修飾,皆為本發(fā)明專利范圍所涵蓋。
      權(quán)利要求
      1.一種推測網(wǎng)絡(luò)蠕蟲傳播路徑的方法,其特征在于至少包括以下幾個(gè)步驟 步驟一根據(jù)網(wǎng)絡(luò)情況設(shè)定蠕蟲檢測周期R(單位秒)與時(shí)間窗口 S(單位秒),設(shè)置推測結(jié)果集為空; 步驟二 采集S秒網(wǎng)絡(luò)流量,生成當(dāng)前時(shí)間窗口的主機(jī)聯(lián)系圖; 步驟三在主機(jī)聯(lián)系圖上應(yīng)用聚積算法計(jì)算權(quán)值最大的Z條邊作為當(dāng)前時(shí)間窗口結(jié)果集; 步驟四如果本次推測為第一次推測,將當(dāng)前窗口結(jié)果集作為推測結(jié)果集;如果本次推測不是第一次推測,合并推測結(jié)果集與當(dāng)前窗口結(jié)果集,選擇權(quán)值最大的Z條邊作為推測結(jié)果集; 步驟五根據(jù)推測結(jié)果集重構(gòu)感染樹,推測蠕蟲傳播路徑并告知客戶; 步驟六到達(dá)下一個(gè)檢測周期后,轉(zhuǎn)步驟二。
      2.根據(jù)權(quán)利要求I所述的一種推測網(wǎng)絡(luò)蠕蟲傳播路徑的方法,其特征在于所述的步驟一當(dāng)中設(shè)定檢測周期,使用滑動窗口實(shí)時(shí)檢測網(wǎng)絡(luò)流量數(shù)據(jù),實(shí)現(xiàn)蠕蟲傳播路徑的在線推測。
      3.根據(jù)權(quán)利要求I所述的一種推測網(wǎng)絡(luò)蠕蟲傳播路徑的方法,其特征在于所述的步驟三中計(jì)算當(dāng)前時(shí)間窗口結(jié)果集采用聚積算法,是通過K次權(quán)值‘聚集-累積’過程,使得較多的權(quán)值聚積到感染邊上,該算法執(zhí)行至少包括以下步驟 步驟I:在主機(jī)聯(lián)系圖上賦予每條邊相同的初始權(quán)值; 步驟2 :對于主機(jī)聯(lián)系圖上的每條邊,將它的權(quán)值平均分配給它的前驅(qū),生成每條邊的新權(quán)值; 步驟3:重復(fù)步驟二 K次; 步驟4 :挑選權(quán)值最大的Z條邊作為當(dāng)前窗口蠕蟲傳播序列的結(jié)果集。
      全文摘要
      本發(fā)明提供一種推測網(wǎng)絡(luò)蠕蟲傳播路徑的方法。該方法采用時(shí)間窗口周期性地采集網(wǎng)絡(luò)流量數(shù)據(jù),生成主機(jī)聯(lián)系圖,通過運(yùn)行聚積算法將較多的權(quán)值聚積到感染邊上;挑選權(quán)值最大的Z條邊作為當(dāng)前時(shí)間窗口的網(wǎng)絡(luò)蠕蟲傳播路徑結(jié)果集;合并上次推測結(jié)果集與當(dāng)前時(shí)間窗口結(jié)果集,推測感染樹的頂層部分,實(shí)現(xiàn)對歷史時(shí)間窗口推測結(jié)果的不斷積累和當(dāng)前時(shí)間窗口推測結(jié)果的反饋修正,提高推測的精度。本發(fā)明的優(yōu)點(diǎn)在于可以在不影響或輕微影響蠕蟲檢測系統(tǒng)性能的前提下,實(shí)現(xiàn)接近實(shí)時(shí)的網(wǎng)絡(luò)蠕蟲傳播路徑推測,能夠較早地發(fā)現(xiàn)感染源與傳播路徑,并且推測準(zhǔn)確性高,誤報(bào)率與漏報(bào)率低,速度快。
      文檔編號H04L29/06GK102916975SQ20121045793
      公開日2013年2月6日 申請日期2012年11月14日 優(yōu)先權(quán)日2012年11月14日
      發(fā)明者郭 東, 李強(qiáng) 申請人:吉林大學(xué)
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1