[发明专利]一种网络蠕虫检测与特征自动提取方法及其系统

说明书

技术领域

本发明涉及一种网络蠕虫检测与特征自动提取方法及系统，具体涉及一种基于行为的网络蠕虫检测与基于流量聚类的特征自动提取方法及系统，属于网络安全技术领域。

背景技术

网络恶意代码种类很多，包括网络蠕虫、网页木马和移动恶意代码等，其中网络蠕虫以其传播速度快、传播范围广等特点，造成的危害最为严重。1988年第一个网络蠕虫Morris的爆发就造成超过一千万美元的经济损失，2008年底出现的网络蠕虫Conficker在全球已经感染了超过1200万台主机。近年来网络蠕虫爆发情况的统计信息如图1所示，图表中列出了从2000年至今危害比较大的10个蠕虫，统计结果表明，网络蠕虫往往利用危害严重的系统漏洞进行传播，漏洞发布时间与蠕虫爆发时间的间隔在迅速减小，甚至出现利用0day漏洞进行传播的网络蠕虫，这意味着传统的人工提取网络蠕虫特征，再将特征升级到终端用户的杀毒软件的防范策略对这些快速扫描、主动传播的网络蠕虫，几乎失去了效果，这也是网络蠕虫能够快速传播，造成巨大危害的根本原因。

因此，网络蠕虫的检测与特征自动提取成为网络安全技术人员关注的热点问题。在专利文献CN1859199A中提到一种蠕虫检测方法，该方法通过判断主机向首次发起连接的IP地址的连接成功与否和这些首次连接的时间间隔，选择相应的概率计算方法计算主机感染蠕虫的概率，将所得概率值与阈值比较，若概率值大于阈值，则判定主机为异常主机。若无法判断，则将本次计算所得的概率作为下一次计算的先验概率，重新计算主机感染蠕虫的概率。在专利文献CN1697404A中提到了一种分布式的蠕虫检测方法，技术方案为，把不同终端采集的网络流量传给一个蠕虫分析单元，通过统计分析根据阈值判断终端是否遭到蠕虫攻击。

目前的专利文献仅限于蠕虫检测方法上，而且选择的检测策略相对单一，本发明给出的检测策略综合了四项蠕虫异常检测策略，可以有效地平衡单一策略带来的误报和漏报。更为重要的是，目前使用特征签名匹配的方法检测蠕虫时，需要人工更新特征数据库，因而只能检测已知蠕虫，本发明在异常检测的基础上，给出了一套自动提取蠕虫特征签名的方法，通过把提取出的特征签名更新到入侵检测系统(IDS)的特征签名数据库中，可以有效地匹配和检测出未知蠕虫。

发明内容

本发明的目的在于提供一种网络蠕虫检测与特征自动提取方法及其系统，从而能够更加准确、及时地发现网络蠕虫，并且能够自动提取蠕虫的特征，可以把特征签名更新到已有误用检测系统(IDS)的攻击特征数据库中，从而真正达到遏制蠕虫传播的目的。

本发明的技术方案如图2所示，具体分为以下五步：

1)以旁路侦听的方式在网关处捕获网络数据包；

2)捕获的数据包首先经过已有的IDS，通过与攻击特征数据库匹配，检测已知蠕虫攻击；

3)接着，数据包经过异常检测子系统，异常检测子系统通过基于行为和统计信息的异常检测算法，发现蠕虫传播异常后，发出告警信息，同时把网络流量分成可疑流量和正常流量，分别存储在可疑流量池与正常流量池中；

4)特征提取子系统以可疑池和正常池中的网络流量为输入，通过基于流量聚类的特征签名算法，提取特征签名；

5)提取特征签名并及时更新到网络攻击特征数据库中，从而有效地遏制网络蠕虫的传播。第三步中采用的网络蠕虫检测方法如下：

为了提高误用检测子系统的准确性，减少异常检测的误报和漏报，异常检测子系统综合了发起连接数异常、失败连接数异常、发散性异常和包相似性异常四种异常检测策略，每种策略会对目标主机的当前状态给出一个异常评分。把每种策略看成是判断主机是否出现异常的证据，通过证据融合得到一个最后的异常总评分，如果异常总评分大于阈值，则异常子系统发出告警信息，告警信息包括出现异常的目标主机的IP地址、异常端口号和时间等信息，同时该主机发出的针对异常端口的流量将存入可疑流量池，其它流量则存入正常流量池。四种异常发现策略简述如下：

(1)发起连接数异常。

在正常情况下，某台主机在一个时间窗(例如1min)内发起的连接数目符合一个稳定的泊松分布，当主机感染了网络蠕虫后，会进行扫描以发现更多有漏洞的主机进行传播，那么，该主机在一个时间窗内发起的连接数就不再符合一个稳定的泊松分布，统计学上，发现这种分布变化的问题成为变换点探测问题。通过CUSUM模型可以进行变换点探测，当发现了分布变化时，根据分布变化的严重程度，给出异常评分，分布变化越严重，评分越接近1，如果没有发现分布变化，异常评分为0。

(2)失败连接数异常。