[发明专利]蠕虫特征提取方法和装置

说明书

技术领域

本发明实施例涉及蠕虫特征提取技术，尤其涉及一种蠕虫特征提取方法和装置。 

背景技术

网络上流行着大量相同或者相似的应用软件，蠕虫利用这些应用软件的漏洞进行自动传播，其传播速度和危害惊人。目前，蠕虫检测和防御领域存在着两大研究方向，一个是误用检测，另一个是异常检测。 

误用检测的思想是利用已获知的蠕虫特征与网络数据包进行比对，如果网络数据包中包含了蠕虫特征则视为检测到蠕虫。所谓蠕虫特征即蠕虫样本中的一段或者几段字节序列组成的一个特征，通常一个准确的蠕虫特征应该在所有的蠕虫副本中都出现，而在其他蠕虫和正常网络数据包中不会出现。变形蠕虫通常会产生功能相同但是从字节角度看不同的样本，每一个这样的蠕虫样本都是这个蠕虫的一个副本。异常检测的思想是对正常情况下的网络状况进行建模，检测时如果发现网络状况和正常情况不符合则视为检测到蠕虫。 

但发明人在进行本发明的研究过程中发现上述方案存在准确性差的缺陷，尤其是在高度变形的蠕虫中提取蠕虫特征的准确性不高。 

发明内容

本发明实施例提供一种蠕虫特征提取方法和装置，以提高实时提取的蠕虫特征的准确性。 

本发明实施例提供了一种蠕虫特征提取方法，包括： 

获取网络数据包； 

从获取的网络数据包中提取字节序列，包括：提取长度大于或等于预先设定的最小长度值，且被包含次数大于或等于预先设定的最小次数值的字节序列； 

在各字节序列中识别具有子串和母串关系的成对字节序列，当包含所述子串字节序列的网络数据流也包含所述子串的母串字节序列时，将作为所述 子串的字节序列确定为无用字节序列去除； 

在预先获取到的正常网络数据包中，计算各所述字节序列的误报率，并将误报率小于或等于预先设定值的字节序列组装成蠕虫特征，其中，所述误报率为包含所述字节序列的正常网络数据包在全部正常网络数据包中出现的概率。 

本发明实施例还提供了一种蠕虫特征提取装置，包括： 

网络数据包获取模块，用于获取网络数据包； 

字节序列提取模块，用于从获取的网络数据包中提取字节序列； 

蠕虫特征组装模块，用于在预先获取到的正常网络数据包中，计算各所述字节序列的误报率，并将误报率小于或等于预先设定值的字节序列组装成蠕虫特征，其中，所述误报率为包含所述字节序列的正常网络数据包在全部正常网络数据包中出现的概率； 

其中，所述字节序列提取模块包括：第一参数解析单元，用于从各网络数据包中分别解析获取源IP地址、目的IP地址和目的端口号；第一数据流组装单元，用于将源IP地址、目的IP地址和目的端口号相同的网络数据包组装成一个网络数据流；字节序列提取子单元，用于从各网络数据流中提取字节序列； 

其中，所述字节序列提取子单元包括：长度值设定子单元，用于存储预先设定的待提取字节序列的最小长度值；次数值设定子单元，用于存储预先设定的待提取字节序列的最小次数值；提取子单元，用于提取长度大于或等于预先设定的所述最小长度值，且在网络数据流中的被包含次数大于或等于预先设定的所述最小次数值的字节序列； 

还包括：无用字节序列去除模块，包括：识别单元，用于在各字节序列中识别具有子串和母串关系的成对字节序列；判断单元，用于当判断出包含子串字节序列的网络数据流也包含子串的母串字节序列时，将作为所述子串的字节序列确定为无用字节序列；去除单元，用于将所述无用字节序列去除。 

由以上技术方案可知，本发明实施例在字节序列组装蠕虫特征的过程中引入了误报率的计算，根据误报率来组装蠕虫特征，使蠕虫特征能够满足误报率要求，从而能够提高实时组装蠕虫特征的准确性。由于可以自动完成字节序列提取、误报率计算和蠕虫特征组装的操作，所以可以减少人力资源投入，降低成本，还可以在出现新蠕虫时立即提取蠕虫特征，实时性得到有力保证。 

附图说明

图1为本发明第一实施例所提供的蠕虫特征提取方法的流程图； 

图2为本发明第二实施例所提供的蠕虫特征提取方法中提取字节序列的流程图； 

图3为本发明第三实施例所提供的蠕虫特征提取方法中捕捉网络数据包的流程图； 

图4为本发明第五实施例所提供的蠕虫特征提取方法中一种去除无用字 节序列优选实施方式的流程图； 

图5为本发明第六实施例所提供的蠕虫特征提取方法中组装蠕虫特征的流程图；