[发明专利]一种推测网络蠕虫传播路径的方法

说明书

技术领域

本发明涉及网络蠕虫检测系统中一种推测蠕虫传播路径的方法，尤其涉及一种在线推测网络蠕虫传播路径的方法。

背景技术

蠕虫爆发后，获取网络蠕虫的传播路径(即追踪蠕虫的攻击路径)不仅可以推测最早被感染的节点，还可以推测在传播过程中造成其它节点被感染的传播路径。即使只获取到部分路径，对抑制蠕虫继续传播和调查取证也具有重大意义。

推测蠕虫传播路径的研究工作主要有：1.以流量图为基础的算法，包括主机联系图上的算法和协议图上的算法等。主机联系图上的算法使用随机行走的概率方法，通过收集在蠕虫传播过程中各主机间通信流量得到蠕虫传播路径。协议图上的算法通过监控各种协议图的异常变化，检测目标列表扫描蠕虫和发起该蠕虫攻击的主机生成蠕虫传播路径；2.使用网络望远镜得到的蠕虫监测历史数据来推断蠕虫的感染序列；3.对特定蠕虫进行逆向工程分析。例如通过对witty蠕虫的逆向工程方法来分析它的随机扫描算法和相对应的随机种子。

现有的蠕虫传播路径获取方法都是采用离线分析方式，即在蠕虫攻击爆发之后，经过一段采集流量的时间，通过获取的网络流量数据进行分析，得到推测结果，很难做到实时地追踪(即几乎能在网络蠕虫攻击过程中获得传播路径)。这类离线方法虽然最后能够获取蠕虫的传播路径和攻击源，但不能在蠕虫爆发之时就获取传播路径，而且不能显示蠕虫传播路径随时间的动态变化情况。因此，有必要研究在复杂网络环境下在线追踪网络蠕虫的方法，用于接近实时地追踪网络蠕虫初始传染源，抑制蠕虫的继续传播，保证更多主机不被网络蠕虫传染。

发明内容

鉴于上述现有技术中存在的问题，本发明提供一种在线推测网络蠕虫传播路径的方法。该方法包含以下步骤：

步骤一：根据网络情况设定蠕虫检测周期R(单位：秒)与时间窗口S(单位：秒)，设置推测结果集为空；

步骤二：采集S秒网络流量，生成当前时间窗口的主机联系图；

步骤三：在主机联系图上应用聚积算法计算权值最大的Z条边作为当前时间窗口结果集；

步骤四：如果本次推测为第一次推测，将当前窗口结果集作为推测结果集；如果本次推测不为第一次推测，合并推测结果集与当前窗口结果集，选择权值最大的Z条边作为推测结果集；

步骤五：根据推测结果集重构感染树，推测蠕虫传播路径并告知客户；

步骤六：到达下一个检测周期后，转步骤二。

所述的步骤一当中设定检测周期，使用滑动窗口实时检测网络流量数据，实现蠕虫传播路径的在线检测。

所述的步骤三中计算当前时间窗口结果集采用聚积算法，是通过K次权值‘聚集-累积’过程，使得较多的权值聚积到感染边上，该算法执行至少包括以下步骤：

步骤1：在主机联系图上赋予每条边相同的初始权值；

步骤2：对于主机联系图上的每条边，将它的权值平均分配给它的前驱，生成每条边的新权值；

步骤3：重复步骤二K次；

步骤4：挑选权值最大的Z条边作为当前窗口蠕虫传播序列的结果集。

有益效果：本发明的优点在于：

1、应用聚积算法追踪蠕虫传播路径，可快速获取网络蠕虫的传播源和初始传播路径，计算复杂度与数据规模成正比；解决了传播路径选择冲突和相邻推测阶段传播路径合并等问题，能有效地提高准确率、降低误报率和漏报率。

2、采用滑动窗口采集网络流量数据，并R秒执行一次聚积算法，能尽早地发现蠕虫；每次执行只需采集最近S秒时间内的流量数据，降低了数据规模，减少了一次算法的运行时间。

3、在时间窗口中运行积聚算法从而接近实时地追踪网络蠕虫初始传染源，可在蠕虫爆发初期即可检测出感染边，获取网络蠕虫的传播源和初期传播路径，抑制蠕虫的继续传播。

附图说明

图1为本发明方法流程示意图。

具体实施方式

下面结合附图和实施例对本发明做进一步的说明：

实施方案详细介绍：

如图1所示，本发明的方法具体实施如下：

一、设定蠕虫检测周期R、检测时长S和推测结果集初值

根据网络情况设定蠕虫检测周期R(单位：秒)与检测时长S(单位：秒)，设置推测结果集为空。