一种基于通信量的内网蠕虫检测方法技术

本发明专利技术公开了一种基于通信量的内网蠕虫检测方法。该方法以网络镜像流量为数据源，实时考察节点之间的通信情况，将通信归类为正常通信和可疑通信，统计各节点和其他节点之间的可疑通信的通信量、通信时间，同时生成可疑通信树，将通信量、通信时间和可疑通信树的规模综合计算得到可疑度，如果可疑度超出预设报警阈值，则认为内网中已爆发蠕虫并汇报蠕虫感染情况。本发明专利技术克服了现有的网络蠕虫检测方法难以检测未知蠕虫和难以区分蠕虫与Ｐ２Ｐ应用等不足，可有效检测到内网的未知蠕虫。

【技术实现步骤摘要】

【技术保护点】
一种基于通信量的内网蠕虫检测方法，其特征在于：以网络镜像流量为数据源，实时考察节点之间的通信情况，将通信归类为正常通信和可疑通信，统计各节点和其他节点之间的可疑通信的通信量、通信时间，同时生成可疑通信树，将通信量、通信时间和可疑通信树的规模综合计算得到可疑度，如果可疑度超出预设报警阈值，则认为内网中已爆发蠕虫，具体包括以下步骤：１）确定报警阈值α和正常阈值β，β＜α，确定调节系统ｋ，初始化正常通信表、可疑通信表和可疑通信树表，开始接收镜像网络流；２）从镜像网络流中提取ＩＰ数据包，如果是与外网的通信数据包，则丢弃该ＩＰ数据包并重复执行步骤２），否则是内网ＩＰ数据包，提取ＩＰ数据包的ＴＣＰ或ＵＤＰ有效载荷，如果是ＴＣＰ包且是拆分包的一部分，那么等待重组完成后执行下一步骤，否则是独立数据包，继续执行下一步骤；３）根据数据包是ＴＣＰ或ＵＤＰ协议以及端口号划分通信分类，在正常通信表搜索该数据包所属通信分类，若未找到，则是可疑通信，继续执行下一步骤，否则是正常通信，跳转到步骤２）；４）查找可疑通信树表，如果尚无从属于该通信分类的可疑通信树，则为该通信分类创建可疑通信树，数据包的源节点作为根节点，更新可疑通信树表，继续执行下一步骤；５）遍历可疑通信树，在其中查找源节点，如果找到，继续执行下一步骤，否则未找到，跳转到步骤２）；６）在可疑通信树的源节点的直接子节点中查找目标节点，如果未找到，则将目标节点作为源节点的子节点添加到树中，在从源节点到目标节点的边上记录通信量和通信时间，如果找到目标节点，则更新已存在的从源节点到目标节点边上的通信量和通信时间，其中通信量以字节为单位，通信时间以毫秒为单位；７）记可疑通信树边数量为Ｅ，并给各条边分配编号ｉ，ｉ＝１，２，．．．，Ｅ，每条边的通信量Ｆ↓［ｉ］，通信时间Ｔ↓［ｉ］，所有边的平均通信量为Ｆ＝∑↓［ｉ＝１］↑［Ｅ］Ｆｉ／Ｅ，平均通信时间Ｔ＝∑↓［ｉ＝１］↑［Ｅ］Ｔｉ／Ｅ，所有边通信量的标准差σ↓［Ｆ］＝（∑↓［ｉ＝１］↑［Ｅ］（Ｆ－Ｆ↓［ｉ］）↑［２］／Ｅ）↑［０．５］，所有边通信时间的标准差σ↓［Ｔ］（∑↓［ｉ＝１］↑［Ｅ］（Ｔ－Ｔ↓［ｉ］）↑［２］／Ｅ）↑［０．５］，得到可疑度Ｍ＝ｋＦ↑［０．５］Ｔ↑［０．５］／ｌｎ（σ↓［Ｆ］＋１）.ｌｎ（σ↓［Ｔ］＋１）＋０．０１，更新可疑通信树表中对应的可疑度Ｍ，若Ｍ＞α，则认为子网爆发蠕虫，产生报警并汇报感染蠕虫的主机。...

【技术特征摘要】

【专利技术属性】
技术研发人员：林怀忠，苏啸鸣，王学松，
申请(专利权)人：浙江大学，
类型：发明
国别省市：86[中国|杭州]