一种基于蠕虫传播行为的蠕虫检测方法技术

本发明专利技术公开了一种基于蠕虫传播行为的蠕虫检测方法，其特征在于，包括以下步骤：①数据包采集：实时采集网络上的数据包；②失败连接判别：根据采集到的数据包判断源计算机是否是第一次向目标计算机发起连接，如果是则记录在首次连接表中；根据采集到的数据包判断首次连接表中的连接是否是失败连接，如果是失败连接则将该首次连接的状态记录为一个失败连接；③可疑流量检测：根据失败连接表的信息检测出可疑流量并记录在可疑流量表中，检测依据是蠕虫的一个特征行为：短时间内产生大量的连接，这些连接的绝大多是失败连接并且目标ＩＰ地址不同；④蠕虫识别：根据可疑流量表的信息识别蠕虫流量，依据是蠕虫的另一个行为特征：传播行为。

【技术实现步骤摘要】

【技术保护点】
一种基于蠕虫传播行为的蠕虫检测方法，其特征在于，包括以下步骤：①数据包采集：实时采集网络上的数据包；②失败连接判别：根据采集到的数据包判断源计算机是否是第一次向目标计算机发起连接，如果是则记录在首次连接表中；根据采集到的数据包判断首次连接表中的连接是否是失败连接，如果是失败连接则将该首次连接的状态记录为一个失败连接；③可疑流量检测：根据失败连接表的信息检测出可疑流量并记录在可疑流量表中，检测依据是蠕虫的一个特征行为：短时间内产生大量的连接，这些连接的绝大多是失败连接并且目标ＩＰ地址不同；④蠕虫识别：根据可疑流量表的信息识别蠕虫流量，依据是蠕虫的另一个行为特征：传播行为。

【技术特征摘要】

【专利技术属性】
技术研发人员：张小松，陈厅，陈大鹏，王霄麟，黄磊，
申请(专利权)人：电子科技大学，
类型：发明
国别省市：90[中国|成都]