一种基于传播特征的蠕虫检测方法

开篇：润墨网以专业的文秘视角，为您筛选了一篇一种基于传播特征的蠕虫检测方法范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要:随着计算机网络技术的飞速发展,网络蠕虫攻击成为目前影响网络安全的一个重要问题。实时监视网络蠕虫攻击,特别是在蠕虫传播早期检测到蠕虫,以采取相应的防御措施,减少蠕虫传播和攻击造成的损失变得尤为重要。通过分析网络蠕虫在传播过程中具有扩散性、链型以及传输数据相似等特征,提出了一种基于蠕虫传播特征的检测方法。实验结果表明:该检测方法在一定程度上降低了蠕虫检测的漏报率和错误率,对未知蠕虫具有较好的检测能力。

关键词:网络攻击;蠕虫;入侵检测;传播模型

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)09-2091-02

A Worm Detection Method based on Propagation Characteristics

LU Ning, SHANG Min

(Department of Computer Engineering and Technology, Guangdong Institute of Science and Technology, Zhuhai 519090, China)

Abstract: With the rapid development of Internet, network worm attacks has became the main threat to network security at present. It is necessary to monitor the worm attacks, especially in the early stage of worm transmission, and take measures of reducing the loss caused by worm attacks. A method based on Propagation Characteristics for worm detection is put forward, through analyzing the worm characteristics of diffusing, the chain linking pattern and similarity of transmission data. The experimental results show that the method has advantages in decreasing the rate of omitting and mistakes, and detecting unknown worms to some degree.

Key words: network attack; worm; intrusion detection; propagation model

随着计算机网络技术的飞速发展,Internet应用的深入,对计算机系统安全和网络安全的威胁日益增加。网络蠕虫是一种智能化、自动化的入侵技术,它传播速度快,潜伏能力强,覆盖面广,破坏能力强,不仅可以占用受感染主机的大部分系统资源,对目标系统造成破坏,同时,还会抢占网络带宽,造成网络严重堵塞,甚至使整个网络瘫痪。因此,如何对网络蠕虫进行检测、预警和应对,己成为计算机网络安全研究领域的一个重要课题。

由于蠕虫的危害极大,必须在它的传播初期发现其行为特征,将其检测出来,以便及时采取措施对其加以防范和遏止。本文根据蠕虫在传播阶段的特点,提出了一种基于蠕虫传播行为特征的检测方法。此方法在一定程度上降低了蠕虫检测的漏报率和错误率,对未知蠕虫具有较好的检测能力。

1 蠕虫传播阶段行为特征

蠕虫是一种智能化、自动化, 综合网络攻击、密码学和计算机病毒技术, 不需要计算机使用者干预即可运行的攻击程序或代码,它会扫描和攻击网络上存在系统漏洞的节点主机, 通过局域网或者国际互联网从一个节点传播到另外一个节点。

蠕虫的攻击过程通常包括感染、传播和执行负载三个阶段。 其中传播阶段是整个入侵系统的过程。从网络检测的角度而言,最佳时机是在蠕虫传播阶段,针对蠕虫的特征及其行为特点,分析捕获到的网络数据包,及早发现蠕虫活动,采取措施阻止它的破坏行为。

在传播阶段,蠕虫会采用多种技术,尽可能的发现攻击目标,利用系统漏洞,将自身从一个系统传播到另一个系统。蠕虫传播阶段具有如下行为特征:

1) 扩散的通信模式:为了感染更多的系统,受蠕虫感染节点在短时间内同时向多个目标系统发送探测消息。在发现多个漏洞系统后进行传播。

2) 链型通信模式:蠕虫的传播路径是连续的。主机A感染蠕虫后, 如果它又传染了B, 而B又传染了C, 那么就一定存在一条从A到C的路径,如果C继续感染其它主机, 那么该路径就会扩展, 从而形成一种链型通信模式。

3) 相似的传输数据:蠕虫传播路径上的各个网络连接一般具有相同的协议属性、目的端口属性、标志属性、相似的数据字段等。

2 蠕虫的传播模型

由图1知蠕虫传播特征可以通过树型结构来进行描述。树根为最初发起攻击的主机,树中的节点为受感染主机,每两个结点之间的有向边表示一次成功的攻击行为。从根结点到叶子结点的之间的路径为蠕虫传播的路径。

蠕虫的传播网络模型可用四元组表示。V = {V1, V2, ……, Vn}, 表示蠕虫传播路径上的主机集合;E = {(v1, v2),(v1, v3),…,(vi, vj) ……}, 表示一次成功的攻击行为, 且攻击是由主机i向主机j发起;Vm 表示结点上的信息,如IP地址;En={源端口, 目的端口,协议, 数据……}是定义在E上的函数, 表示边上的权值信息。

3 基于传播特征的蠕虫检测方法

蠕虫在传播过程中具有扩散性和链型特征。根据其特征,本文提出了基于传播特征的蠕虫检测方法。它包括扩散型通信模式检测和链型通信模式检测。

扩散型通信模式检测核心思想是:对单位时间内的网络数据包进行分析, 如果主机在某端口接收的数据包, 并将其发送到其他主机相同的端口,则该主机被认为是一个可疑主机。然后统计可疑主机传出的与其在i 端口所接收数据包内容相似的不同目地地址的数据包的频度, 如果频度达到或超过阈值N, 即这个主机在单位时间内与多于N个不同的目的结点进行了相似的通信, 则确认该可疑主机已被蠕虫感染。其实现步骤如下:

步骤1.数据预处理,对单位时间内的网络数据包集合按照协议类型、目的端口进行分类,以简化操作。

步骤2.对分类后的数据包进行分析,其流程如图2,其中N为阈值。

链型通信模式检测是通过查找链型传播特征,并对其进行分析以确定是否受到蠕虫攻击。链型通信模式能够准确的描述蠕虫传播过程中蠕虫传播的前后关联性,符合蠕虫传播的基本特征,同时检测通信链,并准确的定位和反映蠕虫的攻击进度和分布情况。其实现步骤如下:

步骤1.数据预处理,对单位时间内的网络数据包集合按照协议类型、目的端口进行分类,以简化操作。

步骤2.对每个分类数据集使用深度优先算法(DFS)进行遍历, 得到一组通信链的集合。

步骤3.对集合中的每条链中的结点进行分析,检测流程如图3所示。其中L为链的长度,α、β为阈值。阈值设置的合理性直接影响到检测的准确性。

4 实验结果与分析

为实验构建一个有5个子网的局域网,每个子网的地址空间为65535个,子网之间的连接带宽为100Mbps,由模拟工具产生的CodeRed蠕虫数据。其实验结果如表1。

以上结果显示:基于传播特征的蠕虫检测方法取得了预期的检测效果, 具有较高的检测率, 较低的误报率。当阈值设置逐渐升高时, 检测率降低, 漏报率升高, 误报率降低。因此要根据实际情况,恰当选择阈值。

5 小结

基于传播特征的蠕虫检测方法是根据网络中蠕虫传播的特征,对蠕虫进行检测,具有较高的检测率, 较低的误报率,该检测方法是可行的。但是,由于蠕虫具有相当的复杂性和行为不确定性,蠕虫的检测需要多种技术的综合应用,才能取得更好效果。

参考文献:

[1] 张新宇,卿斯汉.一种基于本地网络的蠕虫协同检测方法[J].软件学报,2007, 18(2):412-421.

[2] D Moore.Inside the Stammer Worm[J].IEEE Security & Privacy,2003,1(4):33-39.

[3] 袁艺,王轶骏.基于攻击树的协同入侵攻击建模[J].信息安全与通信保密,2006,3:55-57.