[发明专利]一种自学习检测蠕虫的装置及其方法

说明书

技术领域

本发明涉及检测蠕虫的装置及其方法，特别涉及计算机网络与数据通信中的检测蠕虫的装置及其方法。

背景技术

自1988年莫里斯从实验室制造出第一个蠕虫病毒以来，计算机蠕虫病毒以其快速、多样化的传播方式不断给网络世界带来灾害。特别是1999年以后，高危蠕虫病毒的不断出现，多次均使世界经济蒙受了轻则几十亿、重则几百亿美元的巨大损失。

Internet蠕虫虽然常常被归类到广义的病毒中，但蠕虫同传统意义上的病毒除了在复制和传染方面具有相似性之外，还有很多不同点，如蠕虫主要以计算机为攻击目标，病毒主要以文件系统为攻击目标；蠕虫具有主动攻击特性，而病毒在传播时需要计算机使用者的触发等等。正是这些与病毒的不同之处，导致传统的病毒检测策略应用到对抗蠕虫时，基本上不再适用。在产生的破坏性上，蠕虫也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个Internet，造成Internet大面积无法正常工作。因此对Internet蠕虫有效检测方法，尤其是对各种类型蠕虫、包括目前暂时未知的，都广泛有效的检测方法的研究就非常关键。

现有的蠕虫检测系统主要有以下两种：

(1)由入侵检测系统(IDS，Intrusion Detection System)来完成。这类系统都是需要将网络中所有的流量都镜像到IDS系统中，然后由IDS对侦听到的IP数据包进行分析，当发现IP数据包中特征码与IDS中蠕虫特征码库相匹配时，即报告发现蠕虫。该方法由于采用与传统病毒检测方法相类似的特征匹配方法，一方面，由于特征库匹配性能较低，造成整体蠕虫检测性能低下；另一方面，对特征库的实时更新提出了更高的要求，导致适应范围窄；最后，该方法无法适用于未公开特征码的新型蠕虫。

(2)由流量异常分析系统来完成。这类系统通常是由具备该功能的网络设备来收集各网络设备上的流量信息，并对它们进行统计与分析。然后利用某种预定的流量异常阈值来判定是否是蠕虫。该方法主要以蠕虫活动常会导致流量异常变化作为理论依据。由于仅从流量的变化规律来分析，存在一定程度的误报。

以上两种方法，都存在适应范围窄、效率低、灵敏度较低、误报率较高的问题。因此迫切需要一种适用范围广、效率高、灵敏度高、误报率低的蠕虫检测方法。

发明内容

本发明的目的在于提供一种检测蠕虫的装置，该装置能够高效实时检测网络中可能感染蠕虫的主机，并且能够根据检测中出现误报的概率自动调整蠕虫行为特征描述结构中个参数的阈值，具有适应范围广、性能高、灵敏度可调、误报率低等优点。

本发明的检测蠕虫的装置的特征在于，包括：侦听网络数据包并对其进行处理的单元，该单元对收集的数据包按照TCP/IP协议模型进行分层与分类，并建立记录各主机发送数据包情况的设备发包统计信息表；判定是否是ARP请求数据包的单元，如果是则更新设备发包统计信息表，如果不是则判定是否是IP新建连接；判定是否是IP新建连接的单元，如果收到的数据包不是新建连接则不作处理，如果是新建连接则更新设备发包统计信息表；判断发送该数据包的设备是否是可疑设备的单元，根据设备发包统计信息表的内容判定该发送数据包的设备是否是感染蠕虫的可疑设备，如果是感染蠕虫的设备则对其进行标记，如果不是则不作处理。

本发明的检测蠕虫的装置的特征还在于，所述侦听网络数据并对其进行处理的单元，利用报文中源MAC地址、源IP地址作为散列参数计算索引值，并以该索引值建立主机信息散列表，该主机信息散列表用于根据索引值索引记录网络中各设备发送数据包情况的设备发包统计信息表。

本发明的检测蠕虫的装置的特征还在于，所述判断该设备是否是可疑设备的单元，根据ARP请求数据包发送频率来判定是否是可疑设备。

本发明的检测蠕虫的装置的特征还在于，所述判断该设备是否是可疑设备的单元，根据IP数据包中新建连接的频率来判定是否是可疑设备。

本发明的检测蠕虫的装置的特征还在于，所述新建连接包括：TCP、UDP、ICMP等。

本发明的检测蠕虫的装置的特征还在于，所述判断该设备是否是可疑设备的单元通过设定蠕虫行为特征描述结构中特定阈值M并计算上次计算频率直至当前时间的时间差Δt来计算所述ARP请求数据包发送频率。

本发明的检测蠕虫的装置的特征还在于，所述判断该设备是否是可疑设备的单元通过设定蠕虫行为特征描述结构中特定阈值M并计算上次计算频率直至当前时间的时间差Δt来计算所述新建连接的频率。

本发明的检测蠕虫的装置的特征还在于，还包括：自学习的单元，该单元在误报率大于一定值时自动调整所述蠕虫行为特征描述结构中的特定阈值M。