[发明专利]一种蠕虫检测方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种蠕虫检测方法及装置。

背景技术

互联网的应用给人们的日常生活和工作带来了极大的方便，但随着网络规模的不断扩大，网络复杂度的不断增加，网络所产生的漏洞也越来越多，互联网中的安全问题及其带来的损失也越来越大。

在互联网安全问题造成的损失中，计算机恶意软件造成的损失占用最大的比重。计算机恶意软件主要包括：计算机病毒、蠕虫、木马、后门、逻辑炸弹等。

其中，计算机病毒是一段能够使自己添加到其他可执行程序上的代码，其本身不能独立运行，而需要由其宿主程序来激活它运行。蠕虫则是一种无需用户干预能够独立运行的程序，其通过不停的获取网络中存在漏洞的终端上的部分或者全部控制权限来进行传播，蠕虫的攻击流程具体如图1所示。图1为现有技术中蠕虫攻击的过程，具体包括以下步骤：

S101：感染了蠕虫的终端探测网络中的攻击目标。

S102：对探测到的攻击目标进行攻击，获取攻击目标的权限。

S103：蠕虫将自身复制到攻击目标中，并返回步骤S101。

由于蠕虫具有自我复制功能，因此被感染的终端又会重复上述步骤S101~S103，以继续传播蠕虫。

可见，与一般的计算机病毒相比，蠕虫的传播速度更快，影响的范围更广。据计算机紧急响应小组（CERT）的统计，仅在2011年10月16~22日这一周的时间，境内感染飞客（Conficker）蠕虫的终端就高达160.2万台，一周之内被篡改的网站高达508个。因此，如何对网络中的蠕虫进行有效的检测和防御成为一个亟待解决的问题。

在现有技术中，对蠕虫进行检测的一种方法为：基于蜜罐（Honeypot）技术对蠕虫进行检测。具体为：将Honeypot命名为与终端的某个系统文件相似的名称，并通过Honeypot提供有漏洞的服务，以诱骗网络中的蠕虫对Honeypot进行攻击，当Honeypot检测到蠕虫的攻击时，提取蠕虫的特征并添加到特征库中，用以后续对具有该特征的数据包进行防御。

另一种蠕虫检测方法为：基于内容的检测方法。具体的，将接收到的数据包分为正常数据包和可疑数据包，将可疑数据包进行会话重组，按照一定规则将重组后的会话中的数据划分为若干个字符串，统计各个字符串出现的频率，将频率大于设定阈值的字符串作为蠕虫的特征添加到特征库中，用以后续对具有该特征的数据包进行防御。

在通过基于内容的检测方法进行蠕虫检测时，也可以不对接收到的数据包区分正常数据包和可疑数据包，而是将每个数据包中的数据都进行字符串的划分，并统计各个字符串出现的频率，根据统计的频率进后续步骤。

可见，现有技术中的蠕虫检测方法都是终端根据接收到的数据包检测自身是否受到了蠕虫的攻击的被动检测方法，即使检测出自身受到了攻击而进行防御，最多也只能保护该终端自身不被蠕虫感染，无法保证网络中的其他设备不被蠕虫感染，从而无法有效的抑制蠕虫的传播。

发明内容

本发明实施例提供一种蠕虫检测方法及装置，用以解决现有技术中无法有效的抑制蠕虫的传播的问题。

本发明实施例提供的一种蠕虫检测方法，包括：

终端确定待发送的数据包的目的地址，将所述待发送的数据包添加到所述目的地址对应的等待队列中；并

检测在设定周期内添加到所述等待队列中的数据包的数量是否超过设定数量；以及

若是，则确定自身感染了蠕虫，断开与所述目的地址对应的设备的连接。

本发明实施例提供的一种蠕虫检测装置，包括：

拦截模块，用于确定待发送的数据包的目的地址，将所述待发送的数据包添加到所述目的地址对应的等待队列中；

检测模块，用于检测在设定周期内添加到所述等待队列中的数据包的数量是否超过设定数量；

控制模块，用于当所述检测模块检测到在设定周期内添加到所述等待队列中的数据包的数量超过设定数量时，确定感染了蠕虫，断开与所述目的地址对应的设备的连接。

本发明实施例提供一种蠕虫检测方法及装置，该方法终端将待发送的数据包添加到该待发送的数据包的目的地址对应的等待队列中，检测在设定周期内添加到等待队列中的数据包的数量是否超过设定数量，若是，则确定自身感染了蠕虫，断开与该目的地址对应的设备的连接。通过上述方法，终端可以主动的检测出自身是否正在对网络中的其他设备进行攻击，当检测出自身正在攻击网络中的其他设备时，断开自身与其他设备的连接，实现自我隔离，从而可以有效的抑制蠕虫的传播。

附图说明