[发明专利]一种蠕虫特征自动提取的方法及系统

说明书

技术领域

本发明涉及信息安全技术领域，具体地来说为一种基于行为踪迹分析的蠕虫特征自动提取的方法及系统。

背景技术

自从1988年Morris蠕虫爆发以来，网络蠕虫就在不断的威胁着网络的安全。然而，随着网络与人们的经济和日常生活紧密地联系，网络蠕虫的爆发往往给人们的经济生活造成巨大的危害。例如，2001年code red蠕虫的爆发给人们带来了2.7亿美元的损失。为了能够有效抑制网络蠕虫的传播，人们开始关注于这个领域并且做了大量的工作。

理想的蠕虫模型可以揭示蠕虫的传播规律,对蠕虫的爆发产生有效地预警并且提供蠕虫检测的理论依据。自从2001年code red蠕虫事件爆发后,人们就开始对蠕虫进行建模和分析.然而，由于这些模型大多只能对于某种特殊的蠕虫进行建模，因此目前对于蠕虫模型的研究还不能深刻地反映蠕虫的传播规律。人们在蠕虫的检测以及抑制方面也做了大量的研究工作。在基于流量的蠕虫检测方面，TRAFEN系统通过检测ICMP－T3包并且结合扫描行为来检测未知蠕虫。Williamson通过限制网络主机的连接率来抑制网络蠕虫的传播。王平等人通过学习网络中每个用户连接外部主机的习惯完成对于蠕虫的监测。Schechter和Jung等人通过网络蠕虫连接失败与成功的比值来检测网络蠕虫的存在。还有通过分析蠕虫爆发时网络流量中熵的特性，对于蠕虫进行检测。张新宇等人则通过分析扫描蠕虫在本地网的行为,针对不同的行为特性使用不同的处理方法来揭示蠕虫在本地网络中的活动情况。虽然基于流量的蠕虫检测可以快速的检测到蠕虫的存在，但是不能够提供人们可以重用的蠕虫特征码。基于IDS报警对于网络蠕虫的行为进行了分析，但是由于IDS只能识别已知漏洞攻击代码以及已知的攻击，因此具有一定的局限性。

发明内容

针对现有技术中存在的上述蠕虫检测的局限性，本发明要解决的技术问题在于提供一种蠕虫特征自动提取的方法。

本发明采用如下的技术方案：

一种蠕虫特征自动提取的方法，包括：

1）收集通过计算机网卡的数据报文，分析数据流量，将离线学习网络中的目标IP地址作为受保护的IP地址存入数据库中，为网络的访问习惯建模，然后通过CUSUM算法发现网络中违背习惯模型的可疑的蠕虫的网络流量，并识别出可疑的网络蠕虫IP地址；

2）根据可疑的网络蠕虫数据通过关联算法分析可疑网络蠕虫的攻击踪迹，将攻击踪迹进一步聚集抽象出相同的攻击踪迹，确定蠕虫特征码的位置；

3）根据网络蠕虫聚集抽象出的相同攻击踪迹提取蠕虫攻击踪迹中的特征码，运用评判函数确定攻击踪迹中网络蠕虫的特征码。

步骤1）中利用CUSUM算法自动识别可疑的网络蠕虫的存在，具体步骤为：设DISIP(n,i)为第n个抽样间隔T内主机i访问的目标IP地址数目并且该目标IP地址在受保护的IP地址中出现，S_n(i)为第n个抽样间隔T内主机i访问的目标IP地址数目并且该目标IP地址没有在受保护的IP地址中出现，归一化为：

其中，1为初始值，η为常数，根据网络历史数据的分析来定；

第n个抽样间隔T内主机i访问的目标IP地址数目与归一化的比值：

定义：

Z_n(i)=X_n(i)-β,β>α（3）

其中α为X_n(i)的均值，β是常数，其设置是根据网络分析的经验来定；

则CUSUM算法满足条件：

y_n(i)=(y_n-1(i)+Z_n(i))⁺,

y₀(i)=0, （4）

y_n(i)为测试统计值，其中y_n(i)=(X_n(i))⁺表示：如果x大于0，y＝x；否则y＝0，则自动识别可疑检测表达式为：

其中，N是预先设定的攻击检测的门限，d_N(y_n(i))代表在时刻n的判决值：如果测试统计值y_n(i)大于N，则d_N(y_n(i))值为“1”，表示有蠕虫攻击发生，否则为“0”，表示情况正常。