[发明专利]一种网络病毒检测方法、装置及设备

权利要求书

1.一种网络病毒检测方法，其特征在于，所述网络病毒为蠕虫病毒，所述方法包括：

采集目标局域网中的网络流量；

对所述网络流量进行解析，得到所述网络流量在连接类别维度、应用层协议类型维度和\或连接成功率维度下的统计信息；

分别计算各个维度下的统计信息的信息熵；所述分别计算各个维度下的统计信息的信息熵，包括：计算所述网络流量中各种连接类别的占比；并根据各种连接类别的占比，计算所述连接类别维度下的统计信息的信息熵；计算所述网络流量中各种应用层协议类型的概率；并根据各种应用层协议类型的概率，计算所述应用层协议类型维度下的统计信息的信息熵；计算所述网络流量中运输层协议连接成功与失败的概率；并根据运输层协议连接成功与失败的概率，计算所述连接成功率维度下的统计信息的信息熵；

将各个维度下的统计信息的信息熵，分别与对应的维度下的根据所述目标局域网中采集所述网络流量对应时间段的历史网络流量确定的信息熵范围进行比较，得到所述网络流量在各个维度下的偏离参数；

根据所述网络流量在各个维度下的偏离参数，确定所述目标局域网是否感染蠕虫病毒。

2.根据权利要求1所述的方法，其特征在于，所述根据所述网络流量在各个维度下的偏离参数，确定所述目标局域网是否感染蠕虫病毒，包括：

根据所述网络流量在各个维度下的所述偏离参数，确定所述网络流量在各个维度下的偏离程度值；

根据所述网络流量在各个维度下的偏离程度值，确定所述目标局域网是否感染蠕虫病毒。

3.根据权利要求2所述的方法，其特征在于，所述根据所述网络流量在各个维度下的所述偏离参数，确定所述网络流量在各个维度下的偏离程度值包括：

通过公式(1)计算所述网络流量在各维度下的偏离程度值；

其中，f(δ)表示各维度下的偏离程度值，δ表示各维度下的偏离参数。

4.根据权利要求2所述的方法，其特征在于，所述根据所述网络流量在各个维度下的偏离程度值，确定所述目标局域网是否感染蠕虫病毒，包括：

根据所述网络流量在各个维度下的偏离程度值，计算所述网络流量的综合置信度值；

判断所述综合置信度值是否大于预设异常门限值；

如果大于预设异常门限值，则确定所述局域网感染蠕虫病毒。

5.根据权利要求4所述的方法，其特征在于，所述根据所述网络流量在各个维度下的偏离程度值，计算所述网络流量的综合置信度值，包括：

将所述网络流量在各个维度下的偏离程度值和对应的置信度修正因子的乘积，作为所述网络流量在检测维度下的第一置信度分配值，所述第一置信度分配值用于表示所述网络流量在所述维度下存在异常的可信程度；

将所述网络流量在各个维度下的第一置信度分配值进行合成，得到所述网络流量的综合置信度值。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

对于任一维度，将1与对应的置信度修正因子的差值，确定为所述网络流量在所述维度下的第二置信度分配值，所述第二置信度分配值用于表示在所述维度下不确定所述网络流量是否存在异常的可信程度；

将所述网络流量在各个维度下的第二置信度分配值进行合成，得到所述网络流量的第二置信度分配合成值；

所述判断所述综合置信度值是否大于预设异常门限值之前，还包括：

判断所述网络流量的综合置信度值是否大于所述第二置信度分配合成值，如果是，则继续执行判断所述综合置信度值是否大于预设异常门限值的步骤。

7.根据权利要求2所述的方法，其特征在于，所述根据所述网络流量在各个维度下的所述偏离参数，确定所述网络流量在各个维度下的偏离程度值之前，还包括：

判断所述网络流量在各个维度下的偏离参数是否均为0；

如果所述网络流量在各个维度下的偏离参数均为0，则直接确定所述目标局域网未感染蠕虫病毒；

否则，在执行根据所述网络流量在各个维度下的所述偏离参数，确定所述网络流量在各个维度下的偏离程度值的步骤。