[发明专利]一种蠕虫特征自动提取的方法及系统

摘要

本发明涉及信息安全技术领域，具体地来说为一种基于行为踪迹分析的蠕虫特征自动提取的方法。首先，通过学习网络流量为网络的访问习惯建模，基于CUSUM(Cumulative Sum)算法检测网络中违背习惯模型的流量即为可疑的蠕虫流量。然后，对于网络蠕虫的行为踪迹进行了定义和分类。在可疑的蠕虫流量中利用Petri网关联分析网络蠕虫的行为踪迹。最后，运用评判函数确定提取踪迹中网络蠕虫的特征码。实验表明文中的方法可以高效准确地提取网络蠕虫的特征码。通过理论分析和实验数据相结合得到如下结论网络蠕虫的行为踪迹虽然不能够准确地区分蠕虫的身份，但是它却能帮助确定蠕虫的特征码的位置，从而有效地提取蠕虫的特征码。

主权项

一种蠕虫特征自动提取的方法，其特征在于，包括：1)收集通过计算机网卡的数据报文，分析数据流量，将离线学习网络中的目标IP地址作为受保护的IP地址存入数据库中，为网络的访问习惯建模，然后通过CUSUM算法发现网络中违背习惯模型的可疑的蠕虫的网络流量，并识别出可疑的网络蠕虫IP地址；2)根据可疑的网络蠕虫数据通过关联算法分析可疑网络蠕虫的攻击踪迹，将攻击踪迹进一步聚集抽象出相同的攻击踪迹，确定蠕虫特征码的位置；3)根据网络蠕虫聚集抽象出的相同攻击踪迹提取蠕虫攻击踪迹中的特征码，运用评判函数确定攻击踪迹中网络蠕虫的特征码；步骤2)中将攻击踪迹进一步关联聚集抽象出相同的攻击踪迹，具体为：采用Petri网建立蠕虫攻击踪迹的事件关联模型，采用聚集方法得到超级事件聚集元组集合HEZ＝(id，he，count)，其中id代表网络蠕虫行为踪迹的编号，he为超级事件向量，count为he的重复发生次数；提取的特征超级事件聚集元组hez(id，he，count)的发生概率P如下：P(hez)=hez.countΣhey∈HEZhey.count*100%---(6)]]>其中hez.count为超级事件聚集元组超级事件向量的重复发生次数，hey.count为关联后聚集的蠕虫行为踪迹，相同或相似的行为踪迹重复发生次数；当p(hez)越大，该踪迹为网络蠕虫行为踪迹的概率越大，从而确定为蠕虫特征码的位置；事件关联模型包括顺序关系、与关系以及或关系；顺序关系定义为：如果c[e1>，但是c’[e2>，其中c’是c的后继：c[e1>c’，就是说事件e1和事件e2在c内有顺序关系，表示事件e1和事件e2顺序相关，只授权事件e1发生，事件e2则在后继情态有发生权；与关系定义为：如果c[e1>∧c[e2>，则说明事件e1和事件e2具有与的关系，关联规则e1∧e2的模型，三个主库所分别代表了网络事件e1、e2和复合事件e3＝e1∧e2，从事件e1和事件e2到变迁c的输入弧不包含常量，表示每次移动的令牌数为1；从变迁c到复合事件e3的输出弧上的操作∧表示对两个令牌代表的事件执行的操作；变迁c上的谓词表示对令牌内容的限制；或关系定义：如果c[e1>∨c[e2>，则说明事件e1和事件e2具有或的关系，为关联规则e1∨e2的模型，具有两个变迁。