專利名稱:一種推測網(wǎng)絡(luò)蠕蟲傳播路徑的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)蠕蟲檢測系統(tǒng)中一種推測蠕蟲傳播路徑的方法�,尤其涉及一種在線推測網(wǎng)絡(luò)蠕蟲傳播路徑的方法����。
背景技術(shù):
蠕蟲爆發(fā)后�����,獲取網(wǎng)絡(luò)蠕蟲的傳播路徑(即追蹤蠕蟲的攻擊路徑)不僅可以推測最早被感染的節(jié)點���,還可以推測在傳播過程中造成其它節(jié)點被感染的傳播路徑��。即使只獲取到部分路徑�,對抑制蠕蟲繼續(xù)傳播和調(diào)查取證也具有重大意義�。推測蠕蟲傳播路徑的研究工作主要有1.以流量圖為基礎(chǔ)的算法��,包括主機聯(lián)系圖上的算法和協(xié)議圖上的算法等。主機聯(lián)系圖上的算法使用隨機行走的概率方法�����,通過收集在蠕蟲傳播過程中各主機間通信流量得到蠕蟲傳播路徑。協(xié)議圖上的算法通過監(jiān)控各種 協(xié)議圖的異常變化�����,檢測目標(biāo)列表掃描蠕蟲和發(fā)起該蠕蟲攻擊的主機生成蠕蟲傳播路徑���;
2.使用網(wǎng)絡(luò)望遠(yuǎn)鏡得到的蠕蟲監(jiān)測歷史數(shù)據(jù)來推斷蠕蟲的感染序列;3.對特定蠕蟲進(jìn)行逆向工程分析���。例如通過對witty蠕蟲的逆向工程方法來分析它的隨機掃描算法和相對應(yīng)的隨機種子?,F(xiàn)有的蠕蟲傳播路徑獲取方法都是采用離線分析方式��,即在蠕蟲攻擊爆發(fā)之后����,經(jīng)過一段采集流量的時間�����,通過獲取的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行分析,得到推測結(jié)果,很難做到實時地追蹤(即幾乎能在網(wǎng)絡(luò)蠕蟲攻擊過程中獲得傳播路徑)�����。這類離線方法雖然最后能夠獲取蠕蟲的傳播路徑和攻擊源�����,但不能在蠕蟲爆發(fā)之時就獲取傳播路徑�����,而且不能顯示蠕蟲傳播路徑隨時間的動態(tài)變化情況����。因此����,有必要研究在復(fù)雜網(wǎng)絡(luò)環(huán)境下在線追蹤網(wǎng)絡(luò)蠕蟲的方法����,用于接近實時地追蹤網(wǎng)絡(luò)蠕蟲初始傳染源����,抑制蠕蟲的繼續(xù)傳播����,保證更多主機不被網(wǎng)絡(luò)蠕蟲傳染����。
發(fā)明內(nèi)容
鑒于上述現(xiàn)有技術(shù)中存在的問題��,本發(fā)明提供一種在線推測網(wǎng)絡(luò)蠕蟲傳播路徑的方法。該方法包含以下步驟步驟一根據(jù)網(wǎng)絡(luò)情況設(shè)定蠕蟲檢測周期R(單位秒)與時間窗口 S(單位秒)��,設(shè)置推測結(jié)果集為空�;步驟二 采集S秒網(wǎng)絡(luò)流量����,生成當(dāng)前時間窗口的主機聯(lián)系圖�����;步驟三在主機聯(lián)系圖上應(yīng)用聚積算法計算權(quán)值最大的Z條邊作為當(dāng)前時間窗口結(jié)果集���;步驟四如果本次推測為第一次推測�,將當(dāng)前窗口結(jié)果集作為推測結(jié)果集;如果本次推測不為第一次推測����,合并推測結(jié)果集與當(dāng)前窗口結(jié)果集�,選擇權(quán)值最大的Z條邊作為推測結(jié)果集��;步驟五根據(jù)推測結(jié)果集重構(gòu)感染樹,推測蠕蟲傳播路徑并告知客戶����;步驟六到達(dá)下一個檢測周期后�����,轉(zhuǎn)步驟二�。
所述的步驟一當(dāng)中設(shè)定檢測周期����,使用滑動窗口實時檢測網(wǎng)絡(luò)流量數(shù)據(jù)�,實現(xiàn)蠕蟲傳播路徑的在線檢測���。所述的步驟三中計算當(dāng)前時間窗口結(jié)果集采用聚積算法,是通過K次權(quán)值‘聚集-累積’過程,使得較多的權(quán)值聚積到感染邊上�,該算法執(zhí)行至少包括以下步驟步驟I :在王機聯(lián)系圖上賦予每條邊相同的初始權(quán)值�;步驟2 :對于主機聯(lián)系圖上的每條邊�����,將它的權(quán)值平均分配給它的前驅(qū)�,生成每條邊的新權(quán)值����;步驟3 :重復(fù)步驟二 K次��;步驟4 :挑選權(quán)值最大的Z條邊作為當(dāng)前窗口蠕蟲傳播序列的結(jié)果集。有益效果本發(fā)明的優(yōu)點在于I�、應(yīng)用聚積算法追蹤蠕蟲傳播路徑����,可快速獲取網(wǎng)絡(luò)蠕蟲的傳播源和初始傳播路徑����,計算復(fù)雜度與數(shù)據(jù)規(guī)模成正比��;解決了傳播路徑選擇沖突和相鄰?fù)茰y階段傳播路徑合并等問題����,能有效地提高準(zhǔn)確率、降低誤報率和漏報率���。2、采用滑動窗口采集網(wǎng)絡(luò)流量數(shù)據(jù)�,并R秒執(zhí)行一次聚積算法�����,能盡早地發(fā)現(xiàn)蠕蟲�;每次執(zhí)行只需采集最近S秒時間內(nèi)的流量數(shù)據(jù)��,降低了數(shù)據(jù)規(guī)模,減少了一次算法的運 行時間�����。3���、在時間窗口中運行積聚算法從而接近實時地追蹤網(wǎng)絡(luò)蠕蟲初始傳染源�,可在蠕蟲爆發(fā)初期即可檢測出感染邊���,獲取網(wǎng)絡(luò)蠕蟲的傳播源和初期傳播路徑���,抑制蠕蟲的繼續(xù)傳播�����。
圖I為本發(fā)明方法流程示意圖�����。
具體實施例方式下面結(jié)合附圖和實施例對本發(fā)明做進(jìn)一步的說明實施方案詳細(xì)介紹如圖I所示,本發(fā)明的方法具體實施如下一�、設(shè)定蠕蟲檢測周期R��、檢測時長S和推測結(jié)果集初值根據(jù)網(wǎng)絡(luò)情況設(shè)定蠕蟲檢測周期R(單位秒)與檢測時長S(單位秒),設(shè)置推測結(jié)果集為空。R和S值的選擇��,用戶可以根據(jù)網(wǎng)絡(luò)情況和檢測側(cè)重點而定(如及早檢測出����、檢測時間短�����,檢測準(zhǔn)確率高)���。算法執(zhí)行的周期越短��,越能及早地檢測出蠕蟲,但準(zhǔn)確率會有所降低����。隨著執(zhí)行周期的增大��,算法的準(zhǔn)確率有所增加,但準(zhǔn)確率隨執(zhí)行周期的變化是平緩的����,每60秒執(zhí)行一次聚積算法即能達(dá)到近80%的準(zhǔn)確率��。在時間窗口內(nèi)采集局部數(shù)據(jù)能夠降低運行時間和內(nèi)存開銷,同時準(zhǔn)確率也會有所降低���。時間窗口 S越大�����,算法的準(zhǔn)確率越高,但S = 2400和S = 3600時的準(zhǔn)確率相差很小。二����、采集S秒網(wǎng)絡(luò)流量�����,生成當(dāng)前時間窗口的主機聯(lián)系圖�����;通過從捕包網(wǎng)卡等硬件設(shè)備采集最近S秒的網(wǎng)絡(luò)流量生成主機聯(lián)系圖�����。主機聯(lián)系圖定義如下
網(wǎng)絡(luò)中的主機間通信定義為一個有向圖G=〈V,E>���,稱其為主機聯(lián)系圖���。其中圖的點集V = HXT�����,H是網(wǎng)絡(luò)中主機的集合����,T表示時間�����;圖的邊集E是VXV的一個子集�。圖G中的一條有向邊e=〈u���,ts���,v����,te>表示網(wǎng)絡(luò)中的一個流���。其中<u�����,ts> e HXT表示流的源主機和開始時間���,〈V�����,te> e HXT表示流的目的主機和結(jié)束時間�����。如果一條邊帶有蠕蟲攻擊性,無論它是否成功的感染了目的主機���,則被稱為攻擊邊��。如果一條攻擊邊成功地感染了一臺以前未被感染的目的主機�,則被稱為感染邊�����。G中除去攻擊邊之外的所有邊稱為正常邊����。定義主機聯(lián)系圖中邊的相鄰關(guān)系,G中兩條邊G1 = <u1�����; ts17 V1, e2=<u2, ts2, v2,1^2>,若U2=V1且CtVtVA t (Δ t是預(yù)先設(shè)定的時間間隔參數(shù)),則稱e2是ei的后繼�,G1是e2的前驅(qū)���。e的前驅(qū)分別記為�����,其中PRE (e)表示e的前驅(qū)個數(shù)�����。類似地����,e的后繼分別記為心心,…,���,其中SUC(e)表示e的后繼個數(shù)��,前驅(qū)和后繼描述了邊之間的相鄰關(guān)系�。三�、在主機聯(lián)系圖上計算權(quán)值最大的Z條邊作為當(dāng)前時間窗口結(jié)果集�; 本發(fā)明提出了蠕蟲傳播路徑的推測方法一聚積算法�����。首先賦予每條邊相同的權(quán)值;然后算法通過K次權(quán)值‘聚集-累積’過程(聚積過程)�����,使得較多的權(quán)值聚積到感染邊上���;最后挑選權(quán)值最大的Z條邊推測出蠕蟲傳播的初始序列。設(shè)p(e�,i)為邊e第i次聚積過程中的權(quán)增量��,算法結(jié)束后e的總權(quán)值為p(e)=i>(e�����,o�����。每一次權(quán)值聚積的過程,就是對上一次的權(quán)增量進(jìn)行重新分配的過程����。具體
ι I
地�����,將上一次的權(quán)增量P (e, i-Ι)均勻地分配給e的所有前驅(qū)w��,構(gòu)成這些前驅(qū)邊本次權(quán)增量的一部分��。如此迭代K次����,邊的權(quán)增量不斷地分配給他們的前驅(qū)���。對權(quán)增量的重新分配過程,實際上也是權(quán)值在感染鏈上的逆聚積過程��。算法執(zhí)行過程如下I) i=0 ;p (e) = O. O ;p (e��,O) =1.0;2) i=i+l �����;s·;⑴p (e) = p(e)+p(e, i);3)如果i〈K則轉(zhuǎn)到第2)步��,否則轉(zhuǎn)到第4)步��;4)挑選出ρ (e)最大的Z條邊作為結(jié)果集(記為ANS)����,推測蠕蟲傳播初期的感染樹·參數(shù)K和Z的選擇使用聚積算法時僅需要較少的聚集次數(shù)就能得到很好的結(jié)果��;隨著Z的增大�����,越來越多的非感染邊被選入結(jié)果集���,適當(dāng)增大Z有助于檢測出隱蔽性高的蠕蟲����。四���、如果本次推測為第一次推測���,將當(dāng)前窗口結(jié)果集作為推測結(jié)果集���;否則合并推測結(jié)果集與當(dāng)前窗口結(jié)果集�,從并集中選擇權(quán)值最大的Z條邊賦值給推測結(jié)果集�����。五��、根據(jù)推測結(jié)果集重構(gòu)感染樹���,推測蠕蟲傳播路徑并告知客戶���;六�、到達(dá)下一個檢測周期后���,轉(zhuǎn)步驟二�。通過設(shè)定的檢測周期���,實現(xiàn)了蠕蟲傳播路徑的在線檢測���。暫停R秒后�����,轉(zhuǎn)步驟二進(jìn)行下一次蠕蟲檢測,通過推測路徑結(jié)果集保存本次檢測結(jié)果并提供給下一次檢測。實施例在由907個主機構(gòu)成的網(wǎng)絡(luò)環(huán)境中運行本發(fā)明所提出的蠕蟲傳播路徑推測方法,檢測周期R = 60秒����,時間窗口 S=2400秒����。聚積算法中聚積執(zhí)行的次數(shù)K=9����,結(jié)果集中感染邊數(shù)Ζ=100���。方法執(zhí)行I小時后����,推測得出的蠕蟲傳播路徑準(zhǔn)確率為92%����。
上述僅為本發(fā)明的較佳實施例而已���,并非用來限定本發(fā)明實施范圍����。即凡依本發(fā)明申請專利范圍所作的均等變化與修飾�,皆為本發(fā)明專利范圍所涵蓋��。
權(quán)利要求
1.一種推測網(wǎng)絡(luò)蠕蟲傳播路徑的方法��,其特征在于至少包括以下幾個步驟 步驟一根據(jù)網(wǎng)絡(luò)情況設(shè)定蠕蟲檢測周期R(單位秒)與時間窗口 S(單位秒),設(shè)置推測結(jié)果集為空�; 步驟二 采集S秒網(wǎng)絡(luò)流量,生成當(dāng)前時間窗口的主機聯(lián)系圖; 步驟三在主機聯(lián)系圖上應(yīng)用聚積算法計算權(quán)值最大的Z條邊作為當(dāng)前時間窗口結(jié)果集; 步驟四如果本次推測為第一次推測��,將當(dāng)前窗口結(jié)果集作為推測結(jié)果集�;如果本次推測不是第一次推測���,合并推測結(jié)果集與當(dāng)前窗口結(jié)果集���,選擇權(quán)值最大的Z條邊作為推測結(jié)果集�����; 步驟五根據(jù)推測結(jié)果集重構(gòu)感染樹�,推測蠕蟲傳播路徑并告知客戶; 步驟六到達(dá)下一個檢測周期后�����,轉(zhuǎn)步驟二���。
2.根據(jù)權(quán)利要求I所述的一種推測網(wǎng)絡(luò)蠕蟲傳播路徑的方法�����,其特征在于所述的步驟一當(dāng)中設(shè)定檢測周期����,使用滑動窗口實時檢測網(wǎng)絡(luò)流量數(shù)據(jù)�,實現(xiàn)蠕蟲傳播路徑的在線推測。
3.根據(jù)權(quán)利要求I所述的一種推測網(wǎng)絡(luò)蠕蟲傳播路徑的方法���,其特征在于所述的步驟三中計算當(dāng)前時間窗口結(jié)果集采用聚積算法�,是通過K次權(quán)值‘聚集-累積’過程,使得較多的權(quán)值聚積到感染邊上,該算法執(zhí)行至少包括以下步驟 步驟I:在主機聯(lián)系圖上賦予每條邊相同的初始權(quán)值��; 步驟2 :對于主機聯(lián)系圖上的每條邊��,將它的權(quán)值平均分配給它的前驅(qū)����,生成每條邊的新權(quán)值; 步驟3:重復(fù)步驟二 K次���; 步驟4 :挑選權(quán)值最大的Z條邊作為當(dāng)前窗口蠕蟲傳播序列的結(jié)果集��。
全文摘要
本發(fā)明提供一種推測網(wǎng)絡(luò)蠕蟲傳播路徑的方法。該方法采用時間窗口周期性地采集網(wǎng)絡(luò)流量數(shù)據(jù)���,生成主機聯(lián)系圖�����,通過運行聚積算法將較多的權(quán)值聚積到感染邊上��;挑選權(quán)值最大的Z條邊作為當(dāng)前時間窗口的網(wǎng)絡(luò)蠕蟲傳播路徑結(jié)果集��;合并上次推測結(jié)果集與當(dāng)前時間窗口結(jié)果集����,推測感染樹的頂層部分����,實現(xiàn)對歷史時間窗口推測結(jié)果的不斷積累和當(dāng)前時間窗口推測結(jié)果的反饋修正�,提高推測的精度���。本發(fā)明的優(yōu)點在于可以在不影響或輕微影響蠕蟲檢測系統(tǒng)性能的前提下,實現(xiàn)接近實時的網(wǎng)絡(luò)蠕蟲傳播路徑推測�,能夠較早地發(fā)現(xiàn)感染源與傳播路徑���,并且推測準(zhǔn)確性高���,誤報率與漏報率低,速度快��。
文檔編號H04L29/06GK102916975SQ20121045793
公開日2013年2月6日 申請日期2012年11月14日 優(yōu)先權(quán)日2012年11月14日
發(fā)明者郭 東, 李強 申請人:吉林大學(xué)