技術領域

本發明涉及一種網絡蠕蟲檢測與特征自動提取方法及系統，具體涉及一種基于行為的網絡蠕蟲檢測與基于流量聚類的特征自動提取方法及系統，屬于網絡安全技術領域。

背景技術

網絡惡意代碼種類很多，包括網絡蠕蟲、網頁木馬和移動惡意代碼等，其中網絡蠕蟲以其傳播速度快、傳播范圍廣等特點，造成的危害最為嚴重。1988年第一個網絡蠕蟲Morris的爆發就造成超過一千萬美元的經濟損失，2008年底出現的網絡蠕蟲Conficker在全球已經感染了超過1200萬臺主機。近年來網絡蠕蟲爆發情況的統計信息如圖1所示，圖表中列出了從2000年至今危害比較大的10個蠕蟲，統計結果表明，網絡蠕蟲往往利用危害嚴重的系統漏洞進行傳播，漏洞發布時間與蠕蟲爆發時間的間隔在迅速減小，甚至出現利用0day漏洞進行傳播的網絡蠕蟲，這意味著傳統的人工提取網絡蠕蟲特征，再將特征升級到終端用戶的殺毒軟件的防范策略對這些快速掃描、主動傳播的網絡蠕蟲，幾乎失去了效果，這也是網絡蠕蟲能夠快速傳播，造成巨大危害的根本原因。

因此，網絡蠕蟲的檢測與特征自動提取成為網絡安全技術人員關注的熱點問題。在專利文獻CN1859199A中提到一種蠕蟲檢測方法，該方法通過判斷主機向首次發起連接的IP地址的連接成功與否和這些首次連接的時間間隔，選擇相應的概率計算方法計算主機感染蠕蟲的概率，將所得概率值與閾值比較，若概率值大于閾值，則判定主機為異常主機。若無法判斷，則將本次計算所得的概率作為下一次計算的先驗概率，重新計算主機感染蠕蟲的概率。在專利文獻CN1697404A中提到了一種分布式的蠕蟲檢測方法，技術方案為，把不同終端采集的網絡流量傳給一個蠕蟲分析單元，通過統計分析根據閾值判斷終端是否遭到蠕蟲攻擊。

目前的專利文獻僅限于蠕蟲檢測方法上，而且選擇的檢測策略相對單一，本發明給出的檢測策略綜合了四項蠕蟲異常檢測策略，可以有效地平衡單一策略帶來的誤報和漏報。更為重要的是，目前使用特征簽名匹配的方法檢測蠕蟲時，需要人工更新特征數據庫，因而只能檢測已知蠕蟲，本發明在異常檢測的基礎上，給出了一套自動提取蠕蟲特征簽名的方法，通過把提取出的特征簽名更新到入侵檢測系統(IDS)的特征簽名數據庫中，可以有效地匹配和檢測出未知蠕蟲。

發明內容

本發明的目的在于提供一種網絡蠕蟲檢測與特征自動提取方法及其系統，從而能夠更加準確、及時地發現網絡蠕蟲，并且能夠自動提取蠕蟲的特征，可以把特征簽名更新到已有誤用檢測系統(IDS)的攻擊特征數據庫中，從而真正達到遏制蠕蟲傳播的目的。

本發明的技術方案如圖2所示，具體分為以下五步：

1)以旁路偵聽的方式在網關處捕獲網絡數據包；

2)捕獲的數據包首先經過已有的IDS，通過與攻擊特征數據庫匹配，檢測已知蠕蟲攻擊；

3)接著，數據包經過異常檢測子系統，異常檢測子系統通過基于行為和統計信息的異常檢測算法，發現蠕蟲傳播異常后，發出告警信息，同時把網絡流量分成可疑流量和正常流量，分別存儲在可疑流量池與正常流量池中；

4)特征提取子系統以可疑池和正常池中的網絡流量為輸入，通過基于流量聚類的特征簽名算法，提取特征簽名；

5)提取特征簽名并及時更新到網絡攻擊特征數據庫中，從而有效地遏制網絡蠕蟲的傳播。第三步中采用的網絡蠕蟲檢測方法如下：

為了提高誤用檢測子系統的準確性，減少異常檢測的誤報和漏報，異常檢測子系統綜合了發起連接數異常、失敗連接數異常、發散性異常和包相似性異常四種異常檢測策略，每種策略會對目標主機的當前狀態給出一個異常評分。把每種策略看成是判斷主機是否出現異常的證據，通過證據融合得到一個最后的異常總評分，如果異常總評分大于閾值，則異常子系統發出告警信息，告警信息包括出現異常的目標主機的IP地址、異常端口號和時間等信息，同時該主機發出的針對異常端口的流量將存入可疑流量池，其它流量則存入正常流量池。四種異常發現策略簡述如下：

(1)發起連接數異常。

在正常情況下，某臺主機在一個時間窗(例如1min)內發起的連接數目符合一個穩定的泊松分布，當主機感染了網絡蠕蟲后，會進行掃描以發現更多有漏洞的主機進行傳播，那么，該主機在一個時間窗內發起的連接數就不再符合一個穩定的泊松分布，統計學上，發現這種分布變化的問題成為變換點探測問題。通過CUSUM模型可以進行變換點探測，當發現了分布變化時，根據分布變化的嚴重程度，給出異常評分，分布變化越嚴重，評分越接近1，如果沒有發現分布變化，異常評分為0。

(2)失敗連接數異常。