技術領域

本發明涉及網絡蠕蟲檢測系統中一種推測蠕蟲傳播路徑的方法，尤其涉及一種在線推測網絡蠕蟲傳播路徑的方法。

背景技術

蠕蟲爆發后，獲取網絡蠕蟲的傳播路徑(即追蹤蠕蟲的攻擊路徑)不僅可以推測最早被感染的節點，還可以推測在傳播過程中造成其它節點被感染的傳播路徑。即使只獲取到部分路徑，對抑制蠕蟲繼續傳播和調查取證也具有重大意義。

推測蠕蟲傳播路徑的研究工作主要有：1.以流量圖為基礎的算法，包括主機聯系圖上的算法和協議圖上的算法等。主機聯系圖上的算法使用隨機行走的概率方法，通過收集在蠕蟲傳播過程中各主機間通信流量得到蠕蟲傳播路徑。協議圖上的算法通過監控各種協議圖的異常變化，檢測目標列表掃描蠕蟲和發起該蠕蟲攻擊的主機生成蠕蟲傳播路徑；2.使用網絡望遠鏡得到的蠕蟲監測歷史數據來推斷蠕蟲的感染序列；3.對特定蠕蟲進行逆向工程分析。例如通過對witty蠕蟲的逆向工程方法來分析它的隨機掃描算法和相對應的隨機種子。

現有的蠕蟲傳播路徑獲取方法都是采用離線分析方式，即在蠕蟲攻擊爆發之后，經過一段采集流量的時間，通過獲取的網絡流量數據進行分析，得到推測結果，很難做到實時地追蹤(即幾乎能在網絡蠕蟲攻擊過程中獲得傳播路徑)。這類離線方法雖然最后能夠獲取蠕蟲的傳播路徑和攻擊源，但不能在蠕蟲爆發之時就獲取傳播路徑，而且不能顯示蠕蟲傳播路徑隨時間的動態變化情況。因此，有必要研究在復雜網絡環境下在線追蹤網絡蠕蟲的方法，用于接近實時地追蹤網絡蠕蟲初始傳染源，抑制蠕蟲的繼續傳播，保證更多主機不被網絡蠕蟲傳染。

發明內容

鑒于上述現有技術中存在的問題，本發明提供一種在線推測網絡蠕蟲傳播路徑的方法。該方法包含以下步驟：

步驟一：根據網絡情況設定蠕蟲檢測周期R(單位：秒)與時間窗口S(單位：秒)，設置推測結果集為空；

步驟二：采集S秒網絡流量，生成當前時間窗口的主機聯系圖；

步驟三：在主機聯系圖上應用聚積算法計算權值最大的Z條邊作為當前時間窗口結果集；

步驟四：如果本次推測為第一次推測，將當前窗口結果集作為推測結果集；如果本次推測不為第一次推測，合并推測結果集與當前窗口結果集，選擇權值最大的Z條邊作為推測結果集；

步驟五：根據推測結果集重構感染樹，推測蠕蟲傳播路徑并告知客戶；

步驟六：到達下一個檢測周期后，轉步驟二。

所述的步驟一當中設定檢測周期，使用滑動窗口實時檢測網絡流量數據，實現蠕蟲傳播路徑的在線檢測。

所述的步驟三中計算當前時間窗口結果集采用聚積算法，是通過K次權值‘聚集-累積’過程，使得較多的權值聚積到感染邊上，該算法執行至少包括以下步驟：

步驟1：在主機聯系圖上賦予每條邊相同的初始權值；

步驟2：對于主機聯系圖上的每條邊，將它的權值平均分配給它的前驅，生成每條邊的新權值；

步驟3：重復步驟二K次；

步驟4：挑選權值最大的Z條邊作為當前窗口蠕蟲傳播序列的結果集。

有益效果：本發明的優點在于：

1、應用聚積算法追蹤蠕蟲傳播路徑，可快速獲取網絡蠕蟲的傳播源和初始傳播路徑，計算復雜度與數據規模成正比；解決了傳播路徑選擇沖突和相鄰推測階段傳播路徑合并等問題，能有效地提高準確率、降低誤報率和漏報率。

2、采用滑動窗口采集網絡流量數據，并R秒執行一次聚積算法，能盡早地發現蠕蟲；每次執行只需采集最近S秒時間內的流量數據，降低了數據規模，減少了一次算法的運行時間。

3、在時間窗口中運行積聚算法從而接近實時地追蹤網絡蠕蟲初始傳染源，可在蠕蟲爆發初期即可檢測出感染邊，獲取網絡蠕蟲的傳播源和初期傳播路徑，抑制蠕蟲的繼續傳播。

附圖說明

圖1為本發明方法流程示意圖。

具體實施方式

下面結合附圖和實施例對本發明做進一步的說明：

實施方案詳細介紹：

如圖1所示，本發明的方法具體實施如下：

一、設定蠕蟲檢測周期R、檢測時長S和推測結果集初值

根據網絡情況設定蠕蟲檢測周期R(單位：秒)與檢測時長S(單位：秒)，設置推測結果集為空。