专利名称:一种交互式的网络蠕虫检测系统和方法
技术领域:
本发明涉及一种用于计算机网络的安全检测系统和方法。确切地说,涉及一种交互式的网络蠕虫检测系统和方法,属于数据通信中的网络设备安全
背景技术:
随着计算机网络的迅速普及和各种网络新业务的不断兴起,网络安全问题已经逐渐渗透到社会生活的各个领域,并且变得越来越严峻。网络蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。蠕虫与病毒的最大不同是它不需要人为干预,且能够自主不断地复制和传播。每一次网络蠕虫的爆发都会给社会带来巨大的损失。例如1988年11月2日,Morris蠕虫发作,几天之内6000台以上的互联网服务器被感染而瘫痪,损失超过一千万美元。2001年7月19日,CodeRed网络蠕虫爆发,在爆发后的9小时内就攻击了25万台计算机,造成的损失估计超过20亿美元。随后几个月内产生了威力更强的几个变种,其中CodeRedII造成的损失估计超过12亿美元。2001年9月18日被发现的Nimda网络蠕虫,其所造成的损失评估数据已经从5亿美元攀升到26亿美元,而且后来继续攀升,至今已经无法估计。目前蠕虫爆发的频率越来越快,尤其近两年来,出现了越来越多的网络蠕虫(如冲击波、振荡波等网络蠕虫),因此,迫切需要一种有效的检测手段及时发现网络蠕虫的攻击行为,并采取相应措施遏制蠕虫攻击的蔓延。综上所述,网络蠕虫检测成为网络蠕虫防治的重要环节之一。
目前,网络蠕虫的检测系统主要有两种类型(1)由入侵检测系统(IDS,Intrusion Detection System)承担。这类检测系统的工作方式有二种基于网络的IDS,它需要将所有的流量镜像到IDS系统中,然后对IP数据包进行分析和特征匹配,以发现包括网络蠕虫的各种网络攻击。由于这种系统需要在网络设备上做流量镜像处理,增加了网络设备的负担,同时目前网络型的IDS还没有建立与受攻击主机的交互机制,存在一定的误报;基于主机的IDS,它需要捕捉主机系统网卡的所有IP数据包,并在本机上根据网络攻击特征数据库对攻击进行匹配分析,由于这种系统需要对所有进出主机的数据包进行处理和分析,大大增加了主机系统的负担,造成主机系统运行效率降低。
(2)由异常流量检测系统承担。目前这类系统主要依赖网络设备提供IP数据包的快照(Snapshot)来实现(例如Cisco的网络流技术Netflow),这类系统先收集网络设备的数据进行统计和分析,再根据一定阈值来判断是否存在有网络蠕虫攻击。这类系统一方面打开网络设备的数据包快照功能会对网络设备造成一定的负担,同时也不是所有的网络设备都能够提供IP数据包的快照功能,使得该类系统的应用有一定局限性;另一方面由于该类系统缺乏与受攻击主机系统的交互,仅仅只能从流量大小的变化来判断网络蠕虫的攻击,不能根据受攻击主机系统的状态以及对攻击数据包进行特征匹配来确认攻击的存在,所以,这类系统也存在一定的误报问题。
综上所述,现有的网络蠕虫检测方法,或者对网络设备、主机系统造成了一定的负担,影响设备运行的效率,或者由于与受攻击主机缺乏必要的信息交互而存在一定的误报问题,因此如何对网络蠕虫检测系统和方法进行必要的改进,就成为业内人士研究、开发的新课题。
发明内容
本发明的目的是提供一种交互式的网络蠕虫检测系统和方法,以便解决现有的网络蠕虫检测所存在的技术问题,及时发现和识别网络蠕虫的攻击行为,并发布告警,引起安全管理员的密切注意和采取相应处理措施,保证网络安全。
为了达到上述目的,本发明提供了一种分布式的网络蠕虫检测系统,其特征在于该系统包括下列组件网络流量采集单元,分布式地设置在网络系统中需要保护的各个终端设备中,负责实时采集流入和流出其所安装的终端设备的数据流量信息,并对这些数据报头进行快照处理,提取报头中的相关信息和进行标准化处理,再通过传输控制协议TCP/互联网协议IP中的TCP协议将本机网络流量的快照信息传递给网络蠕虫分析单元进行统计和分析;并在网络蠕虫分析单元的请求下,通过TCP/IP的TCP协议向其提交可疑网络蠕虫的攻击样本和该终端的基本状态信息;网络蠕虫分析单元,设置在高性能的服务器中,负责对网络流量采集单元所提供的流量数据进行基于统计的分析和基于特征匹配的分析,并根据设定的网络流量阈值,判断该终端设备是否有可能遭到网络蠕虫攻击,或者成为网络蠕虫的攻击源;再根据判断的结果,与网络流量采集单元进行交互,请求该单元在链式用户扩展数据中向其提交网络蠕虫攻击样本数据和该终端的基本状态信息,以便与数据库中存储的网络蠕虫特征量进行查询匹配,发现网络蠕虫,再根据该终端的基本状态信息判断该终端是否已经成为网络蠕虫的攻击源,同时发出告警。
所述网络系统中需要保护的终端设备包括但不限于PC主机、服务器、手机、或IP网络的其它终端设备。
所述网络流量采集单元是利用数据包捕捉程序实时采集流入和流出其所安装的终端设备的流量信息所述网络流量采集单元提取的流量信息和进行标准化的信息内容至少包括源IP地址、目的IP地址、源端口、目的端口、协议类型、数据流流向、数据流个数、链式用户扩展数据。
所述终端的基本状态信息包括但不限于操作系统类型、操作系统的版本信息、操作信息补丁信息、操作系统开放的网络服务端口信息;该信息是通过读取终端操作系统的配置文件和状态文件获得的,以供网络蠕虫分析单元藉此分析该终端的操作系统是否与网络蠕虫攻击对象的特征参数吻合,是否可能成为网络蠕虫的攻击源头。
为了达到上述目的,本发明还提供了一种分布式的网络蠕虫检测系统的检测方法,其特征在于包含步骤如下(1)网络流量采集单元采集需要保护的终端设备的进出数据流量信息,并将该流量信息标准化处理后,传送给网络蠕虫分析单元进行统计和分析;还在网络蠕虫分析单元的请求下,向其提交可疑的网络蠕虫攻击样本和该终端的基本状态信息;(2)网络蠕虫分析单元根据网络流量采集单元所提供的流量数据对其所在的终端设备的流量进行基于统计的分析和基于特征匹配的分析,根据设定的阈值,判断该终端是否有可能遭到网络蠕虫攻击或者已经成为网络蠕虫的攻击源;再在网络蠕虫分析算法的要求下,与网络流量采集单元进行交互,请求该单元向其提交网络蠕虫攻击样本数据和该终端的基本状态信息后,与数据库中存储的网络蠕虫特征量进行查询匹配,发现网络蠕虫,再根据该终端的基本状态信息判断该终端是否成为网络蠕虫的攻击源,同时发出告警。
所述步骤(1)进一步包括下列操作(11)启动数据捕捉程序;(12)当捕捉到数据包后,在缓冲区内搜索源IP地址、目的IP地址、源端口、目的端口、协议类型和流量流向都相同的数据流,对这些特征相同的数据流进行合并,将其作为一个数据流来处理;(13)将数据报头按照流量信息标准格式写入数据包缓冲区中;(14)定时向网络蠕虫分析单元提交缓冲区数据;(15)根据网络蠕虫分析单元的请求提交攻击样本和该终端的基本状态信息。
所述步骤(1)进一步包括下列初始化操作(10)在每次采集数据之前,要对数据包捕捉程序进行初始化、清空数据包缓存区和开启定时器。
所述步骤(2)进一步包括下列操作(21)接收到网络流量采集单元的数据时,对单位时间内进出该终端设备的数据流进行统计;(22)根据各个数据流的统计参数所设置的阈值,判断该终端设备是否有流量信息超过了阈值,以决定是否请求该终端设备提交攻击样本和该终端的基本状态信息;(23)在接收到终端设备提交的攻击样本和该终端的基本状态信息后,根据数据库内存储的已知网络蠕虫特征信息,对样本进行查询匹配,发现网络蠕虫,再根据该终端的基本状态信息判断该终端是否已经成为网络蠕虫的攻击源,同时发出告警。
所述步骤(2)进一步包括下列初始化操作(20)设置数据流的流量阈值。
本发明是一种交互式的网络蠕虫检测系统,该系统由分布式安装在受保护的各个网络终端设备中的网络流量采集单元和安装在高性能服务器中的交互式网络蠕虫分析单元组成。网络流量采集单元进行分布式的多点检测,利用数据包捕捉程序实时采集流入和流出该终端设备的流量信息,并对数据报头进行快照处理。与在终端中安装IDS系统相比较,该系统对终端的性能影响较小;与基于网络设备流量监控的方式(例如基于Netflow监控技术)相比较,具有良好的通用性和适用性,并将监控的范围由网络设备延伸到了各个终端上,拓宽了系统检测和应用的领域。此外,网络蠕虫分析单元与网络流量采集单元之间采用交互方式通过TCP/IP的TCP协议进行通信网络蠕虫分析单元对接收的网络流量快照信息进行统计和分析,并在必要时对网络流量采集单元发出提交可疑网络蠕虫攻击样本和该终端的基本状态信息的请求。这种由终端设备直接提交攻击样本和该终端的基本状态信息,以便进行特征匹配来确认攻击的方式,不仅提高了对网络蠕虫攻击分析和判断的效率,而且也提高了准确性,较好地避免了现有技术中存在的误报问题。
图1是本发明交互式的网络蠕虫检测系统的检测方法流程图。
图2是网络流量采集单元对数据报头进行标准化处理的格式示意图。
图3是本发明系统中的网络流量采集单元实施例的操作流程图。
图4是本发明系统中的网络蠕虫分析单元实施例的操作流程图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
网络蠕虫进行攻击时,具备一定的行为特征,通常会先对本网络段的计算机系统进行扫描,探测与蠕虫攻击相关的系统漏洞是否存在。网络蠕虫攻击的对象多为终端设备,包括PC主机和服务器主机。基于网络蠕虫的这个行为特征,本发明系统采用在各个终端设备上分布式安装网络流量采集单元,进行多点检测,并将流量信息集中送到位于高性能服务器中的网络蠕虫分析单元进行基于统计的分析和基于特征匹配的分析,在发现某些计算机或服务器在一段时间内收到或者发送特定的数据报超过一定阈值时,可判断该计算机或服务器可能已经受到网络蠕虫的攻击或者已经成为蠕虫攻击的源头。此时,为了进一步确认,本发明的网络蠕虫分析单元与网络流量采集单元进行交互,请求该计算机或服务器作为终端设备提交攻击样本以及该终端的基本状态信息,以确认网络蠕虫的具体类型和发出告警。这里的基本状态信息包括但不限于操作系统类型、操作系统的版本信息、操作信息补丁信息、操作系统开放的网络服务端口信息等。因为网络蠕虫的攻击对象一般是针对特定的某些操作系统(网络蠕虫特征数据库中有其攻击对象的特征数据),在判断该终端是否成为网络蠕虫的攻击源头时,应该先查看该终端的基本状态信息,看看是否与网络蠕虫攻击对象的特征参数吻合,这样判断才能比较准确。另外,通过读取该终端操作系统的配置文件及状态文件可以很容易地获得这些基本状态信息。
参见图1,介绍本发明分布式的网络蠕虫检测系统的检测方法,它是由网络流量采集单元和网络蠕虫分析单元进行交互、配合共同完成的,具体步骤是(1)网络流量采集单元启动数据捕捉程序,采集需要保护的终端设备的进出数据流量信息;(2)当捕捉到数据包后,在缓冲区内搜索源IP地址、目的IP地址、源端口、目的端口、协议类型和流量流向都相同的数据流,合并这些特征相同的数据流,作为一个数据流进行标准化处理,并将其按照流量信息标准格式(参见图2)写入数据包缓冲区中;(3)网络流量采集单元定时向网络蠕虫分析单元提交标准化的流量数据;(4)网络流量采集单元根据网络蠕虫分析单元的请求,向其提交网络蠕虫攻击样本和该终端的基本状态信息;(5)交互式的网络蠕虫分析单元接收到网络流量采集单元的数据后,对在单位时间内进出该终端的数据流情况进行统计和分析;(6)根据各个数据流统计参数所设置的阈值,判断该终端是否有流量信息超过了阈值,决定是否请求该终端提交攻击样本和该终端的基本状态信息;(7)在接收到终端设备提交的攻击样本和该终端的基本状态信息后,根据数据库内存储的已知网络蠕虫特征信息,对样本进行查询匹配,决定是否发现网络蠕虫,再根据该终端的基本状态信息判断该终端是否已经成为网络蠕虫的攻击源,同时发布告警。
下面结合两个实施例,分别说明本发明系统两个组件的具体操作的流程参见图3,先介绍其中网络流量采集单元的操作流程,其实现步骤如下(301)初始化数据包捕捉程序,数据包缓冲区清空,开启定时器;(302)当捕捉到第一个数据包后,将数据报头按照流量信息标准格式写入数据包缓冲区中;(303)当捕捉到下一数据时,先扫描数据包缓冲区,查找是否有相同数据报信息,如果有,则进行合并处理,将数据流个数加1;如果没有,则在缓冲区中增加该数据流信息,并按照流量信息标准格式写入数据包缓冲区中;其中所谓流量相同的数据报的判断依据是源IP地址、目的IP地址、源端口、目的端口、协议类型、数据流流向是否完全一致;(304)判断定时器是否到达设定时间,当定时器到达设定时间时,则向交互式网络蠕虫分析单元提交该设定时间内所采集的数据;然后将数据包缓冲区重新清空,重新开启定时器;返回步骤(302),继续进行新一轮的数据采集;(305)当接收到交互式的网络蠕虫分析单元请求提交攻击样本和该终端的基本状态信息时,根据其申请的要求,捕捉该类数据包,并添加到流量信息标准化格式数据包中,通过TCP/IP的TCP协议发送给交互式的网络蠕虫分析单元。
参见图4,再介绍其中网络蠕虫分析单元的操作流程,其实现步骤如下(401)定义数据流量阈值,该流量阈值为经验性数据,需要根据实际网络的环境进行调整;通常定义如下条件5分钟内,进出主机系统的TCP数据流的个数不超过200个、UDP数据流个数不超过80个、ICMP数据流个数不超过50个;(402)接收网络流量采集单元的数据,并写入数据库,数据库表格式为序号、时间戳、源IP地址、目的IP地址、源端口、目的端口、协议类型、数据流流向、数据流个数;(403)调用数据库查询和统计功能,统计在设定时间内,进出该主机的TCP数据流个数、UDP数据流个数、ICMP数据流个数;(404)根据数据库查询统计的结果,与事先定义的流量阈值进行比较,判断该主机有哪些参数超过了阈值,如果超过了阈值,则通过TCP/IP的TCP协议向该主机提出样本申请,将超过阈值流量的数据流特征,包括源IP地址、目的IP地址、协议类型、源端口、目的端口、流量流向等信息作为流量样本的申请条件,同时要求提供该终端的基本状态信息;(405)在接收到主机提交的攻击样本和该主机的基本状态信息时,查询已知网络蠕虫的特征数据库,对样本进行匹配,判断是否存在网络蠕虫攻击,再根据该主机的基本状态信息判断其是否已经成为网络蠕虫的攻击源,同时根据判断结果,决定是否发布告警。
权利要求
1.一种分布式的网络蠕虫检测系统,其特征在于该系统包括下列组件网络流量采集单元,分布式地设置在网络系统中需要保护的各个终端设备中,负责实时采集流入和流出其所安装的终端设备的数据流量信息,并对这些数据报头进行快照处理,提取报头中的相关信息和进行标准化处理,再通过传输控制协议TCP/互联网协议IP中的TCP协议将本机网络流量的快照信息传递给网络蠕虫分析单元进行统计和分析;并在网络蠕虫分析单元的请求下,通过TCP/IP的TCP协议向其提交可疑网络蠕虫的攻击样本和该终端的基本状态信息;网络蠕虫分析单元,设置在高性能的服务器中,负责对网络流量采集单元所提供的流量数据进行基于统计的分析和基于特征匹配的分析,并根据设定的网络流量阈值,判断该终端设备是否有可能遭到网络蠕虫攻击,或者成为网络蠕虫的攻击源;再根据判断的结果,与网络流量采集单元进行交互,请求该单元在链式用户扩展数据中向其提交网络蠕虫攻击样本数据和该终端的基本状态信息,以便与数据库中存储的网络蠕虫特征量进行查询匹配,发现网络蠕虫,再根据该终端的基本状态信息判断该终端是否已经成为网络蠕虫的攻击源,同时发出告警。
2.根据权利要求1所述的分布式的网络蠕虫检测系统,其特征在于所述网络系统中需要保护的终端设备包括但不限于PC主机、服务器、手机、或IP网络的其它终端设备。
3.根据权利要求1所述的分布式的网络蠕虫检测系统,其特征在于所述网络流量采集单元是利用数据包捕捉程序实时采集流入和流出其所安装的终端设备的流量信息。
4.根据权利要求1所述的分布式的网络蠕虫检测系统,其特征在于所述网络流量采集单元提取的流量信息和进行标准化的信息内容至少包括源IP地址、目的IP地址、源端口、目的端口、协议类型、数据流流向、数据流个数、链式用户扩展数据。
5.根据权利要求1所述的分布式的网络蠕虫检测系统,其特征在于所述终端的基本状态信息包括但不限于操作系统类型、操作系统的版本信息、操作信息补丁信息、操作系统开放的网络服务端口信息;该信息是通过读取终端操作系统的配置文件和状态文件获得的,以供网络蠕虫分析单元藉此分析该终端的操作系统是否与网络蠕虫攻击对象的特征参数吻合,是否可能成为网络蠕虫的攻击源头。
6.一种使用权利要求1所述的分布式的网络蠕虫检测系统的检测方法,其特征在于包含步骤如下(1)网络流量采集单元采集需要保护的终端设备的进出数据流量信息,并将该流量信息标准化处理后,传送给网络蠕虫分析单元进行统计和分析;还在网络蠕虫分析单元的请求下,向其提交可疑的网络蠕虫攻击样本和该终端的基本状态信息;(2)网络蠕虫分析单元根据网络流量采集单元所提供的流量数据对其所在的终端设备的流量进行基于统计的分析和基于特征匹配的分析,根据设定的阈值,判断该终端是否有可能遭到网络蠕虫攻击或者已经成为网络蠕虫的攻击源;再在网络蠕虫分析算法的要求下,与网络流量采集单元进行交互,请求该单元向其提交网络蠕虫攻击样本数据和该终端的基本状态信息后,与数据库中存储的网络蠕虫特征量进行查询匹配,发现网络蠕虫,再根据该终端的基本状态信息判断该终端是否成为网络蠕虫的攻击源,同时发出告警。
7.根据权利要求6所述的检测方法,其特征在于所述步骤(1)进一步包括下列操作(11)启动数据捕捉程序;(12)当捕捉到数据包后,在缓冲区内搜索源IP地址、目的IP地址、源端口、目的端口、协议类型和流量流向都相同的数据流,对这些特征相同的数据流进行合并,将其作为一个数据流来处理;(13)将数据报头按照流量信息标准格式写入数据包缓冲区中;(14)定时向网络蠕虫分析单元提交缓冲区数据;(15)根据网络蠕虫分析单元的请求提交攻击样本和该终端的基本状态信息。
8.根据权利要求6或7所述的方法,其特征在于所述步骤(1)进一步包括下列初始化操作(10)在每次采集数据之前,要对数据包捕捉程序进行初始化、清空数据包缓存区和开启定时器。
9.根据权利要求6所述的方法,其特征在于所述步骤(2)进一步包括下列操作(21)接收到网络流量采集单元的数据时,对单位时间内进出该终端设备的数据流进行统计;(22)根据各个数据流的统计参数所设置的阈值,判断该终端设备是否有流量信息超过了阈值,以决定是否请求该终端设备提交攻击样本和该终端基本状态信息;(23)在接收到终端设备提交的攻击样本和该终端基本状态信息后,根据数据库内存储的已知网络蠕虫特征信息,对样本进行查询匹配,发现网络蠕虫,再根据该终端的基本状态信息判断该终端是否已经成为网络蠕虫的攻击源,同时发出告警。
10.根据权利要求6或9所述的方法,其特征在于所述步骤(2)进一步包括下列初始化操作(20)设置数据流的流量阈值。
全文摘要
一种分布式的网络蠕虫检测系统,由分布式设置在网络系统中各个终端的网络流量采集单元和设置在服务器中的网络蠕虫分析单元组成;其中前者实时采集该终端的进出数据流量信息,并对这些数据进行快照和标准化处理后,传递给网络蠕虫分析单元,以及在其请求下,提交可疑网络蠕虫的攻击样本和终端基本状态信息;后者对网络流量采集单元所提供的流量数据进行统计和分析,根据流量阈值判断该终端是否可能遭到蠕虫攻击或者成为攻击源;再根据判断结果,与流量采集单元进行交互,请求提交攻击样本数据和终端基本状态信息,以便进行查询匹配,发现网络蠕虫和判断该终端是否成为攻击源,同时告警。该方法及时发现和识别网络蠕虫的攻击并告警,保证网络安全。
文档编号H04L12/24GK1697404SQ20051007534
公开日2005年11月16日 申请日期2005年6月10日 优先权日2005年6月10日
发明者庄一嵘, 陈珣, 金华敏 申请人:广东省电信有限公司研究院