一种网络蠕虫检测方法及其系统的制作方法

专利名称:一种网络蠕虫检测方法及其系统的制作方法
技术领域：
本发明涉及计算机安全防护技术领域：
，尤其涉及一种网络蠕虫检测系统及方法。
背景技术：
网络蠕虫是一种可独立运行的程序，它通过对网络的扫描，发现存在系统漏洞的计算机系统，获取该计算机系统的控制权，并进行传播；网络蠕虫的传播会导致信息的泄露，计算机系统的资源消耗，网络的拥塞等严重后果。由于网络蠕虫存在上述危害，因此已成为目前影响网络安全的一个重大因素。
通过分析蠕虫的工作过程和行为特征，可以知道防止蠕虫泛滥的关键在于及早的发现蠕虫，然后对被感染的计算机系统采取相应措施，如清除病毒文件、隔离等。因此对蠕虫的检测成为防止蠕虫传播的首要步骤，对蠕虫检测技术的研究成为保证网络环境安全性，维护社会和个人利益的迫切需要。
目前对于网络蠕虫的检测主要还是通过传统的基于特征码的检测，首先分析捕获的蠕虫样本，得到该蠕虫的特征码，更新蠕虫检测软件的特征库，然后蠕虫检测程序根据这些新的特征码在网络流量或者主机文件中进行特征匹配，从而实现蠕虫检测。这种检测方法的缺点是如果有新的蠕虫出现，需要经过一段时间才能使特征库得到更新。这样对于新出现的蠕虫或者蠕虫的变种就不能做到及时发现。
目前蠕虫检测方法研究的主流方向是通过对蠕虫传播过程中的导致的网络异常特征的分析，来检测蠕虫的爆发。常用的方法有通过对连接数的累计，判断累计值是否超过设置的阈值，来检测蠕虫；通过对ICMP消息异常的统计来检测蠕虫的发生等。但是以往的方法仅以连接数量方面的特征作为检测指标，而且均未涉及蠕虫的关键特征，缺乏对蠕虫传播特性的建模，检测策略简单，导致检测的误报率和漏报率较高。
申请号为03149742.X的发明专利申请公开了一种入侵检测方法，该申请中入侵检测系统按照检测规则对访问受护网络或主机的每个事件进行检测，取得检测当前事件所使用的入侵检测规则，根据入侵检测规则与漏洞之间预先设置的对应关系确定所要攻击的漏洞，检索受护网络或主机是否存在所确定的漏洞；并进行入侵事件风险度评估。
申请号为03137094.2的发明专利申请公开了一种基于相关特征聚类的层次入侵检测系统，其创新的关键之处是在其事件分析模块中增设了对初始化数据流的相关特征分析，构成一种新的层次入侵检测系统。
申请号为200310106551.8的发明专利申请公开了一种分层协同的网络病毒和恶意代码识别方法，该技术方案通过统计分析关键词词频判断待检测脚本的危险度，基于注册表操作“自我集”的角度来分析判断注册表写入表项路径的异常行为，实现了对单个系统及整个子网中的网络病毒和恶意代码异常行为的监控和管理。
申请号为200410070933.4的发明专利申请公开了一种防范蠕虫病毒向网络扩散的系统和方法，包括安全配置服务器，用于配置蠕虫病毒特征并向安全认证服务器发送蠕虫病毒特征；终端代理模块，用于收集终端的与蠕虫病毒特征相对应的终端信息，并向安全认证服务器发送该终端信息；安全认证服务器，用于根据蠕虫病毒特征对终端信息进行认证，认证通过向网络接入设备发送终端认证通过消息，反之发送终端认证不通过消息；网络接入服务器，根据终端认证通过消息/终端认证不通过消息打开/关闭终端的上网权限。
申请号为200510086681.9的发明专利申请公开了一种基于有状态过滤引擎的高速分组检测方法，在网络中路由器上部署一个基于有状态过滤引擎的高速分组检测组件，该组件能够高速检测到达路由器的分组，识别含有规则库中的恶意代码(蠕虫，病毒)的分组。该模块利用快速查找表和前缀寄存器堆保存子串的匹配状态；硬件并行查找过滤器和前缀寄存器堆，从而达到高速检测分组的目的。
申请号为03817429.4的发明专利申请公开了一种用于自动确定程序的潜在蠕虫样行为的方法与装置，包括分析该程序所需的数据处理系统资源，如果所需资源不表示该程序具有蠕虫样特征，则在受控的非网络环境中运行该程序，同时监视并注册对系统资源的访问，从而确定该程序在非网络环境中的行为。分析所观察行为的日志记录，确定该行为是否表示程序具有蠕虫样特征。该非网络环境可以向程序仿真网络的表象，但不仿真网络的操作。
上述技术方案在本质上还是基于规则的检测方法，需要依赖预先设置的检测规则的精度和密度，而检测规则的设置总是在入侵事件发生后才能得到更新，所以对于新出现的攻击会有很高的漏报率。
申请号为03131057.5的发明专利申请公开了一种检测蠕虫病毒及延缓病毒传播的方法，利用设置在网络中的病毒检测程序检测任一与网络联接的计算机与其它联网计算机的连接数量，并设置阀值限制其连接数量，对超过阀值的连接将强行丢弃，并向入侵检测系统IDS发出报警。
上述技术方案通过判断连接数量是否超过阈值来确定蠕虫，会产生较高的误报率和漏报率。主要是检测指标过于简单，不能够明显的突出蠕虫连接的高失败率的特性。此外，该方法在实施时，需要在网络内的每一台计算机上安装一个病毒检测程序，用于监视从本计算机发起到其它计算机的连接。这种实施方案加大了成本投入，实际部署也会遇到困难。
申请号为03137444.1的发明专利申请公开了一种大规模分布式入侵检测系统的数据融合机制，在大规模高速网络中，入侵检测系统采用分层的分布式结构，在大型网络中配置多个入侵检测系统和一些如防火墙等其它安全部件；这些安全部件协同工作，通过对告警的融合，产生大规模环境下的告警，同时提高单个入侵检测的检测率。
申请号为03116970.8的发明专利申请公开了一种高性能网络入侵检测系统和检测方法，其检测系统由一台转发器、至少一台交换机和多台检测引擎通过信息传输线路连接组成，在转发器内安装有分流系统。对入侵检测系统和检测方法实行了数据分流，提高了检测性能。
申请号为200410009089.4的发明专利申请公开了一种因特网蠕虫病毒的早期预警方法。可在多个节点的系统间共享因特网蠕虫病毒检测信息，从而可以达到预警和快速阻断蠕虫传播的目的。
申请号为200510012126.1的发明专利申请公开了一种P2P蠕虫防御系统，对等主机通过安装运行含有对等端交互软件、多节点协同快速文件传输软件和病毒扫描软件在内的对等交互软件搭建起一个P2P蠕虫防御网络，实现对本地主机的安全漏洞扫描和病毒监测，实现自组织的P2P蠕虫防御网络的高效信息共享，实现在发现蠕虫病毒时的快速发布预警信息，以及通过多节点协同数据传输机制实现对等主机在受到蠕虫病毒攻击时能快速获取补丁文件。
上述技术方案考虑了分布式检测的问题，但是其对于入侵检测技术的本身没有提出更新的方法，在提高单个入侵检测的准确率方面没有作更大的改进。
申请号为200510110267.7的发明专利申请公开了一种突发性异常网络流量的检测与监控方法，通过NS-2网络仿真器平台下的蠕虫攻击及DDoS分布式拒绝服务攻击的仿真实现，采用网络流量分析协议Net Flow对网络流量信息进行采集分析，判断异常源的行为特征，最后采取相应的控制措施中断此类攻击。该技术方案采用隐马尔科夫链，计算量过大。
Jaeyeon Jung等提出了一种利用连续假设检验来检测扫描的TRW检测技术(Jaeyeon Jung，Vern Paxson，Arthur W.Berger，and Hari Balakrishnan.Fast portscan detection using sequential hypothesis testing.In Proceedings ofthe IEEE Symposium on Security and Privacy，2004.)。蠕虫在传播过程中，蠕虫主机发起的连接往往是失败连接，而正常主机发起连接能够成功建立的可能性更大。该技术检测被检测网络中每台主机的每个连接的状态，采用连续假设检验的方法对失败连接的次数与成功连接的次数做比较，如果失败连接的次数比成功连接次数多指定的次数，则判断该主机存在异常。该技术实质上是通过比较失败连接次数与成功连接次数来判断主机是否存在异常。但是，在一定时间段内，正常主机可能也会产生更多的失败连接，因此该技术会产生较高的误报率。
基于随机扫描的网络蠕虫在进行传播时，会向随机地址发送大量的扫描数据包，以判断该地址的主机是否开机，以及是否可以被感染。然而，在因特网上，一般的客户机正常行为下，在一个时间段内去连接大量主机的可能性很低。因此由感染蠕虫的主机发起的连接的目标地址比较分散，因此连接目标地址分布这一特征上，网络蠕虫的扫描行为和正常主机的网络访问行为存在很明显的差异，因此可以利用这一特征作为检测随机扫描型蠕虫的依据。
基于随机扫描的网络蠕虫为了实现在整个互联网范围内的传播，需要对整个IP地址段进行扫描，因此企业内部网中存在的蠕虫主机也必然会向企业外部的网络发起扫描行为。基于这个原理，只要将蠕虫检测机部署在企业内部网的出口处，就可以检测企业内部网是否存在网络蠕虫。

发明内容本发明提供了一种网络蠕虫检测方法，克服了现有的网络蠕虫检测技术不能准确、高效地检测到未知蠕虫和蠕虫病毒变种，检测结果存在较高的误报率和漏报率的缺点，可准确、高效地检测到未知蠕虫和蠕虫病毒变种。
一种网络蠕虫检测方法，记录被检测主机对每个目标地址发起连接数，根据发起连接数在目的主机中的分布，计算该主机的目标地址熵值；预先设定网络蠕虫报警阈值和响应阈值，将计算所得熵值与预先设定的阈值进行比较，若熵值大于网络蠕虫报警阈值且小于或等于响应阈值，则认为该主机为可疑主机，给出报警；若熵值大于响应阈值，则触发响应机制；若熵值小于或等于蠕虫报警阈值，则继续检测，等待主机的下一次的连接发起，重新计算熵值作比较。
上述网络蠕虫检测方法的检测过程具体包括以下步骤a)设置参数，包括网络蠕虫的报警阈值和响应阈值，以及定时清空的时间间隔和单台主机的目标地址分类表的表项个数；b)从网络捕获的实时数据包中，获取一个连接的源地址Src，目标地址Dst；c)检查源地址Src是否已经在蠕虫主机地址列表中，若存在，说明该地址的主机已经感染蠕虫，则不作进一步的处理，转到b)；若不存在，则转到d)；d)检查源地址Src是否在被检测主机地址列表SList中，若不存在，则分配一个固定大小的对应该源地址的目标地址列表DList[Src]，并初始化，将源地址Src加入到被检测主机地址列表SList中，且加入的表项指向该源地址的目标地址列表DList[Src]；若存在，则转到e)；e)计算目标地址Dst的散列函数值Hash值，记为i；f)根据计算得到的目标地址Dst的散列函数值Hash值，设置目标地址列表中的对应项加1，即DList[Src][i]＝DList[Src][i]+1；设置总的目标地址个数加1，即N＝N+1。
g)计算此时主机源地址Src的熵值，判断计算得到的熵值，若熵值大于设定的网络蠕虫报警阈值且小于或等于响应阈值，则产生报警记录；若熵值大于响应阈值，则触发响应机制；若停止标志为真，则结束检测过程；否则若此时定时清空的时间间隔到期，则将被检测主机地址列表中每台主机对应的目标地址列表清空；最后转到b)，继续考察下一个连接。
其中主机的目标地址熵值e的计算公式为e=-Σi=1kpilogpipi≠00pi=0=logfN-1NΣi=1knilognini≠00ni=0=logN-1NM]]>M是用于迭代的中间量ni表示目标地址分类表中第i项的值，即目标地址的Hash值为i的连接的数量；K为目标地址分类表表项总数，为一个固定值；N表示分类列表中所有列表项中连接数值的总和，即在一个时间滑动窗口到期前目标地址的总数，即N=Σi=1kni;]]>Pi＝ni/N，列表中第i项中连接数占总连接数的比值。
上述公式表明了在一个时间间隔内，以某一主机地址为源地址的所有连接中，目标地址的分布情况。如果计算所得的熵值大于网络蠕虫报警阈值且小于或等于响应阈值，则认为该主机为可疑主机，给出报警；若熵值大于响应阈值，则触发响应机制。
用于迭代的中间量M的计算，当被检测主机的对每个目标主机发起连接数在时间窗口到期清零后的第一次计算或算法开始时的第一次计算时，公式为M=Σi=1knilognini≠00ni=0]]>当进行迭代时，得到一条新连接的数据并更新目标地址分类表后的中间量M′由本次的M导出，公式为M′＝M-njlognj+(nj+1)log(nj+1)其中K为目标地址分类表表项总数，为一个固定值；ni表示分类列表中第i项的值，即Hash值为i的目标地址的个数；
nj表示分类列表中第j项的值，即Hash值为j的目标地址的个数，且计算M′值时相对计算M值时增加的这条连接的目标地址对应hash值为j。
本发明还提供了采用上述检测方法的系统。
一种采用上述检测方法的系统，由检测机和其上的单机蠕虫检测程序组成，所述的检测机连接网络出口交换机或路由器的镜像端口，用于监听网络出口处的网络数据包，并运行蠕虫检测程序，执行本地检测策略，从网络中捕获数据包，根据网络中主机发起连接数量在目的主机中的分布，计算该主机的目标地址熵值，判断是否存在感染蠕虫的主机，生成报警记录或触发响应机制；所述的单机蠕虫检测程序由网络蠕虫检测模块、网络流量分析模块、网络流量采集模块及配置与报警显示界面模块构成，网络流量分析模块从网络流量采集模块得到流量进行分析，得到连接信息，并发送给网络蠕虫检测模块进行检测，配置与报警显示界面模块同网络蠕虫检测模块和网络流量分析模块进行通讯，主要对模块参数进行配置，并显示报警信息。
所述的网络蠕虫检测模块的主要数据结构包括蠕虫主机列表、被检测主机地址列表、目标地址列表。
本发明的有益效果为由于蠕虫爆发时感染主机会在短时间内连接大量主机，导致时间间隔内其发起的连接具有与正常连接不同的分布特性。这里我们针对其特性，考虑使用目标地址的分布作为统计指标，具体对蠕虫的检测是通过熵值方法根据连接目标地址的分布，比较该值与设定阈值之间的关系来判断该连接的源地址为正常主机还是蠕虫。
同时为了降低误报率和漏报率，采用两级阈值，第一级为报警阈值，设置值较低，降低了漏报率，报告尽量多的可疑连接；第二级为响应阈值，设置值较高，降低了误报率，对尽量少的可疑性较高的连接采取较为严厉的响应措施；对于介于两级阈值之间的可疑连接，其响应较为宽松，主要给出报警消息，由外部管理人员进行取舍。本发明蠕虫检测方法并非简单地对某一时间段内连接数进行统计，不仅考虑了当前的蠕虫行为，也考虑历史状态对当前检测的影响，从而提高了蠕虫检测效率和精度；本发明蠕虫检测方法考察了网络蠕虫攻击行为的一般过程，针对的是蠕虫传播过程中的连续和随机扫描行为的共有特性，因此可以更加全面地实现对未知网络蠕虫的检测；利用本发明能够精确检测到蠕虫主机，产生的误报记录更少。
本发明以时间窗口内的目标地址分布作为蠕虫行为判据的基准，综合考虑算法精确度和效率，采用信息熵公式作为决策算法进行网络蠕虫的检测。在蠕虫检测中，需要考虑其行为的历史性，即通过主机一系列的行为对其是否为蠕虫或者正常主机进行判断。采用信息熵公式作为决策算法，可以保证在检测中充分考虑历史数据的影响，使检测结果更加精确，并且其具有成熟的理论基础，运算简单，能够保证很好的实时性。
图1为本发明检测方法的控制流程框图；图2为本发明检测系统的部署结构示意图；图3为本发明检测系统的内部架构图；图4为本发明检测系统内网络蠕虫检测模块的内部处理流程图。
具体实施方式如图1所示，一种网络蠕虫检测方法，记录被检测主机对每个目标地址发起连接数，根据发起连接数在目的主机中的分布，计算该主机的目标地址熵值；预先设定网络蠕虫报警阈值和响应阈值，将计算所得熵值与预先设定的阈值进行比较，若熵值大于网络蠕虫报警阈值且小于或等于响应阈值，则认为该主机为可疑主机，给出报警；若熵值大于响应阈值，则触发响应机制；若熵值小于或等于蠕虫报警阈值，则继续检测，等待主机的下一次的连接发起，重新计算熵值作比较。
其具体步骤如下a)设置参数，包括网络蠕虫的报警阈值和响应阈值，以及定时清空的时间间隔和单台主机的目标地址分类表的表项个数；b)从网络捕获的实时数据包中，获取一个连接的源地址Src，目标地址Dst；c)检查源地址Src是否已经在蠕虫主机地址列表中，若存在，说明该地址的主机已经感染蠕虫，则不作进一步的处理，转到b)；若不存在，则转到d)；d)检查源地址Src是否在被检测主机地址列表SList中，若不存在，则分配一个固定大小的对应该源地址的目标地址列表DList[Src]，并初始化，将源地址Src加入到被检测主机地址列表SList中，且加入的表项指向该源地址的目标地址列表DList[Src]；若存在，则转到e)；e)计算目标地址Dst的散列函数值Hash值，记为i；f)根据计算得到的目标地址Dst的散列函数值Hash值，设置目标地址列表中的对应项加1，即DList[Src][i]＝DList[Src][i]+1；设置总的目标地址个数加1，即N＝N+1。
g)计算此时主机源地址Src的熵值，判断计算得到的熵值，若熵值大于设定的网络蠕虫报警阈值且小于或等于响应阈值，则产生报警记录；若熵值大于响应阈值，则触发响应机制；若停止标志为真，则结束检测过程；否则若此时定时清空的时间间隔到期，则将被检测主机地址列表中每台主机对应的目标地址列表清空；最后转到b)，继续考察下一个连接。
如图2所示，采用上述检测方法的蠕虫单机检测系统，由检测机及其上的蠕虫检测端程序构成，检测机安装一块网卡，连接网络出口交换机或路由器的镜像端口，用于监听网络出口处的网络数据包，并运行蠕虫检测程序，执行本地检测策略，从网络中捕获数据包，根据网络中主机发起连接数量在目的主机中的分布，计算该主机的目标地址熵值，判断是否存在感染蠕虫的主机，生成报警记录或触发响应机制。
如图3所示，单机蠕虫检测程序由网络蠕虫检测模块、网络流量分析模块、网络流量采集模块及配置与报警显示界面模块构成，网络流量分析模块通过网络接口监听网络上的数据包，进行数据包重组、超时检测、数据分析，从中提取TCP连接和UDP通信的状态、流量信息，并实时更新，传递给蠕虫检测模块的是以一定格式保存的连接信息。
如图4所示，网络蠕虫检测模块的主要数据结构包括蠕虫主机列表、被检测主机地址列表、目标地址列表。网络蠕虫检测模块利用信息熵检测算法对网络流量分析模块产生的连接信息进行分析，判断内部网中是否存在网络蠕虫，如果存在则通过报警界面显示报警信息或采取响应措施。配置与报警显示界面模块同网络蠕虫检测模块和网络流量分析模块进行通讯，可以对蠕虫检测模块和流量分析模块进行配置，设置蠕虫检测的各类参数，以及指定流量分析模块的流量过滤条件以针对性的检测。
根据历史数据的分析，设置本发明检测系统中网络蠕虫的报警阈值和响应阈值分别为1.0和2.0，考虑网络连接的平均持续时间，设置定时清空的时间间隔为10秒。
当单机蠕虫检测程序考察由某一个主机发起的连接情况。首先分配一个4K大小的列表，用于保存该主机的地址分类；当考察以该主机为源地址的连接时，先通过Hash函数计算该连接中目标地址的Hash值，记为i，然后将该Hash值对应的列表项的值加1，利用熵计算公式计算该主机的目标地址熵值，然后与预先设定的熵值进行比较，根据结果采取相应动作。当时间间隔达到预先设置的10秒时，将所有源主机的所有目标主机hash列表项清零，开始下一轮的计算。
为验证本发明所研究的蠕虫检测技术的性能，从校园网络上采集了一个宿舍楼出口处的网络流量数据。由于TRW算法也基于连接信息，下面采用本专利技术和TRW检测技术进行蠕虫检测，并对检测结果进行了分析，给出了不同技术下的报警有效率(有效报警记录/记录总数)。
与本发明比较的检测技术包括1、检测技术一即采用现有技术七的TRW算法，设置PD＝0.99，PF＝0.01，θ1＝0.15，θ0＝0.8；2、本发明技术分别使用两个阈值进行测试。设置响应阈值entropy1＝2.0，报警阈值entropy2＝1.0，单台主机的目标地址分类表固定大小K＝4096，更新时间间隔为10秒；测试结果如表1所示表1蠕虫检测结果比较
实验结果表明，本发明蠕虫检测方法在两种阈值条件下产生的误报记录都要比TRW少。通过使用两级阈值，报警阈值可以尽可能全面的检测流量中的异常行为，有效的降低报警的漏报率，再通过人工判断降低误报率；而响应阈值可以在设置报警阈值的基础上有效消除漏报率高的特点，并得到较低的误报率。虽然蠕虫比较难以规避检测技术一中TRW算法的检测，但是该算法的检测有效率仅有49.5％，误报过多，因此也不具有实用性。
本发明蠕虫检测系统只需要部署在企业内部网络的出口处，就可以实现对整个内部网络的蠕虫检测，这样节省了资源和产品升级、维护的费用。
权利要求
1.一种网络蠕虫检测方法，其特征在于记录被检测主机对每个目标地址发起连接数，根据发起连接数在目的主机中的分布，计算该主机的目标地址熵值；预先设定网络蠕虫报警阈值和响应阈值，将计算所得熵值与预先设定的阈值进行比较，若熵值大于网络蠕虫报警阈值且小于或等于响应阈值，则认为该主机为可疑主机，给出报警；若熵值大于响应阈值，则触发响应机制；若熵值小于或等于蠕虫报警阈值，则继续检测，等待主机的下一次的连接发起，重新计算熵值作比较。
2.如权利要求
1所述的网络蠕虫检测方法，其特征在于网络蠕虫检测的过程具体包括以下步骤a)设置参数，包括网络蠕虫的报警阈值和响应阈值，定时清空的时间间隔和单台主机的目标地址分类表的表项个数；b)从网络捕获的实时数据包中，获取一个连接的源地址和目标地址；c)检查源地址是否已经在蠕虫主机地址列表中，若存在，说明该地址的主机已经感染蠕虫，则不作进一步的处理，转到b)；若不存在，则转到d)；d)检查源地址是否在被检测主机地址列表中，若不存在，则分配一个固定大小的对应该源地址的目标地址列表，并初始化，将源地址加入到被检测主机地址列表中，且加入的表项指向该源地址的目标地址列表；若存在，则转到e)；e)计算目标地址的散列函数值，记为i；f)根据计算得到的目标地址的散列函数值，设置目标地址列表中的对应项加1，设置总的目标地址个数加1；g)计算此时主机源地址的熵值，判断计算得到的熵值，若熵值大于设定的网络蠕虫报警阈值且小于或等于响应阈值，则产生报警记录；若熵值大于响应阈值，则触发响应机制；若停止标志为真，则结束检测过程；否则若此时定时清空的时间间隔到期，则将被检测主机地址列表中每台主机对应的目标地址列表清空；最后转到b)，继续考察下一个连接。
3.一种采用如权利要求
1或2所述方法的网络蠕虫单机检测系统，其特征在于由检测机和其上的单机蠕虫检测程序组成，所述的检测机连接网络出口交换机或路由器的镜像端口，用于监听网络出口处的网络数据包，并运行蠕虫检测程序，执行本地检测策略，从网络中捕获数据包，根据网络中主机发起连接数量在目的主机中的分布，计算该主机的目标地址熵值，判断是否存在感染蠕虫的主机，生成报警记录或触发响应机制；所述的单机蠕虫检测程序由网络蠕虫检测模块、网络流量分析模块、网络流量采集模块及配置与报警显示界面模块构成，网络流量分析模块从网络流量采集模块得到流量进行分析，得到连接信息，并发送给网络蠕虫检测模块进行检测，配置与报警显示界面模块同网络蠕虫检测模块和网络流量分析模块进行通讯，主要对模块参数进行配置，并显示报警信息。
4.如权利要求
3所述的网络蠕虫单机检测系统，其特征在于所述的网络蠕虫检测模块的主要数据结构包括蠕虫主机列表、被检测主机地址列表、目标地址列表。
专利摘要
本发明公开了一种网络蠕虫检测方法，记录被检测主机对每个目标地址发起连接数，根据发起连接数在目的主机中的分布，计算该主机的目标地址熵值；预先设定网络蠕虫报警阈值和响应阈值，将计算所得熵值与预先设定的阈值进行比较，若熵值大于网络蠕虫报警阈值且小于或等于响应阈值，则认为该主机为可疑主机，给出报警；若熵值大于响应阈值，则触发响应机制；若熵值小于或等于蠕虫报警阈值，则继续检测，等待主机的下一次的连接发起，重新计算熵值作比较。本发明克服了现有的网络蠕虫检测技术不能准确、高效地检测到未知蠕虫和蠕虫病毒变种，检测结果存在较高的误报率和漏报率的缺点，可准确、高效地检测到未知蠕虫和蠕虫病毒变种。
文档编号H04L12/24GK1997017SQ200610155323
公开日2007年7月11日 申请日期2006年12月20日
发明者董亚波, 魏蔚, 汪伟 申请人:浙江大学导出引文BiBTeX, EndNote, RefMan