安全论文--分布式蠕虫流量检测技术

　　引言

　　随着网络技术应用的深入，蠕虫病毒对通信网络的安全威胁日益增加。多样化的传播途径和复杂的应用环境使蠕虫病毒的发生频率越来越高，造成的损失也越来越大。传统的蠕虫病毒检测方法基于蠕虫病毒特征码检测原理，必须首先获得已传播的蠕虫病毒的样本，才能分析出特征码，更新病毒特征库，然后病毒检测程序才能检测出该类型的蠕虫病毒。该方法不能适应新蠕虫病毒的出现和病毒的新变种，无法检测未知类型的蠕虫病毒。

　　如何有效快速地检测已知和未知的蠕虫病毒，国内外已做了大量的研究。Jaeyeon Jung，Rodolfo A.Milito，Vern Paxson等人提出了一种具有显著优势的蠕虫检测方法：RBS(rate-based sequential hypothesis testing)，它是针对快速的大规模传播的蠕虫的一种检测方法。这种情况下宿主计算机会尝试建立大量新连接，流量会表现出异常。还提出了RBS+TRW检测方法：提供一种统一的框架：一端是纯粹的RBS，另一端是纯粹的TRW，强化了RBS探测随机扫描选择IP地址的蠕虫的能力[1]。该算法适用于蠕虫病毒已开始大量传播的环境，需要根据某个传播特性的阈值做出判断。它对一般网络的快速扫描型蠕虫的后期检测效果明显，但早期蠕虫病毒传播或慢扫描蠕虫病毒的上述网络特征并不明显。在国内专利文献CN1549126A中描述了一种在IDS中检测蠕虫病毒的方法，该方法通过计算各个主机和其他主机的连接数目是否超过一定阈值来判断是否存在蠕虫病毒。大多数蠕虫病毒会通过网络扫描发现潜在的传染目标，所以该方法的实质是通过检测蠕虫病毒的扫描行为，来发现蠕虫，同时，通过限制超过阈值的连接，达到阻止蠕虫传播的目的。该方法的不足在于，扫描不一定是由蠕虫病毒发起的，例如：人为的端口扫描显然和蠕虫病毒无关，很多点对点下载工具软件同样会导致连接数目异常。该方法的不足降低了检测的准确率。亓俊红、苏波等人研究了一种利用蠕虫技术反制蠕虫的策略，采取蠕虫的传播和感染模式，并把蠕虫的表现模块编制成安装补丁程序和修补系统漏洞的代码在网络中进行主动的传播[2]，对于后一种方法，可能会导致网络拥塞的加剧。

　　文中提出一种基于流量异常传播模式的分布式蠕虫检测算法，可以从流量特征中判断已知或未知蠕虫病毒传播的源头和传播所用网络协议和目标端口，以便在病毒发作的初期就加以控制，防止病毒的大规模传播，从而保证网络的正常运转。

　　1 基于流量异常传播序列的蠕虫检测算法

　　被感染主机入侵其他主机的方式和它自己被入侵的方式基本相同。从流量行为特征上分析：如果地址IP1的端口Port1是上个时段的蠕虫扫描行为的目标之一，并且，在当前时段，地址IP1也开始了可疑蠕虫扫描行为，则认为IP1上存在序列传播行为。通过对这种序列传播行为的分析，就可以在流量绝对值并不高的情况下，检测并阻止蠕虫病毒的传播。

　　基于流量异常传播模式的蠕虫检测算法，具体实施包括2个过程，流量特征基线统计过程和实时蠕虫病毒流量过程，前者用于获得网络流量基线表，后者用于检测蠕虫病毒流量。

　　实时蠕虫病毒流量过程必须在流量特征基线统计过程结束并取得网络流量基线表之后运行。　1.1 流量特征基线统计与实时蠕虫病毒流量检测流程

　　该过程通过对指定网络的周期性流量特征进行统计，获取后续用于蠕虫病毒判别的依据：

　　① 定义参数INTERVALH，以INTERVALH秒为采样周期，获得来自网络设备的当前流量信息表{传输层协议、目标端口、源IP地址、字节流量、数据包流量、单位时间内连接数均值}和本采样周期结束时间，为描述方便，本采样周期结束时间简称为采样时间;

　　② 合并当前流量信息表中传输层协议、目标端口相同的记录，添加合并后的记录{采样时间、传输层协议、目标端口、字节流量、数据包流量、单位时间内连接数均值}到历史流量数据表中;

　　③ 定义参数H，判断是否已完成H个周期的流量采集，如果是则转至④，否则转至①;

　　④ 在历史流量数据表中，统计一天24小时内，以INTERVALH秒为间隔的各时刻的字节流量均值、数据包流量均值、单位时间内连接数均值的平均值，得到网络流量基线表{时刻、传输层协议、目标端口、基线字节流量均值、基线数据包流量均值、基线单位时间内连接数均值}。

　　实时蠕虫病毒流量检测流程必须在流量特征基线统计过程完成后才能运行：

　　① 定义参数INTERVALD，以INTERVALD秒为周期，获得并记录来自网络设备的当前流量信息表{采样时间、传输层协议、源IP地址、目标端口、字节流量、数据包流量、单位时间内连接数均值}，为描述方便，本采样周期结束时间简称为采样时间;

　　② 根据当前流量信息表，合并传输层协议、目标端口相同的记录，得到当前流量汇总信息表{采样时间、传输层协议、目标端口、字节流量、数据包流量、单位时间内连接数均值};

　　③ 依次取得当前流量信息表中的记录，称为当前流量信息记录;

　　④按照如下条件，在网络流量基线表中检索“基线字节流量均值、基线数据包流量均值和基线单位时间内连接数均值”：1)传输层协议、目标端口和当前流量信息记录的传输层协议、目标端口相同;2)采样时刻和当前流量信息记录时刻的绝对差值最小。

　　⑤ 定义参数K，判断当前流量信息记录中的字节流量是否大于K*基线字节流量均值，或者，数据包流量是否大于K*基线数据包流量均值，或者，单位时间内连接数均值是否大于K*基线单位时间内连接数均值。如果是，标示当前流量信息记录{采样时间、传输层协议、源IP地址、目标端口、字节流量、数据包流量、单位时间内连接数均值}中的源IP地址为反常源IP地址，否则转至 ⑦;

　　⑥ 统计反常源IP地址，得到反常源IP地址表{采样时间、反常传输层协议、反常目标端口、反常源IP地址数目、反常源IP地址链表}，表中源IP地址数目是指当前流量信息表中，具备相同的反常传输层协议、反常目标端口的不同反常源IP地址的记录数目;

　　⑦ 判断是否已遍历当前流量信息表中每一条记录，如果是，转至⑧，否则，转至③;

　　⑧ 定义参数M，清空异常协议端口表，遍历最近时间内的M个反常源IP地址表，如果存在传输层协议、目标端口相同的反常源IP地址数目在不同的表中按时间顺序持续增长，则在异常协议端口表中添加记录{反常传输层协议、反常目标端口};

　　⑨ 遍历异常协议端口表，依次取得表中每一条记录，称为当前异常协议端口记录;

　　⑩ 根据当前异常协议端口记录所包含的反常传输层协议和反常目标端口，按照时间顺序，分别从最近的M个当前流量汇总信息表、网络流量基线表和反常行为源IP地址表中取得：字节流量序列、基线字节流量均值序列、源IP地址数目序列。定义字节流量和基线字节流量均值的差值序列为

　　定义阈值Q，如果反常主机数目小于Q，则设置当前相关系数为0，转至 ⑨。

　　定义阈值P，判断相关系数C是否大于P，如果是，则认为反常传输层协议和反常目标端口所表示的网络流量中包含蠕虫病毒，在反常源IP地址表中检索反常源IP地址链表，得到包含可能受感染计算机源IP地址信息，并形成蠕虫流量告警。

　　判断是否已完成对异常协议端口表的遍历，如果是，则清空反常源IP地址表中的反常源IP地址链表，保存当前流量汇总信息表、反常源IP地址表，转至①，否则，转至⑨。　1.2 分布式流量检测

　　和已有算法相比，早期检测可以在蠕虫病毒于保护子网中传播的初期就发现并明确相关流量的特征，如果配合分布式的联动和处理机制，就可以进一步提高蠕虫病毒的检测率。文中提出如图1所示的分布式蠕虫流量检测系统，该系统包含蠕虫病毒流量检测代理和全局蠕虫告警关联中心。蠕虫病毒流量检测代理检测所部署的网络中的流量，并把反常主机数目和流量的相关系数提高到全局蠕虫告警关联系统。在全局蠕虫告警关联系统中，定义相关系数阈值PH、PL，PL

　　① 如果蠕虫病毒流量检测代理检测到当前网络中某种流量相关系数大于或等PL，并且小于P，则提高流量信息和相关系数到全局蠕虫告警关联中心;

　　② 如果产生相同流量特征下，流量相关系数大于或等PL，并且小于P的事件的网络数目大于N，全局蠕虫告警关联中心则判断上述网络中存在蠕虫病毒流量。

　　图1 分布式蠕虫流量检测系统框架

　　2 试验和分析

　　采用模拟实验验证该算法的有效性。该模拟环境由处于同一网段的21台办公用PC机组成，并在每个PC机上安装模拟蠕虫传播代码，为了模拟慢速传播过程，该模拟代码每5 m扫描一个地址。如果扫描到已安装模拟蠕虫传播代码的主机，则在新的主机上激活目标代码。算法中所涉及常数Q等于1，P等于0.6。采用流量异常序列检测算法获得的网络流量统计信息如图2所示。

　　根据流量异常序列检测算法，计算得到的各时间点的相关系数如表1所示。

　　表1 流量异常序列检测算法计算得到的各时间点的相关系数

　　由表1可知，系统从9:00开始就已经检测到蠕虫病毒流量的传播行为，这时仅有两台主机已感染蠕虫病毒，远早于蠕虫病毒的传播高峰时间，说明该算法不仅仅适用于慢速传播的蠕虫病毒，而且可以在爆发的前期就检测到蠕虫病毒的传播行为，为阻断病毒的传播，减少危害，提供更多的预警时间。

　　3 结语

　　文中分析了蠕虫病毒的传播特点和已有的检测方法，针对慢速传播蠕虫病毒，提出了分布式基于流量异常传播序列的蠕虫流量检测算法，并在模拟实验中验证了该算法的有效性。

　　参考文献

　　[1] Jaeyeon Jung ,Rodolfo A.Milito, Vern Paxson. On the Adaptive Real-Time Detection of Fast-Propagating Network Worms. Computer Science and Artificial Intelligence Laboratory Technical Report(November 10,2006), Springer Paris. ISSN: 1772-9890.

　　[2] 亓俊红,苏波.基于蠕虫传播机理的主动防御策略, 山东理工大学学报(自然科学版)(2006年 06期 ), 页码范围: 62-65页.

　　作者简介：高鹏，男，1973年生，博士，研究方向：信息安全等。

　　*基金项目：国家高技术研究发展计划(863计划)，课题编号2007AA01Z469，课题名称“统一威胁防御管理系统”。