基于統計分析建立流量動態臨界線的蠕蟲檢測機制研究

摘 要:提出了一種基于正態分布進行異常流量檢測，從而判斷當前內網中是否存在蠕蟲感染的方法。該方法根據歷史流量的正態分布統計特性，計算出網絡內數據流量的一般行為的可信區間，如果監控的流量超出該可信區間，則判斷為異常流量并作出蠕蟲威脅的報警。結合該方法，進一步分析了如何以雙因素模型分析網絡中蠕蟲的數量。

關鍵詞:正態分布; 異常流量; 可信區間; 蠕蟲

中圖分類號:TP393 文獻標志碼:A

文章編號:1001-3695(2010)03-1032-03

doi:10.3969/j.issn.1001-3695.2010.03.062

Worm detection technology research of net-flow dynamic

critical line established based on statistical analytic method

WANG Yong-chaoa， XIE Yong-kaia， ZHU Zhi-pinga， LIN Huai-zhongb

(a.Center of Network Information， b.Institute of Artificial Intelligence， Zhejiang University， Hangzhou 310027， China)

Abstract:This paper raised a method detect the abnormal net-flow based on normal distribution， then estimated the existence of Internet worm in internal network. According to the normal distribution character of the history flow， this method computed the normal behavior trusted zone of data flow in network， judged the inspected flow abnormal flow if it went beyond the trusted zone， and alarmed the threat of Internet worm. Combined with this method， further analyzed how to use two-factor model ana-lysis of the number of Internet worms in network.

Key words:normal distribution; traffic statistic; trusted zone; worm

隨著互聯網的迅速發展及廣泛普及，網絡蠕蟲的危害日益加劇。網絡蠕蟲的攻擊一般都具有相似的攻擊模式，即主要針對計算機操作系統或應用系統的特定安全漏洞，通過各種方式的端口掃描從而發現目標節點，進而發起攻擊。針對這些特點，如果在蠕蟲爆發時進行防治則顯得滯后許多。所以，建立一個優先的蠕蟲預警機制，對于可能發生的異常行為作出有效的預警，從而能夠較早地對于蠕蟲的爆發進行預警及防范，這不失為一個好的策略。蠕蟲檢測的目的在于發現網絡中的計算機是否感染蠕蟲，而蠕蟲預警的主要功能是在蠕蟲尤其是未知的蠕蟲大規模探測、滲透和自我復制之前及時發現其感染痕跡進行預警[1]。由于現階段蠕蟲產生的速度過快，對統計出的流量使用傳統加以比對的方式只能針對已有的蠕蟲類型作出較好的預警，而對于未知的蠕蟲行為則會出現較多的誤判。又由于蠕蟲的掃描行為種類繁多，對于流量異常情況很難確定其是蠕蟲行為還是其他非惡意行為造成的，在正常流量基線的基礎上建立動態的臨界線應該成為本文的首選。

對于一般的網絡行為，由于其各異性而形成不同的流量大小，通過使用正態分布模型對其隨機行為的模擬，可以大致確定網絡中的一般行為以及流量產生的概率。使用過去的正常流量作為樣本觀測值，進而確定其統計概率，這在一定程度上符合實際流量情況。對于采集的正常流量數據，以一定的概率方法設置正常流量可能出現的臨界線，若某一時刻的流量超越該臨界值，則可以懷疑當前網內有惡意行為。

由于大部分蠕蟲感染是針對某一端口進行傳播，當網絡內出現異常流量后，使用net-flow統計出具有異常流量的端口信息，結合使用雙因素模型計算網絡內感染的主機狀態，主要計算感染的主機數量，從而達到蠕蟲大規模爆發預警的目的。

1 流量分析檢測

流量分析檢測也稱做異常檢測法，是當前最常見也是最有效的檢測方法，主要是建立正常情況下的流量模型。通過將當前流量與正常行為下的流量加以比對，計算當前流量的偏移值，從而確定網絡內部是否有蠕蟲爆發。流量分析檢測法也是無線傳感網絡(wireless sensor network， WSN)中主要的檢測方法。

1.1 基線分析法與動態臨界線

基線分析(baseline analysis)是基于正常流量統計的。首先將一天劃分成多個時間段，對各個時間區間內的正常流量進行統計并做出平均值，然后將當前網絡中的流量與正常流量加以比較，若與統計的基線吻合情況較好，則判斷其為正常流量;偏離較大時則有可能為蠕蟲攻擊[2]。

由于網絡內流量產生因素復雜，而且不同的蠕蟲對于流量的影響也不盡相同，只判斷當前流量與基線流量的偏離值很難說明是否有蠕蟲爆發。基于這種情況，對統計的基線做出一個較為可信的動態臨界線，若當前流量的偏離不超過基線和動態臨界線時，則說明此時的流量是可信的流量。首先依據不同時段正常的網絡平均流量建立動態基線，然后以動態基線值為基礎提升K倍(K>1)固定比率位置建立動態臨界線，當某一時段的流量超過臨界線 ，即可判定此時段為流量異常時段[3]。

以上方法所取K值具有一定的主觀性，所以其可信度不能確定，但這種動態建立臨界線的思想能大大降低對流量的誤判。本文結合這種思想，以一定的隨機概率來確定動態臨界線。

1.2 基于正態分布的動態基線和動態臨界線

在某一時刻t，假設當前網絡正常的最大流量為Fmax，則正常情況下超過最大流量的概率分布為P(ξt≥Fmax)。其中ξt為當前時刻t的流量。對于連續性的概率分布，一個變量如果受到大量微小獨立的隨機因素影響，那么這個變量一般滿足正態分布N(μ，σ2)。由于網絡內存在大量獨立用戶，其行為相互獨立且不同，本文也選擇正態分布來描述單個時刻內網中發生流量的正常行為。通過對浙江大學某宿舍樓主交換機一周的正常情況作樣本統計檢驗，其單個時刻流量分布概率情況如圖1所示(x軸為流量情況，單位為K;y軸為概率情況)。

從圖1中可以看出，在多次固定時刻樣本抽樣過程中，大量的樣本抽象表明，抽樣點流量的分布概率基本接近正態分布函數特性，尤其是對于抽樣點概率密度相對較大的區域(圖中反映的抽樣點集中區域—實現區域)與正態分布函數特性極為吻合。因此可以說單時刻交換機流量整體服從正態分布情況是比較好的。這里以此選定動態基線和動態臨界值。

對于流量ξt ，過去m次正常流量的觀測值為Fti(i=1，2，…，m)，取其平均值作為子樣觀測的均值，有t=(∑mi=1Fti)/m，并令其方差為子樣觀測方差，有Dξt=(∑mi=1(Fti-t)2)/m。而對于符合正態分布普通網絡行為，μt1=t，σt1=Dξt=(∑mi=1(Ft-t)2)/m，基于正態分布的性質以及Chebyshev定理，本文引入正態分布的3σ原則。

正態分布的3σ原則:當隨機變量ξ滿足正態分布時

P(|ξ|≥3σ)=1-12πσ∫μ+3σμ-3σe-(x-μ)22σ2dx≈0.003即在一般情況下|ξ|≤3σ。

根據以上定義，在一個正常網絡內，P(ξt≥(μ1+3σ1))≈0.003，筆者認為這個概率是足夠小的，于是取動態基線為μt1，可信范圍為3σt1。如果μt1-3σt1>0。則動態臨界線的范圍為[μt1-3σt1，μt1+3σt1];否則為[0，μt1+3σt1]。這個區間為可信區間，即一般的網絡內活動滿足區間內的規律。

1.3 異常流量的檢測

假定當前t時刻的實際觀測值為FtD，當前的正常流量均由正常的主機發出。對以往統計出的單個時刻主交換機的連接數bti(i=1，2…，m)使用統計均值，得到t=(∑mi=1bti)/m，則此刻數據流量的平均長度為t=(μti)/t。由于網絡中蠕蟲傳播的前期宿主機總是發送探測包用于尋找能夠攻擊的其他主機，此時網絡內的流量會比正常流量時有所增加，即FtD>t×btD。其中btD為當前交換機的連接數。

取ζ=FtD-(μt1+3σt1)，若ζ>0，則可以判斷當前網絡內出現異常流量。當ζ≤0時，當前的連接數為btD，則一般可信的流量應為FtN=t×btD，令FtU=|FtD-FtN|。同樣，由于當前時刻網絡內正常行為滿足正態分布，在這種情況下置信范圍仍然取3σt1，即當FtU>3σt1時，判斷此時出現的流量為異常流量。通過對浙江大學某宿舍樓服務器建立流量檢測方法，得到的結果如圖2所示。其中采樣時間為下午13:00～18:00，采樣間隔為5min。

圖中藍線為在通常正常流量情況下的動態基線流量的預測分布，紅線與深綠色線為可信流量區間的下界與上界，草綠色線為學校蠕蟲異動情況下的流量檢測分布情況。對圖中超過臨界線的流量進行危險報警，并在此時段作出網絡內有蠕蟲感染的判斷。

2 傳播模型

2.1 雙因素模型(two-factor model)[4]

在簡單傳染病模型的基礎上，人們考慮到主機會因為網絡的不穩定以及主機會產生自我保護，從而導致感染率β的變化，并且隨著時間的變化感染率可以表達為時間t的函數β(t)。雙因素模型考慮到感染狀態的轉移過程有兩個，分別是:易感染→感染→免疫;易感染→隔離。

當蠕蟲傳播開始時，由于主機的保護強度不夠，使得受感染的主機增多，則整個網絡對于未感染的主機加強重視，對于還未感染的易受染主機進行隔離保護，使得網絡中隔離主機的數量增加。其次，對于已感染的主機恢復后對其加以免疫。

對于整個傳播過程來說，蠕蟲傳播的初期，由于大部分的主機未被保護，使得大量主機被感染，網絡中引起對未感染主機的重視而對其進行隔離;傳播的中期，隔離中的主機未被感染，而受感染主機開始逐步恢復，部分受染主機進入免疫狀態，未被感染的主機依舊加強隔離;蠕蟲傳播的末期，由于大量主機進入了確定的狀態，隔離和免疫的主機數量趨于平緩，直至不再增長[5]。感染主機恢復的同時也進入免疫狀態，所以本文所提到的恢復狀態和免疫狀態為同一時刻的狀態。

雙因素模型中受感染主機的數量隨時間的變化為

dI(t)dt=β(t)[N-R(t)-I(t)-Q(t)]I(t)-dR(t)dt(1)

其中:I(t)為t時刻被感染的主機數量，不包括已恢復的主機;N是網絡中總的主機數量;S(t)是t時刻易感染的主機數量;β(t)表示感染率隨蠕蟲傳播的變化; Q(t)和R(t)分別表示已隔離和已恢復(免疫)狀態的主機數量。它們的狀態轉移表達式為N=S(t)+I(t)+R(t)+Q(t)。dS(t)dt=-β(t)S(t)I(t)-dQ(t)dt;dR(t)dt=γI(t);dQ(t)dt=υS(t)J(t)(2)

β(t)=β0[1-I(t)N]η(3)其中:J(t)表示所有感染過和正在感染的主機數量，有

J(t)=I(t)+R(t)=N-S(t)-Q(t)

對于初始時刻I(0)=I0<

2.2 主機的抵抗強度

根據雙因素模型中所提出的主機免疫和隔離兩種狀態下，當前爆發的蠕蟲很難對其進行感染這一線索[6]，本文作如下表述:易感染但出現隔離狀態，或者已感染但出現免疫狀態的主機稱做抵抗度強的主機，否則稱做抵抗度弱的主機。所以本文將傳播過程描述成如圖3所示的形式。

主機最終轉移到強抵抗狀態，此時已有的蠕蟲種類將無法感染網絡內的主機。設抵抗強的主機數量為K(t)，所有正常的主機數量為Z(t)，則有Z(t)=K(t)+S(t)。

dK(t)dt=γI(t)+υS(t)J(t)(4)

最后得出:dZ(t)dt=[γ-β(t)S(t)]I(t)(5)

其中Z(0)=N。很顯然，式(5)表現了正常主機在單位時間內的變化率。

本文對浙江大學某宿舍樓主交換機上的端口流量進行某時間段的net-flow流量檢測，通過在net-flow服務端中的flow-cat /Date-collect-directory/ |flow-filter-Pport |flow-print >filename等命令腳本，結合more filename |awk ‘{print $1}’|sort|uniq-c |sort-n |awk ‘{if($1>100){print $2}’等awk統計命令(其中100為經驗性蠕蟲感染閾值)，從而對該端口流量各類蠕蟲可能感染的服務port進行TCP session 數量統計，最終統計估出各個時間點的正常主機數量。圖4為該交換機的聯合流量統計結果。其中Z(t)為主機數，t為時間，單位時間間隔為5min，F(t)為流量，單位為千字節。從圖中不難看出，初始時刻該交換機所轄網段正常主機數量與流量均較大;隨著時間的變化，部分主機進入感染狀態，正常主機數量明顯下降，流量也相對降低;最終隨著感染主機逐步進入免疫狀態，正常主機數量與流量又逐步恢復正常。該統計圖表較好地說明了主機抵抗強度的轉移模型。

3 蠕蟲預警

監測當前整個網絡內的流量，如果出現流量異常，本文將使用雙因素模型對網絡內可能的蠕蟲感染狀態作出粗略判斷，通過對發出異常流量的主機屏蔽等手段做到整個內網內的蠕蟲預警。

3.1 對網絡內蠕蟲情況的監測

由于大部分的蠕蟲都是通過固定的通信端口進行傳播，當網絡內有蠕蟲感染時，受感染的主機會留下一些端口流量的記錄[7]。

Net-flow工具會對網絡中節點發送數據包的目的地址端口進行統計，所以如果出現異常流量，并且大量的異常流量是針對于固定的端口進行傳播，則可以增加網絡中蠕蟲發生感染的概率。令Ftd為節點針對固定端口發生的流量，則對于不可信的流量FtU，βt=Ftd/FtU。

3.2 網絡內蠕蟲感染數判斷

前面提出的強抵抗主機數K(t)，網絡中由這部分主機產生必然可信流量FtE=t×K(t)，由于本文對流量的統計是基于時間和正常主機進行的統計，由前面的式(4)和(5)可以得到dFtEdt=(t-t-1)[γI(t)+υS(t)J(t)]以及dFtNdt=(t-t-1)[γ-β(t)S(t)]I(t)。

通過異常流量檢測，分別會出現ζ>0和ζ≤0∩FtU>3σ1兩種異常情況。首先，當ζ>0時，令FtE=μ1，則K(t)=t為必然可信的流量，于是有I(t)=(t-t-1-υS(t)J(t))/γ， I(t)為感染數。其中S(t)=(3σt1)/t，感染主機的掃描包發送速率v根據當前網絡內截獲的數據包增長速度決定。

其次，當出現ζ≤0∩FtU>3σ1情況時，I(t)=(t-t-1)(btD-bt-1D)γ-β(t)S(t)， I(t)為感染數。其中S(t)=|btD-t|。

如果計算出的I(t)值較大，網管人員可以根據網絡狀況及時發出蠕蟲爆發的預警。

4 結束語

由于網絡的變化日新月異，產生的網絡威脅也快速變化，網絡蠕蟲的產生和變種較之以往速度和威脅都大大增加。本文使用基于正常網絡行為的統計規律，以此加以辨別非正常的網絡行為，不僅能夠適應快速變化的網絡威脅，而且由于方法單一化以及網絡數據易檢測的特點，使得該方法具有一定的實用性。不足之處在于，由于該方法基于以往的經驗得出，需要網絡管理人員具有較高的網絡安全管理能力，使得該方法具有一些主觀性。但是對于其后的研究工作，如使用數值分析的方法對于以往的經驗數據進行逼近，能夠大大減少這種主觀性帶來的問題。

參考文獻:

[1]鄧妍，戴冠中，高邐.網絡蠕蟲感染率的抗差估計法[J]. 計算機工程與科學，2008，130(1):1-11.

[2]馬艷春，肖創柏.基于動態基線分析方法的網絡蠕蟲檢測機制的研究[J].華北科技學院學報，2008，1(5):94-97.

[3]陳博，方濱興，云曉春.分布式蠕蟲檢測和遏制方法的研究[J].通信學報，2007，28(2): 9-16.

[4]ZOU C C， GONG Wei-bo， TOWSLEY D.Code red worm propagation modeling and analysis[C]//Proc of ACM Conference on Computer and Communications Security.2002: 138-147.

[5]林智，云曉春，余翔湛.蠕蟲傳播特性的研究[J].微計算機信息， 2008， 24(15):63-65.

[6]溫世強，段海新，吳建平.網絡蠕蟲爆發的檢測算法及其應用[J].計算機工程與設計，2005，26(5):1140-1143.

[7]ZOU C C， GAO Li-xin， GONG Wei-bo，et al. Monitoring and early warning for Internet worms[C]//Proc of the 10th ACM Conference on Computer and Communication Security.Washington DC:[s.n.]，2003:190-199.