本发明专利技术公开了一种P2P蠕虫检测的方法,该方法包括:分析P2P蠕虫的特征,根据P2P蠕虫的相关信息构建蠕虫特征库;扫描P2P网络中主机的端口是否开启,若是,则根据蠕虫特征库中相应的P2P蠕虫的相关信息,向主机发送P2P蠕虫对应的请求消息;接收到主机返回的应答消息后,解析该应答消息的内容,根据蠕虫特征库中的相关信息确定主机是否感染P2P蠕虫。本发明专利技术还公开了一种P2P蠕虫检测的装置。本发明专利技术采用主动探测的检测方式,可以有效的避免现有的基于对数据包进行过滤和状态检测的方法的缺点,从而能够有效地防御已知P2P蠕虫,并且提高了内网系统的安全性。
【技术实现步骤摘要】
P2P蠕虫检测的方法和装置
本专利技术涉及互联网
,尤其涉及P2P蠕虫检测的方法和装置。
技术介绍
随着P2P (Peer to Peer,对等计算)软件的普及,P2P蠕虫已成为P2P网络安全的主要威胁之一,当P2P蠕虫成功感染P2P网络中的某台主机后,它会借助P2P网络,并利用P2P网络其他主机中的安全漏洞、P2P网络文件共享功能、资源共享等方式迅速隐蔽的向其他主机传播蠕虫,由于P2P网络设计的原因,在提高资源共享速度的同时,也加快了蠕虫的传播速度,使得P2P蠕虫能够在短时间内感染大片主机并同时构造一个巨大的僵尸网络,对现有网络造成了极大的安全威胁。针对P2P蠕虫的危害,目前的防火墙技术主要是通过对数据包内容进行过滤以及状态的检测来检测网络中的主机是否感染P2P蠕虫,这两种技术存在以下几种缺陷:1、由于P2P蠕虫在内网传播,流量不经过防火墙,因而在这种情况下,防火墙就形同虚设;2、由于P2P蠕虫和正常的P2P软件所采用的是相同的技术,使得P2P蠕虫和正常的P2P软件的难以区分;3、P2P蠕虫往往都会对文件自身和通信内容采用加密和混淆技术,从而导致防火墙无法识别。上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
本专利技术的主要目的在于提供P2P蠕虫检测的方法和装置,旨在有效地防御已知P2P蠕虫,提高内网系统的安全性。为实现上述目的,本专利技术提供的一种P2P蠕虫检测的方法,包括以下步骤:分析P2P蠕虫的特征,根据P2P蠕虫的相关信息构建蠕虫特征库;扫描P2P网络中主机的端口是否开启,若是,则根据所述蠕虫特征库中相应的P2P蠕虫的相关信息,向所述主机发送所述P2P蠕虫对应的请求消息;接收到所述主机返回的应答消息后,解析该应答消息的内容,根据所述蠕虫特征库中的相关信息确定所述主机是否感染所述P2P蠕虫。优选地,所述P2P蠕虫的相关信息包括蠕虫名称、蠕虫采用协议、蠕虫的端口、请求消息内容和应答消息内容。优选地,所述根据所述蠕虫特征库中相应的P2P蠕虫的相关信息,向所述主机发送所述P2P蠕虫对应的请求消息的步骤包括:当P2P网络中主机的端口开启时,比对该端口与所述蠕虫特征库中的P2P蠕虫的端口是否一致;在所述主机的端口与P2P蠕虫的端口一致时,在所述蠕虫特征库中查找该P2P蠕虫的端口对应的P2P蠕虫的请求消息内容;根据所述请求消息内容,向所述主机发送对应的请求消息。优选地,在所述扫描P2P网络中主机的端口是否开启的步骤之前,还包括:设定扫描时间,用于根据所述扫描时间定时扫描P2P网络中主机的端口。优选地,在所述接收到所述主机返回的应答消息后,解析该应答消息的内容,根据所述蠕虫特征库中的相关信息确定所述主机是否感染所述P2P蠕虫的步骤之后,还包括:当确定所述主机感染所述P2P蠕虫后,隔离所述主机并报警。本专利技术进一步提供一种P2P蠕虫检测的装置,包括:构建模块,用于分析P2P蠕虫的特征,根据P2P蠕虫的相关信息构建蠕虫特征库;扫描模块,用于扫描P2P网络中主机的端口是否开启;发送模块,用于在P2P网络中主机的端口开启时,根据所述蠕虫特征库中相应的P2P蠕虫的相关信息,向所述主机发送所述P2P蠕虫对应的请求消息;确定模块,用于接收到所述主机返回的应答消息后,解析该应答消息的内容,根据所述蠕虫特征库中的相关信息确定所述主机是否感染所述P2P蠕虫。优选地,所述P2P蠕虫的相关信息包括蠕虫名称、蠕虫采用协议、蠕虫的端口、请求消息内容和应答消息内容。优选地,所述发送模块包括:比对单元,用于当P2P网络中主机的端口开启时,比对该端口与所述蠕虫特征库中的P2P蠕虫的端口是否一致;查找单元,用于在所述主机的端口与P2P蠕虫的端口 一致时,在所述蠕虫特征库中查找该P2P蠕虫的端口对应的P2P蠕虫的请求消息内容;发送单元,用于根据所述请求消息内容,向所述主机发送对应的请求消息。优选地,P2P蠕虫检测的装置还包括:设定模块,用于设定扫描时间,用于根据所述扫描时间定时扫描P2P网络中主机的端口。优选地,P2P蠕虫检测的装置还包括:隔离及报警模块,用于当确定所述主机感染所述P2P蠕虫后,隔离所述主机并报m目O本专利技术通过分析P2P蠕虫的特征,根据P2P蠕虫的相关信息构建蠕虫特征库,并扫描P2P网络中主机的端口是否开启;当主机的端口开启时,根据蠕虫特征库中相应的P2P蠕虫的相关信息,向主机发送P2P蠕虫对应的请求消息,接收到主机返回的应答消息后,解析该应答消息的内容,根据蠕虫特征库中的相关信息确定主机是否感染P2P蠕虫。采用主动探测的检测方式,可以有效的避免现有的基于对数据包进行过滤和状态检测的方法的缺点,从而能够有效地防御已知P2P蠕虫,并且提高了内网系统的安全性。【附图说明】图1为本专利技术P2P蠕虫检测的方法第一实施例的流程示意图;图2为图1中发送P2P蠕虫对应的请求消息的步骤的细化流程示意图;图3为本专利技术P2P蠕虫检测的方法第二实施例的流程示意图;图4为本专利技术P2P蠕虫检测的方法第三实施例的流程示意图;图5为本专利技术P2P蠕虫检测的装置第一实施例的功能模块示意图;图6为图5中发送模块的功能模块示意图;图7为本专利技术P2P蠕虫检测的装置第二实施例的功能模块示意图;图8为本专利技术P2P蠕虫检测的装置第三实施例的功能模块示意图。本专利技术目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。【具体实施方式】应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。本专利技术提供一种P2P蠕虫检测的方法。参照图1,图1为本专利技术P2P蠕虫检测的方法第一实施例的流程示意图。在一实施例中,该P2P蠕虫检测的方法包括:步骤S10,分析P2P蠕虫的特征,根据P2P蠕虫的相关信息构建蠕虫特征库;本实施例所提供的P2P蠕虫检测的方法,通过模拟P2P蠕虫的行为,对指定网段的内网主机进行P2P蠕虫检测。首先,分析各种P2P蠕虫的特征,获取P2P蠕虫的相关信息,并根据这些相关信息构建一蠕虫特征库。构成该蠕虫特征库的P2P蠕虫的相关信息包括蠕虫名称、蠕虫采用协议、蠕虫的端口、请求消息内容和应答消息内容;其中,蠕虫名称即P2P蠕虫的名称;蠕虫采用协议通常为TCP协议或UDP协议;蠕虫的端口可以为固定端口,也可以为非固定端口,即使用算法生成的协商端口 ;大部分P2P蠕虫的请求消息和应答消息都会采用固定的消息结构,请求消息和应答消息的结构通常可以抽象为指令和指令内容或peerlist表,需要根据不同的P2P蠕虫编写不同的指令和指令内容,实现上可以采用字符串和正则表达式相结合的方式来表达消息。将相应的P2P蠕虫的相关信息对应的填在蠕虫特征库中,即形成蠕虫特征库。步骤S20,扫描P2P网络中主机的端口是否开启;步骤S21,当P2P网络中主机的端口开启时,根据蠕虫特征库中相应的P2P蠕虫的相关信息,向主机发送P2P蠕虫对应的请求消息;构建了蠕虫特征库后,利用防火墙扫描用户指定网段的内网主机的端口,判断这些主机的端口是否开启,如有主机的端口开启,则表明该主机有感染P2P蠕虫的可能性,此时,根据该主机的端口,在蠕虫特征库中确定相应的P2P蠕虫,并根据该P2P蠕虫的相关信息中的请求消息内容,向主机发送与该P2P蠕虫对应本文档来自技高网...
【技术保护点】
一种P2P蠕虫检测的方法,其特征在于,包括以下步骤:分析P2P蠕虫的特征,根据P2P蠕虫的相关信息构建蠕虫特征库;扫描P2P网络中主机的端口是否开启,若是,则根据所述蠕虫特征库中相应的P2P蠕虫的相关信息,向所述主机发送所述P2P蠕虫对应的请求消息;接收到所述主机返回的应答消息后,解析该应答消息的内容,根据所述蠕虫特征库中的相关信息确定所述主机是否感染所述P2P蠕虫。
【技术特征摘要】
1.一种P2P蠕虫检测的方法,其特征在于,包括以下步骤: 分析P2P蠕虫的特征,根据P2P蠕虫的相关信息构建蠕虫特征库; 扫描P2P网络中主机的端口是否开启,若是,则根据所述蠕虫特征库中相应的P2P蠕虫的相关信息,向所述主机发送所述P2P蠕虫对应的请求消息; 接收到所述主机返回的应答消息后,解析该应答消息的内容,根据所述蠕虫特征库中的相关信息确定所述主机是否感染所述P2P蠕虫。2.如权利要求1所述的P2P蠕虫检测的方法,其特征在于,所述P2P蠕虫的相关信息包括蠕虫名称、蠕虫采用协议、蠕虫的端口、请求消息内容和应答消息内容。3.如权利要求2所述的P2P蠕虫检测的方法,其特征在于,所述根据所述蠕虫特征库中相应的P2P蠕虫的相关信息,向所述主机发送所述P2P蠕虫对应的请求消息的步骤包括: 当P2P网络中主机的端口开启时,比对该端口与所述蠕虫特征库中的P2P蠕虫的端口是否一致; 在所述主机的端口与P2P蠕虫的端口一致时,在所述蠕虫特征库中查找该P2P蠕虫的端口对应的P2P蠕虫的请求消息内容; 根据所述请求消息内容,向所述主机发送对应的请求消息。4.如权利要求3所述的P2P蠕虫检测的方法,其特征在于,在所述扫描P2P网络中主机的端口是否开启的步骤之 前,还包括: 设定扫描时间,用于根据所述扫描时间定时扫描P2P网络中主机的端口。5.如权利要求1至4中任一项所述的P2P蠕虫检测的方法,其特征在于,在所述接收到所述主机返回的应答消息后,解析该应答消息的内容,根据所述蠕虫特征库中的相关信息确定所述主机是否感染所述P2P蠕虫的步骤之后,还包...
【专利技术属性】
技术研发人员:郑权,
申请(专利权)人:深圳市深信服电子科技有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。