一种交互式的网络蠕虫检测系统和方法技术方案

一种分布式的网络蠕虫检测系统，由分布式设置在网络系统中各个终端的网络流量采集单元和设置在服务器中的网络蠕虫分析单元组成；其中前者实时采集该终端的进出数据流量信息，并对这些数据进行快照和标准化处理后，传递给网络蠕虫分析单元，以及在其请求下，提交可疑网络蠕虫的攻击样本和终端基本状态信息；后者对网络流量采集单元所提供的流量数据进行统计和分析，根据流量阈值判断该终端是否可能遭到蠕虫攻击或者成为攻击源；再根据判断结果，与流量采集单元进行交互，请求提交攻击样本数据和终端基本状态信息，以便进行查询匹配，发现网络蠕虫和判断该终端是否成为攻击源，同时告警。该方法及时发现和识别网络蠕虫的攻击并告警，保证网络安全。

【技术实现步骤摘要】

【技术保护点】
一种分布式的网络蠕虫检测系统，其特征在于：该系统包括下列组件：网络流量采集单元，分布式地设置在网络系统中需要保护的各个终端设备中，负责实时采集流入和流出其所安装的终端设备的数据流量信息，并对这些数据报头进行快照处理，提取报头中的相关 信息和进行标准化处理，再通过传输控制协议ＴＣＰ／互联网协议ＩＰ中的ＴＣＰ协议将本机网络流量的快照信息传递给网络蠕虫分析单元进行统计和分析；并在网络蠕虫分析单元的请求下，通过ＴＣＰ／ＩＰ的ＴＣＰ协议向其提交可疑网络蠕虫的攻击样本和该终端的基本状态信息；网络蠕虫分析单元，设置在高性能的服务器中，负责对网络流量采集单元所提供的流量数据进行基于统计的分析和基于特征匹配的分析，并根据设定的网络流量阈值，判断该终端设备是否有可能遭到网络蠕虫攻击，或者成为网络蠕虫的攻击源；再根据判 断的结果，与网络流量采集单元进行交互，请求该单元在链式用户扩展数据中向其提交网络蠕虫攻击样本数据和该终端的基本状态信息，以便与数据库中存储的网络蠕虫特征量进行查询匹配，发现网络蠕虫，再根据该终端的基本状态信息判断该终端是否已经成为网络蠕虫的攻击源，同时发出告警。

【技术特征摘要】

【专利技术属性】
技术研发人员：庄一嵘，陈珣，金华敏，
申请(专利权)人：广东省电信有限公司研究院，
类型：发明
国别省市：81[中国|广州]