即时通讯蠕虫检测方法技术

本发明专利技术涉及信息安全技术领域，具体地来说为一种用于即时通讯蠕虫的检测方法。本发明专利技术分为两个步骤：首先，在学习阶段通过特征函数，将普通用户的行为和即时通讯蠕虫行为区分开来。然后，在检测阶段，通过简单马氏距离计算当前网络流量与学习数据的相似度。为了使得检测机制对站点访问模式不敏感，通过无参数CUSUM算法对相似度进行计算，当新的网络流量的距离超过了算法设定的允许距离时生成报警。

【技术实现步骤摘要】

【技术保护点】
一种即时通讯蠕虫检测方法，用于通讯服务器上，其特征在于，包括以下步骤：1）学习阶段通过网络上感染蠕虫的数据分析网络上蠕虫的行为特征，通过特征函数分析正常用户的行为数据，存入数据库中；2）在网关中配置检测模块，检测阶段检测模块接受通过网关的新数据并采用简单马氏距离与步骤1）中的数据库中学习的特征函数的值的相似度进行对比，进而判断出新数据是否受蠕虫感染。

【技术特征摘要】

【专利技术属性】
技术研发人员：郭薇，周翰逊，张国栋，贾大宇，
申请(专利权)人：沈阳航空航天大学，
类型：发明
国别省市：