一种基于通信量的内网蠕虫检测方法专利登记公告

专利名称：一种基于通信量的内网蠕虫检测方法

摘要：本发明公开了一种基于通信量的内网蠕虫检测方法。该方法以网络镜像流量为数据源，实时考察节点之间的通信情况，将通信归类为正常通信和可疑通信，统计各节点和其他节点之间的可疑通信的通信量、通信时间，同时生成可疑通信树，将通信量、通信时间和可疑通信树的规模综合计算得到可疑度，如果可疑度超出预设报警阈值，则认为内网中已爆发蠕虫并汇报蠕虫感染情况。本发明克服了现有的网络蠕虫检测方法难以检测未知蠕虫和难以区分蠕虫与P2P应用等不足，可有效检测到内网的未知蠕虫。

专利类型：发明专利

专利号：CN201010157898.5

专利申请（专利权）人：浙江大学

专利发明（设计）人：林怀忠;苏啸鸣;王学松

主权项：一种基于通信量的内网蠕虫检测方法，其特征在于：以网络镜像流量为数据源，实时考察节点之间的通信情况，将通信归类为正常通信和可疑通信，统计各节点和其他节点之间的可疑通信的通信量、通信时间，同时生成可疑通信树，将通信量、通信时间和可疑通信树的规模综合计算得到可疑度，如果可疑度超出预设报警阈值，则认为内网中已爆发蠕虫，具体包括以下步骤：1)确定报警阈值α和正常阈值β，β＜α，确定调节系统k，初始化正常通信表、可疑通信表和可疑通信树表，开始接收镜像网络流；2)从镜像网络流中提取IP数据包，如果是与外网的通信数据包，

专利地区：浙江