网络病毒的宏观性统计方法.docxVIP

网络病毒的宏观性统计方法肖新光1 吴冰2邱永良3 张晓兵4（1、2、3安天实验室 哈尔滨898邮政信箱 150001；4 哈尔滨工业大学 哈尔滨繁荣街130号 150001）摘要：网络病毒已经成为了互联网的首要安全威胁，所以对网络病毒进行监测并进行宏观性统计，是维护互联网的重要的手段。由于网络病毒事件是基于复杂巨系统的分布式事件，因此描述网络病毒的宏观情况成为一个课题。本文课题组通过病毒样本统计、病毒分布统计、病毒网络测量等手段，形成了一套综合统计分析体制。关键词：网络病毒、宏观性统计、网络评估计算、感染节点Macroscopical Statistics of Network VirusesXiao Xinguang1Wu bing2Qiu Yongliang3 Zhang Xiaobing4(1、2、3 Antiy Labs Harbin P.O.Box 898 150001; Harbin Institute of Technology Harbin Fanrong Street 150 150001)AbstractThe net-viruses are threatening China network.Therefore, in order to protect the network, we should monitor and count the net-virus roundly.In fact, because the virus incident of the network is scattered、base on hugeness system,so virus macroscopic statistical method of the network is a question for discussion，out team could well count the virus situation by analyzing virus sample distributing、virus-map distributing、net-virus measure and so on. It already became a statistical system. Key Words：Network virus ,macroscopical statistics ,computing of network evaluation, infected nodes 引言网络病毒的爆发是一种严重而频繁的网络安全事件，网络安全事件基本上符合摩尔定理，每十八个月数量翻一番。与此同时，网络安全事件也符合梅特卡夫定理，即网络的效率是与用户数量的平方成反比，这表明，互联网作为一个开放的复杂巨系统，不可避免地要发生安全事件，所以对网络病毒进行监测并进行宏观性统计，是掌握网络病毒发展趋势、维护互联网正常运转必不可少的技术手段。网络病毒统计的主要难度是网络病毒事件的海量性和离散性。网络病毒宏观性统计的目的1、掌握网络病毒感染态势通过对网络病毒的宏观统计，可以对每个区域的病毒泛滥情况形成完整的了解，从而为制定下一步的病毒防治方案提供了重要的数据依据。2、控制网络病毒疫情在掌握了网络病毒的整体态势之后，我们就可以针对病毒情况进行有的放矢。如，在网内，发现Worm.Win32.Blast(冲击波)病毒，由于该病毒的大面积感染，网络中大部分带宽都被该病毒占据，依据这一情况，我们就可以采取病毒专杀工具定点投放的策略或者其它有效的方法来全面对抗网络中的病毒，从而很好地控制网络中的病毒疫情。3、预测病毒发展的趋势当我们以某个区域子网为数据集，以该网络内的病毒发作次数或种类为Y坐标轴，以时间为X轴，我们就可以得出一个病毒的曲线图，只要变换一下关键量，就可以得到任意的关于病毒的统计图表，然后对该图表进行分析，就可以得出病毒的流行趋势，再加上一些经验因素，就可以对未来一段时间的病毒走势做出一个科学的预测，从而掌握病毒发展的趋势。样本/入库审计方法在对病毒整体趋势的分析过程中，样本/入库审计是最传统和最基本的方法。对于网络病毒的统计，要采用两维分析的方法，病毒的一个发展维度是深度，即新的病毒种类的产生，另一个发展维度是广度，指的是某一种病毒在他的生命周期内所能传播的范围。样本/入库审计是对病毒发展深度的一种统计方法。一般反病毒公司都会根据样本流入情况和特征入库的审计来确定新病毒的种类，而这种病毒主要采用来自中毒用户的上报、合作公司之间的样本交换等途径。而具体的审计工作内容则是病毒上报数量的统计、新病毒名字的统计等。其中上报数量统计能够对病毒感染严重程度做出一个相对的分析，新病毒名字的统计，能对阶段性病毒产生情况和整体病毒库情况做出统计。例如，安