网络熵有望狙击Storm蠕虫传播_安全中国

去年，一种新蠕虫Storm开始席卷互联网。虽然它还没有引起主流媒体的太大注意，但已经让安全人士寝食难安。Storm比之前的蠕虫狡猾多了，因为它采用P2P技术及其他新手法来规避检测，肆意传播。

　　Storm通过潜伏代码潜入计算机，潜伏代码可用来破坏公司的整个网络。

　　网络熵:抑制蠕虫的新利器

　　信息熵最初由美国应用数学家Claude Shannon在1948年提出，用于研究传输消息中的信息量。如果数字信号的两个状态：0和1在信号中出现的概率完全一样，那么下一个会收到哪个比特的不确定性就能最大化。另一方面，如果1的出现概率较高，那么下一个会收到哪个比特的不确定性要低一些。也就是说，如果下一个比特是1的可能性较大，那么熵就会减小。

　　网上的流量模式同样如此。更确切地说，只要观察数据网络上的流量，就能从中得到大量信息。如果我们观察足够全面，就能得到进出数据包的历史平均数，注意到一些重要特征，比如网络从哪些地址收到数据包、网络把数据包发到哪些地址。我们还能注意到在一天的不同时间段发送了多少数据包、使用哪些互联网协议以及总流量。在任何一个时间，网络上流量的概率分布将呈现出不同的曲线。实际上，曲线形状表明了系统的熵。如果曲线形状保持一致，那么熵很高。如果出现尖峰，就表明出现了低概率事件，熵相应很低。

　　在蠕虫感染期间，已中招的主机会在很短时间内连接到其他许多主机。被感染主机建立的开启连接会占多数，熵随之减小。同样，数据包流中的目标IP地址会比正常流量中的IP地址随机得多。也就是说，目的地IP地址的分布会更分散，导致网络熵较高。