（信息与通信工程专业论文）基于良性蠕虫的蠕虫防御机制的研究.pdf

摘要 摘要 蠕虫作为恶意代码家族中重要的组成部分，对i n t e m e t 网络安全产生了严重 危害。伴随着网络安全防御机制的不断完善，蠕虫也在不停改善自身的传播机制， 新的蠕虫不断涌现。近年来，与僵尸网络配合传播的邮件蠕虫和利用p 2 p 网络进 行传播的p 2 p 蠕虫对互联网造成了极大的冲击，这两类新型蠕虫的传播模型与传 播网络环境都与传统的i n t e m e t 蠕虫有着明显不同，使得传统的蠕虫防御机制不 能有效对抗蠕虫攻击。本文通过分析i n t e r n e t 蠕虫的特点，结合邮件网络和p 2 p 网络的拓扑特性，以良性蠕虫为主要工具，深入研究对抗邮件蠕虫和p 2 p 蠕虫的 相关策略，主要工作包括： 1 对i n t e m e t 蠕虫、邮件蠕虫、p 2 p 蠕虫和良性蠕虫进行了详细的分析，总 结了相关蠕虫国内外的研究进展。 2 针对邮件蠕虫提出了一种基于被动型良性蠕虫的集中防御策略，利用邮件 网络呈现的p o w e r - l a w 特性，通过良性蠕虫、良性蠕虫管理服务器和邮件服务器 三者联动建立防御体系。 3 针对p 2 p 蠕虫提出了一种基于混合型良性蠕虫的自动优先趋向优质结点 ( a p t h q n ) 策略。 4 对提出的两种策略进行了理论分析和仿真实验分析。分析结果表明：对于 集中防御策略，免疫结点类型、免疫起始时间、邮件服务器参与防御时间及蠕虫 邮件识别正确率都与邮件蠕虫的传播有着紧密的联系；对于a p t h q n 策略，达 到了消耗网络资源少、防御效果好的设计要求。 关键词：网络安全；良性蠕虫；免疫；优质结点； a bs t r a c t w o 肌h a sb e e i lo n eo ft h eg r e a t e s tt h r e a t st o i n t e r n e ts e c u r i t ya sa ni m p o r t a n t 唧o n e n to fm a l i c i o u sc o d e s w h i l e t h en e t w o r ks e c u r i t yd e f e n s em e c h a i l i s m s c o n t i n u et oi m p r o v e ，w o r ma l s oc o n t i n u e st oi m p r o v ei t so w np r o p a g a t i o n m e c h 撕s m s a n dn e ww o m l sc o n t i 肌et oe m e r g e i nr e c e n ty e a r s ，e - m a i lw o r mw h i c hp r o p a g a t e s w i t hm ez o m b i e o r ka n dp 2 pw o r mw h i c hp r o p a g a t e s i np 2 pn e t w o r k sh a v ec a u s e d ag r e a ti m p a c to ni n t e m e t t h ed i f f e r e n c e si n m o d e la n de n v i r o n m e n to fe - m a i lw o r ma n d w h i c ht h et w on e wt y p e so fp r o p a g a t i o n p 2 pw o r mc o m p a r ew i t ht h et r a d i t i o n a l i n t 锄e tw o 肌r e s u l ti nt h a tt r a d i t i o n a lw o r md e f e n s e m e c h a n i s m sc a n td e f e n d e 彘c t i v e l va g a i n s tw o r ma t t a c k s t h r o u g ha n a l y z i n gt h ec h a r a c t e r i s t i c so f t h e 眦哪e t w o r m c o n s i d e r e dw i t hm et o p o l o g yc h a r a c t e r i s t i c s o fe - m a i la n dp 2 pn e t w o r k s ，t h i s d i s s e r t a t i o nu s e st h eb e n i g nw o r ma st h em a j o rt o o lt os t u d yp o l i c i e sa g a i n s te - m a l l w o n na n dp 2 pw o r mi nd e p t h ，m a i nf u n c t i o n si n c l u d e ： 1 t h ed i s s e r t a t i o na n a l y z e si n t e m e tw o r m ，e - m a i lw o r m ，p 2 pw o r ma n db e n i g n w o r mi nd e t a i la n ds u m su pt h er e l a t e dr e s e a r c ha th o m e a n da b r o a d 2 t h ed i s s e n a t i o np r e s e n t sc e n t r a ld e f e n s ep o l i c ya g a i n s te 。m a i lw o r m b a s e do n p a s s i v eb 砌盟w o r m b ym a k i n gu s e o fp o w e r - l a wc h a r a c t e r i s t i ci ne m a l ln 咖o r k s ， m ed i s s 鳅“o ns e t su pj o i n td e f e n s es y s t e mi n c l u d eb e n i g nw o r m ，b e n i g nw o m m a n a g e m e n ts e r v e ra n d e - m a i ls e r v e r 3 t h ed i s s e 】俐o np r e s e n t sa u t o m a t i cp r i o rt e n d t oh i g hq u a l i t yn o d e s ( a p t h q n ) p o l i c ya g a i n s tp 2 p w o r mb a s e do nh y b r i db e n i g nw o r m 4 t h ed i s s 嘶a t i o nm a k e st h e o r ya n ds i m u l a t i o na n a l y s i st o w a r d st w op o l l c l e s 1 1 1 er e s u l t ss l l o wt h a tt h ef i r s ti m m u n i z e dn o d e ss t y l e ，t h es t a r t - t i m eo fi m m u n i z a t i o i l m es 谢t i m eo fe m a i ls e t v e rf i l t r a t i o n a n dt h ef i l t r a t i o np r e c i s e n e s sh a v eg r e a t i n f i u e n c eo ne - 】n a i lw o r mp r o p a g a t i o na n da p t h q np o l i c yh a sa c h i e v e dd e s i g ng o a 上 w m c hm e a i l st l l el e s sr e s o u r c e sc o n s u m e ，t h em o r ee f f e c t i v e l yd e f e n d s k e y w o r d s ：n e t w o r ks e c u r i t y ；b e n i g nw o r m ；i m m u n i z a t i o n ；h i g hq u a l i t y n o d e s ； i i 独创1 生声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明 确的说明并表示谢意。 签名：呈呈整 日期：叼年；月2 姻 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：要兰墅 导师签名： 日期：泖罗年月够目 第一章绪论 第一章绪论 在当今社会，i n t e m e t 已经深刻地改变了人类社会的运转方式，由此带来的信 息革命，使全球的经济社会活动联系地更加紧密，已经成为人类社会不可或缺的 重要组成部分，它的广泛应用给社会和经济各个领域带来了更多的便利和更高的 效益。然而在这同时，由于i n t e m e t 固有的共享、开放和广泛等特性，也使计算机 系统本身的弱点得以暴露，随之出现了越来越多的安全问题。 根据成立于1 9 8 8 年的美国c e r t c c ( 计算机应急响应小组协调中心) 的统计 数字表吲1 1 ，在9 8 年以前，i n t e m e t 上出现的安全事件逐年出现的次数还比较平缓， 这主要是由于当时的i n t e r n e t 还不成熟，主要应用于军事和教育科研部门，应用范 围和开放性不足。9 9 年之后，i n t e m e t 在全球范围进一步普及，面向的主要用户群 也从相关部门的科研人员转向普通大众用户，各种网站及信息处理系统应运而生， 计算机知识的全面普及，这些都导致了安全事件呈指数上升的趋势。 由于全球社会经济活动已经高度依赖i n t e r n e t ，安全事件的影响越来越大，事 实上，“随着互联网应用日益复杂、用户规模扩大，网络上存在的安全漏洞越来 越多，用来进行攻击的黑客工具也越来越多，对攻击者的技术水平要求不断降低， 使得在网络中从事各种攻击行为变得越来越容易，各种攻击的数目大幅增长”1 2 j ， 这其中，计算机病毒、网络蠕虫和木马是导致安全事件的主要原因。 在过去，计算机安全事件的一般由病毒引起，在防治方面主要由防病毒软件 担当主力。但近几年里，网络蠕虫和木马开始对i n t e m e t 造成的越来越大的危害， 防病毒软件开始有些力不从心。病毒、蠕虫和木马虽然同时具有传染性和复制能 力，但区别也比较明显，最重要的是，蠕虫的主动扫描及快速传播导致了蠕虫一 旦爆发，感染主机数量呈指数增长。近几年三者之间的界限越来越模糊，由趋势 来看，为了快速传播，病毒和木马结合了蠕虫的部分技术。相对应的是，蠕虫融 入了病毒和木马的部分功能，使得蠕虫对网络形成的威胁更加严重。结合了病毒 和木马特征的蠕虫，不再仅仅是专注于感染与传播，而变成了一种载体、一种攻 击前奏，通过蠕虫的感染，对后续的一系列攻击做出准备，这使蠕虫的危害性大 大增加。 电子科技大学硕+ 学位论文 1 1 研究目标 本文基于良性蠕虫对抗恶性蠕虫的思想，研究目标为设计一个良好的具有可 控性的传播策略的良性蠕虫。良性蠕虫不会发生恶变倾向，可以自主地通过远程 查杀或网络封锁，对恶性蠕虫进行有效遏制，阻止其继续攻击i n t e m e t ，同时对存 在漏洞的易感染主机进行漏洞修补，防止其成为恶性蠕虫的攻击目标。 1 2 研究意义 本文研究在以下几方面有重要意义： 1 ) 揭示了在邮件蠕虫快速传播时，选择性结点漏洞修补与邮件服务器及时 参与防御的影响因素。所提出的基于被动型良性蠕虫的防御策略，可以 较好地控制邮件蠕虫疫情。 2 ) 针对p 2 p 蠕虫的特点提出基于混合型良性蠕虫的对抗策略，合理利用优质 结点的拓扑优势，消耗较少的网络资源就能有效遏铝r j p 2 p 蠕虫，具有较好 的实用前景。 3 ) 总结了良性蠕虫的功能特点及研究现状，有助于进一步研究良性蠕虫。 1 3 主要工作 本文的研究工作是在国家2 4 2 信息安全计划宏观网络预警项目( 项目编号： 2 0 0 5 a 0 9 ) 的资助下完成的。本文通过回顾蠕虫的历史发展进程，详尽分析了蠕虫 的结构功能，综合蠕虫防御现状，针对邮件蠕虫和p 2 p 蠕虫进行理论分析，基于良 性蠕虫对抗思想设计出切实可行的对抗策略并进行仿真实验。研究内容可概括为 以下几点： 1 ) 分析蠕虫结构功能等特点，将蠕虫进行分类，对蠕虫及良性蠕虫的国内外 研究现状进行总结。 2 ) 针对邮件蠕虫的传播，分析邮件蠕虫传播模型，分析邮件蠕虫传播过程中 涉及的传播因素，研究相关的防御策略。 3 ) 针对重复感染型的p 2 p 蠕虫，研究p 2 p 网络的拓扑特征，掌握良性蠕虫的 应用范围，提出相关防御策略并进行数学模型分析。 4 ) 对提出的策略进行了仿真实验，通过实验数据图形分析和数据分析，证明 2 第一章绪论 策略的有效性。 1 4 章节安排 第二章首先回顾蠕虫发展历史，从原理、结构、性能等方面分析蠕虫的特性， 并从不同方面对蠕虫进行分类；然后对良性蠕虫进行了详尽的阐述，最后对蠕虫 及良性蠕虫的国内外研究现状进行总结。 第三章分析邮件蠕虫的传播特点，提出基于被动型良性蠕虫进行集中监测的 防御策略，在理论分析后进行实验仿真。 第四章分析p 2 p 蠕虫的传播特点，提出基于混合型良性蠕虫的自动优先趋进优 质结点的对抗策略，理论分析后进行实验仿真。 第五章对全文进行总结，并对蠕虫的下一步研究方向作出探讨。 1 5 小结 蠕虫作为i n t e r a c t 主要安全问题，越来越多的受到关注。蠕虫与病毒和木马有 着本质的区别，完全自主的传播伴随着更深的隐蔽性和灵活的传播方式，加大了 蠕虫的破坏性，也使相关防御工作越发困难。下一章将回顾蠕虫的发展历史，介 绍蠕虫的功能结构及相关防御策略，并对良性蠕虫进行详细的介绍。 3 电子科技大学硕士学位论文 第二章蠕虫研究现状 蠕虫最初用于分布式计算，二十世纪八十年代初，x e r o xp a l oa l t o 研究中心的 研究人员编写了最早的蠕虫。他们提出蠕虫具有两个特征：“能够在计算机间移 动”和“自我复制”。蠕虫寻找空闲机器，将自己复制过去，并执行相应的任务。 尽管此时的蠕虫十分有用，但已经显现出其危险性：由于代码中的一个b u g ( 当一 台计算机被感染后，有可能被重复感染) ，该中心所有计算机均告崩测3 1 。 2 1i n t e m e t 蠕虫 2 1 1i n t e m e t 蠕虫的发展历史 19 8 8 年，i n t e r n e t 上第一个蠕虫出现， 过利用主机软件漏洞自动在网络中传播， 即m o r d s ( “莫里斯 ) 蠕虫，该蠕虫通 将蠕虫正式应用于恶意攻击途径。虽然 这次蠕虫爆发引起了研究人员的兴趣，并且c e r t c c 也开始成立以对付相似网络 紧急事件，但是，m o r r i s 蠕虫针对的是u n i x 系统，影响十分有限。 自蠕虫出现至1 2 0 0 1 年期间，陆续出现了一系列的蠕虫攻击事件，但在当时， 绝大部分网络蠕虫都只是针对u n i x 系统漏洞进行攻击，传播范围小，破坏程度有 限，并未引起人们的高度重视。针对u n i x 系统漏洞进行攻击的蠕虫如表2 1 ： 2 0 0 1 年7 月c o d er e d ( “红色代码”) 蠕虫爆发，蠕虫正式开始对采用w i n d o w s 系统的计算机网络进行大规模入侵。w i n d o w s 操作系统由于其简单易用性，在全球 范围的p c 上得到了广泛使用，这使得蠕虫一旦爆发，其攻击范围相当广，破坏程 度相当巨大。短短9 个小时内，c o d er e d 蠕虫通过w i n d o w s 的s 服务的i d a 漏洞， 使用随机均匀扫描策略迅速感染了2 5 万台服务器，同时还向美国白宫网站实施 d d o s 攻击，使得白宫网站不得不更改自己的i p 地址。此次蠕虫爆发造成的损失估 计超过2 0 亿美圆，其扩散速度之快、范围之广、破坏之大，引起了全球的广泛注 意。 2 0 0 1 年9 月，n i m d a ( “尼姆达”) 蠕虫爆发，利用n s j 艮务器文件目录遍历漏 洞和c o d er e di i 和s a d m i n d i i s 蠕虫留下的后门的同时，还采用病毒技术进行传播。 n i m d a 蠕虫通过多种途径对多种w i n d o w s 系统进行攻击，只使用了3 0 分钟就传遍了 4 第二章蠕虫研究现状 全世界，造成了无法估计的巨大损失。n i m d a 蠕虫具有5 大特点： 1 ) 可以通过5 种方式进行传播； 2 ) 是一个带e x e l r 展名的d l l ，既是可执行文件，又是个d l l 文件； 3 ) 一定程度的智能化，名称为a d m i n d l l 时，将自己复制到w i i l d 、o s 文件夹更 名为m m c e x e 并使用参数“q u s e r y 9 b n o w 运行，名称为m a d m e e x e 时，复 制到锄p 使用参数“- d o n t r u n o l d ”运行； 4 ) 能将自己的属性设为系统和隐藏； 5 ) 既是主机扫描器，又是弱点扫描器，同时是一个后门程序，带有多个 e x p l o i t 。 表2 - 1 针对u n i x 的网络蠕虫 2 0 0 3 年1 月，s l a m m e r ( “s q l 蠕虫王) 蠕虫爆发，利用了微软s q ls e r v e r 2 0 0 0 和m s d e 2 0 0 0 的解析服务缓冲区溢出漏洞，采用u d p 报文方式进行传播，在1 0 分钟 内就感染了9 0 的易感主机。由于采用的是u d p 方式，并不需要目标主机的反馈信 息，从而将扫描和攻击阶段合二为一，传播速度极快。s l a m m 产生的巨大网络流 量负载，对i n t e m e t 造成了极大的破坏。 2 0 0 3 年8 月，b l a s t e r ( “冲击波) 蠕虫爆发。该蠕虫利用m i c r o s o rd c o mr p c 漏洞，采用本地地址倾向性扫描策略，在检测到系统时间为1 6 日时，对w i n d w o s 升级站点进行d d o s 攻击，使用户不能及时获得漏洞补丁。继之出现的n a c h i ( “冲 击波杀手 ) 蠕虫专用于对抗b l a s t e r 蠕虫，它采用i c m pp i n g 扫描来寻找目标主机， 5 电子科技大学硕士学位论文 与b l a s t e r 蠕虫采用同样漏洞进行传播，感染主机后若发现b l 弱t e r 则进行清除，同时 打上补丁。 2 0 0 4 年5 月，s a s s e r ( “震荡波) 蠕虫爆发。该蠕虫利用w i n d o w sl s a s s 漏 洞进行传播。不久即出现对抗性c y c l e 蠕虫，此蠕虫与s a s s e r 蠕虫利用相同漏洞传播， 会自动清除b l a s t e r 蠕虫、s a s s e r 蠕虫及相应变种。 2 0 0 4 年1 2 月，s a n t y 蠕虫爆发，这是蠕虫首次利用搜索引擎g o o g l e 来搜索攻击 目标，继而利用搜索到的p h p b b 论坛漏洞进行传播，标志着蠕虫智能化。在一天的 时间内，被破坏的网站数量高达2 6 0 0 0 多，网站中以h t m ，p h p ，a s p ，s h t m ，j s p 等 为后缀名的文件都被无效内容覆盖，从而导致整个站点都被破坏。 2 0 0 6 年8 月，“魔波 蠕虫爆发。该蠕虫利用w i n d o w s 系统的m s 0 6 0 4 0 漏洞( 远 程服务的溢出攻击漏洞) 进行入侵，在感染主机上会释放一个僵尸程序，使感染 主机连接到特定的i r c 服务器接收黑客控制，从而构成一个大规模的僵尸网络，黑 客可用来发起拒绝服务攻击、扫描或文件下载等行为【4 】。 从以上所列蠕虫爆发的历史过程来看，蠕虫的发展趋向于智能化、微型化、 快速化，蠕虫爆发越来越频繁、传播手段越来越多样化、危害程度越来越大，防 治蠕虫的工作刻不容缓。 2 1 2i n t e m e t 蠕虫的定义及结构 1 i n t e m e t 蠕虫的定义 1 9 8 2 年，x e r o xp a l oa l t o 研究中心的研究人员编写了最早的蠕虫。他们提出蠕 虫具有两个特征：“能够在计算机间移动 和“自我复制 。1 9 8 8 年m o r r i s 蠕虫爆 发后，s p a f f o r d 对病毒和蠕虫进行了区别定义，“计算机病毒是一段代码，能把自 身加到其他程序包括操作系统上；它不能独立运行，需要由它的宿主程序运行来 激活它。而网络蠕虫强调自身的主动性和独立性，即“计算机蠕虫可以独立运 行，并将自身的一个包含所有功能的副本传播到另外一台计算机。在文献 5 】中， k i e n z l e 和e l d e r 从破坏性、网络传播、主动攻击和独立性四个方面对网络蠕虫进行 了定义：网络蠕虫是通过网络传播，无须用户干预能够独立地或者依赖文件共享 主动攻击的恶意代码。根据传播策略，他们把网络蠕虫分为三类：e - m a i l 蠕虫、文 件共享蠕虫和传统蠕虫。郑辉在文献 6 】中认为蠕虫具有主动攻击、行踪隐蔽、利 用漏洞、造成网络拥塞、降低系统性能、产生安全隐患、反复性和破坏性等特征， 并定义：“网络蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停 6 第二章蠕虫研究现状 地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播”。该定义包 含了k i e n z l e 和e l d e r 定义的后两类蠕虫，不包括e - m a i l 蠕虫。在2 0 0 3 年1 0 月的世界 蠕虫会议上，s c h e c h t e r 和m i c h a e ld s m i t h 提出了一类新型网络蠕虫，即a c c e s sf o r s a l e 蠕虫。这类蠕虫除了上述定义的特征之外，还具备身份认证的特征。 综合上述分析，笔者对网络蠕虫定义为：“一种独立的、智能化及自动化地 传播于网络之上，不需要计算机使用者干预即可运行的程序或代码，利用目标主 机上系统及应用软件的漏洞进行攻击和破坏。 2 i n t e m e t 蠕虫的结构 2 0 0 1 年，j o s en a z a r i o 等人在 7 】中对蠕虫的功能结构进行了初始定义，主要分 成了6 个功能模块： 1 ) 搜索模块( r e c o n n a i s s a n c ec a p a b i l i t i e s ) 蠕虫对当前网络环境及包含的主机进行搜索，返回搜索目标的相关信息，同 时以不同的标准进行区分，如采用何种攻击方式，继而设定攻击目标。 2 ) 特殊攻击模块( s p e c i f i ca t t a c kc a p a b i l i t i e s ) 蠕虫功能模块中最重要的模块，通过缓冲区溢出或c g i 错误等方法进行攻击， 从而获得目标主机的主导权以进行进一步攻击。该模块可进一步分为本机运行部 分和远程运行部分。 3 ) 命令接口模块( c o m m a n di n t e r f a c e ) 主要用于接收远程主机传来的命令。命令接口也可分为远程控制接口和自动 接口。 4 ) 通信模块( c o m m u n i c a t i o n sc a p a b i l i t i e s ) 负责传送搜索信息、网络弱点信息、映射信息、命令请求等，完成蠕虫之间、 蠕虫与黑客之间的相互通信。 5 ) 智能模块( i n t e l l i g e n c ec a p a b i l i t i e s ) 蠕虫通过记录各个结点的成员和位置等信息，使用本模块进行额外的攻击操 作。 6 ) 非攻击模块( m u s e da t t a c kc a p a b i l i t i e s ) 用于保存漏洞的搜集信息、蠕虫主体隐藏、调整蠕虫以适应新的攻击方式等。 j o s en a z a r i o 等人所定义的蠕虫功能结构主要是对未来蠕虫的一种预测，并不 能很好地反应当前蠕虫的真实结构，结合相关文献，笔者认为，网络蠕虫的功能 模块可以主要分为两大模块：主体功能模块和辅助功能模块。主体功能模块必不 可少，它使蠕虫能够完成复制传播，而辅助功能模块则会使蠕虫具有更强的生存 7 电子科技大学硕士学位论文 能力和破坏能力。两大功能模块如表2 2 。 表2 - 2 蠕虫功能模块 决定采用何种搜索算法对本地或者目标网络进行信息搜集，内 信息收集容包括本机系统信息、用户信息、邮件列表、对本机的信任或 模块授权的主机、本机所处网络的拓扑结构、边界路由信息等等， 主这此信息可以单独使用或被其他个体共享。 体扫描探测完成对特定主机的脆弱性检测，决定采用何种攻击渗透方式。 功 模块 能攻击渗透利用获得的安全漏洞建立传播途径，在攻击方法上是开放的、 模模块 可扩充的。 块 采用各种形式生成各种形态的蠕虫副本，在不同主机间完成蠕 自我推进虫副本传递。例如，n i m d a 会生成多种文件格式和名称的蠕虫副 模块本；w 3 2 n a c h i w o r m 利用系统程序( 例如t f t p ) 来完成推进模 块的功能等等。 实体隐藏包括对蠕虫各个实体组成部分的隐藏、变形、加密以及进程的 模块隐藏，主要提高蠕虫的生存能力。 辅宿主破坏用于摧毁或破坏被感染主机，破坏网络正常运行，在被感染主 助模块机上留下后门等。 功 信息通信使蠕虫间、蠕虫同黑客之间进行交流，使蠕虫间可以共享某些 能 模块信息，使蠕虫的编写者更好地控制蠕虫行为。 模远程控制调整蠕虫行为，控制被感染主机，执行蠕虫编写者下达的指令。 块模块 自动升级可随时更新其他模块的功能，从而实现不同的攻击目的。 模块 2 i 3i n t e m e t 蠕虫的分类 在蠕虫的生命周期里，包括了以下四个阶段：目标搜寻、传播、激活、感染。 对于基于网络的入侵监测系统来说，蠕虫生命周期的前两个阶段是有可能被监测 的，而对后两个主要在本地主机上进行的阶段则无法进行监测。本文基于蠕虫目 标搜寻和传播的不同方式，对蠕虫进行了分类。 1 基于目标搜寻的方式分类 8 第二章蠕虫研究现状 蠕虫被释放出来后，首要的任务就是搜寻新的目标主机，如何更快地找到新 的主机进行感染，是蠕虫设计成功与否的关键。随着蠕虫技术的发展，比较典型 的目标搜索方式有：盲目扫描、h i t 1 i s t 、拓扑结构、被动和w e b 搜索。 1 ) 盲目扫描 盲目扫描是一种简单、易于实施的目标扫描方式，由于对攻击目标并无事先 了解，蠕虫对整个i p v 4 地址空间进行盲目扫描以获取目标主机，这里的扫描包括 了地址连续扫描、随机扫描和置换扫描等多种扫描方式。盲目扫描建立在机会主 义上，不可避免的会出现大量的连接失败的数据包，基于异常检测的入侵防御系 统利用了这一点能成功检测出网络内是否出现蠕虫攻击。 某些蠕虫对盲目扫描进行了改进，包括基于感染主机口信息将扫描对象局限在 内部子网内或者利用边界网关协议( b g p ) 的信息进行路由扫描【8 】，但由于网络中 n a t 技术的存在，命中率仍然有限，并且在即将推广的i p v 6 网络中，地址空间的 空前增长使得盲目扫描的命中率降到极点，在文献 8 】中，采用盲目扫描具有1 0 万 台秒感染能力的蠕虫，要感染一个i p v 6 子网中的5 0 万台主机需要花费4 0 年的时间。 2 ) 基于h i t - l i s t 进行扫描 通过事先搜集的易感染主机列表( h i t - l i s t ) 进行扫描传播，蠕虫的传播将会更 加快速。h i t - l i s t 也称攻击列表，可通过事先秘密搜索或其他方式获得，植入蠕虫代 码体内或存放于某处等待蠕虫自动索取。由于i n t e r n e t 不停的改变使得h i t 1 i s t 具有 时效性，并且h i t - l i s t 越大越不利于蠕虫携带和传输，但其带来的高速传播和精确传 播对于蠕虫初始阶段有着重大意义。精确的目标扫描和传播不会引起大量的网络 连接错误，进而避开了传统的基于异常检测的入侵防御系统。 将h i t - l i s t 扫描和盲目扫描相结合，蠕虫传播将更加快速。s t a n i f o r d 等在文献 9 】 中运用此种混合扫描方式仿真实验了一种名为w a r h o l 蠕虫的传播，实验结果表明 同单纯的随机扫描相比，h i t - l i s t 力l l 快了蠕虫的初始传播速度，混合采用的置换扫描 也很好地提高了传播速度和目标命中率。 3 ) 基于网络拓扑信息进行扫描 i n t e r n e t 上有很多主机存储了网络中其他主机的有关信息( 如u n i x 里的 e t c h o s t s ) 。蠕虫利用这些信息获取到网络拓扑信息进行传播，这使得蠕虫攻击目 标更精确，同时由于感染主机的网络行为并没体现出异常特征使得蠕虫攻击更加 隐蔽。对于一个有着大量连接应用的网络，基于网络拓扑信息进行扫描的蠕虫传 播会更加快速【1 0 1 。 4 ) 被动型蠕虫 9 电子科技大学硕士学位论文 被动型蠕虫不会主动进行目标扫描，当蠕虫成功感染主机后会静默等待，当 潜在的易感染主机主动对感染主机进行网络连接请求时，被动型蠕虫即反向进行 蠕虫传播，随后继续静默等待。被动型蠕虫传播缓慢但非常隐蔽，很难被检测到。 g n u m a n 蠕虫和c r c l e a n 蠕虫都是采用此类扫描策略【1 0 1 。 5 ) w c b 搜索 为了防止扫描行为被检测，w e b 搜索成为新的蠕虫扫描方式。蠕虫通过使用精 心编写的关键字在i n t e r n e t 网搜索引擎上进行目标搜索，从而获得易感染主机的准 确位置。s a n t y 虫即是利用g o o g l e 搜索引擎搜索包含v i e w t o p i c p h p 字符的w e b 服务 器，利用p h p b b 2 的漏洞感染w e b 服务器【l l 】。 2 基于传播方式分类 当搜索到目标主机后，蠕虫将进行自我传播，传播方式分为：自我携带、第 二通道、嵌入式( e m b e d d e d ) 【1 0 】和僵尸网络( b o m e t ) 操纵。 1 ) 自我携带，即蠕虫感染目标主机时直接将蠕虫代码携带到目标主机，感染 后的目标主机可直接进入新的蠕虫传播阶段。 2 ) 第二通道是指蠕虫感染目标主机后，会通过从i n t e r n e t 或先前感染主机等其 他途径下载蠕虫代码。第二通道方式可使蠕虫流量隐蔽在正常网络流量之后，以 b l a s t e r 蠕虫为例，虽然使用r p c 漏洞入侵主机，但在入侵后，被感染主机会建立一 个t f t p 连接到攻击源下载蠕虫的副本到本机。通常第二通道是由系统提供的。 3 ) 嵌入式非常具有隐蔽性，嵌入式传播不会引起网络异常，蠕虫信息隐藏或 直接取代普通通信信息，使基于异常检测的防御系统无能为力。 4 ) 除了以上三种，近年来出现的僵尸网络也开始传播蠕虫。僵尸网络由大量 受控主机组成，控制机通过i r c 协议进行传播。典型的如w i t t y 蠕虫通过僵尸网络 在4 5 分钟内感染了1 2 0 0 0 台主机【1 2 1 。 3 基于网络连接分类 基于网络连接方式不同，蠕虫可分为t c p 蠕虫和u d p 蠕虫，两者最大的不同在 于t c p 蠕虫传播瓶颈为延迟时间，而u d p 蠕虫的传播瓶颈在于带宽受限。 1 ) t c p 蠕虫在和目标主机进行网络连接时，必须经过3 次握手协议才能建立网 络连接通道，由此导致在感染主机发出t c ps y n 数据包后，必须等待s y n a c k 回 应，回应的快慢取决于网络延迟时间的大小，等待时进程将会阻塞。另外，同u d p 蠕虫相比，t c p 蠕虫在网络通信时必须多付, q a , 4 0 b y t e 字符空间用于网络连接。 2 ) u d p 蠕虫不需要建立网络连接，在不需要等待时间的情况下，u d p 蠕虫会 不间断地向外发出数据包进行传播，同时体积轻巧，这些导致u d p 蠕虫的传播速 1 0 第二章蠕虫研究现状 度极快，但有限的网络带宽使网络很快被大量的u d p 数据包阻塞。 4 基于蠕虫代码形态分类 1 ) 单态蠕虫是指蠕虫在传播时不会更改自身代码结构和功能，某些蠕虫试图 在代码块内添加垃圾数据以改变代码大小，或者将代码进行不同的分段、发送直 至在目标主机上重组，但由于其核心代码未变，所以仍属于单态蠕虫。基于特征 检测的防御系统对单态蠕虫有着很好的检测效果。 2 ) 多态蠕虫是指为了逃避防御系统的检测，蠕虫在不改变代码功能的情况下， 动态更改蠕虫代码结构，使新生蠕虫的代码结构与原蠕虫完全不同，这样传统的 基于特征的防御系统将无能为力。 3 ) 如果蠕虫在传播过程中将代码结构和功能完全改变，我们称其为异态蠕虫。 异态蠕虫若进一步通过加密等手段隐藏其真实行为目的，将更难对其进行防御u 引。 对蠕虫分类概括如表2 3 ： 表2 3 蠕虫分类表 分类标准名称简单描述 盲目搜索对口v 4 空间地址进行随机搜索 h i t 1 i s t事先构建目标主机攻击列表 目标搜索 拓扑信息获取主机内部有关网络拓扑信息进行搜索 被动静默等待漏洞主机的主动连接 w e b 搜索通过i n t c r n e t 搜索引擎搜索 自我携带蠕虫在感染主机时直接传输蠕虫代码 第二通道在感染后通过其他途径下载蠕虫代码 传播方式 嵌入式蠕虫代码嵌入或取代正常通信信息进行传输 僵尸网络控制大量受控主机进行传输 t c p采用t c p 协议，受限于网络时延 网络连接 u d p采用u d p 协议，受限于网络带宽 单态传播时不更改蠕虫代码结构和功能 代码形态多态传播时更改蠕虫代码结构，功能不变 异态传播时更改蠕虫代码结构和功能 电子科技大学硕十学位论文 2 1 4i n t e m e t 蠕虫的传播模型 众多学者都对蠕虫传播进行了数学建模，他们根据所考虑的蠕虫传播环境和 影响因素概括出数学公式进行表示，将蠕虫的传播过程精确地进行再现，这里只 详细介绍几种重要的蠕虫传播模型。 1 简单传染病模型( s i m p l ee p i d e m i cm o d e l ) s t a n i f o r d 在 1 4 中提出了简单传染病模型( 简称s e m ) ，认为在蠕虫传播时， 网络中的每台主机状态只有两种：易感染和已感染。主机一旦被蠕虫感染，则永 远处于已感染状态，状态转移是单向的， 示为： d i ( t ) d t = 屏( t ) i n - i ( t ) 表示为易感染j 已感染，其数学模型表 公式( 1 ) 中，i ( t ) 为t 时刻已感染的主机数；n 为网络中的主机数量；p 为主机感 染率，公式( 1 ) 的详细推导请参看 1 4 】。 s e m 模型对网络蠕虫的初期传播行为能很好地进行描述，但是它对主机状态 的定义太简单，没有考虑已感染主机的恢复状态及其他状态，所以对蠕虫中后期 的传播行为不能进行恰当的描述。 2 k m 模型( k e r m a c k m c k e n d r i c km o d e l ) f r a u e n t h a lj c 在 15 中提出了k e n n a c k m c k e n d r i c k 模型( 简称k m 模型) ，在此 模型中，网络主机的状态被分为3 种：易感染、已感染和免疫。状态转移可表示为： 易感染一已感染j 免疫，数学模型公式为： fd j ( t ) d t = f l j ( t ) n - j 】 d r ( t ) d t = y i ( t )( 2 ) l j ( t ) = i + 州= n - s ( t ) 公式( 2 ) 中，i ( t ) 表示t 时刻已感染的主机数；r ( t ) 表示t 时刻从已感染状态转换为 免疫状态的主机数；j ( t ) 表示t 时刻现在被感染的和曾经被感染的主机数；7 表示主 机从已感染转换为免疫的恢复率；表示主机从易感染转换为已感染的感染率； s ( t ) 表示t 时刻易感染的主机数；n 表示网络中的主机数。 k m 模型比s e m 模型多考虑了主机的免疫状态，更贴近了蠕虫的实际传播行 为，但是，将感染率作为常量以及对外界影响因素和网络情况的忽略，使k m 模型 1 2 第二章蠕虫研究现状 还是不能对蠕虫传播行为进行很好的描述。 3 双因素模型( t w o f a c t o rm o d e l ) z o u 等人在文献 1 6 】中提出了双因素模型，此模型比k m 模型更多地考虑了外界 影响因素和蠕虫对抗措施，如清除蠕虫、系统升级、补丁获取、信息过滤、网络 阻塞、网络硬件故障等。在此模型中，蠕虫只能在早期进行指数性的快速传播， 它的数学模型表示为： d r ( t ) d t = y i ( t ) d q ( t ) d t = 尽( t ) j ( t ) ( t ) = 屈【1 - i ( t ) n 野( 3 ) n = s ( t ) + i ( t ) + r ( t ) + q ( t ) d s ( t ) d t = - f l ( t ) s ( t ) i ( t ) 一d q ( t ) d t 在公式( 3 ) 中，r ( t ) 表示t 时刻从已感染转换为免疫的主机数；i ( t ) 表示t 时刻已感 染的主机数；q ( t ) 表示t 时刻从易感染转换为免疫的主机数；s ( t ) 表示t 时刻易感染的 主机数；j ( t ) 表示t 时刻曾经感染和现在已感染的主机数，j ( t ) - - r ( t ) q - i ( t ) ；j ( t ) 表示t 时刻的感染率；批从属为常量。 双因素模型是s e m 的进一步扩展，对k m 模型进行了较大的补充，不仅仅考虑 了易感染主机和感染主机被免疫的状态，同时考虑了感染率随网络流量负载变化 而改变的情况，它比前两模型能更好地反映蠕虫的真实传播行为。但是此模型没 有考虑大规模自动升级补丁或对抗网络蠕虫传播的情况【1 7 】。 4 其他模型 除了上述模型外，c h e n 在 1 8 】中提出了a a w p ( a n a l y t i c a la c t i v ew o r m p r o p a g a t i o n ) 模型；w a n g 在 1 9 】中提出了 s i s ( s u s c e p t i b l ei n f e c t i o u ss u s c e p t i b l e ) 模型； g k e s i d i s 在 2 0 中提出了c o u p l e dk e r m a c k - m c k e n d r i c k 模型，适用于存在带宽限制、 使用u d p 包随机扫描的蠕虫传播。 其他的如在 1 7 2 1 1 1 2 2 1 等文献中，都在上述模型的基础上提出了自己的模型 并进行了仿真实验。 2 1 5i n t e m e t 蠕虫的检测 如果在蠕虫爆发初期就能监控到蠕虫疫情，无疑能更快地抑制蠕虫传播，减 1 3 电子科技大学硕士学位论文 少蠕虫的感染范围。现行的蠕虫检测机制可大致分为两种：基于特征检测和基于 异常检测。 1 基于特征检测 基于特征检测是i d s 和防病毒软件最常用的一种手段，对已经出现过的攻击行 为有着很好的防御效果。通过对攻击行为的分析，可对攻击行为进行特征抽取， 如行为特征、代码特征等。防御系统内部建立特征数据库专门存放特征数据，检 测每一个通信数据，一旦符合相关特征即认为受到攻击，转而进入其他防御阶段。 这里必须指出，基于特征检测的防御系统并不关心攻击如何发生或怎样发生，系 统以特征数据为唯一标准。 基于特征检测虽然可保持较高的准确率，但是弊端有二：一是特征数据必须 在蠕虫爆发后的短时间内提取完毕并及时下发，二是对未知蠕虫无法检测。若不 能改进这两点缺陷，蠕虫检测就不能达到早期检测早期遏制蠕虫的效果。 2 基于异常检测 在蠕虫尚未爆发时，网络内各个主机正常工作，绝大多数时候保持着一种正 常的网络状态。当蠕虫开始传播时，会在网络内引起各种不寻常的行为，如网络 拥塞、大量的失败连接请求、大量的空地址和关闭端1 2 1 访问等等。基于异常检测 的防御系统时刻监控着网络状态，当出现上述异常状态时就会引发攻击警报。 基于异常检测由于立足于网络状态本身，所以不管蠕虫是已知还是未知，蠕 虫传播引起的网络异常都能被检测到，但是基于异常检测最根本的问题在于获得 网络正常行为状态，由于人的活动是不可预测的，所以人操纵的主机乃至网络的 行为也是不可预测的，如何正确得到网络正常状态是一个挑战。另外，何种程度 的行为导致报警和预防出现假报警也是基于异常检测需要解决的问题。以下详细 介绍几种异常检测策略。 1 ) 基于t c ps y n 连接计数 由于t c p i p 协议规定当主机想建立网络连接时，必须首先发送一个t c ps y n 数据包，可以假设当某台主机在一定时间内