（信息与通信工程专业论文）基于良性蠕虫的p2p蠕虫防御机制及其仿真分析研究.pdf

摘要 摘要 随着互联网应用的普及和深入，网络蠕虫对网络安全方面产生了严重的危害， 也是目前最前沿和最热门的网络安全研究方向之一。p 2 p 蠕虫是i n t e r n e t 蠕虫在p 2 p 网络环境下的变异，最近几年来，p 2 p 蠕虫作为一种新出现的恶性蠕虫，如果大规 模的爆发，其对社会造成的损失将远远超过现有的i n t e r a c t 蠕虫。与此同时，由于 p 2 p 蠕虫与i n t a n e t 蠕虫的网络传播环境不同，使已有的防御机制不能有效的对抗 p 2 p 蠕虫的攻击，因而并不能达到预想的效果。本文在对i n t e m e t 蠕虫进行全面分 析以后，充分结合了p 2 p 网络的拓扑特性，深入分析研究了p 2 p 蠕虫的传统防御 研究工作，采用以良性蠕虫对抗p 2 p 蠕虫的方式，然后提出了基于节点轨迹标签 的良性蠕虫对抗p 2 p 蠕虫的混合对抗防御机制，并对该防御策略进行了详细的仿 真验证。主要内容包括以下几个方面： 1 针对p 2 p 蠕虫的特性，对p 2 p 蠕虫进行了定义和分类，并详细分析了p 2 p 蠕虫的工作机制和行为特征以及防御现状。 2 针对主动式非结构化p 2 p 蠕虫无须扫描的特性，提出了基于节点轨迹标签 的良性蠕虫对抗p 2 p 蠕虫的混合对抗防御机制( h c p b f w t i ，) ：即在p 2 p 蠕虫爆 发的初期，提出基于节点轨迹标签的良性蠕虫主动对抗策略，对p 2 p 网络中感染 蠕虫的主机节点进行主动修复并打上补丁，对存在漏洞的节点进行漏洞修补，以 此将蠕虫的传播范围控制在最小范围之内，并且对于良性蠕虫主动对抗p 2 p 蠕虫 所产生的网络流量消耗进行了卓有成效的降低；在p 2 p 蠕虫爆发的后期，采用基 于良性蠕虫被动反击p 2 p 蠕虫的对抗方式，清除仍存在于网络中的恶性蠕虫，阻 止其继续对p 2 p 网络进行攻击。最后通过构建良性蠕虫对抗模型，对该防御策略 进行了数学模型理论分析。 3 提出了基于h c p b f w t l 策略的p 2 p 蠕虫对抗模型，并对该模型进行了较 为详细的仿真实验，然后对实验进行了详细分析。仿真实验的结果表明， h c p b f w t l 策略能够在有效抑制p 2 p 蠕虫传播的同时降低对网络资源的恶意消 耗，达到了网络资源消耗少，适应性强、防御效果好的设计要求。 关键词：p 2 p 蠕虫，良性蠕虫，混合对抗策略，节点轨迹标签，b l o o mf l i t e r a b s t r a c t a b s t r a c t w i t ht h ep o p u l a r i t yo fn e t w o r ka p p l i c a t i o n s ，h l t e n l e tw o r l nh a sb e e no n eo ft h e g r e a t e s tt h r e a t so fn e t w o r ks e c u r i t ya n dt h es t u d yo fw o r m sb e c o m e so n eo ft h em o s t e m e r g e n ta n dp o p u l a rr e s e a r c ht h e m eo fi n t e r n c ts e c u r i t yr e s e a r c h a san e we m e r g e n c y o fv i c i o u sw o r m , p 2 pw o r mi st h ev a r i a t i o no fi n t e r n e tw o r mi np 2 pn e t w o r ka n dt h e i m p a c ta n dd a m a g eo fw h i c hw i l lb ef a rb e t t e rt h a nt h ee x i s t i n gt r a d i t i o n a li n t c r n c t w o r mi fl a r g e - s c a l eo u t b r e a ki nr e c e n ty e a r s m e a n w h i l e , t h ed e f e r e n c e so f p r o p a g a t i o n n e t w o r ke n v i r o n m e n tb e t w e e ni n t e r a c tw o r n la n dp 2 pw o r mh a sm a d et r a t i o n a ld e f e n d m e c h a n i s mc a nn o td e f e n de f f e c t i v e l ya g a i n s tp 2 pw o r ma t t a c k s ，a n dt h u sc a nn o t a c h i e v et h ed e s i r e dr e s u l t s i nt h i sp a p e r , t h r o u g ha n a l y s i so fc h a r a c t e r i s t i c so ft r a d i t i o n a l i n t e m e tw o r ma n dt h et o p o l o p yc h a r a c t e r i s t i c so fp 2 pn e t w o r k t h em a i nc o n t e n t sa r e g i v e na st h ef o l l o w s ： f i r s t l y , t h r o u g ha n a l y s i so fc h a r a c t e r i s t i c so fp 2 pw o r m , t h ea n a l y s i so ft h e w o r k i n gm e c h a n i s ma n dc h a r a c t e r i s t i c sa sw e l la st h ed e f e n s es t a t u so fp 2 pw o r m sa r e g i v e n 器w e l l s e c o n d l y , a c c o r d i n gt ot h en o n - s c a n n i n ga n du n s t r u c t u r e dc h a r a c t e r i s t i c so fp 2 p w o r m ，ad e f e n s es t r a t e g yw h i c hi st h eh y b r i dc o n f i o n tp o l i c yb a s e do nf r i e n d l yw o r m o ft r a c el a b e l ( h c p b f w t l ) i sp r o p o s e d ：p r o a c t i v ec o n f r o n t i n gp o l i c yb a s e do n f r i e n d l yw o r mo ft r a c el a b e li sb r o u g h to u ti nt h ee a r l yp e r i o do fp 2 pw o r mo u t b r e a k , w h i c hb o t hd e f e n dt h ep r o p a g a t i o no fp 2 pw o r me f f e c t i v e l ya n dr e d u c et h e c o n s u m p t i o no fn e t w o r kr e s o u r c ea tt h es a m et i m e ；p a s s i v ec o u n t e r a t t a c kc o n f r o n t i n g p o l i c yb a s e do nf r i e n d l yw o r mi s c a r r i e do u ti nt h el a t e rp e r i o do fp 2 pw o r m o u t b r e a k , w h i c hs t o p si t sc o n t i n u i n ga t t a c k so np 2 pn e t w o r k t h e nt h r o u g hc o n s t r u c t i n g ac o n f r o n t i n gm o d e lo ff r i e n d l yw o r m , t h i sd e f e n s et e c h n o l o g yi sa n a l y z e d a tl a s t ，ad e f e n s i v em o d e lf o rp r o a e t i v ea n du n s t r u c t u r e dw o r m sb a s e do n h c p b f w t li sp r o p o s e d ，a n dam o r ed e t a i l e ds i m u l a t i o na n da n a l y s i so ft h i sm o d e li s g i v e n n ee x p e r i m e n t a lr e s u l t ss h o wt h a th c p b f w t lp o l i c yh a st h ef e a t u r eo fw h i c h c a nb o t hd e f e n dt h ep r o p a g a t i o no fp 2 pw o r me f f e c t i v e l ya n dr e d u c et h ec o n s u m p t i o n o fn e t w o r kr e s o u r c ea tt h es a m et i m e ，s oh c p b f w t l p o l i c yh a sa c h i e v e dt h ed e s i g n l i g o a lw h i c hh a st h ef e a t u r e so fl e s sc o n s u m p t i o no f r e s o u r c ea n dg o o da d a p t a b i l i t ya n d m o r ee f f e c t i v e l yd e f e n s e s k e y w o r d s ：p 2 pw o r m ，f r i e n d l yw o r m ，h y b r i dc o n f r o n t i n gp o l i c y , t r a c el a b e l ，b l o o m f l i t e r i i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名： 垂拳军日期：叩年石月2 - e i 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：至多：呈导师签 日期： 第一章绪论 第一章绪论 本章首先介绍了本文的研究背景，以及相关研究领域的国内外研究现状，随 后阐明了本文的主要研究工作，最后给出了论文的章节安排。 1 1 研究的背景 进入2 1 世纪以来，i n t e m e t 逐渐成为了我们生活中的主角，i n t e m e t 慢慢的在 改变着人类的生活方式，由此带来的一系列信息革命，使全球的社会生活更加紧 密的联系到了一起，逐渐成为了人类社会不能缺少的部分，它的广泛应用给众多 领域带来了更多的便利和更高的效益。与此同时，由于i n t e r n e t 的共享和开放等特 性，也使计算机系统本身的弱点暴露无遗，相应的也出现了越来越多的安全问题。 根据中国互联网络信息中一i i , 2 0 0 8 年7 月发布的中国互联网络发展状况统计 报告【1 1 ，2 0 0 0 年以后的每一年，网民数都呈2 0 左右的增加趋势。i n t e m e t 在全 球范围内进一步普及，慢慢的进入到了普通百姓的家中，各种网络应用系统越来 越多，漏洞也越来越多，这些方面都导致了安全事件呈几何级的上升趋势。 随着i n t e m e t 逐渐进入人们的生活之中，普通百姓对它的依赖性越来越大，然 后伴随着的是网络安全问题的频繁出现。在这些网络安全问题中，网络中的恶意 代码以其扩散速度快等特点，成为了网络安全方面的代表之一。通常恶意代码主 要包括计算机病毒、网络蠕虫【2 】和木马程序等。在过去的一段时间内，恶意代码几 乎全是计算机病毒，而最近几年，网络蠕虫和木马横生出世，占据了网络安全的 大部分事件。上述的恶意代码都具有非常强的传染性，但网络蠕虫的传播更加快 速。所以近年来，i n t e m e t 蠕虫作为恶意代码家族的代表，对社会产生的危害性已 经不可同日而语。 s h o c h 和h u p p 在1 9 8 2 年第一次提出了蠕虫这个概念。1 9 8 8 年出现的i n t e r n e t 蠕虫，第一次利用主机的软件漏洞，快速地在网络中传播。但是直到2 0 0 1 年c o d e r e d 蠕虫爆发以后，人们才慢慢意识到蠕虫能够在网络中快速传播，并且在人们采 取应对措施之前就已经感染了绝大多数的漏洞主机，而在这些已感染主机之间， 也会间接的进行其他攻击，对网络也造成了极大的危害，远远的超过了人们的想 象。最近几年对网络造成严重影响的i n t e r n e t 蠕虫事件主要有红色代码，尼姆达， 电子科技大学硕士学位论文 玛丽莎和爱虫等，它们都对网络造成了巨大的损失。 目前，p 2 p 共享文件越来越多的被i n t e r n e t 用户使用。s t u t z b a c h 等人使用了一 种爬行器，发现仅在几分钟内就有一百多亿在线的g n u t e l l a 节点。如果这些节点 一旦被感染，将会为网络蠕虫的传播提供很大的便利条件，从而可能使更多的p 2 p 节点遭到感染。 在2 0 0 5 年召开的p 1 1 p s 会议上，正式提出了p 2 p 蠕虫【3 】这一概念，在大会上， 对于p 2 p 蠕虫的危害性，有了新的认识。p 2 p 蠕虫的传播方式主要包括利用网络 拓扑信息进行传播和通过伪装成敏感文件，引诱用户下载，然后进行传播。近年 来，该类蠕虫开始慢慢的在网络中出现，对社会已经造成了巨大的财产损失。 由于互联网络开放性的特点，对于网络中的主机，无法保证它们都处于整体 的保护范围之内，因此相对于现有的i n t e m e t 蠕虫，p 2 p 蠕虫具有更强的传播能力 和破坏能力。部分学者指出，利用网络拓扑信息进行传播使p 2 p 蠕虫省去扫描过 程，使它的传播过程更加隐蔽，攻击更加地精确高效，最后造成了目前绝大多数 针对扫描型蠕虫的防御机制力不从心。相对于其它蠕虫，p 2 p 蠕虫的相关研究比较 少，所以对p 2 p 蠕虫的防御研究已经迫在眉睫。 1 2 国内外研究现状 由于用户的行为往往影响现有的网络蠕虫在网络中的传播程度，因此对网络 造成的影响都相对较小。然而p 2 p 蠕虫作为一种新出现的恶性蠕虫，虽然从2 0 0 3 年开始就不断地爆发，由于其影响力并没有超过传统的网络蠕虫对网络破坏的程 度，因此国内外对其大规模的研究工作比较少。随着网络深入群众的生活，p 2 p 的应用逐渐增多，导致了p 2 p 蠕虫对网络的危害加大。因此，如果大规模的爆发 的话，其对社会造成的损失将远远超过现有的i n t e r n e t 蠕虫。 s a n t o n a t o s 等使用随机网络地址的方法来对抗h i t 1 i s t 蠕虫，他提出了一种 新型的网络地址空间随机化方法，并用此方法来增加对抗蠕虫时的网络健壮性。 y u 等提出了一种基于p 2 p 网络的反应式蠕虫防御策略，该防御策略在区域范围内 具有很好的防御效果，揭示了p 2 p 蠕虫传播与p 2 p 系统的内在关系。 文伟平等【4 】提出了一种蠕虫对抗模型，并说明了可以使用良性蠕虫对抗恶性蠕 虫技术，但并没有对良性蠕虫如何对抗恶性蠕虫进行进一步的研究。杨峰等【5 】使用 常微分方程建立了一个s i a r 模型，此模型详细描述了恶性蠕虫和良性蠕虫的交互 过程。这些研究工作都为良性蠕虫的未来研究工作提供了很好的理论基础和借鉴 2 第一章绪论 作用。 由于p 2 p 蠕虫所拥有的传播特性，使传统的防御方法不能很好的解决问题， 因此很多研究人员提出了使用良性蠕虫对抗恶性蠕虫的对抗策略。虽然已有的良 性蠕虫在定义上也算是一种蠕虫，但它却可以在一定程度上有效地控制恶性蠕虫 在网络中的传播，然而他们不能算是真正的良性蠕虫，但是他们所采用的一些思 路和方法值得我们考虑和学习，为以后的研究工作提供思路。 综上，现有的i n t e r n e t 蠕虫防御策略不能有效的控制p 2 p 蠕虫的传播，而部分 学者提出的主动对抗策略，由于它们的对抗方式太过激烈，导致了网络冲击进一 步的加重，所以不是有效的对抗策略。而国内外在p 2 p 蠕虫防御技术的研究工作， 特别是基于良性蠕虫对抗p 2 p 蠕虫的研究工作寥寥无几。针对以上的考虑，结合 p 2 p 蠕虫所拥有的传播特性，本文研究基于良性蠕虫对抗p 2 p 蠕虫的混合对抗策 略，研究如何利用良性蠕虫快速地控制p 2 p 蠕虫的传播。 1 3 本文的研究工作 1 3 1 研究的目标 到目前为止，研究p 2 p 蠕虫的对抗策略已经成为了热点，而已有的p 2 p 蠕虫 防御机制容易对网络造成巨大消耗，对于p 2 p 蠕虫的传播范围广的特点，无法有 效地进行控制。 本文的研究是基于良性蠕虫对抗p 2 p 蠕虫的思想，设计一种具有良好可控性 的良性蠕虫，使该良性蠕虫在p 2 p 蠕虫爆发的初期，采用基于节点轨迹标签的良 性蠕虫主动对抗p 2 p 蠕虫，阻止其继续对p 2 p 网络进行大规模的攻击；在p 2 p 蠕 虫爆发的后期，该良性蠕虫采用被动反击的对抗方式，清除仍存在网络中的恶性 蠕虫，对p 2 p 蠕虫进行卓有成效的控制。 1 3 2 研究的意义 本文研究的内容包括两方面的意义： ( 1 ) 控制p 2 p 蠕虫的感染范围在p 2 p 蠕虫爆发的初期，采用良性蠕虫主动 传播策略，主动传播至网络中的主机节点，清除已感染主机上的恶性蠕虫，并对 易感染主机进行漏洞修补，有效控制蠕虫的传播范围。 电子科技大学硕士学位论文 ( 2 ) 遏制蠕虫反复感染在p 2 p 蠕虫爆发的后期，采用被动反击式的对抗策 略，清除网络中仍存在的p 2 p 蠕虫，避免蠕虫再次爆发的可能。 1 3 3 研究的内容 本文的研究内容主要是：通过回顾i n t e r n e t 蠕虫的发展历史，详细分析了 i n t e m e t 蠕虫的特点以及防御现状；通过对p 2 p 蠕虫的分析总结，对其进行了分类， 并全面分析了p 2 p 蠕虫的工作机制以及防御现状；针对p 2 p 蠕虫所拥有的传播特 性，研究在非结构化p 2 p 网络环境中，采用基于良性蠕虫对抗p 2 p 蠕虫的防御策 略，并通过仿真实验分析的方法，分析了影响良性蠕虫对抗p 2 p 蠕虫的主要因素。 具体内容主要有以下几个方面： ( 1 ) 结合i n t e r n e t 蠕虫和p 2 p 网络的拓扑特性，对p 2 p 蠕虫进行了定义和分 类，并分析了p 2 p 蠕虫的工作机制以及防御现状。 ( 2 ) 针对主动式非结构化p 2 p 蠕虫的非扫描特性，提出了基于节点轨迹标签 的良性蠕虫对抗p 2 p 蠕虫的混合对抗防御机制：即在p 2 p 蠕虫爆发的初期，采用 基于节点轨迹标签的良性蠕虫主动对抗策略；在p 2 p 蠕虫爆发的后期，采用基于 良性蠕虫被动反击p 2 p 蠕虫的对抗方式，清除仍存在于网络中的恶性蠕虫。然后 对该防御策略进行了数学模型理论分析。 ( 3 ) 对上述提出的防御策略进行了较为深入的仿真分析，并通过仿真实验数 据分析了其能够在有效抑制p 2 p 蠕虫的同时降低对网络资源的恶意消耗，验证了 本策略的有效性。 1 4 论文的章节安排 本文的后续章节安排如下： 第二章回顾了i n t e r n e t 蠕虫的发展历史，全面分析了i n t e r n e t 蠕虫的特点以及 防御现状；结合p 2 p 网络的特性，对p 2 p 蠕虫进行了定义和分类，并分析了p 2 p 蠕虫的工作机制以及防御现状。这一章是后续研究工作的基础。 第三章针对主动式非结构化p 2 p 蠕虫的非扫描特性，提出了基于节点轨迹标 签的良性蠕虫对抗p 2 p 蠕虫的混合对抗防御机制。即在p 2 p 蠕虫爆发的初期，采 用基于节点轨迹标签的良性蠕虫主动对抗方式；在p 2 p 蠕虫爆发的后期，采用基 于良性蠕虫被动反击p 2 p 蠕虫的对抗方式。然后对该防御策略进行了数学模型理 4 第一章绪论 论分析。 第四章对上述提出的防御策略进行了较为详细的仿真实验分析，并通过仿真 实验数据分析了其能够在有效抑制p 2 p 蠕虫的同时降低对网络资源的恶意消耗， 验证了本策略的有效性。 第五章是对本文的研究工作进行了总结，并对以后的研究工作进行了展望。 电子科技大学硕士学位论文 第二章p 2 p 蠕虫研究概述 p 2 p 蠕虫作为恶性蠕虫的新的代表，它是i n t c m e t 蠕虫在p 2 p 网络环境下的变 异，因此p 2 p 蠕虫的行为与p 2 p 网络密切相关，本章首先从i n t c r n e t 蠕虫入手，分 析了其特点以及防御现状，然后讨论了p 2 p 网络的结构特征，之后对p 2 p 蠕虫进 行了定义和分类，分析了其工作机制，并总结了p 2 p 蠕虫的行为特征和防御研究 现状。 2 1 in t e r n e t 蠕虫概述 2 1 1i n t e r n e t 蠕虫的发展历史 1 9 8 8 年，m o r r i s 蠕虫爆发，传播速度令人吃惊，迅速感染了整个网络中的大 多数主机，对社会造成了巨大的经济损失。与m o r r i s 蠕虫一样，早期的网络蠕虫 主要针对u n i x 和l i n u x 系统，影响比较有限。例如：1 9 9 8 年的a d m 蠕虫，只 感染l i n u x 系统；2 0 0 1 年的r a m e n 蠕虫，攻击r e dh a tl i n u x6 2 和7 0 系统；2 0 0 1 年的l i o n 蠕虫，通过b i n d 中的t s i g 漏洞进行传播；2 0 0 1 年的s a d m i n d i i s 蠕虫， 利用s o l a r i s 操作系统中的缓冲溢出漏洞进行攻击；2 0 0 2 年，蠕虫s c a l p e r 和s l a p p e r 爆发，都对社会都造成了极大的危害。 2 0 0 1 年，c o d e r e di 蠕虫爆发，同年，n i m d a 蠕虫爆发，该蠕虫攻击微软公司 的w i n d o w s 系统，不仅利用已知漏洞进行传播，还结合病毒技术进行传播。 2 0 0 3 年，s l a m m e r 蠕虫爆发，传播速度同样令人吃惊，几分钟内就感染了九 成以上的易感主机。2 0 0 3 年，b l a s t e r 蠕虫爆发，该蠕虫利用r p c 漏洞，采用本地 地址倾向性扫描策略。随后，出现了w e l c h i a 蠕虫，该蠕虫是采用i c m pp i n g 扫描 来寻找目标地址，利用b l a s t e r 网络蠕虫所利用的漏洞，一旦发现被b l a s t e r 感染的 主机，则清除蠕虫并为主机打上补丁，虽然该蠕虫的目的的清除恶意蠕虫，但是 其本身对网络也造成了巨大的冲击，并为达到预想的效果。 2 0 0 4 年，s a s s e r 网络蠕虫爆发，随后，出现了c y c l e 蠕虫，该蠕虫是利用s a s s e r 蠕虫所用的漏洞，清除m s b l a s t e x e 和a v s e = t v e e x e 等进程，并在设定同期发起d d o s 攻击。 6 第二章p 2 p 蠕虫研究概述 2 0 0 4 年，爆发利用搜索引擎g o o g l e 来搜索目标，并利用论坛p h p b b 漏洞进 行传播的s a n t y 蠕虫【6 】。该蠕虫通过向g o o g l e 发送搜索文本，对搜索到的论坛进 行攻击。 从上面所描述的蠕虫爆发的历史过程来看，蠕虫的发展越来越趋向于智能化， 蠕虫的爆发频率也越来越频繁，传播手段也越来越多样化，危害程度也越来越大。 因此，防治蠕虫的工作已经迫在眉睫。 2 1 2in t e r n e t 蠕虫的定义 蠕虫本属于生物学范畴，1 9 8 2 年由s h o c h 第一次把它引入计算机领域，他定 义了蠕虫的两个基本特点：“可以从一台计算机移动到另一台计算机“和“可以自 我复制”。1 9 8 8 年m o r r i s 蠕虫爆发后，s p a f f o r d 从技术角度重新给出了蠕虫的定义： i n t e r n e t 蠕虫是可以独立运行，并能把自身副本传播到另外一个主机节点上的一段 程序。 由于网络蠕虫不断的变化，许多学者重新定义了网络蠕虫。n i c h o l a sw e a v e r 认为：网络蠕虫是利用广泛使用的服务中所存在的安全或策略缺陷，并在网络上 自主传播的程序。郑蝌2 】贝0 提出：网络蠕虫是一段独立的程序，不需要计算机使用 者干预，它通过获取已感染主机节点的漏洞信息来进行传播。 综合上述分析，本文作者认为：i n t e r n e t 蠕虫是一种智能化、自动化、独立化， 不需要计算机使用者干预即可运行的程序或代码。它通过网络将自身传播到另外 一个节点主机，利用其系统或软件漏洞进行攻击和破坏，以达到自身的破坏目的。 2 1 3ln t e r n e t 蠕虫的行为特征及功能结构 2 1 3 1i n t e r n e t 蠕虫的行为特征 i n t e m e t 蠕虫的攻击行为包括信息搜集、扫描探测、攻击渗透和自我传播4 个 阶段。信息搜集主要是采用什么算法对目标节点进行信息搜集；扫描探测主要是 对目标节点进行检测，然后考虑采用何种攻击渗透方式；攻击渗透主要是通过扫 描探测，获取系统漏洞，然后建立传播途径；自我传播主要是生成蠕虫副本，然 后在不同主机间进行蠕虫副本的传播。其行为特础8 】主要表现为：独立运行；自我 复制；行踪隐蔽；利用软件漏洞；造成网络阻塞；消耗系统资源；反复性；破坏 性。 7 电子科技大学硕士学位论文 2 1 3 2i n t e r n e t 蠕虫的功能结构 在分析了i n t e m e t 蠕虫的特性以后，本文认为i n t c r n c t 蠕虫的功能模块包括主 体功能模块和辅助功能模块阴。主体功能模块主要实现复制传播功能，辅助功能模 块则可以令蠕虫具有更强的存活力和破坏力。 1 主体功能模块 主体功能模块由信息搜集模块、扫描探测模块、攻击渗透模块和自我推进模 块组成。以下对这4 个模块做简单的介绍： ( 1 ) 信息搜集模块 采用什么算法对目标节点进行信息搜集，是本模块的主要功能，内容包括本 机系统信息、用户信息等，这些信息可以独自使用，也可以被其他单位所共享。 ( 2 ) 扫描探测模块 对目标节点进行检测，然后考虑采用何种攻击渗透方式。 ( 3 ) 攻击渗透模块 通过上面的扫描探测模块，获取系统漏洞，然后建立传播途径。 ( 4 ) 自我推进模块 生成蠕虫副本，然后在不同主机间进行蠕虫副本的传播。 2 辅助功能模块 辅助功能模块是对其他模块的归纳或预测，主要有以下5 个功能模块构成， 下面做简单的介绍： ( 1 ) 实体隐藏模块 包括对蠕虫各个实体组成部分的隐藏、变形、加密等，主要目的是增加蠕虫 的存活能力。 ( 2 ) 宿主破坏模块 用于破坏被感染主机，扰乱网络正常运行，在被感染主机上留下后门等。 ( 3 ) 信息通信模块 使蠕虫的编写者可以获取蠕虫的信息，使蠕虫之间可以共享某些信息，使蠕 虫的编写者可以更好地控制蠕虫的攻击行为。 ( 4 ) 远程控制模块 调整蠕虫的行为，控制被感染主机，执行蠕虫编写者下达的指令。 ( 5 ) 自动升级模块 可随时更新其他模块的功能，从而实现不同的攻击目的。 第二章p 2 p 蠕虫研究概述 2 1 4i n t e r n e t 蠕虫的分类 i n t e r a c t 蠕虫的差异性主要体现在目标主机搜索模块和传播方式模块【j 7 1 。本节 主要根据目标主机搜索和传播方式的差异性对i n t e r a c t 蠕虫进行分类。 ( 1 ) 按目标主机搜索的方式分类 蠕虫在进入网络以后，首要的任务就是搜索新的目标主机，如何更快高效地 搜索到新的主机进行感染，是蠕虫设计好坏的关键所在。常见的目标主机搜索包 括盲目扫描、基于h i t - l i s t 列表、基于网络拓扑信息、被动监测等。因此，i n t c r n c t 蠕虫相应地也可以分为以下几种类型：盲目扫描式蠕虫：方法简单，易于实施， 以盲目扫描的方式获取可感染的目标主机。基于h i t - l i s t 列表式蠕虫：通过事先 搜集的易感染主机列表进行传播，蠕虫的传播将会更加快速。0 基于网络拓扑信 息扫描式蠕虫：在网络上很多主机存储了网络中其他主机的相关信息，该类蠕虫 在获取这些网络拓扑信息以后，具有更加明确的攻击目标，同时由于感染主机的 网络行为并没体现出异常特征使得蠕虫攻击更加具有隐蔽性。 被动监测式蠕虫： 该蠕虫不会主动扫描目标主机，当蠕虫成功感染主机后会保持等待，当易感染主 机主动对感染主机进行网络连接请求时，该蠕虫则进行传播，随后继续保持等待。 被动监测式蠕虫传播缓慢但非常隐蔽，因此很难被检测到。 ( 2 ) 按传播方式分类 传播方式指的是蠕虫传播自身副本至目标主机所用的方式。传播方式包括自 我携带、二级通道和嵌入式等，因此，i n t e r n e t 蠕虫也可相应地分为以下几种： 自我携带式蠕虫：即蠕虫感染目标主机时直接将蠕虫代码携带到目标主机，感染 后的目标主机可直接进入新的蠕虫传播阶段。0 二级通道式蠕虫：该蠕虫感染目 标主机后，为了完成自身的传播，需要借助一个二级通道来完成。0 嵌入式蠕虫： 该蠕虫将自己混合到普通消息中，或直接取代普通消息。该类蠕虫在隐蔽性方面， 具有很好的效果，不会产生异常。 上述的分类方法仅从两个主要方面对i n t c r n c t 蠕虫进行了分类。然而由于蠕虫 结构很复杂，为了能使蠕虫在传播过程中具有更快速的特点，采用多种策略混合 使用，是蠕虫的编写者都喜欢的。因此，上述分类的方式只是本文的见解，仅供 参考。 9 电子科技大学硕士学位论文 2 1 5i n t e r n e t 蠕虫的防御现状 常见的蠕虫防御策略的思想是：及时修补漏洞。缩小蠕虫的活动范围，便是该 方法的最终目的；分析蠕虫特定行为，从时间上延缓蠕虫的传播，便是该方法的 最终目的；破坏蠕虫的传播环境，减少蠕虫传播数据流，便是该方法的最终目的。 针对以上防御策略的思想，近年来相关学者研究了许多蠕虫的防御策略，大致 有以下几种： ( 1 ) 基于特征码的对抗 对于普通用户来说，使用这种机制具有简单方便的特点。但对于本防御策略来 说，确实显得有些被动，一方面要求防御软件商能够快速的开发出相应的防御代 码；另一方面也要求用户能够及时地去更新防御软件。 ( 2 ) 基于阻塞的对抗 该机制的策略是让自己被感染，使本身阻塞对外的连接，以确保避免感染更多 的主机。对于该机制来说，虽然本机的性能下降了，但是却使得更过的主机免受 了感染的危险。 ( 3 ) 基于诱骗的对抗 诱骗主要通过蜜罐技术进行实施。通过诱骗蠕虫扫描感染蜜罐内的虚假主机， 使蠕虫陷于蜜罐而不能再对网络内真正主机进行恶性感染，从而使真正的主机不 会被感染。由于蠕虫没有识别目标的能力，所以蜜罐具在隐蔽性方面，具有非常 好的效果。 ( 4 ) 基于良性蠕虫的对抗 利用基于良性蠕虫的对抗恶性蠕虫，也是一个很好的研究方向。例如：利用 c h e e s e 蠕虫【1 川对抗l i o n 蠕虫【l l 】以及c o d eg r e e n 蠕虫【12 】和c r c l e a n 蠕虫【1 3 】对抗 c o d er e di i 蠕虫【1 4 j 。虽然这些蠕虫不能算是良性蠕虫，但它们所采用的一些对抗 方法值得我们考虑和学习。c 嬲t a n e d a 等【l5 】则认为，对于现有的蠕虫防御策略来说， 都显得有些被动，而使用良性蠕虫对抗恶性蠕虫，可以掌握主动权。该方法在对 抗c o d e r e d 蠕虫时取得了良好的效果。 l o 第二章p 2 p 蠕虫研究概述 2 2p 2 p 网络的结构特征 2 2 1p 2 p 网络的定义及特点 p 2 p 是一种分布式网络，网络中的每个角色都可以共享它们所拥有的资源，这 些资源需要由网络提供支持，并且其他节点可以直接访问这些共享的资源。在这 个网络中，每一个节点都是对等的，因此也叫对等节点。p 2 p 并不是传统的客户 服务器模式，而在网络中的角色都是一样的。p 2 p 网络的核心是网络中的每个节点 都是一样的，也叫相互对等，任意两个节点之间可以直接进行数据传输，无须第 三者的服务支持。p 2 p 网络的特点主要有以下几个方面【1 6 】： ( 1 ) 非中心化：网络中的每个节点都拥有资源的服务权限，节点之间可以相 互服务，无须第三方的支持，避免了可能的瓶颈。 ( 2 ) 可扩展性：在p 2 p 网络中，用户的加入和退出并不会给系统造成影响， 各个节点之间仍是单独的相互服务，整体是均匀分布的，不存在瓶颈。 ( 3 ) 健壮性：p 2 p 网络对于攻击和容错来说具有很好的优势。由于各个节点 之间相互独立，一部分节点失效或者遭到破坏或者退出不会影响整个系统的运行。 可以说，p 2 p 网络能做自适应性的调整。 ( 4 ) 高性价比：由于网络中的各个节点之间相互连通，可以将资源分布到所 有节点上。对于网络中的闲置节点，可以得到更好的利用效果，以达到更好的性 价比。 ( 5 ) 隐私保护：由于网络中的各个节点之间相互连通，他们之间的通信无须 特殊的中继节点，因此用户的隐私信息可以被很好的保密，并且所有的节点都拥 有中继转发的功能，对隐私保护起到了很好的效果。 ( 6 ) 负载均衡：由于网络中的各个节点之间相互连通，并且是相互对等的， 因此可以将资源同时分布每一个节点上，更好的实现了整个网络的负载均衡。 p 2 p 网络具有较高的扩展性，并且p 2 p 网络的对等特性使其具有极强的伸缩 性与生存性，而且p 2 p 网络有着良好的可扩展性、健壮性和自组织能力。 2 2 2p 2 p 网络的结构类型 根据拓扑类型可以将p 2 p 网络分为非结构化拓扑和结构化拓扑两种形式，区 别在于每个节点保存的邻居节点信息是否能够按某种方式组织起来，方便快速的 查找。 ( 1 ) 非结构化p 2 p 网络【1 7 】：网络中没有了中央服务器，用户可以随时进入和 电子科技大学硕士学位论文 退出网络，当进入网络中时，与邻节点相互连接，组成一个逻辑网络。各个节点 机之间资源的查询和共享都可以间接的传递，并且每个节点会记录搜索轨迹，不 会出现重复搜索。它解决了网络结构中心化的问题，并且有较好的扩展性和容错 性。 ( 2 ) 结构化p 2 p 网络：是一种定位服务，它采用纯分布式的消息传递机制和 关键字进行查找。目前，通常采用分布式的哈希表技术。在d h t 技术中，每个节 点都被分配一个唯一的节点标识符，然后资源通过散列运算，再产生一个对应的 唯一的资源标识符，并且该资源将存储在与节点相等或相近的节点上。 2 3p 2 p 蠕虫的定义及分类 2 3 1p 2 p 蠕虫的定义 p 2 p 网络方便了人们的生活，但也为蠕虫的传播提供了便利。传统蠕虫在传播 的过程中很难保证其隐蔽性，而在p 2 p 网络中，网络流量表现出来的是正常的， 使蠕虫的隐蔽性可以得到很好的保证。这些蠕虫可以通过邻居节点信息轻松地找 到新的易感染主机。 随着p 2 p 蠕虫危害程度的加深，在2 0 0 5 年的i p t p s 会议中，p 2 p 蠕虫的概念 被正式提出。p 2 p 蠕虫利用网络拓扑信息，传播不需要随机扫描，与传统的蠕虫有 着很大的不同，具体体现在：第一，非扫描特性使传播更加快速准确；第二，不 会出现大量的连接失败率等异常特征；第三，可以将自身流量隐藏在正常的p 2 p 流量中。本文作者通过分析p 2 p 网络的特性，对p 2 p 蠕虫定义如下：p 2 p 蠕虫是 存在于p 2 p 网络中的非扫描性蠕虫，它通过利用p 2 p 网络的本质特性，利用主机 节点的系统漏洞，快速自主地进行传播。 2 3 2p 2 p 蠕虫的分类 p 2 p 蠕虫根据传播策略可分为两种【1 8 】：一种是基于社会工程学，将蠕虫代码 进行伪装，然后提供下载传播，目前，这种蠕虫的种类比较多；另一种是通过系 统漏洞利用p 2 p 网络及其交互性质自主传播，通过p 2 p 节点的主机缓存列表( h o s t c a c h e ) 中的邻居结点信息构建攻击列表。 p 2 p 蠕虫根据网络拓扑结构也可分为两种： 1 2 第二章p 2 p 蠕虫研究概述 ( 1 ) 结构化p 2 p 蠕虫 该类蠕虫的传播环境是结构化的p 2 p 网络。该蠕虫利用分布式哈希表中的资源 与节点信息，构建攻击列表，然后进行节点间的传播。 ( 2 ) 非结构化p 2 p 蠕虫 该类蠕虫的传播环境是非结构化的p 2 p 网络。该蠕虫利用本机节点的邻居节点 信息构建攻击列表，然后进行节点间的传播。 p 2 p 蠕虫根据传播方式也可分为两种： ( 1 ) 主动式p 2 p 蠕虫 此类p 2 p 蠕虫并为真正出现，但一旦真正的爆发，将会造成巨大的损失。该类 蠕虫通过获取邻居节点信息，构造其攻击列表，然后进行主动传播，该类蠕虫是 未来几年的研究热点。 ( 2 ) 被动式p 2 p 蠕虫 该类蠕虫将自身伪装后隐藏在被感染p 2 p 节点的共享文件夹下，通过其它用户 下载而被动地进行传播。由于p 2 p 应用的逐渐增多，使得该蠕虫的传播更快更加 有效，目前大量的p 2 p 蠕虫都是该类蠕虫。 表2 1 是对p 2 p 蠕虫的分类总结。 表2 - 1p 2 p 蠕虫的分类 分类方式名称特征 基于社会工程学的蠕虫将蠕虫代码伪装后提供下载传播 传播策略 利用p 2 p 网络拓扑及其交互性质自 发掘漏洞的蠕虫 主传播 网络拓扑结 结构化p 2 p 蠕虫利用d h t 中节点信息进行传播 构 非结构化p 2 p 蠕虫利用邻居节点信息进行传播 主动式p 2 p 蠕虫 利用邻居节点信息，主动传播副本 传播方式 被动式p 2 p 蠕虫伪装自身，等待下载副本 电子科技大学硕士学位论文 2 4p 2 p 蠕虫的工作机制 p 2 p 蠕虫的工作机制分为主动p 2 p 蠕虫的工作机制和被动p 2 p 蠕虫的工作机 制，具体如下： ( 1 ) 主动p 2 p 蠕虫的工作机制，是在进行传播之前，该蠕虫会事先搜集一些 漏洞主机列表，在传播过程中，会首先感染这些主机，随后这些被感染的主机不 再进行盲目的随机扫描探测，而是根据邻居节点信息，构建攻击列表，继续进行 主动传播。 ( 2 ) 被动p 2 p 蠕虫的工作机制，是将蠕虫伪装成敏感文件，然后将其放在被 感染主机中，迷惑人们，让其下载。当其它节点下载资源时，蠕虫就会感染它， 当用户访问这些资源时，蠕虫便将自身复制为多个副本，然后继续伪装，隐藏在 这个主机的共享资源中，继续等待其它节点继续访问。 2 5p 2 p 蠕虫的行为特征描述 通过全面分析p 2 p 蠕虫，可以得出p 2 p 蠕虫与传统的i n t e r n e t 蠕虫相比，新的 行为特征表现为【1 6 1 ： ( 1 ) 非扫描性 它不会随机扫描选择地址，而是通过网络拓扑信息来进行传播。这是p 2 p 蠕虫 最本质的特征。 ( 2 ) 传播速度更快 。p 2 p 系统事先已经收集了邻居节点的路由信息，而p 2 p 蠕虫正是通过这些信息 来进行传播的，因此不会浪费时间束进行探测。因此它们的传播速度更快。 ( 3 ) 传播更加精确 由于p 2 p 蠕虫是根据邻居节点的路由信息来进行传播，因此它们的传播目标更 加准确。 ( 4 ) 行踪更加隐蔽 由于p 2 p 蠕虫可以将自己的行为隐藏在正常的网络流量之中，因此它行踪更加 隐蔽，从而也使现有的一些防御机制力不从心。 ( 5 ) 利用的漏洞范围更大 p 2 p 蠕虫可以利用传统蠕虫利用的漏洞和软件漏洞，例如b i t t o r r e n t 、迅雷等 软件，而其中任何一种软件的漏洞都可能成为p 2 p 蠕虫潜在攻击的目标。 1 4 第二章p 2 p 蠕虫研究概述 2 6p 2 p 蠕虫的防御研究现状 由于用户的行为往往影响现有的网络蠕虫在网络中的传播程度，因此对网络 造成的影响都相对较小。然而p 2 p 蠕虫作为一种新出现的恶性蠕虫，虽然从2 0 0 3 年开始就不断地爆发，由于其影响力并没有超过传统的网络蠕虫对网络破坏的程 度，因此国内外对其大规模的研究工作比较少。随着网络深入群众的生活，p 2 p 的应用逐渐增多，导致了p 2 p 蠕虫对网络的更大危害。因此，如果大规模的爆发 的话，其对社会造成的损失将远远超过现有的i n t e m e t 蠕虫和邮件蠕虫。因此，在 p 2 p 应用不断增加的情况下，对p 2 p 蠕虫进行防御研究具有重要的意义。 s a n t o n a t o s