（通信与信息系统专业论文）基于netflow数据流的计算机蠕虫病毒探测系统的研究.pdf

摘要 随着网络的迅速发展，随之而来的网络安全事件也日益突出，特 别是以计算机蠕虫病毒为代表的网络攻击已经成为当今最难对付的 网络安全事件之一。由于计算机蠕虫病毒最快能够在数分钟内感染网 络上绝大多数有漏洞的机器，耗用网络带宽和网络设备的系统资源， 使正常服务和应用无法进行。因此计算机蠕虫病毒探测系统必须能快 速探测、鉴别和隔离已感染计算机蠕虫病毒的机器，特别是感染新型 的未知的计算机蠕虫病毒的机器。 同时，计算机蠕虫病毒攻击的多样性，智能性和复杂性对网络安 全管理也提出了新的挑战。如何完善网络管理，在早期发现及处理计 算机蠕虫病毒减轻其危害就成为网络安全管理的重中之重。鉴于此， 我们提出了一种基于n e t f l o w 数据流的计算机蠕虫病毒探测机制。该 机制以计算机蠕虫病毒攻击的共性为出发点，以n e t f l o w 数据流为被 监视的对象，利用数理统计原理对n e t f l o w 数据流进行分析从而发现 目标。利用该机制，我们能够探测出大部分计算机蠕虫病毒扫描、拒 绝服务攻击和其他网络异常流量。经测试，该机制拥有较高的效率和 较低的误报率。本文首先介绍了计算机蠕虫病毒的发展趋势，主要防 御技术以及危害。然后，提出了计算机蠕虫病毒探测系统的设计方案， 并重点阐述了基于统计分析的计算机蠕虫病毒探测算法和流量检测 算法。最后，对计算机蠕虫病毒探测系统的改进提出了几点建议，为 计算机蠕虫病毒探测系统的完善提出了一些建设性的意见。 关键字：n e t f l o w 、计算机蠕虫病毒、统计测试、流量检测 a b s t r a c t n e t w o r ks e c u r i t ye v e n t sb e c a m em o r ea n dm o r ep r o m i n e n tw i t l l d e v e l o p m e n to fn e t w o r k , e s p e c i a l l ya b n o r m a lf l o w ss u c ha sc o m p u t e r w o r mv i r u sh a v eb e c a m eo n eo fd i f f i c u l t l yd i s p o s e dn e t w o r ks e c u r i t y e v e n t s c o m p u t e rw o r mv i r u sd e t e c t i o ns y s t e mm u s ta c tq u i c k l yt o i d e n t i f ya n dq u a r a n t i n es c a n n i n gw o r m s ，a sc o m p u t e rw o r mv i r u sh a v e b e e na b l et oi n f e c tt h em a j o r i t yo fv i i l n e r a b l eh o s t so nt h ei n t e r a c ti na m a t t e ro fm i n u t e s a tt h es a m et i m e ，i ti san e wc h a l l e n g ef o rn e t w o r ks e c u r i t y m a n a g e m e n t t h a t c o m p u t e r w o r mv i r u sa t t a c kb e c a m ev a r i o u s i n t e l l e c t i v ea n dc o m p l i c a t e d a n di ti s v e r yi m p o r t a n tf o rn e t w o r k s e c u r i t ym a n a g e m e n tt oh o wt op e r f e c tn e t w o r ks e c u r i t ym a n a g e m e n t ， h o wt of i n da b n o r m i t ya n dh o wt od e a lw i t ha b n o r m i t y s ow ep r e s e n ta n e t f l o w - b a s e dm e c h a n i s mo fd e t e c t e dc o m p u t e rw o r mv i r u s w ec h o s e d c o n l n l o n n e s so fc o m p u t e rw o r mv i r u sa t t a c ka ss p r i n g b o a r da n dc h o s e d n e t l f o wt r a f f i ca so b s e r v a t i o n e do p t i o ni nt h i sm e c h a n i s m t h i sa p p r o a c h c a nd e t e c tm o s to fs c a n n i n gw o r m sa n dh a sa h i g ha f f e c t i v i t yb y a n a l y z i n gn e t f l o wt r a f f i c 1 1 1 i sp a p e ri n t r o d u c e sd e v e l o p m e n tt r e n d m a j o rr e c o v e r yt e c h n o l o g ya n dh a r mo fw o r m s ；m a i n l ye x p o u n di n t e m e t w o r m s d e t e c t i o nm e c h a n i s mw h i c hi sp r e s e n t e db ya u t h o r k e y b o a r d s ：n e f f l o w 、c o m p u t e rw o r mv i r u s 、s t a f f s t i c a lt e s t 、f l o wd e t e c t 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得中南大学或其他单位的学位或证书而使用过的材料。与我共 同工作的同志对本研究所作的贡献均已在在论文中作了明确的说明。 作者签名：翕叁趁日期：捌年丘月幽 关于学位论文使用授权说明 本人了解中南大学有关保留、使用学位论文的规定，即：学校有 权保留学位论文，允许学位论文被查阅和借阅；学校可以公布学位论 文的全部或部分内容，可以采用复印、缩印或其它手段保存学位论文； 学校可根据国家或湖南省有关部门规定送交学位论文。 作者签名：嬗导师签名热期：逮出皇月垒日 硕士论文第一章结论 第一章绪论 国家计算机病毒应急处理中心常务副主任张健在2 0 0 5 年召开的世界病毒大 会上说，今年我国病毒发作破坏造成损失与感染病毒计算机总数的比例为5 1 3 。系统无法使用、网络无法使用、浏览器配置被修改、使用受限和数据部分丢 失仍然是病毒的主要破坏方式【l 】。 计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时，嵌 入的病毒也随之运行并感染其它程序。一些病毒不带有恶意攻击性编码，但更多 的病毒携带毒码，一旦被事先设定好的环境激发，即可感染和破坏。自8 0 年代 莫里斯编制的第一个。计算机蠕虫”病毒程序至今，世界上已出现了多种不同类型 的病毒，对网络安全威胁较大的主要有以下几种： 计算机病毒( c o m p u t e rv i r u s ) ：一种会。传染。其它程序的程序，。传染”是通 过修改其它程序来把自身或其变种复制进去完成的。很多电子邮件病毒都属此 类，如著名的。爱神。( 1 0 v e ) 病毒和。梅莉莎。病毒。 计算机蠕虫( c o m p u t e r w o r m ) ；一种利用网络的通信功能将自身从一个节 点发送到另一个节点并启动之的程序。这种病毒虽然不会破坏你的计算机数据和 硬件，但是它不断扩散，耗用网络带宽和网络设备资源。 特洛伊木马( t r o j a nh o m e ) ：一种程序，能将病毒或破坏性程序霞入计算机 网络，且通常是将这些恶意程序隐蔽在正常的程序之中，尤其是热门程序或游戏， 一些用户下载并执行这一程序，其中的病毒便会发作。如一个编译程序除了编译 任务以外，还把用户的源程序偷偷地拷贝下来，则这种编译程序就是种特洛伊 木马。 逻辑炸弹( 1 0 9 i cb o m b ) ：一种当运行环境满足某种特定条件时执行其它特 殊功能的程序。例如一种程序，平时运行得很好，但当系统时间为1 3 日又为星 期五时，它删去系统中所有的文件，这种程序就是一种逻辑炸弹。由一个台湾学 生制造的c i h 病毒也属此类，因为它每月2 6 日( 尤其是3 月2 6 日) 都会发作， 恶毒地改写计算机的b l o s 。 计算机蠕虫病毒：计算机蠕虫病毒是一种融合计算机蠕虫、计算机病毒和木 马技术的新技术，它无须计算机使用者干预即可运行，通过大规模的扫描获取网 络中存在漏洞的计算机的控制权进行复制和传播，在已感染的计算机中设置后门 或执行恶意代码破坏计算机系统或信息 目前中国有8 0 的电脑曾受到病毒感染，较去年下降8 。这是连续5 年来 中国计算机病毒感染率首次出现下降。公安部今年的调查显示，计算机病毒感染 比例相对比较高的时期集中在3 至5 月。从感染计算机病毒的类型分析，计算机 硕士论文 第一章绪论 蠕虫已经明显高于其他类型，占7 4 ，木马程序日益突出，占据第二位，为4 8 【2 1 。同时随着互联网应用的深入，计算机系统安全和网络安全受到的威胁日益 增加，特别是在网络环境下，计算机蠕虫病毒的多样化传播途径和复杂的技术使 它的智能化增高，潜伏性变强，覆盖面更广，造成的损失也更大因此，如何探测 和防治计算机蠕虫病毒成为网络安全的重中之重 1 1 计算机蠕虫病毒历史回顾 1 9 8 8 年1 1 月2 日美国发生了“计算机蠕虫病毒”事件，给计算机技术的发 展罩上了一层阴影。第一个计算机蠕虫病毒是由美国c o p u n e l l 大学研究生莫里斯 编写。虽然并无恶意，但由于计算机蠕虫病毒在i n t e r n e t 上大肆传染，使得数 千台联网的计算机停止运行，并造成直接经济损失达9 6 0 0 万美元。这一典型的 计算机病毒入侵计算机网络的事件，迫使美国政府立即作出反应，国防部成立了 计算机应急行动小组。此次事件中遭受攻击的包括5 个计算机中心和拥有政府合 同的2 5 万台计算机。这个计算机蠕虫病毒是历史上第一个通过i n t e r n e t 传播的 计算机病毒。它的设计者罗伯特莫里斯正是利用系统存在的弱点编写了入侵 a r p a n e t 网的最大的电子入侵者，从而获准参加康奈尔大学的毕业设计，并获得 哈佛大学a i k e n 中心超级用户的特权。他也因此被判3 年缓刑，罚款l 万荚元， 还被命令进行4 0 0 小时的新区服务，成为历史上第一个因为制造计算机病毒受到 法律惩罚的人，从而揭开了世界上通过法律手段来解决计算机病毒问题的新一 页。 2 0 0 1 年月，c o d e r e d t 3 4 i 爆发后，计算机蠕虫病毒研究再度引起人们的关注。 c o d e r e d 蠕虫传播速度快，一旦进入网络，就会在网内所有存在安全漏洞的 l - m o d w s 2 0 0 0 或w i n d o w sn t 系统上传播。c o d e r e d 蠕虫通过发送大量的h r r p 服务请求，造成w e b 服务器的服务无法响应，路由器负载过重不能响应，整个 网络处于瘫痪的状态。后来，作为第一个真正的“高速”计算机蠕虫病毒s l a m m e r 的出现，说明部分计算机蠕虫在极短的时间内可以影响整个i n t e r n e t 。现在， 各种各样的计算机蠕虫病毒变种遍布在整个网络，使我们的网络随时都受到威 胁，因此，必须加大网络安全措施的力度。 1 2 计算机蠕虫病毒产生的原因及传播途径 计算机蠕虫病毒成为网络安全中最普遍的安全事件之一，其产生的原因有以 下几点： ( 1 ) 意外的结局：某些为正常应用编写的程序，由于没有预见其可能产生的 负面影响，在应用时，产生意外的不良后果。 2 硕士论文 第一章绪论 ( 2 ) 一个恶作剧：某些计算机编程爱好者为了炫耀自己的高超技术和智慧， 凭借对软硬件的深入了解，编制这些特殊的程序。 ( 3 ) 报复心理；每个人都处于社会环境中，但总有人对社会不满或受到不公 证的待遇。如果这种情况发生在一个编程商手身上，那么他有可能会编制一些危 险的程序。 ( 4 ) 用于特殊目的：某组织或个人为达到特殊目的，对政府机构、单位的特 殊系统进行宣传或破坏。或用于军事目的。 计算机蠕虫病毒( w o r m ) 是通过网络传播的，目前危害比较大的计算机蠕 虫病毒主要通过三种途径传播：系统漏洞、聊天软件和电子邮件。 其中利用系统漏洞传播的病毒往往传播速度极快，防止系统漏洞类计算机 蠕虫病毒的侵害，最好的办法是打好相应的系统补丁；可以应用瑞星杀毒软件或 金山毒霸的“漏洞扫描”工具，这款工具可以引导用户打好补丁并进行相应的安 全设置，彻底杜绝病毒的感染。 通过电子邮件传播，是近年来病毒作者青睐的方式之一，这样的病毒往往会 出现大量的变种，用户中毒后往往会造成数据丢失、个人信息失窃、系统运行变 慢等。防范邮件蠕虫的最好办法，就是提高自己的安全意识，不要轻易打开带有 附件的电子邮件。另外，启用瑞星杀毒软件的“邮件发送监控”和“邮件接收监 控”功能，也可以提高自己对病毒邮件的防护能力。 m s n 、q q 等聊天软件成为计算机蠕虫病毒传播的途径之一。防范聊天蠕虫 的主要措施之一，就是提高安全防范意识，对于通过聊天软件发送的任何文件， 都要经过好友确认后再运行；不要随意点击聊天软件发送的网络链接。 1 3 国内外研究现状与水平 由于1 9 8 8 年m o r r i s 蠕虫的爆发，吸引了一批研究人员对m o r r i s 蠕虫做分析讨 论，以e u g e n eh s p a f f o r d 等人 5 - 9 1 为代表给出了对m o r r i s 蠕虫的详尽分析。由 于在随后的几年中，少有新的计算机蠕虫出现，在以后的1 0 年间，基本上对于计 算机蠕虫的研究处于停滞状态，( 1 9 9 3 年j e f f e r y0 k e p h a r t 和s t e v er w h i t e 给出计算机病毒的传播与度量模型后，对计算机病毒的传播问题的研究基本上也 处于停滞状态) 。1 9 9 8 年，s t e v er w h i t e 呼吁加大对计算机蠕虫的研究力度【m 】， 他指出，目前的防病毒技术都是针对文件系统的，这些技术在防治计算机蠕虫时 不再适用。他认为人们忽视计算机蠕虫研究有两个原因，一是计算机蠕虫很少见 ( 当时) ，二是特定计算机蠕虫只爆发一次，对于研究者来讲，每次计算机蠕虫爆 发都是一个新的待研究的计算机蠕虫。他认为针对计算机蠕虫的研究主要分为检 测、分析和清除。2 0 0 0 年i b m 开展i a nw h a l l e y 项目，目的是开发一个自动蠕虫检 硕士论丈 第一章绪论 测和分析的软硬件环境【l ”，项目中定义的计算机蠕虫包含了所有能利用网络传播 的恶意代码( 如邮件病毒) ，主要技术为用虚拟机构造计算机蠕虫传播的网络环 境。2 0 0 1 年，j o s en a z a r i o 等人1 1 2 讨论了计算机蠕虫的技术发展趋势，给出了计 算机蠕虫的一个功能模型框架，他们提出的很多思路非常具有启发意义。已有的 绝大多数针对计算机蠕虫的研究集中在特定计算机蠕虫的个体分析上，在计算机 蠕虫个体分析的工作中比较出色的有：e u g e n eh s p a f f o r d ，他对m o r r i s 蠕虫进 行了详尽的分析：m a xv i s i o n ，他分析t a d m 蠕虫 1 3 1 ，m i l l e n n i u m 蠕虫【1 4 】，r a m e n 蠕虫【”l 、l i o n 蠕虫【1 6 】等，2 0 0 1 年5 月，m a xv i s i o n 因为在针对a d m 蠕虫编写的对 抗蠕虫程序中设置了后门而被捕入狱【l 7 】。如果他没有被捕的话，应该可以在蠕虫 个体分析工作上做出更多的贡献。e e y ed i g i t a l s e c u r i t y ，这个安全小组的工作 人员在c o d e r e d ，s l a m m e r 【is 】等近两年出现的计算机蠕虫个体分析中作中做了非 常出色的工作。近年来，国外政府、研究机构都非常重视计算机蠕虫研究，美国政 府近期投入5 4 6 万美元给u cb e r k e l e y 和s o u t h e r nc a l i f o r n i a 大学建立网络攻击 测试床，用于计算机蠕虫、病毒等方面的研究，测试床设备多达千余台主机” 2 0 0 3 年l o 月2 7 日，关于i n t e r n e t 蠕虫的专题讨论会( t h ew o r k s h o po nr a p i d m a l c o d e ( w o r m ) ) 作为第l o 届a c m 计算机与通信会议的附属会议举行。该会讨论了 i n t e r n e t 蠕虫的发展历程及未来趋势、计算机蠕虫的分类、蠕虫流量仿真、蠕虫 预警系统设计与测试、蠕虫的传播仿真、蠕虫模型剖析及隔离技术等 目前，国内还没有对计算机蠕虫进行比较深入的研究，主要研究还是集中在 计算机蠕虫的传播模型上，例如邹长春的t w o f a c t o r 模型伫伽和卿斯汉的 w o r m - a n t i w o r m 模型j 。 1 4 本论文研究的目的和意义 计算机蠕虫病毒的破坏力极强，如s l a m m e r 蠕虫在半个小时之内就可以影响 整个i n t e r n e t ，造成i n t e r n e t 大范围阻塞。计算机蠕虫病毒每次爆发，都将给 全世界带来巨大的经济损失，c o d e r e d 蠕虫在爆发后的9 小时内就攻击了2 5 万 台计算机，造成的损失估计超过2 0 亿美元，对n i m d a 造成的损失评估数据从5 亿荚元攀升到2 6 亿荚元后，继续攀升，到现在已无法估计1 2 2 1 。尽管计算机蠕虫 病毒的威胁巨大，但是人们对计算机蠕虫病毒的研究却相对贫乏。因此如何防治 计算机蠕虫病毒，提高网络的安全性，减少计算机蠕虫病毒带来经济损失就显得 额外重要。本论文的研究就是基于这样的意愿，其目的是要在计算机蠕虫病毒大 规模爆发的前期，能探测出计算机蠕虫病毒，减少损失。 4 硕士论文第一章绪论 1 5 本论文研究的内容和思路 本文在分析了目前计算机蠕虫病毒及防御技术的基础上，提出了一个实时的 基于n e t f l o w 数据流的计算机蠕虫病毒探测系统的设计方案。主要是结合数理统 计中的统计方法对网络数据包进行分析统计，发现计算机蠕虫病毒的攻击行为并 找出感染源。鉴于计算机蠕虫病毒发作时，会出现异常流量和异常连接，本文结 合网络流量异常的分析方法，实现了更加及时、准确地发现计算机蠕虫病毒并找 出其攻击源。本论文研究的内容如下： ( 1 ) 分析目前常用的几类计算机蠕虫病毒探测技术及其特点。 ( 2 ) 介绍了n e t f l o w 数据流的定义、格式及特点，然后给出了常用的获取 n e t f l o w 数据流的工具，并列举出以n e t f l o w 数据流为基础的攻击事件的案例分 析。 ( 3 ) 设计出基于n e t f l o w 数据流的计算机蠕虫病毒探测系统。通过对计算机 蠕虫病毒攻击行为的分析，阐述了计算机蠕虫病毒攻击各阶段的特点。最后介绍 了基于n e t f l o w 2 m y s q l 工具的n e t f l o w 数据流提取平台。 ( 4 ) 针对且前各种计算机蠕虫病毒防御技术的不足，提出了适合校园网规模 的计算机蠕虫病毒探测算法。本章详细介绍了算法的原理，并介绍了获取网络流 量的方法，最后通过实验证明了对n e t f l o w 数据流进行分析可以发现网络中的计 算机蠕虫病毒攻击行为以及其他异常行为，达到了预期的效果。 ( 5 ) 为了更有效准确地的探测计算机蠕虫病毒( 包括已知和未知计算机蠕虫 病毒) ，充分利用计算机蠕虫病毒探测算法，我们针对蠕虫探测算法提出了基于 s n m p 的网络流量检测算法。该流量检测模块主要任务是发现网络异常流量后， 调用蠕虫探测算法，更有效地监视网络。 硕十论文第二章计算机蠕虫病毒的机制及防御技术 第二章计算机蠕虫病毒的机制及防御技术 随着互联网应用的深入，计算机系统安全和网络安全受到的威胁日益增加， 特别是在网络环境下，计算机蠕虫病毒的多样化传播途径和复杂的技术使它的智 能化增高，潜伏性变强，覆盖面更广，造成的损失也更大因此，如何探测和防治 计算机蠕虫病毒成为网络安全的重中之重。本章着重分析了计算机蠕虫病毒的发 病机制、危害以及最常见的防御技术，最后提出网络安全管理的几点建议。 2 1 计算机蠕虫病毒的破坏及发展 2 1 1 计算机蠕虫病毒的破坏 从1 9 8 8 年c e r t ( 计算机紧急响应小组) 由于m o r r i s 蠕虫事件成立以来，统 计到的i n t e r n e t 安全威胁事件每年以指数增长 2 3 2 4 1 ，近年来的增长态势变得的 尤为迅猛。以美国为例，其每年因为网络安全造成的经济损失超过1 7 0 亿美元。 蠕虫的大规模爆发，使网络大面积瘫痪，给金融系统和政府部门造成的直接经济 损失不计其数；给整个世界经济也造成很大损失；另外，计算机蠕虫病毒还能破 坏计算机上的文件，泄漏机密信息。因此，网络信息安全问题得到了世界各国的 重视。 2 1 2 计算机蠕虫病毒的发展趋势 从m o r r i s 蠕虫到现在基于p 2 p 的q q 蠕虫，计算机蠕虫病毒总是随着网络技 术的进步而发展，2 0 0 0 年至今，出现的计算机蠕虫病毒数不胜数( r e d c o d i i ，n i m d a 等等) ，同时i n t e r n e t 上每天都充斥着大量的计算机蠕虫病毒。计算机蠕虫病 毒随着网络安全技术的进步也出现了新的变化，传播多样化。计算机蠕虫病 毒不再是以仅有的传播方式进行传播，它利用伪装等更多的技术传播。利用伪装 技术，计算机蠕虫病毒藏身于一些合法的制作工具或著名公司的系统工具，利用 这些工具制作的软件包就包含了计算机蠕虫病毒，从而达到传染目的。智能化。 计算机蠕虫病毒已不再需要人为的动作进行传播，它结合人工智能技术，计算机 蠕虫病毒的传播，感染，破坏都是自动完成，而且朝着反病毒软件的方向发展。 2 2 计算机蠕虫病毒的传播机制及危害 2 2 1 计算机蠕虫病毒的传播方式 已知道计算机蠕虫病毒的传播方式大致可以分为：邮件。当今社会，e m a i l 是人们交往和工作最主要的方式之一，也是网络应用最为频繁的服务之一，因此 6 硕士论文第二章计算机蠕虫病毒的机制及防御技术 计算机蠕虫病毒也借用该手段进行传播，例如i - w o r m 。局域网。大部分的网 络安全时间都是来自与局域望内部，计算机蠕虫病毒在传播过程中也首先在本地 局域网中自动搜索可写目录直接修改感染机器的注册表，使得能自动运行。系 统漏洞。大部分的计算机蠕虫病毒都是针对系统漏洞进行大规模的传播、感染。 例如n i m d a 红色、代码等。i n t e m 吼通过因特网计算机蠕虫病毒可以很快传 遍全球。 2 2 2 计算机蠕虫病毒的功能结构模型 一般地，计算机蠕虫病毒的功能模块可以分为两部分：基本功能模块和扩展 功能模块。其中，基本功能模块分为5 个部分：搜索模块、攻击模块、传输模块、 信息收集模块和繁殖模块；扩展功能模块包括4 个部分：通信模块、隐藏模块、 破坏模块和控制模块。该模型体现了当前计算机蠕虫病毒的功能结构，其中实现 了基本功能模块的计算机蠕虫病毒能够很好的完成传播复制流程，而包含扩展功 能模块的计算机蠕虫病毒则有更强的生存能力和破坏能力。 2 2 3 计算机蠕虫病毒的功能结构模型分析 回 图2 - 1 计算机j 需虫病毒传播流程图 7 硕士论文 第二章计算机蠕虫病毒的机制及防御技术 首先，计算机蠕虫病毒的基本功能即传播复制过程可以分为四个阶段：系统 扫描、进行攻击、现场处理、自我复制，如图2 1 所示。网络上已感染计算机蠕 虫病毒的主机通过特定的扫描机制( 例如：选择性随机扫描、顺序扫描等) 去寻 找存在漏洞的主机，当扫描到有漏洞的计算机系统后，进行攻击，攻击部分主要 完成计算机蠕虫病毒主体的迁移工作以及对计算机系统信息和文件的破坏；计算 机蠕虫病毒进入系统后，要做现场处理工作，例如修改系统日志、信息收集和自 我隐藏等；最后一步足自我复制，生成多个副本重复上述流程。其次，计算机蠕 虫病毒的扩展功能主要是实现计算机蠕虫病毒的攻击破坏能力，不同的计算机蠕 虫病毒其基本功能都基本上一致，但是他们的扩展功能却不尽相同。要认识、探 测和防御计算机蠕虫病毒就要充分了解计算机蠕虫病毒的行为特征，这哩我门把 计算机蠕虫病毒的行为特征归纳为四个方面：主动攻击、利用漏洞、行踪隐藏和 反复感染。计算机蠕虫病毒被释放以后，从搜索漏洞到利用漏洞进行系统攻击及 复制副本，整个流程都是由计算机蠕虫病毒自身主动完成。计算机蠕虫病毒在扫 描漏洞时将发起大量的连接以判断计算机是否存在、特定的应用服务是否存在、 漏洞是否存在等等。进入系统后，计算机蠕虫病毒通过修改系统日志隐藏自己， 最后复制计算机蠕虫病毒副本，下载和运行恶意代码，被感染主机将作为一个新 的攻击源去攻击别的计算机。 2 2 4 计算机蠕虫病毒的危害 计算机蠕虫病毒的危害是巨大的，主要体现在以下五个方面：消耗被感 染主机的系统资源以及破坏系统文件和信息资源：消耗网络上的带宽，造成 网络阻塞甚至网络瘫痪；消耗网络设备系统资源，如路由器和交换机的c p u 和内存资源；降低被感染主机和网络设备的系统性能；与黑客技术融合，造 成更大的安全隐患。例如泄露机密信息，特别是金融和政府的信息。 2 3 计算机蠕虫病毒的探测和防御 计算机蠕虫病毒已经成为网络上极大的安全隐患，由于计算机蠕虫病毒具有 相当的复杂性和破坏性，因此，对计算机蠕虫病毒的早期探测和防御就显得格外 重要。目前还没有那种防御措施能有效的探测和防御所有的计算机蠕虫病毒，特 别是新型的未知的计算机蠕虫病毒。在网络中，应用最广泛的计算机蠕虫病毒的 探测和防御技术是防火墙技术【2 5 五7 1 ，i d s ( i n t r u s i o nd e t e c t i o ns y s t e m s ) 技术 2 8 - 3 0 l ， s n m p 技术【3 2 j 3 1 和n e t f l o w l 3 4 - 3 5 1 技术等。 8 硕士论文 第二章计算机蠕虫病毒的机制及防御技术 2 3 1 采用防火墙技术 通过配置网络或单机防火墙软件，禁止除服务端口外的其他端口，这将切断 计算机蠕虫病毒的传输通道和通信通道。过滤含有某个计算机蠕虫病毒特征的报 文，屏蔽已被感染的主机对保护网络的访问等。由于计算机蠕虫病毒的行为同一 般的网络应用有很大的相似性，因此防火墙技术可能会导致某些正常的网络应用 也被封堵。例如r e d c o d e l i 利用的是8 0 端口，如果屏蔽掉8 0 端口，那么网络应 用最广泛的w e b 服务就会被禁止掉。同时，防火墙技术也可能漏报某些计算机 蠕虫病毒。 2 3 2 采用i d s 技术 i d s 主要用来检测d d o s 攻击和计算机蠕虫病毒。i d s 分为两种：基于特征 模型的i d s 和基于异常模型的i d s 。基于特征模型的i d s 通过分析已知计算机蠕 虫病毒的发病机制和特征，构建相应的数据模型的数据库。i d s 在所监控的网络 中收集计算机和网络活动的数据以及他们之自j 的连接，将这些数据构建成网络活 动行为的特征与数据库中的数据模型相匹配，检查计算机蠕虫病毒是否存在。这 种技术通过模型匹配对已知计算机蠕虫病毒能有效的防治，但是却不能探测和防 御新型的未知的计算机蠕虫病毒。另外，基于异常模型的i d s 通过监视不正常的 通信量变化探测新的攻击，这里的通信量的改变是指当前的通信量的度量值和它 正常条件下的通信量的阀值的差值。由于确定一个适当的包含所有正常通信因素 的阀值是相当的困难，因而基于异常模型的i d s 有较高的报错率。 一 2 3 3 采用s i 蛐i p + g r t g 技术 简单网络管理协议( s i m p l cn e t w o r km a n a g e m e n tp r o t o c 0 1 ) 是一种应用层协 议，是t c p i p 协议族的一部分，它使网络设备间能方便地交换管理信息。s n m p 能够让网络管理员管理网络的性能，发现和解决网络问题及进行网络的扩充。 m r t g ( m u l t i r o u t e r t r a f f i cg r a p h e r , m r t g ) 3 6 1 就是基于s n m p 的典型网络流量统 计分析工具。它耗用的系统资源很小，它通过s n m p 协议从设备得到其流量信 息，并将流量负载以包含j p e g 格式图形的h t m l 文档的方式显示给用户，以非 常直观的形式显示流量负载。当计算机蠕虫病毒爆发时，在m r t g 上可以直观 的看出网络流量的增加，结合m r t g 反馈的信息，网络管理者可以及时采取补 救措施，防止计算机蠕虫病毒造成更大的危害。该技术也是目前局域网管理中应 用最广泛的技术之一。 9 硕士论文第二章计算机蠕虫嫡毒的机制及防御技未 2 3 4 采用n e t f l o w 技术 由于现在计算机蠕虫病毒的传播速度越来越快，爆发周期越来越短，危害 也越来越大，因此，如何在计算机蠕虫病毒发作早期将其检测出来成了减轻计算 机蠕虫病毒危害的关键。通过对计算机蠕虫病毒的行为特征的分析，可以证明将 n e f f l o w 技术应用到计算机蠕虫病毒的早期检测上是一种可行的技术路线。 n e t f l o w 是c i s c o 公司在其l o s ( i n t e m e to p e r a t i n gs y s t e m ，网络操作系统) 交换 体系中引入的一种新的交换技术。n e f f l o w 服务可在最大限度减小对路由器交 换机性能影响的前提下提供详细的数据流统计信息作为其交换功能的一部分， 它能够提供包括用户、协议、端口和服务类型等统计信息。由于蠕虫传播过程中 会发起大量的扫描连接，通过工具统计分析n e t f l o w 数据流，可以很容易地发现 蠕虫的扫描行为，进而采取相应措施，隔断其感染途径。例如f l o w - t o o l s 、c f l o w d 工具。 2 3 5 其他技术 除了上述技术外，计算机蠕虫病毒的防范技术还很多。例如：美国安全专 家提议的基于c c d c l 3 7 1 ( c y b c rc e n t e r sf o rd i s e a s ec o n l x 0 1 ) 的蠕虫检测、防御和阻 断以及华盛顿大学应用研究室的j o h nw l o c k w o o d 等人提出的一种采用可编程 逻辑设备( p r o g r a m m a b l el o 西cd e v i c e s ) 对抗计算机蠕虫病毒的防范系统等。 2 4 本章小结 从计算机蠕虫病毒的发展来看，计算机蠕虫病毒的攻击和防御都在发展，未 来的计算机蠕虫病毒将会更智能化，复杂化，对网络的影响和危害将长期存在； 而计算机蠕虫病毒的防御却要相对困难，究其原因有以下几点：计算机蠕虫 病毒融合了计算机蠕虫和计算机病毒的技术，增加了计算机蠕虫病毒的复杂性， 因而增加了防御的难度；大部分计算机蠕虫病毒感染整个i n t e m e t 的时间不到 半个小时( 如：n i m d a ，s l a m m e r 等) ，在这么短的时间内，很难对一种未知计算 机蠕虫病毒做出正确探测和防御；计算机蠕虫病毒采用更高级的技术，增加 了计算机蠕虫病毒的智能性，使防御工作更加困难。要重点研究计算机蠕虫 病毒的早期探测技术，尽量减轻计算机蠕虫病毒对网络的危害。 计算机蠕虫病毒融合了很多高难度的技术和智能化的功能，因此计算机蠕虫 病毒的防御和对抗任重而道远。 1 0 硕士论文 第三章基于n c i f i o w 数据流的计算机蠕虫病毒探测分析 第三章基于n e t f l o w 数据流的计算机蠕虫病毒探测分析 目前，对校园网影响较大的异常流量有以下几种： ( 1 ) 计算机蠕虫病毒攻击 计算机蠕虫病毒攻击，利用网络服务、系统服务的漏洞或利用网络资源、系 统资源的有限性，再有就是利用网络协议和认证机制自身的不完善性，通过在短 时间内发动大规模网络攻击，消耗特定资源，实现拒绝服务攻击的攻击目标。因 此，在众多的网络安全威胁中，计算机蠕虫病毒攻击和分布式拒绝服务攻击是最 难以实现有针对性的主动防御的一类网络攻击 计算机蠕虫病毒特征：计算机蠕虫病毒攻击一般在流量、协议、攻击端口以 及攻击行为方面会具有一定的特征。通常计算机蠕虫病毒会在很短的时间内，发 送成千上万的包到一个大的i p 地址段中。如果计算机蠕虫病毒是通过1 p 进行传 播( 绝大部分蠕虫都是通过这种方式) ，在传播时，会发送大量的1 ps y n 3 8 】 包以查找其他主机上的脆弱性服务。一般来讲，计算机蠕虫病毒扫描计算机漏洞 主要是随机扫描和顺序扫描。随机扫描是指计算机蠕虫病毒随机选择一段i p 地址 进行主动探测，以试图发现可用漏洞；顺序扫描则是计算机蠕虫病毒在扫描一段 i p 地址时，i p 地址以递增或递减的方式进行。很明显，当一台感染计算机蠕虫病 毒的主机发起大量的连接以试图发现网络上有漏洞的主机时，其在路由器上表现 出来的最明显的特征是该主机地址对应大量不同的目标地址，换句话说，该主机 发出大量的数据包，而数据包一般都在1 0 0 字节以下。另外一个特征是，计算机 蠕虫病毒在扫描主机的时候，往往会扫描一段空的i p 地址，因此，一旦发现目标 地址是不合法的，就可以断定源地址是可疑的。这两个特征是鉴别计算机蠕虫病 毒最通用也是最简单的方法。 ( 2 ) 拒绝服务攻击( d o s ) d o s 3 9 1 的攻击方式有很多种。最基本的d o s 攻击就是利用合理的服务请求来 占用过多的服务资源，致使服务超载，无法响应其他的请求。这些服务资源包括 网络带宽，文件系统空间容量，开放的进程或者向内的连接。这种攻击会导致资 源的匮乏，使所有的资源变得非常渺小。 ( 3 ) 分布式拒绝服务攻击( d d o s ) d d o s l 4 0 攻击手段是在 粼d o s 攻击基础之上产生的一类新的攻击方式， 单一的d o s 攻击一般是采用一对一方式的，而d d o s 是利用更多的傀儡机来发起 进攻。被攻击主机上有大量等待的t c p 连接网络中充斥着大量的无用的数据包， 源地址为假造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯， 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请 硕士论文 第三章基于n m f l o w 数据流的计算机蠕虫病毒探测分析 求，使受害主机无法及时处理所有正常请求严重时会造成系统死机。 ( 4 ) 其他异常流量 网络中除了上诉主要异常流量外，还存在着其他影响力小的异常流量，如人 为地利用扫描软件对网络进行扫描，以实现某种目的。这些小型异常流量如果不 加以监控，也很容易使一些性能不高的的网络设备瘫痪。 通过乖 n e t f l o w 数据流加以分析，我们可以发现上述的攻击行为的行为特征。 因此，利用n e t f l o w 数据流可以很好地发现网络异常，本章主要介绍n e t f l o w 数据 流的相关知识及一些案例分析。 3 1n e t f l o w 数据流的概述 3 i 1 网络数据包的格式 通过t c p d u m p 【4 1 l 可以捕获网络上的原始数据包，要分析n e t f l o w 数据流， 首先要分析t c p i p 数据包的格式。图3 1 、图3 2 和表3 3 分别表示分析要用到的几 种主要的网络数据包格式。 4 位4 位百 8 位服务类型 版本部长度 ( t o s ) 1 6 位总长度( 字节数1 1 6 位标识i d 3 位标。占l1 3 位片偏移 8 位生存期f 1 1 l )8 位协议类琶1 6 位首部榆验和 3 2 位源l p 地址 3 2 位目的i p 地址 选项( 如果有l 数据 图3 - 1i p & 4 詹包格式 1 6 位源端口号l 啦目的端口号 3 2 位序列号 3 2 位确认号 4 位首部 保留 uar k xf rcssy【1 6 位窗口大小 长度( 和匣) nkn l 啦校验和 1 6 位紧急指针 可选项( 若有) 数据( 若肓) 图3 - 2t c p 数据包格式 硕七论文第三蕈摹于n c t f l o w 数据流的计算机蠕虫病毒探测分析 表3 - 3u d p 数据包格式 1 6 位潭端口号1 6 位目的端口号 1 6 位u d p 长度1 6 位u d p 校验和 u d p 数据( 若有) 3 1 2n e t f l o w 数据包格式 n e t f l o w 是一种数据交换方式，是c i s o a 发展的流量统计协议，其工作原理 是：n c t f l o w _ 乖1 用标准的交换模式处理数据流的第一个碑包数据，生成n e t f l o w 缓 存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的 访问控制等策略，n e t f l o w 缓存同时包含了随后数据流的统计信息。 一个n e t f l o w 流定义为在一个源i p 地址和目的i p 地址间传输的单向数据包 流，且所有数据包具有共同的传输层源、目的端口号。表3 4 展示了n e t f l o w 版本 5 的数据格式，表3 5 展示了一条- f l o w 数据流的详细记录 表3 4n e t f l o w 版本5 的数据格式 字节内容 描述 o 3s r c a d d r 源头的i p 地址 4 7d s t a d d r 目的地的口地址 8 1 l n e x t h o p 下一网络段路由器的口地址 1 2 1 5 m p ta n do u t p u t输入和输出接口的s n m p 索引 1 6 1 9d p k t s 该信息流中的数据包 2 0 2 3 d o c t e t s 在信息流的数据包中，第3 层( l a y e r3 ) 字节的总个数 2 4 2 7f i r s t 信息流开始时的s y s u p t i m e 2 8 - 3 1l a s t 信息流的最后一个数据包被接收时的s y s u p t i m e 3 2 3 5 s r e p o r ta n d t c p u d p 源头和目的地的端口号或等值物 d s t p o r t 3 6 3 9 p a d l ，t c p _ f l a g s , p 未使用的( 即内容为0 的) 字节、t c p 标志的c u m u l a t i v e r o l a n dt o so r 、i p 协议( 例如，6 = t c p ，1 7 = u d p ) 和m 服务类型 4 0 _ 4 3s f ca s a n d 源头和目的地的a s ，或者是最初的a s ，或者是同等的 d s ta sa s 4 4 4 8s r cm a s k , 源头和目的地的地址前缀的屏蔽位，p a d 2 是未用 ( 即 d s t m a s k , a n d内容为0 的) 字节 p a d 2 硕士论文 篷三章摹干n e t f l o w 数据流的计算机蠕虫病毒探测分析 表3 5 一条f l o w 汜录样本 i n d e x ：o x c l a 2 1 s t a r tt i m e ： l l ：2 9 ：2 22 0 0 5 - 7 - 9 r o u t e r ：2 0 2 1 9 7 7 2 4 0e n dt i m e ： l1 ：2 9 ：2 52 0 0 5 7 - 9 s r ci p ：2 0 2 1 9 7 7 2 1 4 9 p r o t o c o l ： 6 d s ti p ：2 0 2 1 9 7 7 2 2 4tos：0 x0 i n p u tifindex：8sicas：0 o u t p u ti f i n d e r , ： 5 5d s t a s ： 3 2 1 s r cp o r t ：1 2 0 4 3 s 1 cm 鹅k l e n ： 2 0 d s t p o r u8 0 d s tmasklell0 p k t s ： 6t c pf lags：0 xlb b y t e s ： 6 8 0 e n g i n et y p e 1 i pn e x t h o p ： 2 0 2 1 9 7 7 2 1 3 0engineid：0 通常我们关心的流记录分类依次由一个五元组( 即源地址、目的地址、源端 口、目标端口和协议类型) ，如表3 6 所示。通过分析数据流，检测出异常流量， 如本论文的案例分析。 表3 - 6n e t f l o w 数据流记录类别 3 2 获取n e t f l o w 数据流的的方法 3 2 1c 凡0 w d 首先介绍一下以c f l o w d l 4 2 1 为捕获n