（计算机应用技术专业论文）蠕虫传播模型的研究.pdf

东北大学硕士学位论文 蠕虫传播模型的研究 摘要 网络技术已经渗入人们生活中的方方面面，不断地改变着大家的生活。与此同 时，网络面临的安全问题也与日俱增。正是由于网络安全机制的不健全，蠕虫便有 了可乘之机。蠕虫以其多样化的传播途径，使它具有传播速度快，发生频率高，覆 盖面广以及造成的危害大等特点。 本文是针对网络蠕虫的一篇研究性论文。它主要研究和探讨了蠕虫的相关知识 和蠕虫的传播模型两个方面的知识。 蠕虫的相关知识部分首先介绍了蠕虫的发展历史以及当前的研究现状。然后， 从多个角度探讨蠕虫的基本知识：蠕虫的概念，蠕虫与病毒的区别，蠕虫的组成， 网络蠕虫的扫描策略，蠕虫的分类以及蠕虫的攻击技术。 在蠕虫的传播模型部分我们首先介绍了简单传染病模型，并将其拓展到多个交 互系统中。但是由于蠕虫自身的特点，简单传染病模型不能完全照搬地刻画蠕虫的 传播。因此，我们应用简单传染病模型的思想对理想蠕虫，均匀扫描蠕虫，本地优 先扫描蠕虫，顺序扫描蠕虫以及选择性攻击蠕虫进行了建模分析，最后得出了理想 蠕虫和均匀扫描的4 种蠕虫的模型。我们根据良性蠕虫的特点，应用简单传染病模 型的思想对良性蠕虫进行了建模，并且提出了良性蠕虫的传播模型。依据被动蠕虫 的特点，我们应用传染病模型的思想对被动蠕虫进行了建模，并且提出了被动蠕虫 的传播模型。最后，我们研究了蠕虫的离散的传播模型，并且提出了可重复感染的 蠕虫离散的传播模型。以上的蠕虫传播模型可以深刻的揭示蠕虫的传播规律，并且 为人们构建预警系统提供理论依据。 最后，我们仿真了简单传染病模型，良性蠕虫模型，被动蠕虫和可重复感染的 离散模型。通过简单传染病模型仿真的结果，我们总结了蠕虫的传播特点；通过对 良性蠕虫的仿真，我们总结了蠕虫与良性蠕虫相互作用过程中的6 个重要的因素。 通过对被动蠕虫的仿真，我们总结了蠕虫与被动蠕虫相互作用过程中的4 个重要的 因素；我们对可重复感染的离散模型也进行了仿真。 关键词：蠕虫；蠕虫扫描；简单传染病模型；良性蠕虫；被动蠕虫： 东北大学硕士学位论文a b s t r a c t t h er e a s e a r c ho ft h ew o r m p r o p a g a t i o n m o d e l a b s t r a c t t h en e t w o r kh a sc o m ei n t oo u rl i f ed e e p l ya n dc h a n g e do u rl i f ec o n s t a n t l y a tt h e s a m et i m e ，t h es e c u r i t yp r o b l e m so ft h en e t w o r kg r o wd a yb yd a y b e c a u s eo ft h eu n s a f e s e c u r i t ym e c h a n i s mo ft h en e t w o r k ，t h e r ei sa no p p o r t u n i t yf o rw o m st os p r e a d d u et o v a r i o u sm e t h o d so fp r o p a g a t i o n ，t h ew o r mh a sc h a r a c t e r i s t i c so f r a p i ds p e e d o f p r o p a g a t i o n ，h i g hf r e q u e n c y , l a r g ec o v e r a g e ，b a dd a m a g ea n ds oo n t h i sp a p e ri sar e s e a r c ht h e s i st ot h ew o r m i tm a i n l yc a r r i e so nd e e p l yr e s e a r c ht o t h er e l a t e dk n o w l e d g eo f t h ew o f n la n dt h ew o r m p r o p a g a t i o nm o d e l i nt h ep a r to ft h er e l a t e dk n o w l e d g eo faw o r m ，w ef i r s t l yi n t r o d u c et h eh i s t o r yo f t h ew o r ma n dt h ec u r r e n tr e s e a r c hs i t u a t i o no ft h ew o r m t h e nw ed i s c u s st h eb a s i c k n o w l e d g eo f t h ew o r mf r o md i f f e r e n tv i e w s ：t h ed e f i n i t i o no f t h ew o r m ，t h ed i f f e r e n c e b e t w e e nt h ew o r ma n dv i r u s ，t h ec o m p o n e n t so ft h ew o r m ，s c a nt a c t i c so ft h en e t w o r k w o r n l ，t h et a x o n o m yo ft h ew o r ma n dt h ea t t a c k i n gs k i l lo fw o r m s i nt h ep a r to ft h ew o r l r lp r o p a g a t i o nm o d e l ，w ef i r s t l yi n t r o d u c et h e s i m p l e i n f e c f i o u sm o d e l t h e nw ee x t e n dt h em o d e lt om u l t i p l ei n t e r a c t i o ns y s t e m s h o w e v e r b e c a u s eo ft h ec h a r a c t e r i s t i c so fw o r m st h e m s e l v e s ，w ec a n tc o p yt h es i m p l ei n f e c t i o u s m o d e lt od e s c r i b et h es p r e a do fw o r m s t h e r e f o r e ，w ea p p l yt h ei d e a so ft h es i m p l e i n f e c t i o u sm o d e lt om o d e lt h ei d e a lw o r n l ，t h ee v e ns c a nw o r m ，t h el o c a lp r e f e r e n c e w o r m ，t h es e q u e n t i a ls c a nw o r ma n dt h es e l e c t i v ea t t a c k i n gw o r m ，a n dp r o v i d et h em o d e l o ft h ei d e a lw o r ma n df o u rk i n d so ft h ee v e ns c a nw o r n l a c c o r d i n gt ot h ef e a t u r eo f e t h i c a lw o r m s ，w ea p p l yt h ei d e a so ft h e s i m p l ei n f e c t i o u sm o d e lt om o d e le t h i c a l w 0 1 t 1 1 s ，a n dp r o p o s et h em o d e lo fe t h i c a lw o r m s a c c o r d i n gt ot h ef e a t u r eo fp a s s i v e w o r m s ，w ea p p l yt h ei d e a so ft h ei n f e c t i o u s t h em o d e lo fp a s s i v ew o r m s f i n a l l y ，w e m o d e lt om o d e le t h i c a lw o r m s ，a n dp r o p o s e r e s e a r c ht h ed i s c r e t em o d e lo ft h ew o r l r l p r o p a g a t i o n ，a n dp r o v i d et h ed i s c r e t em o d e lo fw o r m sw h i c hc o u l dr e i n f e c th o s t s t h e m o d e la b o v ec a nr e v e a l1 a w so ft h ew o r mp r o p a g a t i o n ，a n d p r o v i d ep e o p l e w i t h - i i i - 东北大学硕士学位论文 a b s t r a c t a c a d e m i ce v i d e n c eo fc o n s t r u c t i n gw a r n i n gs y s t e m f i n a l l y ，w es i m u l a t et h es i m p l ei n f e c t i o u sm o d e l ，t h em o d e lo fe t h i c a lw o r m s ，t h e m o d e lo f p a s s i v ew o r m sa n dt h ed i s c r e t em o d e lo f w o r m sw h i c hc o u l dr e - i n f e c th o s t s w e s u m m a r i z et h ef e a t u r eo f t h e w o r mp r o p a g a t i o nb yt h er e s u l t so fs i m u l a t i o no f t h es i m p l e i n f e c t i o u sm o d e l ；w es u m m a r i z es i xi m p o r t a n tf a c t o r si nt h ei n t e r a c t i o np r o c e s so fw o r m s a n de t h i c a lw o r m sb yt h er e s u l t so fs i m u l a t i o no ft h ee t h i c a lw o r mm o d e l ；w es u m m a r i z e f o u ri m p o r t a n tf a c t o r si nt h ei n t e r a c t i o np r o c e s so fw o r m sa n dp a s s i v ew o r m sb yt h e r e s u l t so fs i m u l a t i o no ft h ep a s s i v ew o r mm o d e l ；w es i m u l a t et h ed i s c r e t em o d e lo f w o r m sw h i c hc o u l dr e i n f e c th o s t s t o o k e yw o r d s ：w o r m ；w o r ms c a n ；s i m p l ei n f e c t i o u sm o d e l ；e t h i c a lw o r m ；p a s s i v e w o r m i v 独创性声明 本人声明，所呈交的学位论文是在导师的指导下完成的。论文中取得 的研究成果除加以标注和致谢的地方外，不包含其他人己经发表或撰写过 的研究成果，也不包括本人为获得其他学位而使用过的材料。与我一同工 作的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表示谢 意。 学位论文作者签名：周翰逊 日 期：如d 占年2 月a 泪 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学位论 文的规定：即学校有权保留并向国家有关部门或机构送交论文的复印件和 磁盘，允许论文被查阅和借阅。本人同意东北大学可以将学位论文的全部 或部分内容编入有关数据库进行检索、交流。 ( 如作者和导师不同意网上交流，请在下方签名；否则视为同意。) 学位论文作者签名： 签字日期： 导师签名： 签字日期： 东北大学硕士学位论文 第一章绪论 第一章绪论 1 1 研究背景 如今的网络恶意攻击，诸如网络病毒和互联网蠕虫的四处蔓延已使得现在的安 全防范措施捉襟见肘。这些网络恶意攻击是危险的，因为它们在网络层传播，无法 通过传统的病毒码文件方法来检测，且通常是利用操作系统和软件程序的漏洞发起 攻击。虽然厂商们针对这些漏洞发布了补丁程序，但大多数公司通常都无法真正应 用这些补丁，因为他们要花很多时间来从众多的设备中确定哪些设备需要打补丁， 有时还会怀疑厂商提供的补丁是否可靠。此外，这些网络恶意数据包在传播过程中 要使用网络资源，从而造成网络带宽严重拥塞，降低了企业的生产效率。 现有的安全措施无法有效抵御当前的网络恶意攻击，因为它们只能对危胁进行 监控而无法及时提供可靠的信息来帮助i t 管理人员防御或遏制攻击，或在安全威 胁渗透进入网络后采取及时的行动。i t 管理人员在遏制这些攻击时遇到的共同问 题包括： ( 1 )没有足够的信息来确定相关的漏洞打补丁的优先顺序 ( 2 )仅有与病毒爆发相关的少量警告或没有预先警告 ( 3 )无法隔离未安装补丁程序和或被感染的机器以防止病毒传播 ( 4 )很难精确定位感染源并管理整个公司网络的远程清除工作 ( 5 )无法对不符合安全策略要求和己感染设备的网络访问进行控制 据不完全统计，蠕虫病毒每年给互联网产业造成的直接损失就可达数十亿美元， 间接经济损失则还要比这高得多。目前，传播最快的蠕虫十五分钟就感染了整个互联 网，可见蠕虫的破坏力。因此，可以肯定的说，只要有网络存在就会陪伴着蠕虫，人 类和蠕虫的斗争将是一个漫长的过程。只要认识到这一点，我们才能开展蠕虫的预防 和研究工作，将蠕虫带来的危害降低到最小。 1 2 病毒发展历史 病毒是冯诺伊曼提出的一种可能性，它最早是在科幻小说出现的。1 9 7 5 年， 美国科普作家约翰布鲁勒尔写了一本名为“震荡波骑士”的书，在该书中，作者第一 次描述了信息社会，而且计算机作为正义和邪恶双方斗争的工具，使之成为当年最 1 东北大学硕士学位论文 第一章绪论 畅销书之一。更进一步，在1 9 7 7 年夏天，托马斯捷瑞安的科幻小说“p - l 的春天”描 写了一种可以在计算机上互相传染的病毒，病毒最后控制了7 台计算机，造成了一 场灾难。 人们常说科幻小说是科学发展的前奏，2 0 世纪7 0 年代病毒只是出现在科幻小 说中，可是到了8 0 年代，病毒变成了现实。 就在1 9 8 3 年1 1 月3 日，一名博士第一次研制出一种在运行过程中可以自我复 制的破坏程序，伦支德勒曼将它命名为计算机病毒，并在每周一次的计算机安全讨 论会上正式提出，8 小时后专家们在计算机系统上运行，第一个病毒实验成功，一 周后又获准进行5 个实验的演示，从而在实验上验证了计算机病毒的存在。 1 9 8 6 年初，在巴基斯坦两兄弟巴锡特和阿姆杰德经营着一款i b m p c 机及其 兼容机的小商店。他们编写了p 病毒。他们设计这种病毒的最初目的是防盗版，但 是没有想到一年内病毒流传到了世界各地。 1 9 8 8 年3 月2 日，一种苹果机的病毒发作。受感染的苹果机停止工作，只显示 “向所有苹果电脑的使用者宣市和平的信息”。 1 9 8 8 年1 1 月2 1 日，美国六千多台计算机被病毒感染，造成1 千台不能正常运 行。这是一次非常典型的计算机病毒入侵计算机网络的事件，美国政府立即作出反 应，同时成立了计算机应急行动小组。这次“蠕虫病毒”事件，给计算机技术的发展 罩上了一层阴影。 蠕虫病毒是k 3 英国康乃尔入学研究生莫里斯编写的【l 】，当年才2 3 岁。虽然并 无恶意，但在当时，“蠕虫”在i n t e m e t 上大肆传染，遭受攻击的包括5 个计算机中 心和1 2 个地区节点，连接着政府、大学、研究所和拥有政府合同的2 5 0 台计算机。 这次病毒事件，计算机系统直接经济损失达9 千万美元。罗伯特莫里斯正是利用系 统存在的弱点而设计了该病毒程序。 1 3 蠕虫发展历史 由于网络在2 0 世纪9 0 年代还没有深入千家万户，因此，蠕虫还没有引起人们 的注意。但是步入2 1 世纪后，蠕虫便甚嚣尘上。 2 0 0 0 年5 月4 日，l o v el e t t e r 蠕虫爆发，这个名为”我爱你”的病毒是通过 m i c r o s o f to u t l o o k 电子邮件系统传播的，邮件的主题为”il o v ey o u ”，并包含一个 附件。一旦在m i c r o s o f to u t l o o k 里打开这个邮件，系统就会自动复制并向地址簿中 的所有邮件电址发送这个病毒。它可以改写本地及网络硬盘上面的某些文件。用户 机器染毒以后，邮件系统将会变慢，并可能导致整个网络系统崩溃。 2 东北大学硕士学位论文 第一章绪论 ”爱虫”病毒的袭击对象并不是普通的计算机用户，而是那些具有高价值i t 资源 的电脑系统：美国国防部的多个安全部门、中央情报局、英国国会等政府机构及多 个跨国公司的电子邮件系统遭到袭击。 2 0 0 1 年7 月1 8 日，c o d e r e d 蠕虫【2 1 爆发，c o d e r e d 利用微软i n d e xs e r v e r2 0 和i n d e x i n gs e r v i c e 中存在的安全漏洞通过因特网蔓延， i n d e xs e r v e r 和i n d e x i n g s e r v i c e 是分别安装在i i s 5 0 ( w i n d o w s 2 0 0 0 ) 及i i s 4 0 ( n t 4 o ) 上的系统服务。阻塞网络 c o d e r e d 能够自己生成一个随机i p 地址列表作为入侵对象，然后依次扫描这些目标 地址是否是在运行存在安全漏洞的系统，如果是的话，c o d e r e d 就会尝试着通过 8 0 端口利用i s a p i 扩展中的一个存在安全隐患的缓冲区入侵到系统中。过多的扫描 动作会造成网络阻塞。它不同于以往的文件型病毒和引导型病毒，可存在于内存， 传染时不通过文件这一常规载体，直接从一台电脑内存到另一台电脑内存。更改网 站c o d e r e d 会检查被感染的系统是否使用美国英语，如果是的话，蠕虫就会在入侵 系统两个小时后( 这段时间被用来保证蠕虫能够有时间向其它网站传播而不被用户 立即察觉) 将用户的网页篡改。以上的修改将会保持1 0 个小时，之后网站将会自动 恢复正常服务。 2 0 0 1 年9 月1 8 日，n i m d a 蠕虫1 3 1 被发现，这是一个乱发邮件的蠕虫，它可以 通过网络共享进行传播，利用w e bf o l d e rt r a n s v e r s a l ( 同时被蠕虫3 2 c o d e b l u e - - 蓝 色代码”利用) 和c o n t e n t - t y p es p o o f i n g 漏洞，该蠕虫还试图创建网络共享，检查系 统中是否存在蠕虫w 3 2 c o d e r e d c 安装的木马。邮件的附件名不断变化，甚至使用 i eh t m l 文件的图标来迷惑人。该蠕虫利用j a v a s c r i p t 脚本语言编写，修改在本地驱 动器上的h t m ，h t m l ，和a s p 文件，产生r e a d m e e m l ，通过这个，病毒被i e 和o u t l o o k e x p r e s s 加载产生。该文件将这个蠕虫作为一个附件，因此就可能不需要拆开附件或 运行这个附件就可以被执行。因为看不到，普通用户也无法防范。蠕虫创建的邮件 指定了内容，类型为可执行的a u d i o x w a d ，这样当邮件被访问，附件便可被执行。 当被感染，蠕虫会用j a v a s c r i p t 脚本添加到h t m l 文档中，这样当一个被感染的 h t m l 文件被访问，系统将被感染。一旦系统被感染，它将继续通过w e b 感染其他 系统，这样就会创建很多端口的扫描，从而造成网络的拥挤。蠕虫将自身复制到 w i n d o w ss y s t e m 目录中，蠕虫同时替换文件r i c h e d 2 0 d l l ，该文件是一个合法的 w i n d o w s 动态连接库，被其他一些应用软件使用( 如w o r d ) ，通过替换该文件为蠕 虫代码，每次当w o r d 被执行时，该蠕虫同时被触发。 从2 0 0 3 年1 月2 4 日晚蠕虫病毒开始发作直到星期二的3 天多时间里，s l a m m e r 【4 1 进入了s i e b e l 内部网络并且造成通讯堵塞。s q ls l a m m e r 蠕虫病毒只有3 7 6 字节， 3 东北大学硕士学位论文 第一章绪论 比红色代码4 k b ( 4 0 9 6 字节) 和尼姆达6 0 k b ( 6 1 4 4 0 字节) 小的多。它利用一个 微软六个月前就已经宣布并且可以打补丁的漏洞，通过自我繁殖使得计算机间无法 通讯。它体积4 , n 仅需使用一个数据包就可以发送自身所有代码，数据包中s l a m m e r 载入内存后计算机就受到了病毒感染。 这使得s l a m m e r 到目前为止是传播速度最快的蠕虫病毒，在加州圣地亚哥大学， 劳伦斯伯克利国家实验室和s i l i c o nd e f e n s e ( 提供安全顾问工作) 的一份联合报告 中指出，在它发作的头1 0 分钟里就感染了百分之九十的易攻击服务器。红色代码与 之相比首先需要找寻易感染的服务器，然后再发送自身的一个拷贝。红色代码每3 7 分钟感染的服务器加倍，而s l a m m e r 只需要8 5 秒钟。在2 0 0 1 年7 月感染了将近 4 0 0 0 0 0 台计算机，两个月后尼姆达又席卷了全球。 2 0 0 3 年7 月1 6 日微软公布了m s 0 3 0 2 6m i c r o s o f tw i n d o w sd c o mr p c 接口远 程缓冲区溢出漏洞。该漏洞影响w i n d o w s2 0 0 0 、w i n d o w sx p 、w i n d o w s2 0 0 3 系统， 微软同时发布了m s 0 6 0 2 6 补丁用于修补该漏洞。在微软发布该漏洞后网络上有零 星的恶意攻击者利用该漏洞进行入侵。接着2 0 0 3 年8 月1 1 日爆发了利用上述 w i n d o w s 漏洞的“冲击波蠕虫1 5 1 ( m s b l a s t ) ”。2 0 0 3 年8 月1 8 日，出现了个利用 同样原理进行蔓延的“冲击波清除者蠕虫”，该蠕虫专门清除原来的冲击波蠕虫，然 而这个蠕虫大量消耗了网络带宽，导致互联网持续三个多月的性能显著下降。蠕虫 爆发后全球w i n d o w s 用户开始安装m s 0 6 0 2 6 补丁修补该漏洞、网络运营商开始设 法阻止蠕虫蔓延、杀毒厂商加入蠕虫特征进行查杀直到2 0 0 4 年1 月蠕虫传播才 开始明显被遏制，估计全球可能有1 0 0 0 多万台主机受到感染。 2 0 0 4 年1 月2 7 日和2 8 日，网络蠕虫“m y d o o m ”及其变种“m y d o o m b ”相继开始 在互联网上迅速传播。2 月2 日上午9 ：0 0 ，c n c e r t c c 已经抽样监测到发送带蠕 虫的邮件1 1 7 0 多万次。估计，m y d o o m 带来4 0 亿美元的损失。它大量发送病毒邮 件，浪费网络和系统资源；大量病毒垃圾邮件可能造成中小型邮件服务器极不稳定， 甚致崩溃的现象：自动从网络中下载后门木马，并立即执行。m y d o o m o 是一种经 电子邮件广泛传播的病毒，它可利用自身s m t p 引擎创建邮件信息。该病毒从被感 染机器上获取邮件地址，并把自身发送到所获取的“寄件人”地址里。附件可能是有 多个后缀的e x e 文件或z i p 文件。该病毒还可以终止安全程序的运行。该病毒主要 从被感染机器上获取电子邮件地址。 以上只是简单地回顾了一下从第一个蠕虫出现至今蠕虫发展的历史，并选择其 中具有代表意义的蠕虫加以简单介绍。最近几年，随着信息交流方式的便捷，越来 越多的蠕虫编写知识为更多的黑客所掌握，蠕虫编写技术也随之不断提高，新的蠕 一 东北大学硕士学位论文 第一章绪论 虫将会更加频繁地出现在互联网中。 1 4 课题背景 网络蠕虫呈现出传播速度空前、数量与种类剧增、全球性暴发、攻击途径多样 化、以利益获取为目的、造成损失具有灾难性等突出特点，使杀毒软件面临着严峻 的挑战。传统的基于特征值扫描法已经不能满足蠕虫检测的需求，因此我们要跳出 传统思路，尽快研制以行为自动监控、行为自动分析、行为自动诊断为新思路的主 动防御型产品，从根本上克服杀毒软件的重大缺陷，建立主动防御为主、结合现有 反病毒技术的综合防范体系，实现反病毒技术的革命性飞跃和反病毒产业的升级。 这是全球反病毒领域共同面临的巨大挑战，对解决信息安全急迫性的问题也具有极 为现实的意义。 为了满足产业的需要，目前迫切需要成熟的蠕虫检测方面技术以及研究成果 东软网络安全事业部为了迎合产业的需求，也准备对蠕虫的检测技术进行研发。本 文则在该背景下进行的。然而，为了更好的研究蠕虫检测技术，我们需要认识蠕虫 的基本规律以及传播模型，本文则是关于蠕虫传播模型的研究性论文。认识蠕虫的 传播规律可以让我们在研究蠕虫的检测技术时有的放矢。 s p a f f o r d 首次对m o r r i s 蠕虫的功能结构和工作机制进行了剖析 1 1 u cb e r k e l e y 的n i c h o l a scw e a v e r 对网络蠕虫的快速扫描策略进行了分析研究，并实现了w a r h o l 试验蠕虫，理论推测该蠕虫能在3 0 分钟内感染整个互联网 6 - s 在传播模型”“方 面，i b m 的k e p h a r t ，w h i t e 和c h e s s 在1 9 9 1 年1 9 9 3 年对病毒传播模型进行了研 究，在此基础上，邹长春等人以c o d e r e d 为例，讨论了基于微分方程的双因素蠕虫 传播模型1 z e s h e n gc h e n 等人对蠕虫进行分析后，给出了蠕虫的离散传播模型 a a w p 模型”“。 本文则基于传染病模型，提出了几种不同扫描策略的蠕虫模型。并且提出了良 性蠕虫模型以及被动蠕虫模型。最后，对z e s h e n gc h e n 的a a w p 模型进行了扩充， 提出了可重复感染模型。 近年来，国外政府、研究机构都非常重视网络蠕虫研究，美国政府近期投入5 4 6 万美元给u cb e r k e l e y 和s o u t h e r nc a l i f o r n i a 大学建立网络攻击测试床，用于蠕虫 1 ”、病毒等方面的研究，测试床设备多达千余台主机【1 “。2 0 0 5 年1 0 月，网络蠕 虫专题研讨会在g e o r g em a s o n 大学召开，讨论了最新的蠕虫情况，蠕虫的检测以及 蠕虫的监视等问题。 在国内，网络蠕虫研究日益得到重视，政府及安全公司都在积极开展网络蠕虫 s 一 东北大学硕士学位论文第一章绪论 虫将会更加频繁地出现在互联网中。 1 4 课题背景 网络蠕虫呈现出传播速度空前、数量与种类剧增、全球性暴发、攻击途径多样 化、以利益获取为目的、造成损失具有灾难性等突出特点，使杀毒软件面临着严峻 的挑战。传统的基于特征值扫描法已经不能满足蠕虫检测的需求，因此我们要跳出 传统思路，尽快研制以行为自动监控、行为自动分析、行为自动诊断为新思路的主 动防御型产品，从根本上克服杀毒软件的重人缺陷，建立主动防御为主、结台现有 反病毒技术的综合防范体系，实现反病毒技术的革命性飞跃和反病毒产业的升级。 这是全球反病毒领域共同面临的巨大挑战，对解决信息安全急迫性的问题也具有极 为现实的意义。 为了满足产业的需要，目前迫切需要成熟的蠕虫检测方面技术以及研究成果 东软网络安全事业部为r 迎合产业的需求，也准备对蠕虫的检测技术进行研发。本 文则在该背景下进行的。然而，为了更好的研究蠕虫检测技术，我们需要认识蠕虫 的基本规律以及传播模型，本文则是关于蠕虫传播模型的研究性论文。认识蠕虫的 传播规律可以让我们在研究蠕虫的检测技术时有的放矢。 s p a f f o r d 首次对m o r r i s 蠕虫的功能结构和工作机制进行了剖析i 1 ，u cb e r k l e y 的n i c h o l a scw e a v e r j 网络蠕虫的快速扫描策略进行了分析研究，并实现了w a r h o l 试验蠕虫。理论推测该蠕虫能在3 0 分钟内感染整个互联网 6 - a 在传播模型”。1 2 1 方 面，i b m 的k e p h a r t ，w h i t e 和c h e s s 在1 9 9 1 年1 9 9 3 年对病毒传播模型进行了研 究，在此基础上，邹欧春等人以c o d e r e d 为例讨论了基于微分方程的双因素蠕虫 传播模型”“z e s h e n gc h e n 等人对蠕虫进行分析后，给出了蠕虫的离散传播模型 a a w p 模型”“。 本文则基于传染病模型，提出了几种不同扫描策略的蠕虫模型。并且提出了良 性蠕虫模型以及被动蠕虫模型。最后，对z e s h e n gc h e n 的a a w p 模型进行了扩充， 提出了可重复感染模型。 近年来，国外政府、研究机构都非常重视网络蠕虫研究，美国政府近期投入5 4 6 万美元给i i cb e r k e l e y 和s o u t h e r nc a l i f o r n i a 大学建立网络攻击测试床，用于蠕虫 ”、病毒等方面的研究，测试床设备多达千余台主机。2 0 0 5 年1 0 月，网络蠕 虫专题研讨会在g e o r g e m a s o n 大学召开，讨论了最新的蠕虫情况，蠕虫的捡测以及 蠕虫的监视等问题。 在国内，网络蠕虫研究日益得到重视，政府及安全公司都在积极开展网络蠕虫 在国内，网络蠕虫研究日益得到重视，政府及安全公司都在积极开展网络蠕虫 一 东北大学硕士学位论文 第一章绪论 的防治工作。在网络蠕虫的研制方面，据分析即1 ”，c o d e r e d ，l i o n ，a d o r e ，n i m d a 及w 3 2 n a c h i w o r m 等对互联网影响较大的蠕虫都是国内安全专业人士编写的。 1 5 论文的组织结构 本文第一章回顾了蠕虫的发展历史，并且概述了蠕虫研究的现状。第二章主要 叙述蠕虫的基础知识，包括蠕虫和病毒的区别，蠕虫的扫描策略，蠕虫的构成，蠕 虫的分类，蠕虫的攻击过程以及蠕虫的攻击手段等。第三章对蠕虫进行建模。我们 首先将简单传染病模型向多个系统进行扩充，然后利用简单传染病模型的思想分析 了多种扫描策略蠕虫的模型。我们基于简单传染病模型对良性蠕虫进行了建模，然 后，我们基于简单传染病模型对被动蠕虫进行了建模。最后，我们提出了可重复感 染蠕虫的离散传播模型。第四章我们仿真了简单传染病模型，良性蠕虫模型，被动 蠕虫和可重复感染的离散模型。并且通过仿真的结果总结了蠕虫与良性蠕虫，以及 蠕虫与被动蠕虫相互作用过程中的重要的影响因素。第五章结束语对本文进行了总 结以及未来的展望。 东北大学硕士学位论文第二章蠕虫的相关研究 第二章蠕虫的相关研究 目前，我们了解了蠕虫和病毒的历史，然而我们并不了解蠕虫究竟是什么。在 这一章中我们将从蠕虫的定义，蠕虫和病毒的区别，蠕虫的组成，蠕虫的扫描策略 以及蠕虫的分类全方位多层次来阐述蠕虫。 2 1 蠕虫的定义 网络蠕虫强调自身的主动性和独立性。k i e n z l e 和e l d e r 从破坏性、网络传播、 主动攻击和独立性4 个方面对网络蠕虫进行了定义：网络蠕虫是通过网络传播，无须 用户干预能够独立地或者依赖文件共享主动攻击的恶意代码。根据传播策略。郑辉 认为 1 7 1 蠕虫具有主动攻击、行踪隐蔽、利用漏洞、造成网络拥塞、降低系统性能、 产生安全隐患、反复性和破坏性等特征，并给出相应的定义：“网络蠕虫是无须计算 机使用者干预即可运行的独立程序，它通过不停地获得网络中存在漏洞的计算机上 的部分或全部控制权来进行传播”。该定义包含了k i e n z l e 和e l d e r 定义的后两类蠕 虫，不包括e m a i l 蠕虫 1 9 1 。 综合上述分析，我们认为“网络蠕虫是一种智能化、自动化，综合网络攻击、密 码学和计算机病毒技术，不需要计算机使用者干预即可运行的攻击程序或代码，它 会扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者国际互联网从一个 节点传播到另外一个节点”，该定义体现了新一代网络蠕虫智能化、自动化和高技术 化的特征【1 9 】。 2 2 病毒的定义 f r e dc o h e n 在1 9 8 4 年给出的计算机病毒的定义是：计算机病毒是一种程序，它 可以感染其它程序，感染的方式为在被感染程序中加入计算机病毒的一个副本，这 个副本可能是在原病毒基础上演变过来的1 。( ap r o g r a mt h a tc a ni n f e c to t h e r p r o g r a m sb ym o d i f y i n gt h e mt oi n c l u d eap o s s i b l ye v o l v e dc o p yo fi t s e l f ) 1 9 8 8 年m o r r i s 蠕虫爆发后，e u g e n eh s p a f f o r d 为了区分蠕虫和病毒，将病毒 含义作了进一步的解释：“计算机病毒是一段代码，能把自身加到其它程序包括操作 系统上。它不能独立运行，需要由它的宿主程序运行来激活它。”( v i r u si sa p i e c eo f c o d et h a ta d d si t s e l ft oo t h e rp r o g r a m s ， i n e l u d i n go p e r a t i n gs y s t e m s i tc a n n o tr u n 东北大学硕士学位论文 第二章蠕虫的相关研究 i n d e p e n d e n t l ya n di tr e q u i r e st h a ti t s 。h o s t p r o g r a mb er u n t oa c t i v a t ei t - ) 2 3 蠕虫与病毒的区别 计算机病毒主要攻击的是文件系统，在其传染的过程中，计算机使用者是传染 的触发者，是传染的关键环节，使用者的计算机知识水平的高低常常决定了病毒所 能造成的破坏程度。而蠕虫主要是利用计算机系统漏洞( v u l n e r a b i l i t y ) 进行传染， 搜索到网络中存在漏洞的计算机后主动进行攻击，在传染的过程中，与计算机操作 者是否进行操作无关，从而与使用者的计算机知识水平无关。 另外，蠕虫的定义中强调了自身副本的完整性和独立性，这也是区分蠕虫和病毒 的重要因素。可以通过简单的观察攻击程序是否存在载体来区分蠕虫与病毒。 目前很多破坏性很强的病毒利用了部分网络功能，例如以信件作为病毒的载体， 或感染w i n d o w s 系统的网络邻居共享中的文件。通过分析可以知道，w i n d o w s 系统 的网络邻居共享本质上是本地文件系统的一种扩展，对网络邻居共享文件的攻击不 能等同与对计算机系统的攻击。而利用信件作为宿主的病毒同样不具备独立运行的 能力。不能简单的把利用了部分网络功能的病毒统统称为蠕虫或蠕虫病毒，因为它 们不具备上面提到的蠕虫的基本特征。表2 1 列出了蠕虫和病毒的主要区别。 表2 1 蠕虫与病毒的特征对比 t a b l e2 1c o m p a r a t i o no f t h ec h a r a c t e r i s t i c so f w o r ma n dv i r u s 2 4 蠕虫的组成 蠕虫各个部分就像导弹一样，因此我们在这里将蠕虫类比成导弹，这样会更容 易读者理解：此外，蠕虫可以作为军事武器和恐怖武器，因此这是我们将其类比成 导弹的更深层次的内涵，其结构组成如图2 1 。 东北大学硕士学位论文第二章蠕虫的相关研究 2 4 1 弹头( w a r h e a d ) 弹头，它一般是利用目标主机的一些漏洞闯入主机的一段代码。利用获得的安 全漏洞建立传播途径。由于他是蠕虫攻击主机的最有杀伤力的模块，因此我们将其 类比成导弹的弹头。该模块在攻击方法上是开放的，可扩充的。它一般利用的方法 有： ( 1 ) 溢出攻击 ( 2 ) 文件共享 ( 3 ) e m a i l ( 4 ) 其他的一些误配置 图2 1 蠕虫的组成 f i g 2 1c o m p o n e n t so f t h ew o r m 2 4 2 传播引擎( p r o p a g a t i o ne n g i n e ) 传播引擎，负责将蠕虫剩下的代码传给目标主机。可以采用各种形式生成各种 形态的蠕虫副本，在不同主机问完成蠕虫副本传递。例如，n i m d a 会生成多种文件 格式和名称的蠕虫副本；w 3 2 n a c h i w o r m 利用系统程序( 例如t f t p ) 来完成推进模 块的功能等等。 当然，相当一部分主机的w a r h e a d 融a t p r o p a g a t i o ne n g i n e 部分( 如文件共享和 e m a i l ) 。对于溢出和误配置的蠕虫，w a r h e a d 只是打开了一扇门，需要传播引擎配 合完成攻击。 该模块常利用的协议有：t r i p ，f t p ，h t t p 和s m b 。这种传输过程就像一个虫子咬 掉苹果的一个口，然后慢慢的爬进去一样。 9 东北大学硕士学位论文第二章蠕虫的相关研究 2 4 3 目标选择算法( t a r g e ts e l e c t i o na l g o r i t h m ) 该模块决定采用何种搜索算法对本地或者目标网络进行信息搜集，内容包括本 机系统信息、用户信息、邮件列表、对本机的信任或授权的主机、本机所处网络的 拓扑结构、边界路由信息等等，这些信息可以单独使用或被其他个体共享。 2 4 4 扫描探测引擎( s c a n n i n ge n g i n e ) 完成对特定主机的脆弱性检测，决定采用何种攻击渗透方式。 2 4 5 有效负载( p a y l o a d ) p a y l o a d 是对除以上功能模块以外的其他模块的归纳或预测，主要可以有如下功 能构成：实体隐藏功能，包括对蠕虫各个实体组成部分的隐藏、变形、加密以及进 程的隐藏，主要提高蠕虫的生存能力。宿主破坏功能，可以用于摧毁或破坏被感染 主机，破坏网络正常运行，在被感染主机上留下后门等。信息通信功能，该功能能 使蠕虫间、蠕虫同黑客之间进行交流，这是未来蠕虫发展的重点；利用通信功能，蠕 虫间可以共享某些信息，使蠕虫的编写者更好地控制蠕虫行为。远程控制功能，控 制是调整蠕虫行为，控制被感染主机，执行蠕虫编写者下达的指令。自动升级功能， 该功能可以使蠕虫编写者随时更新其他部分的功能，从而实现不同的攻击目的。此 外，很多的蠕虫编写者都利用蠕虫的分布式特性，完成d d o s 攻击，这种攻击会对攻 击目标造成灾难性的打击。 2 5 网络蠕虫的扫描策略 蠕虫利用系统漏洞进行传播首先要进行主机探测i c m p p i n g 包和t c ps y n ， f i n ，r s t 及a c k 包均可用来进行探测。良好的扫描策略能够加速蠕虫传播，理想 化的扫描策略能够使蠕虫在最短时间内找到互联网上全部可以感染的主机。按照蠕 虫对目标地址空间的选择方式进行分类，扫描策略包括：选择性随机扫描、直线扫 描、基于目标列表的扫描、分治扫描、基于路由的扫描、基于d n s 扫描等f 1 9 j 。 2 5 1 随机扫描( r a n d o ms c a n ) 所谓随机扫描是感染蠕虫的计算机在寻找新的攻击目标时不知道哪些计算机 系统有漏洞，随机地选择网上计算机进行扫描，所以扫描的目标为i p v 4 所有地址空 间。c o d e r e d 蠕虫和s l a m m e r 蠕虫都是采用随机扫描的方法2 ”1 ，一般情况下，随机 一1 0 东北大学硕士学位论文 第二章蠕虫的相关研究 扫描由于扫描地址空间大，传播速度较慢。但是s l a m m e r 蠕虫传播非常快，主要因 为它采用u d p l 4 3 4 端口的非连接的扫描，而且采用了大量线程的扫描方式，使得其 扫描主要受带宽的限制。 2 5 2 直线扫描( s e q u e n t i a ls c a n ) 顺序扫描是指被感染主机上蠕虫会随机选择一个c 类网络地址进行传播。根据 本地优先原则，蠕