（计算机应用技术专业论文）面向蠕虫的检测技术的研究(1).pdf

山东大学硕士学位论文 摘要 随着信息技术的迅速发展，特别是i n t e m e t 与i n t e m e t 应用的飞速发展，信息 共享、信息交换通过开放式网络形成一个方便快捷的信息传播平台，为计算机的 普及提供了有利的条件。同时，这也为信息安全带来了严峻的挑战，因此，出现 了各种各样的防御系统，如加密技术、防火墙技术等。通过对数据包进行过滤， 或者发现异常的网络行为，对网络或者主机进行保护。 恶意代码、特别是网络蠕虫的出现，以其潜伏性，自动传播性，主动攻击性 给网络安全提出了新的挑战。但不论是基于主机的入侵检测，还是基于网络的入 侵检测，不论是基于误用的入侵检测，还是基于异常的入侵检测。提取恶意代码 的特征是致关重要的一步。特别是多态蠕虫以及变形蠕虫的出现，能够对蠕虫的 特征进行混淆，使得提取特征更加困难。 本文按照不同的分类方法对入侵检测进行分类，并且分析了各种方法的优点 以及缺点。对蠕虫的功能结构，扫描策略以及传播模型进行了总结。利用协议分 析的方法提出了一种提取恶意代码特征的方法。这个方法不但能够提取恶意代码 特征，而且能够确定它触发了系统的哪个漏洞。最后，由于这个方案要对网络协 议进行分析，本文对网络协议自动分析进行了综述。 关键词：蠕虫；入侵检测；协议分析；协议状态机。 山东大学硕士学位论文 a b s t r a c t a l o n g 诵mt h ed e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y ，e s p e c i a l l ya p p l i c a t i o n s o fi n t e m e ta n di n t e m e t ，a nc o n v e n i e n c ea n dp r o m p ti n f o r m a t i o ns p r e a dp l a t f o r m ， w h i c hw a sf o r m e db ys h a r i n ga n de x c h a n g i n gi n f o r m a t i o nt h r o u g ho p e nn e t w o r k ， p r o v i d e da d v a n t a g e dc o n d i t i o nf o rc o m p u t e r s p r e v a l e n c e a tt h es a m et i m e ，t h o s e b r o u g h tf l i n t yc h a l l e n g ef o ri n f o r m a t i o ns e c u r i t y , s oa l lk i n d so fd e f e n s es y s t e m s a p p e a r e d , s u c ha se n c r y p t i n gt e c h n i q u e s ，f i r e w a l le t c u s i n gt h e s et e c h n o l o g y p r o t e c t e dt h en e ta n dt h eh o s tc o m p u t e rt h r o u g hp a c k e tf i l t e ro rf i n d i n gt h eu n n o r m a l a c t i o ni nt h ei n t e m e t m a l i c i o u sc o d ee s p e c i a l l yw o r m st a k en e wc h a l l e n g e st ot h en e t w o r ks e c u r i t y b e c a u s eo fi t sl a t e n t ，a u t o s p r e a d ，a c t i v ea t t a c k i t i sac u r c i a lt o g e n e r a t et h e s i g n a t u r e si nt h eh o s tb a s e di n t r u s i o nd e t e c t i o na n di nt h en e t w o r kb a s e di n t r u s i o n ，o r i nt h ea n o m a l yd e t e c t i o na n dm i s u s ed e t e c t i o n i np a r t i c u l a r , p o l y m o r p h i cw o r m s ，a s w e l la sm e t a m o r p h i cw o r l n sm a k e si td i f f i c u l tt oe x t r a c ts i g n a t u r e sb e c a u s eo ft h e c o d ec o n f u s i o n i nt h i sp a p e r ，i n t r u s i o nd e t e c t i o ni sc l a s s e da c c o r d i n gt od i f f e r e n tc l a s s i f i c a t i o n m e t h o d s ，a n dt h ea d v a n t a g ea n dd i s a d v a t a n g ei sd i s p l a y e d t h ew o r ms t r u c t u r e ，s c a n m e t h o da n dt h es p r e a dm o d e li ss u m m a r i z e d an e ws i g n a t u r eg e n e r a t i o nm e t h o d u s i n gp r o t o c o la n a l y s i si si n t r o d u c e t h i sm e t h o dn o to n l yg e n e r a t es i g n a t u r eb u ta l s o p r i c i s ef i l t e rw h i c hv u l n e r a b i l i t yi tu s e s a tl a s t ，t h ea u t o m a t ep r o t o c o la n a l y s i si s g i v e nb e c a u s et h ep r o t o c o la n a l y s i si su s e d k e yw o r d s ：w o r m s ：i n t r u s i o nd e t e c t i o n ；p r o t o c o la n a l y s i s ；p r o t o c o ls t a t e m a c h i n e i i 原创性声明和关于论文使用授权的说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究作出重要贡献的个人和集体，均已在文中以明确方式标明。本声明 的法律责任由本人承担。 论文作者签名：煮照刭日期：婴坠生苎 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学 校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分 内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段 保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：左! 造纠导师 山东大学硕士学位论文 1 1 论文研究背景与意义 第一章引言 i n t e r n e t 已经被应用于政治、经济、军事等各个领域，使国家的经济运行和 安全运作乃至人们的日常生活方式发生了巨大改变，对社会的发展和进步起着重 要的作用。根据中国互联网信息中心( c n n i c ) 2 0 0 7 年1 月2 3 日公布的中国互联网 发展状况统计报告显示，截至2 0 0 6 年底，我国上网用户总数为1 3 7 亿人，占全 国人口的1 0 5 ，与上一年同期相比，中国网民人数增加了2 6 0 0 万人，是历年来 网民增长最多的一年，增长率为2 3 4 ，c n 域名总数超过1 8 0 万，与2 0 0 5 年同期 相比，增长幅度达到6 4 4 。宽带上网的网民达到1 0 4 0 0 万人，占网民总数的7 5 9 。中国互联网目前已经进入宽带时期，在网络用户和网络资源持续增长的同时， 互联网的开放性和应用系统的复杂性带来的安全风险也随之增多，各种网络漏洞 的大量存在并不断攀升仍是网络安全的最大隐患，网络攻击行为也日趋复杂，各 种方法相互融合后的定向性和专业性攻击使网络安全防御更加困难。其中由于网 络信息的开放性，网络信息的安全性受到极大的威胁，在网络通信中，个人、单 位或国家的某些重要信息一旦被泄露，可能会带来巨大经济损失，甚至生命安全 受到威胁。网络安全成为信息时代人类共同面临的挑战。进入2 1 世纪以来，网络 和信息系统特别是互联网的安全面临着严峻的挑战，严重的网络安全事件层出不 穷。面对网络安全的严峻形势，必须采取有效的机制和策略来解决这个问题。 我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。 入侵检测系统( i d s ) 作为网络安全保障必不可少的一个环节，其中基于网络的入 侵检测系统( n i d s ) 由于其特殊的优势，其作用更加应该不可替代。然而，实际情 况中，n i d s 却并没有取得预想的成功。导致n i d s 得不到成功应用的原因，除了用 户对n i d s 没有正确认识和使用的关系外，n i d s 自身也存在严重的问题。首先，n i d s 产生大量的数据，导致用户被这些信息淹没，一个千兆网络环境下的n i d s 所产生 的数据，管理员很难及时处理过来，对于复杂环境下分布式部署的多个i d s ，其 产生的数据对管理员来说更是完全无能凭力；其次，n i d s 的误报率和漏报率也始 终偏离，导致用户对n i d s 所产生的数据信任降低。由于这些原因，使得n i d s 自身 山东大学硕士学位论文 的利用率本身就不高。n i d s 自身存在的这些问题，早已引起了关注，并展开了研 究。例如，对大量的报警数据应该如何更好的显示，让用户能够更加方便地浏览 数据或者抓住重点事件；或者通过改进算法降低系统的误报率和漏报率，或者找 到一个更好的平衡点等等。尽管这些研究尽管取得了很多成果，但是还是没有使 n i d s 从整体上得到改善，所以需要对n i d s 做进一步的研究。 目前，国内信息与网络安全的形势也非常严峻，有害信息、黑客攻击、病毒 危害、垃圾邮件、信息泄密一直困扰着网络用户和企业。在这种情况下，如何提 高网络的安全性和可靠性，如何保护信息资源的安全成为人们目前关心和研究的 主要课题。网络安全是一个系统的概念，有效的安全策略或方案的制定是网络信 息安全的首要目标。一个网络安全系统应该满足用户系统和数据的保密性、完整 性及可用性要求，设计安全措施来防范未经授权访问系统的资源和数据，以上是 当前网络安全领域的一个十分重要而迫切的问题。传统的安全技术虽然可以在一 定程度上有效地防范外来攻击者的破坏行为，但是对于授权用户滥用权限的行为 却无能为力，虽然可以通过防火墙的包过滤、应用层网关及虚拟网技术来防止许 多诸如协议漏洞、源路由、地址仿冒等多种攻击手段，但它不能对付层出不穷的 应用系统设计上的缺陷和通过加密通道所进行的攻击。因此，仅通过访问控制技 术、加密技术、数字签名技术和防火墙技术是远远不够的，需要一种及时发现并 报告系统的非授权访问或异常现象的技术，即入侵检测技术( i n t r u s i o n d e t e c t i o nt e c h n o l o g y ) 。入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ) 作为一 种重要的安全部件，是网络与信息安全防护体系的重要组成部分，是传统计算机 安全机制的重要补充。网络中发生的入侵检测事件，有很大一部分是来自网络内 部的行为。这些网络攻击的行为可能来自企业内部，也可能来自外部，是发自外 部的拒绝服务攻击或者是企业网络内部渗透的企图。入侵检测系统是对这些来自 网络内部和外部攻击进行检测和响应的主要措施，是一个完整的网络安全系统中 不可缺少的部分。自1 9 8 0 年被提出以来，入侵检测系统在2 0 多年间得到了较快的 发展。特别是近几年，由于非法入侵不断增多，网络与信息安全问题变得越来越 突出。入侵检测系统作为一种主动防御技术，越来越受到人们的关注。以入侵检 测技术为主的网络防御系统，在国外信息安全领域中己成为新的研究热点。研制 网络防御系统，开发国内自主产权的安全新产品，对我国加强网络安全建设，推 2 山东大学硕士学位论文 动政治、经济、贸易、军事等敏感领域在互联网的发展，都具有十分重要的意义。 此外，由于入侵检测是计算机科学的一门新兴领域，国外在这方面的研究资料与 经验也并不十分丰富，因此我国若能及早开展这方面的研究，缩短与国外领先科 技的差距，将是十分必要的。 1 2 本文的工作 本文对网络入侵检测系统进行了总体的介绍，介绍了他的一般结构，总的分 类，现在几种主流的检测方法。并对蠕虫的结构，扫描策略，传播模型进行了总 结。最后，给出了一种基于网络协议分析方法的蠕虫特征提取系统，并且综述了 现在网络协议自动分析的研究情况。 对于现在出现的越来越多的蠕虫，单一靠人手工提取其特征，不但容易出错， 而且是一项非常繁重劳累的工作，本文提出了一个自动产生蠕虫特征的方法，并 且实现其原型系统，这个方法对于大多数的蠕虫、恶意代码不但能够产生其特征， 而且能够判定出它是通过哪个漏洞来触发的。通过实例探测的方法使其产生的 特征更加准确。 1 3 本文的组织 本文的组织结构如下，第二章对入侵检测系统进行了介绍，各个部分的功能， 各种检测的分类分法以及它的优点，缺点，他们各自的特点。对现在网络入侵检 测系统存在的问题进行了分析。 第三章介绍了蠕虫的一般结构，与病毒之间的区别与联系，各部分的功能， 工作流程，扫描策略，传播模型等，以及他们各自的优点缺点。 第四章对现有的蠕虫检测技术，分被动扫描、主动扫描不同进行了总结。总 结了现有的检测算法几个大的分类，对常用的检测算法进行了介绍说明，并且对 当前入侵检测技术进行了分析。 第五章总结了特征提取的内容，从基于内容与基于行为的两个方面进行了总 结，并且提出了利用协议状态机通过协议的描述，状态的转移进行蠕虫特征的提 取，并且设计特征提取的原型系统。 ， 第六章是对协议分析的总结，由于本文采用的特征提取系统，只是对已知协 山东大学硕士学位论文 议格式描述的协议进行分析格式化。对于未知协议格式的描述，还没有办法，但 是网络上存在很多未知描述的协议，就算是已知的，在不同的环境下，也有不同 的形式。所以现在对协议格式的自动化分析也是一个热点。本文对现在主要的协 议格式分析作了总结比较。 4 山东大学硕士学位论文 第二章入侵检测技术介绍 2 1 入侵检测系统的组成 入侵检测系统( i d s ，i n s t r u s i o nd e t e c t i o ns y s t e m ) 用来识别针对计算机 系统和网络系统，或者更广泛意义上的信息系统的非法攻击，包括检测外界非法 入侵者的恶意代码攻击或者试探，以及内部合法用户超越使用权限的非法行动。 使用i d s 的目的各有不同。有的人是对法律方面的事务感兴趣，包括对入侵者的 跟踪、定位和起诉，而有些人使用i d s 是为了保护自己重要的计算资源。还有一 些使用者则对发现和纠正系统安全漏洞更加感兴趣。 2 1 1 入侵检测系统的组成部分 从功能逻辑上讲，入侵检测系统由探测器( s e n s o r ) 、分析器( a n a l y z e r ) 和 用户接口组成( u s e ri n t e r f a c e ) 组成。下面对这三大部分进行简要介绍。 1 ) 探测器( s e n s o r ) 探测器主要负责收集数据。探测器的输入数据流包括任何可能包含入侵行为 线索的系统数据，比如说网络数据包、日志文件和系统调用记录等。探测器将这 些数据收集起来，然后发送到分析器进行处理。 2 ) 分析器( a n a l y z e r ) 分析器又可称为检测引擎( d e t e c t i o ne n g i n e ) ，它负责从一个或多个探测器 处接受信息，并通过分析来确定是否发生了非法入侵活动。分析器组件的输出为 标识入侵行为是否发生的指示信号，例如一个警告信号。该指示信号中还包括相 关的证据信息。另外，分析器组件还能够提供关于可能的反应措施的相关信息。 3 ) 用户接口( u s e ri n t e r f a c e ) i d s 的用户接口使得用户易于观察系统的输入信号，并对系统行为进行控制。 在某些系统中，用户接口又可称为“管理器”、“控制器”、或者“控制台 等。 除了以上三个必要组件之外，某些i d s 可能还包括一个所谓的“蜜罐”( h o n e y p o t ) 诱饵机。该诱饵机被设计和配置成为具有明显的系统安全漏洞，并对攻击者明显 可见。诱饵机能够作为i d s 中一个专门提供给攻击者进行入侵的探测器来使用， 从而提供关于某次攻击行为发生过程的相关信息。 山东大学硕士学位论文 2 2 入侵检测的分类 入侵检测的分类主要有四种标准，它们分别是：分析方法( 检测方法) ，数据 来源，系统各模块的运行方式和时效性。 2 。2 1 按照分析方法对入侵检测进行分类 按照分析方法，入侵检测可以分为异常检测模型( a n o m a l yd e t e c t i o n ) 和误 用检测模型( m i s u s ed e t e c t i o n ) 两类。异常检测模型首先总结正常操作应该具有 的特征( 用户轮廓) ，当用户活动与正常行为有重大偏离时即被认为是入侵。因为 在异常检测中，不需要对每种入侵行为进行定义，因此能有效检测未知的入侵。 系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确， 异常检测会消耗更多的系统资源。异常检测的一个非常重要的特点是漏报率低， 但误报率高。误用检测模型收集非正常操作的行为特征，建立相关的特征库，当 监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。如 果入侵特征与正常的用户行为能匹配，则系统会发生误报；如果没有特征能与某 种新的攻击行为匹配，则系统会发生漏报。误用检测的特点是：误报率低，但漏 报率随之增加，并且攻击特征的细微变化，会使得检测无能为力。 2 2 2 按照数据来源对入侵检测进行分类 按照数据来源，入侵检测可以分为主机入侵检测( h i d s ) 、网络入侵检测( n i d s ) 和网络节点入侵检测( n n i d s ) 三类。 主机入侵检测是指，系统获取数据的依据是系统运行所在的主机，保护的目 标也是系统运行所在的主机。主机i d s 的特点是：视野较中、易于用户自定义、保 护更加周密、对网络流量不敏感。这种主机入侵检测安装于被保护的主机中主要 分析主机内部活动、系统日志和系统调用等，并进行文件的完整性检查。主机入 侵检测会占用一定的主机系统资源。 网络入侵检测是指，系统获取的数据是网络传输的数据包，保护的是网络的 运行。网络i d s 的特点是：侦测速度快、隐蔽性好、视野更宽、需要的监测器较少、 占用的系统资源较少。这种网络入侵检测安装在被保护的网段中，在网卡的混杂 6 山东大学硕士学位论文 模式下进行监听并分析网段中所有的数据包，从而进行实时检测和响应。 网络入侵检测与操作系统的类型无关性，并且不会增加网络中主机的负载。 网络节点入侵检测也称为s t a c k - b a s e di d s ，安装在网络节点的主机中。这种网 络节点入侵检测结合了网络入侵检测( n i d s ) 和主机入侵检测( h i d s ) 的技术，适合 于高速交换环境和加密数据。 2 3 入侵检测系统的分类和技术特点 虽然对于入侵检测的方法有多种，但采用的方法和技术通常由误用检测( 也 称为特征检测，m i s u s ed e t e c t i o no rs i g n a t u r ed e t e c t i o n ) 和异常检测( a n o m a l y d e t e c t i o n ) 两大类组成。 1 基于特征的入侵检测系统( s i g n a t u r e b a s ei d s ) ，必须从网络数据包中 提取出特定模式。如果发现这些模式中有的与已知模式相匹配，检测系统就能检 测出攻击的发生。也就是在网络数据包或高层会话数据中查找已知的特征，从而 判断是否存在攻击行为。这里指的特征主要包括两种情况：基于协议的特定参数 值和数据载荷中的特定字符串。前一种特征这里称为数字特征，即网络数据包在 进行协议分析后的特征参数值满足某条入侵规则或者超出了正常范围。字符串模 式匹配是指攻击行为特征即一个特定的字符串，在应用层会话数据中查找该字符 串。字符串搜索算法有很多种，包括单模式匹配算法和多模式匹配算法。单模式 匹配算法中最著名的两个是k m p 算法( k n u t h m o r r i s p r a t t ) 矛e i b m 算法 ( b o y e r m o o r e ) 。这两个算法在最坏情况下均具有线性的搜索时间。但是在实用上， k m p 算法并不比最简单的c 库函数s 仃s 仃( ) 快多少，而b m 算法则往往比脚算 法快上3 5 倍。还有很多改进的算法存在，比如b o y e r - m o o r e h o r s p o o l ( b m h ) 算法等。在实际应用中，特征值一般都比较多，所以大部分的i d s 采用多模式匹 配算法来进行匹配检测。多模式匹配算法有a h o c o r a s i c k ( a c ) 算法、m o d i f l e d w u - m a n b e r ( m w m ) 算法、a h o c o r a s i c kb o y e r - m o o r e ( a cb 蛐算法等。另外e p m a r k a t o s 、s a n t o n a t o s 、m p o l y c h r o n a k i s 等人提出了一种非常适合于n i d s 的 字符串匹配算法一e ) 【b 算法，他们的实验数据证明了该算法有很高的效率，尤其 是在最短特征字符串长度较小的情况下。特征匹配只能鉴别已知的模式，基于特 征的系统不能检测新型的攻击。同时，对特征的错误理解会产生误报。特征可以 7 山东大学硕士学位论文 通过多种方法取得，从手工提取特征到用传感器进行自动训练或学习取得。因为 一个特征是从一种已知的攻击抽象而来，对基于特征的测试器来说相对容易鉴别 出攻击的类型。当前基于特征的入侵检测分析工具在特定情形下比较有用，但因 不能测试新型的攻击模式，所以不能单独提供一个完全的入侵检测解决方案。 2 基于异常的入侵检测系统( a n o m a l y b a s e di d s ) ，是基于以下思想：正 常工作下的系统有一些度量基准，例如c p u 利用率、磁盘活动、用户注册、文 件活动等等。一旦偏离这一基准检测系统就被触发。异常检测即通过对系统异常 行为的检测来发现入侵。异常检测的关键问题在于正常使用模式的建立，以及如 何利用该模式对当前系统或用户行为进行比较，从而判断出与正常模式的偏离程 度。这里的“模式”通常使用一组系统的度量基准来定义，每个度量都对应于一 个门限值。异常检测的主要优点是能识别新的攻击。但正常的操作产生的变化会 导致误报，而入侵行为表现较正常时会导致漏报，而且系统很难确定攻击的类型。 其他检测技术：基于神经网络的攻击检测技术、基于专家系统的攻击检测技术、 基于模型推理的攻击检测技术等，都可以规类到误用检测和异常检测两大类中。 这两种方法的共同特点是取得特征库，对于误用的检测，是取得恶意代码的 共同特征，对基于异常的检测，是要提取用户正常的行为特征。 2 4 目前d s 存在的问题及分析 目前n i d s 被人们讨论的最多，它代表了i d s 的发展方向。而事实上入侵检 测系统与理想状况还有非常大的差距。n i d s 的问题主要表现为在高带宽网络环 境中性能普遍不足【l 】。随着大量的高速网络技术如a t m 、千兆以太网、g 比特光 纤网等在近几年内不断出现，各种宽带接入手段层出不穷，其中很多已经得到了 广泛的应用。而n i d s 在高速网络环境下数据处理和分析能力会显著降低，这无 疑是d s 一个致命伤。现在市场上的n i d s 产品大多采用的是特征检测技术，而 且是专门为小于1 0 0 m 的共享式网络环境设计的。这种产品已经不能很好地适应 交换技术和高带宽网络环境的发展，在大流量冲击、多分片的情况下都可能造 成i d s 的瘫痪或丢包，形成d o s 攻击。n i d s 的制造商曾考虑过负载平衡，但负载 平衡只能是一个辅助手段，因为一方面开销加大，另一方面其稳定性并不可靠。 在最近的由m i e r c o n 进行的实验室评测中，i n t r u s i o n 的s e c u r e n e tg i g a b i t 在6 9 0 8 6 山东大学硕士学位论文 m b i t s e c 的数据流量时可以检测到9 8 的攻击，在7 8 9 6 m b i t s e c 的数据流量时检 测到8 8 的攻击，而在9 8 6 9 4 m b i t s e c 的流量下只能检测4 4 的攻击，另两家参 评的g i g a b i t i d s ( 具有1 0 0 0 m b p s 以_ e 的处理能力的i d s ) 制造商i s s 和e n t e r a s y s n e t w o r k s 也有同样的不足。目前，i s s 声称他们的产品已经可以工作在6 0 0m b i t s e e 的网络环境下，并正在研制新型的高速传感器以期望突破这些限制。但是 这离g i g a b i ti d s 的目标还有不小的差距。目前国内市场已经有几款基于千兆以太 网环境的入侵检测系列的产品，但是其性能指标还远未成熟，广泛宣传的千i d s 必然存在着鱼目混珠。 目前，n i d s 的性能不足主要集中在两个方面，即检测的准确性和有效性【2 1 。 对检测准确性而言，首先是误报率高的问题。实际上，很少有人知道网络的真正 状况以至于对安装n i d s 后出现的大量警报觉得难以置信。由于攻击检测是以在 网络数据中发现已知攻击特征为依据而并非空穴来风，故误报的产生大致有三种 情况： 第一，由于特征提取或者协议分析不全面，导致特征查找具有盲目性，过于 简单地做出判断。有的d s 引擎只在单个数据包中进行字符串搜索而不进行协议 分析，这种问题比较突出。 第二，规则设置过于宽泛，可疑网络行为或攻击尝试导致大量警报产生。如 t e l n e t 登陆失败或在u n i x 平台p i n g 其他主机都可以引发大量报警，针对 n e t s c a p ew e bs e l v e r 的攻击对于i i sw e bs e r v e r 可能根本没有效果，但由于设置了 相应的规则也能产生警报，这些警报只是值得重视的网络事件，可供网络管理员 参考或在需要的时候做事后分析，本身并不能反映这些警报都是真有危险的攻击 行为在发生。 第三，应用环境不匹配。如有的d s 通过收集网上出现的a r p 应答用于d 欺骗攻击的检测，但由于使用者没能配置正确的网关地址信息，导致出现大量网 关进行口欺骗的警报。可见，这三种情况下都增加了警报总量，造成误报率升 高，但除去第一种情况属于检测技术不成熟外，其他两种情况主要是配置问题。 部分警报不但不是误报，对于有经验的管理员或者分析工具来说还具有积极的意 义。衡量n i d s 检测准确性的另一个关键因素，就是它的漏报率。随着高速网技 术的不断发展，网络数据的传输速度与传统的i d s 的检测速度之间的差距越来越 9 山东大学硕士学位论文 大，经常在高速网络环境下出现分组丢失的问题。现在出现了基于分布式网络结 点结构的i d s 。它将网络传感器和d s 功能分布到网络上的多台机器上，每个网 络传感器只检查经过本地机器的i p 分组。从而一定程度解决了高速网络中入侵检 测性能不高的问题。然而这种方法并不能从根本上解决高速网络环境下数据的获 取、传输及检测的问题，而且代价较大，也会极大地影响系统的性能，不过这是 目前n i d s 的一个发展方向。所以说网络数据的传输速度与传统的i d s 的检测速度 的不匹配仍是造成i d s 检测时丢包率高的一个主要因素。针对该问题，一种可行 的办法，即提高入侵检测系统的硬件平台性能。实际上，漏报率和误报率是一对 难以彻底克服的矛盾，很难把误报率和漏报率同时降低到满意的程度。如何协调 漏报率和误报率的关系来满足不同的要求是研究n i d s 发展方向必须考虑重要因 素。实际上，由于不同层次的使用者和网络环境对n d s 的要求不同，需要不同 的应用方式和技术来满足他们。所以，n i d s 的发展不但要在技术上继续加强和 完善，还应开展不同应用模式的研究，才能更好的满足需求。 当前的n i d s 另一个弱点就是有效性的问题。当n i d s 发现网络攻击后会告知 管理员或执行预定义的动作，但是不管管理员动作有多快，攻击可能已经早就完 成了，尤其是通过网络配置防火墙来阻断攻击，会导致延迟时间更长。利用n i d s 防范攻击比较被动是由n i d s 的应用方式决定的。n i d s 并接到网络，对攻击行为 不能施加决定性影响，但可以收集较多的安全事件供分析。如果串接到网络中， n i d s 可以及时中止攻击行为，但要求检测引擎具有更高的检测准确性。n i d s 的 有效性问题是前述漏报与误报矛盾冲突的直接反映。值得关注的是，学术界和普 通用户对n i d s 的定位一直有很大差异：学术界认为n i d s 是一个可疑事件收集 器，供精通网络安全知识和技术的管理员进行分析，从而发现真正的攻击行为或 安全隐患；而普通用户则希望n i d s 是一个全自动“傻瓜型”攻击防范工具，能 够显著降低网络攻击带来的风险。 1 0 山东大学硕士学位论文 图2 - 1 通用入侵检测模型 山东大学硕士学位论文 3 1 背景介绍 第三章蠕虫的研究 蠕虫这个生物学名词在1 9 8 2 年由x e r o x 队r c 的j o h n f s h o e h 等人最早引 入计算机领域，目的是做分布式计算的模型试验。在文章中给出了计算机蠕虫的 两个最基本特征：可以从一台计算机移动到另一台计算机和可以自我复制。近年 来，国外政府、研究机构都非常重视网络蠕虫研究，u cb e r k e l e y 和s o u t h e m c a l i f o r m i a 大学建立网络攻击测试床，用于蠕虫、病毒等方面的研究；2 0 0 3 年 1 0 月，网络蠕虫专题研讨会在w a s h i n g t o nd c 召开，讨论了i n t e r n e t 蠕虫的发 展历程及未来趋势、计算机蠕虫的分类、蠕虫流量仿真、蠕虫预警系统设计与测 试、蠕虫的传播仿真、蠕虫模型剖析及隔离技术等。在国内，网络蠕虫的研制方 面，据文献龇4 1 分析，c o d er e d 、l i o n 、a d o r e 、n i m d a 及w 3 2 n a c h i w o r m 等对 互联网影响较大的蠕虫【4 1 5 1 吲都是国内安全专业人士编写的，网络蠕虫研究日益 得到重视，政府及安全公司都在积极开展网络蠕虫的防治工作。 k i e n z l e 和e l d e r 在文献【7 1 中，从破坏性，网络传播性、主动性和独立性四 个方面对网络蠕虫进行了定义：网络蠕虫是通过网络传播，无须用户干预能够独 立或者依赖文件共享主动攻击的恶意代码。根据传播策略，网络蠕虫分为3 类： e m i a l 蠕虫、文件共享蠕虫和传统蠕虫。郑辉在文献【3 】中认为蠕虫具有主动攻击 性、行踪隐蔽、利用漏洞、造成网络拥塞、降低系统性能、产生安全隐患，反复 性和破坏性等特征，并给出相应定义：“网络蠕虫是无须计算机使用者干预即可 运行的独立程序，它通过不停地获得网络中存在漏洞的计算机上的部分或者全部 控制权来进行传播”。该定义包含了k i e n z l e 和e l d e r 定义的后两类蠕虫，不包 括e m a il 蠕虫。在2 0 0 3 年1 0 月的世界蠕虫会议上s c h e c h t e r 和m i c h a e ld s m i t h 提出了一类新型蠕虫，即a c c e s sf o rs a l e 蠕虫【引，这类蠕虫除了上述定义的特 征之外，还具备身份认证的特征。 综合上述分析，本文对网络蠕虫进行重新定义，认为网络蠕虫是一种智能化、 自动化、综合网络攻击、密码学和计算机病毒技术，无须用户干预能够独立或者 依赖文件共享即可运行的攻击程序或恶意代码，它会扫描和攻击网络是存在系统 山东大学硕士学位论文 漏洞的节点主机，通过局域网或者国际互联网从一个节点传播到另一个节点。该 定义体现了新一代网络蠕虫智能化、自动化和高技术化的特征，是对网络蠕虫定 义的扩展。 从传播方式来看，网络蠕虫可分为两类：一种是以邮件附件的形式传播的， 当无意打开这种邮件，蠕虫被激活，继而感染电脑系统，并向该系统邮件地址簿 中每一个地址发出附带蠕虫程序的电子邮件。从一定意义上讲这就是蠕虫病毒， 称这为被动性蠕虫，以爱虫病毒，求职信病毒，欢乐时光为例：另一种是传播不 需要借助其他媒介，感染的对象是存在安全漏洞的电脑。入侵某个系统之后，会 以受害系统为跳板，扫描探测更多存在同样漏洞的电脑，并自动进行攻击，随即 蔓延扩充。它具有主动性、隐蔽性以及运行的独立性，称为主动性蠕虫。以红色 代码、尼姆达、s q l 蠕虫为例。 在这两类中，第一类的传播方式比较复杂和多样，更多的是利用社会工程学 对用户进行欺骗和诱使；第二类具有很大的主动攻击性，而且爆发也有一定的突 然性。 3 1 1 蠕虫、病毒之间的区别与联系 s p a f f o r d 为了区别蠕虫和病毒，对病毒重新进行了定义，他认为“计算机病 毒是一段代码，能将自身加到其它程序包括操作系统上，它不能独立运行，需要 由它的宿主程序运行来激活它【9 】。计算机蠕虫和计算机病毒都具有传染性和复 制功能，导致二者之间是非常难区分的，尤其是近年来，越来越多的病毒采取了 部分蠕虫的技术，另一方面具有破坏性的蠕虫也采取了部分病毒的技术，更加剧 了这种情况。但对二者进行区分还是非常必要的，可以找出有针对性的对抗方案， 同时也为蠕虫的进一步研究奠定初步的理论基础。 从表格3 一l 中可以看出，是主动性蠕虫与病毒之间的区别。主动性蠕虫主要 利用计算机系统漏洞进行传染，搜索到网络中存在漏洞的计算机后主动进行攻 击，在传染的过程中，与计算机操作者是否进行操作无关，从而与使用者的计算 机知识水平无关。另外，蠕虫的定义中强调了自身副本的完整性和独立性，这也 是区分蠕虫和病毒的重要因素，可以通过简单的观察攻击程序是否存在载体来区 分蠕虫与病毒。 山东大学硕士学位论文 网络蠕虫具有很大的危害性，增加网络负载压力，蠕虫的扫描传输占据大量 的网络带宽，对网络设备( r o u t e r ，v p n 等) 效率消耗极大，7 台感染w o r m d v i d r 蠕虫的节点，就能造成某大学网络出口瘫痪；增加主机负载压力，网络蠕虫扫描 发送大量信息消耗本机感染机器以及邮件服务器的资源，造成主机c p u 、内存、 网络连接、网络带宽的大量消耗；威胁数据和系统安全，开设后门，破坏数据等。 i n t e r n e t 蠕虫通过复制自身在互联网环境下进行传播，传染目标是互联网内的 所有计算机。局域网的共享文件夹、电子邮件e - m a i l 、网络中的恶意网页、大 量存在着漏洞的服务器等都成为蠕虫传播的良好途径。可以预见，未来能给网络 带来重大灾难的主要是网络蠕虫。 表3 - 1 ：蠕虫、病毒之间的区别 病毒蠕虫 存在形式寄生独立个体 复制机制插入到宿主程序( 文件) 中自身的拷贝 传染机制宿主程序运行系统存在漏洞 搜索机制针对本地文件针对网络上的其它计算机 触发传染计算机使用者程序自身 影响重点 文件系统网络性能、系统性能 计算机使用者角色病毒传播中的关键环节无关 防治措施从宿主文件中摘除为系统打补丁 对抗主体计算机使用者、反病毒厂商系统提供商、网络管理人员 3 1 2 基本概念和技术 网络蠕虫的编写非常复杂，采用很多高难度的技术，实现非常多的功能，涉 及到一些基本的概念，具体解释如下： 漏洞( y u l n e r a b i l i t y ) 指任何软件、硬件在设计或者实现中存在的缺陷，这 些缺陷在满足一定的条件时，可导致信息泄露、资源失控或服务失效。s a n s ( 系 统管理、网络和安全学会) 在2 0 0 0 年公布的i n t e r n e t 是最危险的安全威胁中把 漏洞归为1 0 大类。 攻击( e x p l o i t ) 指可以用来体现v u l n e r a b il i t y 和程序代码，通过执行这些 程序代码，可以展示出“漏洞”，即出现信息泄露、资源失控或服务失效这些结 果。在一些邮件列表当中，常常在公布漏洞的同时，给出一个简单的e x p l o i t ， 另外，在很多黑客的站点上，保存着比较完整的e x p l o i t s 数据库，一方面帮助 系统管理人员了解漏洞的原因和原理，另一方面常常被攻击者所滥用，大部分的 1 4 山东大学硕士学位论文 蠕虫都是通过对已有e x p l o i t s 进行修改各组装编写而成的。 缓冲区溢出( b u f f e ro v e r f l o w ) 的核心技术是溢出点的定位。据统计， i n t e r n e t 上8 0 的攻击采用了缓冲区溢出的技术。缓冲区溢出的目的是改变程序 的流程，一般是使用缓冲区溢出后执行攻击者的攻击代码，改变程序流程的方式 有三种：一是a c t i v a t i o nr e c o r d s ，即设法覆盖调用返回指针，大部分堆栈溢 出攻击都是这种类型：二是f u n c t i o np o i n t e r s ，即设法覆盖函数调用指针；三 是l o n g j m pb u f f e r s ，即针对c 系统调用s e tj m p l o n gi m p 这两个检测点回调 函数调用的缓冲区溢出。m o r r i s 蠕虫、c o d e r e d 系列蠕虫和n i m d a 蠕虫等人部分 攻击w i n d o w s 平台服务程序的蠕虫都利用了缓冲区溢出攻击技术。 s h e l l c o d e 是一段代码，当它执行以后，会为攻击者提供一个交互式的命令 解释管道。通过这个管道，让命令解释器执行攻击都发出的指令。s h e l1 c o d e 是 缓冲区溢攻击时攻击者放在缓冲区中的攻击代码，随着缓冲区溢出攻击的目的多 样化，s h e l l c o d e 也不再仅仅限于提供命令解释管道的功能，成为一个泛指缓冲 区溢出攻击代码的名词。采用缓冲区溢出攻击技术的蠕虫的s h e l l c o d e 一般就是 蠕虫自身的副本或副本的传送程序。、 3 2 网络蠕虫的工作流程及行为特征 3 2 1 网络蠕虫的工作流程 网络蠕虫可以分为扫描、利用漏洞攻击、现场处理、复制四部分。被动性蠕 虫缺少扫描这一环节，直接通过人的参与利用漏洞攻击有漏洞的主机。主动性蠕 虫则随机产生一个口地址，判断对应此p 地址的机器是否可被感染，利用扫描 找到有漏洞的计算机系统后进行攻击；攻击部分完成蠕虫主体的迁移工作；进入 感染机器后，做现场处理工作，该部分包括隐藏、信息收集等；最后复制自身， 生成多个融本。如图3 1 ： 山东大学硕士学位论文 3 2 2 网络蠕虫的行为特征 图3 - ! 网络蠕虫的工作方式 通过对网络蠕虫的整个工作流程进行分析，可以归纳得出网络蠕虫的行为特 征。 主动攻击：当蠕虫被释放后，搜索漏洞，利用搜索结果攻击系统，复制副本， 整个流程全由蠕虫自身主动完成，在本质上已经演变为黑客入侵的自动化工具： 利用漏洞：计算机系统存在漏洞是蠕虫传播的前提，利用这些漏洞，获得被 攻击计算机系统的相应权限，完成后继的复制和传播过程。漏洞产生的原因有操 作系统本身问题、应用程序问题、网络管理员的配置问题，正是产生原因的复杂 性从而导致面对蠕虫的防不胜防；造成网络拥塞：蠕虫通过大面积的搜索来进行 传播，判断计算机是否存在，特定应用服务是否存在，漏洞是否存在，蠕虫副本 在不同机器之间传递，向随机目标发出的攻击数据等都不可避免地产生大量的网 络数据流量，导致整个网络瘫痪，造成经济损失； 降低系统性能：蠕虫入侵到计算机系统后，会在被感染的计算机上产生自己 的多个副本每个副本启动搜索程序寻找新的攻击目标，大量的进程会耗费的资 源，导致系统性能下降，对网络服务器的影响尤其明显； 产生安全隐患：大部分蠕虫会搜集、扩散、暴露系统敏感信息，并在系统中 留下后门，会导致未来的安全隐患； 反复性：即使清除了蠕虫在文件系统中留下的任何痕迹，如没有修补计算机 系统漏洞，重新接入到网络中的计算机还是会被重新感染； 破坏性：从蠕虫发展过程来看，越来越多的蠕虫开始包含恶意代码，破坏被 攻击的计算机系统，而且造成的经济损失数目越来越大。 1 6 山东大学硕士学位论文 3 3 网络蠕虫的功能结构 j o s en a z a r i o 等人在文献【1 0 1 中提出了网络蠕虫的一个功能结构框架，将网络 蠕虫的功能模块分为6 个部分：搜索模块、特殊攻