（计算机应用技术专业论文）基于蜜罐技术下的本地蠕虫检测和防御策略研究.pdf

摘要 摘要 随着i n t e m e t 应用的逐渐扩大，网络创造了越来越多的经济效益，也承载了更多的 社会价值，随之而来的是越来越猛的网络攻击和网络犯罪。面对技术不断翻新、不断增 强的攻击，计算机网络安全就更加前所未有的紧迫和重要。但由于设计的原因t c p i p 网络协议本身存在的安全缺陷和软件系统的漏洞给攻击者以可乘之机，也给网络安全研 究提出了一个挑战。 近年来，国内外政府、研究机构都非常重视网络蠕虫研究以及相关的防御技术的研 究。网络蠕虫成为恶意代码研究中的首要课题。网络蠕虫是一种可以独立运行且可以进 行自我复制传播的程序，它的危害性非常大，每次爆发都给社会带来了极大的经济损失。 目前网络蠕虫的发展呈现出速度更快、目的性更强和技术更先进的特点。本文介绍了蠕 虫的工作流程。分析得出了蠕虫的实体结构，同时抽象出了蠕虫的统一功能结构模型。 并对网络蠕虫涉及的一些关键技术进行研究，包括蠕虫传播策略、蠕虫攻击手段、蠕虫 的生存技术和选择性攻击技术四个方面。 全文共分五章，第一章是绪论介绍了蠕虫的研究现状，研究的背景，目标以及意义， 并概述了相关研究情况。第二章对蠕虫各方面进行了研究，包括蠕虫的各种概念，蠕虫 的扫描策略，蠕虫的分类，典型蠕虫的攻击过程，网络蠕虫传播模型以及当前蠕虫检 测的主要方法及各类方法的评价。第三章对蜜罐各方面进行了研究，包括蜜罐的概念， 蜜罐的各种分类方法，当前的蜜罐技术的主要研究热点。第四章根据目前反蠕虫技术始 终滞后于蠕虫爆发的现状，阐述了主动防御的必要。随后介绍了实时监控系统的相关内 容与技术，并提出了系统方案，设计了各个模块，实现一个本地化网络蠕虫预警原型。 第五章给出了系统的仿真环境以及系统的测试过程和结果的分析，在总结中叙述了本系 统的不足和对未来进一步研究的展望。 关键词：网络安全；蜜罐技术；蠕虫；入侵检测 人连交通大学1 ：学硕十学位论文 a b s t r a c t w i t ht h ew i d ea p p l i c a t i o n so ft h ei n t e m e t ，n e t w o r kt oc r e a t em o r ea n dm o r ee c o n o m i c b e n e f i t sa n da s s u m em o r es o c i a lv a l u e ，f o l l o w e db ym o r ea n dm o r ef i e r c ea t t a c k sa n dt h e n e t w o r ko fc y b e rc r i m e i nt h ef a c eo ft e c h n o l o g yr e n o v a t i o n , t h ee v e r - i n c r e a s i n ga t t a c k so n c o m p u t e rn e t w o r ks e c u r i t ye v e rm o r eu r g e n ta n di m p o r t a n t h o w e v e r ，d u et ot h er e a s o n sf o r t h ed e s i g no ft c p i pn e t w o r kp r o t o c o li n h e r e n ts e c u r i t yf l a w sa n dl o o p h o l e si nt h es o f t w a r e s y s t e mt ot h ea t t a c k e rw i t ha no p p o r t u n i t y ，b u ta l s ot on e t w o r ks e c u r i t yr e s e a r c hac h a l l e n g e i nr e c e n ty e a r s ，d o m e s t i ca n df o r e i g ng o v e r n m e n t s ，r e s e a r c hi n s t i t u t i o n sh a v ea t t a c h e d g r e a ti m p o r t a n c et ot h es t u d yo fi n t e r n e tw o r m s ，a sw e l la sd e f e n s e - r e l a t e dt e c h n o l o g y n e t w o r kw o r m sm a l i c i o u sc o d eh a sb e c o m et h ep r i m a r ys u b j e c to fs t u d y i n t e m e tw o r mi sa i n d e p e n d e n tr u nc a ns e l f - r e p l i c a t ea n ds p r e a do ft h ep r o c e d u r e ，i t 。sv e r yh a r m f u l ，g i v e nt h e o u t b r e a ko fe a c hs o c i e t yh a sb r o u g h ta b o u tt r e m e n d o u se c o n o m i cl o s s e s a tp r e s e n t ，t h e d e v e l o p m e n to ft h ei n t e r n e t w o r ma p p e a r e df a s t e r ，m o r e p u r p o s ea n dm o r ea d v a n c e d t e c h n i c a lf e a t u r e s t h i sa r t i c l ed e s c r i b e st h ew o r ko ft h ew o r mp r o c e s s a n a l y s i so ft h e p h y s i c a ls t r u c t u r eo ft h ew o r m ，a tt h es a m et i m e ，t h ew o r mo u t o ft h ea b s t r a c tf e a t u r e sa u n i f i e ds t r u c t u r eo ft h em o d e l n e t w o r kw o r m sb u ta l s os o m eo ft h ek e yt e c h n o l o g i e s i n v o l v e di nt h es t u d y ，i n c l u d i n gt h es p r e a do fw o r m ss t r a t e g y ，w o r m sm e a n so fa t t a c k ，t h e w o r ms u r v i v a lt e c h n i q u e sa n dt e c h n o l o g yo fs e l e c t i v ea t t a c k so nf o u ra s p e c t s t h ep a p e rc o n s i s to ff i v ec h a p t e r s ，t h ef i r s tc h a p t e rh a si n t r o d u c e dr e s e a r c hb a c k g r o u n d ， t h eg o a la n dt h es i g n i f i c a n c eo ft h er e s e a r c ha n dr e l e v a n ts i t u a t i o n w e r es t u d i e d ，t h es e c o n d c h a p t e rh a si n t r o d u c e dw o r m ，i n c l u d i n gt h ec o n c e p to fav a r i e t yo fw o r m s ，t h ew o r ms c a n s t h es t r a t e g y ，t h ec l a s s i f i c a t i o no fw o r m ，at y p i c a lw o r ma t t a c k s ，n e t w o r kw o r m ss p r e a do ft h e c u r r e n tm o d e l ，a sw e l la st h em a i nm e t h o do fd e t e c t i n gw o r m sa i l d v a r i o u sm e t h o d so f e v a l u a t i o n t h et 1 1 i r dc h a p t e rh a si n t r o d u c e dh o n e y p o t ，i n c l u d i n gt h ec o n c e p to fh o n e y p o t ， h o n e y p o to ft h ev a r i o u sc l a s s i f i c a t i o n so ft h ec u r r e n th o n e y p o tt e c h n o l o g yr e s e a r c hh o ts p o t s i nt h ef o u r t hc h a p t e r ，a c c o r d i n gt ot h ec u r r e n ta n t i - w o r mt e c h n o l o g ya l w a y sl a g sb e h i n dt h e w o r mo u t b r e a ko ft h ec u r r e n ts i t u a t i o n ，d e s c r i b e st h en e e df o ri n i t i a t i v ed e f e n s e ，t h e n i n t r o d u c e dt h er e a l - t i m em o n i t o r i n gs y s t e m sa n dt e c h n o l o g y - r e l a t e dc o n t e n t ，a n da d e s c r i p t i o no ft h es y s t e m ，v a r i o u sm o d u l e sd e s i g n e dt or e a l i z et h el o c a l i z a t i o no fap r o t o t y p e e a r l yw a m i n gn e t w o r kw o r m s i nt h ef i f t hc h a p t e r ，g i v e ns y s t e ms i m u l a t i o ne n v i r o n m e n t ，a s w e l la st h es y s t e mo ft h et e s t i n gp r o c e s sa n dr e s u l t so ft h ea n a l y s i s ，i nc o n c l u s i o n ，d e s c r i b e d t h es h o r t c o m i n g so ft h es y s t e ma n dt h ef u t u r ep r o s p e c t sf o rf u r t h e rs t u d y k e yw o r d s ；n e t w o r ks e c u r i t y ；h o n e y p o t ；w o r m ；i n t r u s i o nd e t e c t i o n 大连交通大学学位论文独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。尽我所知，除了文中特别加以标注和致谢及参考 文献的地方外，论文中不包含他人或集体已经发表或撰写过的研究成 果，也不包含为获得太壅塞通太堂或其他教育机构的学位或证书而 使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在 论文中作了明确的说明并表示谢意。 本人完全意识到本声明的法律效力，申请学位论文与资料若有不 实之处，由本人承担一切相关责任。 学位论文作者签名： 日期：易年锄向 大连交通大学学位论文版权使用授权书 本学位论文作者完全了解太蓬塞通太堂有关保护知识产权及保 留、使用学位论文的规定，即：研究生在校攻读学位期间论文工作的 知识产权单位属太整塞通太堂，本人保证毕业离校后，发表或使用 论文工作成果时署名单位仍然为太整塞通太堂。学校有权保留并向 国家有关部门或机构送交论文的复印件及其电子文档，允许论文被查 阅和借阅。 本人授权太整塞通太堂可以将学位论文的全部或部分内容编入 中国科学技术信息研究所中国学位论文全文数据库等相关数据库 进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论 、 又。 ( 保密的学位论文在解密后应遵守此规定) 学位论文储鲐如锄獬： l 当尹 日期：2 一嘻年亿月户日 日期：知s 年z 月卜日 学位论文作者毕业后去向： 工作单位： 通讯地址： 电子信箱： 电话： 邮编： 第一章绪论 第一章绪论 本章是论文的第一章，首先从c e r t c c 公布的近2 0 年的安全事件和漏洞事件出发， 引出了当今最为关注的互联网安全问题，特别强调了i n t e m e t 蠕虫的巨大危害，然后简 述了国内外目前对i n t e m e t 蠕虫发展的研究概括，指出了针对i n t e m e t 蠕虫的检测和防御 工作的重要性和急迫性；接着针对当前传统的安全技术无法应对快速发展的恶性蠕虫的 弱点，提出了利用新型的蜜罐技术结合传统安全技术共同检测和防御本地蠕虫的思想。 1 1 研究背景 “计算机蠕虫一词最早见于1 9 7 5 年j o h nb r u n n e r 的科幻小说“t h es h o c k w a v e r i d e r ”，而真正意义上的蠕虫程序是b o bt h o m a s 于1 9 7 1 编写的空中管制权变更通知 程序。二十世纪八十年代，j o h ns h o c k 和j o nh e p p s 编写蠕虫程序以期望利用空闲资源 进行工作。经过实践，他们发现利用网络传播的这些自治的蠕虫可以严重地耗费主机资 源和网络资源。至此蠕虫的研究工作不再公开，直至1 9 8 8 年的莫旱斯蠕虫( m o r r i sw o r m ) 爆发，使人们认识了蠕虫的威力，m o r r i sw o r l n 是因特网上最早出现的蠕虫，使网络瘫 痪了五天。2 0 0 1 年6 月c o d e r e d 的爆发使人们真正认识到了蠕虫快速传播的危害。截 止到2 0 0 1 年7 月1 9 日，有超过3 5 9 ，0 0 0 台连到因特网的计算机在1 4 小时内被“红色 代码”蠕虫感染。这个蠕虫造成的损失，包括后续的“红色代码”造成的危害，估计为 2 6 亿美元。2 0 0 1 年9 月1 8 日的n i m d a 蠕虫是第一个利用多种漏洞进行传播的蠕虫。2 0 0 3 年1 月，w 3 2 s q l e x p 蠕虫采用了更加先进的传播策略，在全球范围内快速传播，使人 工干预和防卫无济于事。2 0 0 4 年3 月2 0 日的w i 仕v 蠕虫被人们看作是智慧蠕虫，与其 它蠕虫不同的是该蠕虫功能良好，没有明显缺陷。在m i c r o s o f t 公司发布漏洞后的4 8 小 时内就被释放到网上。 蠕虫严重占用主机资源，耗费网络资源，造成了严重的经济损失，引起了人们的普 遍关注。 现有的应对网络蠕虫攻击的防护措施主要包括防火墙、入侵检测系统，病毒防护系 统等，它们在一定程度上抑制了蠕虫的攻击，提供了保护措施，但是这些防护系统并不 是万能的，它们在很多方面还存在着不足。防火墙防范蠕虫的前提是对各种己识别类型 的蠕虫攻击进行正确的配置，这要求防火墙知识库不断更新以识别各种新类型的蠕虫攻 击。入侵检测系统一方面像防火墙一样需要知识库不断更新，另一方面对有违反安全策 略的恶意使用行为进行识别和响应。病毒防护系统则主要针对个人主机的安全性进行保 护，对网络范围内的保护不够，而且面对新类型的蠕虫攻击，它也常常束手无策。从根 人连交通大学t 学硕十学何论文 本上说，防火墙、入侵检测系统和病毒防护系统都滞后于各种各样的黑客攻击，这就决 定了以防火墙、入侵检测和病毒防护系统为核心的网络安全体系不可能完全、有效地解 决网络安全问题。 蜜罐技术是近几年来发展极为迅速的一个信息安全网络研究方向，它将主动防御的 思想引入到网络安全的防御中，成为了网络安全防御体系研究的新热点。蜜罐作为一种 新型的安全工具在针对己知和未知攻击的检测、分析、研究、尤其是对网络蠕虫攻击的 捕获、分析、研究方面同益显示出其无比的优越性。蜜罐技术的研究己经成为目前信息 安全领域的新热点，特别是针对网络蠕虫的检测和防御方面，如何使蜜罐技术与传统的 入侵检测和防御系统相结合，对我们来说具有重要的理论意义和研究价值。 1 2 研究现状 1 2 1 国外研究现状 由于1 9 8 8 年m o r r i s 蠕虫的爆发，蠕虫就显示出它巨大的破坏力和危害性，但由于 当时互联网络普及度不高，所以并没引起人们更多的注意。从1 9 9 0 年开始，对抗恶意 软件破坏的内容主要锁定在个人电脑的防病毒上，吸引了一批研究人员对m o r r i s 蠕虫做 分析讨论，以e u g e n eh s p a f f o r d 等人为代表给出了对m o r r i s 蠕虫的详尽分析。从此以 后的1 0 年间，基本上对于蠕虫的研究处于停滞状态，( 1 9 9 3 年j e f f e r yo k e p h a r t 和s t e v e r w h i t e 给出计算机病毒的传播与度量模型后，对计算机病毒的传播问题的研究基本上 也处于停滞状态) 。1 9 9 8 年，s t e v er w h i t e 就曾强调应该加强蠕虫对抗工作的研究力度， 并指出针对文件系统的防范措施并不适用于蠕虫的防范需求。2 0 0 0 年，i b m 启动对抗 网络蠕虫的项目，力求开发一个自动检测和防御蠕虫的软硬件环境，关键技术是构造虚 拟机来仿真蠕虫传播的网络环境。i b m 认为人们忽视蠕虫研究有两个原因，一是当时蠕 虫很少见，二是特定蠕虫只爆发一次，对于研究者来讲，每次蠕虫爆发都是一个新的待 研究的蠕虫。i b m 认为针对蠕虫的研究主要分为检测、分析和清除。2 0 0 1 年，j o s en a z a r i o 等人讨论了蠕虫的技术发展趋势，给出了蠕虫的一个功能模型框架，他们提出的很多思 路非常具有启发意义，但他们的工作中也混淆了蠕虫和病毒的概念【l 】。 1 2 2 国内研究现状 国内基本没有对蠕虫较深入的研究工作，这也许是由于对计算机病毒领域研究的误 解造成的，仍然有最新的国内文献认为计算机病毒理论已经定型，没有研究的必要。但 这不表明中国的蠕虫技术落后，有大量的迹象表明，危害最大的几个蠕虫，都是中国黑 客编写的。 2 第一章绪论 1 3 研究目标和意义 随着互联网应用的深入，基于互联网的应用系统越来越多，社会对网络的依赖日益 增强，同时网络的安全也面临着巨大的挑战，网络蠕虫对计算机系统安全和网络安全的 威胁日益增加。特别是在网络环境下，蠕虫利用常见服务的安全漏洞或策略缺陷，通过 网络进行传播，如果有漏洞的服务被安装在大量可公开访问的主机上，蠕虫就能自动入 侵这些系统，造成大范围的感染。在发现和感染弱点系统阶段，蠕虫占用大量网络和系 统资源，如果蠕虫负载具有攻击性，则还会造成窃取用户敏感数据、删除宝贵资源等无 法挽回的后果。 本文研究的目标是对网络蠕虫进行研究，研究蠕虫的扫描策略、传播模型、检测方 法，以深入了解蠕虫，为减少蠕虫数量或者抑止蠕虫危害或者早期预警提供非常丰富的 材料。此外研究蠕虫行为特征，同时综合蠕虫特征检测方法和蜜罐系统，建立了一个综 合性的早期蠕虫预警系统。 研究的意义是通过蠕虫的传播行为，找出其通用性，以对未知蠕虫进行检测；在蠕 虫的扫描阶段，利用本文中的分类事件，通过回归算法分析，检测出本地网络中的蠕虫。 最后能通过本地控制中心和全球控制中心的通信，把本地的检测到的未知的蠕虫特征签 名及时的公布，达到早期预警，减少损失。 1 4 作者所做的主要工作 在整个课题的研究期间，本人深入地研究了网络蠕虫历史与目前的发展趋势、蠕虫 的行为特征、传播模型、蠕虫的常用检测方法、详细地分析了目前传统网络安全技术的 优点与不足、结合实际的需求有针对性地提出了利用蜜罐技术来对i n t e m e t 蠕虫进行检 测和防御的技术；并在参考大量己有的蜜罐系统、入侵检测和防御系统的基础上，设计 出一种基于蜜罐的本地蠕虫的检测方法，并加以部分实现，初步达到了设计要求，最后 对未来的发展方向提出了自己的看法。本文所做的工作主要包括以下几个部分： ( 1 ) i n t e m e t 蠕虫技术的发展和趋势的研究与分析。 ( 2 ) 现有的安全技术和蠕虫检测技术的研究与分析。 ( 3 ) 对蜜网及蜜罐技术的基本原理、基本技术和发展趋势的研究与分析。 ( 4 ) 蠕虫检测和防御系统的总体分析和关键技术的实现。 ( 5 ) 对计算机网络中防御技术发展方向和蠕虫检测的总结与展望。 1 5 论文的组织结构 大连交通人学t 学硕十学位论文 全文共分五章，第一章为绪论介绍了蠕虫研究背景、并概述了国内外相关研究情况。 第二章对蠕虫各方面进行了研究，包括蠕虫的各种概念，分类、扫描策略、典型攻击行 为、网络蠕虫传播模型以及当前蠕虫检测的主要方法及各类方法的评价。第三章对蜜罐 的各方面进行了研究，包括蜜罐的概念、蜜罐的分类、蜜罐技术、当前的蜜罐研究现状。 第四章根据目前的实际情况提出了一种基于蜜罐的本地蠕虫的检测方法。第五章给出了 具体的仿真环境和实验结果的分析；总结部分对本系统给出了一些评价并提出了对未来 进一步研究的展望。 论文共有六章( 包括总结部分) ，可以划分为三大部分： 第一部分：由第一、二、三章组成，主要研究了网络安全技术的现状和国内外针对 蠕虫的研究概况，详细分析了目前网络技术的发展及其相关的检测防御技术，并引出蜜 罐技术并分析了其相关的理论基础和关键技术。 第二部分：由第四章第五章组成，具体详细地阐述了本地蠕虫的检测方法。 第三部分：对本论文进行了总结，概述系统优势与不足，并提出下一步的工作，及 展望蠕虫检测和防御技术的未来。 本章小结 本章是绪论，从蠕虫的发展过程、历史背景出发介绍蠕虫的相关知识；还列举了很 多己知的蠕虫，并对它们的传播速度、以及危害程度上进行了详细的描述；并给出了本 文的研究背景、当前的研究状况( 分为国外部分和国内部分) ：并阐述了研究的目标和意 义。 4 第二章蠕虫的相关研究 第二章蠕虫的相关研究 本章首先介绍了网络蠕虫的定义，接着从网络蠕虫的结构组成、目标发现策略、传 播方式、激活方式和负载功能等角度，详细地研究了蠕虫的基本特点。然后利用网络蠕 虫的基本传播模型公式化地分析了蠕虫的传播模型和策略，最后总结了近几年网络蠕虫 给互联网带来的巨大危害，并讨论了目前存在的几种蠕虫检测技术，特别详细的阐述了 基于蜜罐的蠕虫检测技术相对于其他技术所具有的优势，为第三章蜜罐技术研究铺平道 路。 本章组织如下：第2 1 节介绍了蠕虫相关概念；第2 2 节根据不同的分类方式对网 络蠕虫进行分类；第2 3 节讨论了蠕虫的扫描策略，基本程序结构，各策略| 日j 的比较； 第2 4 节介绍了蠕虫的传播模型，并分析了一个典型蠕虫；第2 5 节讨论了当前常见的 蠕虫检测的主要方法以及各自的优缺点。 2 1 蠕虫的概念 早期恶意代码的主要形式是计算机病毒。1 9 8 8 年m o r r i s 蠕虫爆发后，s p a f f o r d 为了 区分蠕虫和病毒，对病毒重新进行了定义，他认为“计算机病毒是一段代码，能把自身 加到其他程序包括操作系统上；它不能独立运行，需要由它的宿主程序运行来激活它。 网络蠕虫则强调了自身的主动性和独立性。k i e n z l e 和e l d e r 从破坏性、网络传播、主动 攻击和独立性四个方面对蠕虫进行了定义【2 】：“网络蠕虫是通过网络传播，无须用户干 预能够独立地或者依赖文件共享攻击的恶意代码”。根据传播策略，网络蠕虫分为三类； e m a i l 蠕虫、文件共享蠕虫和传统蠕虫。国内郑辉认为蠕虫具有主动攻击、行踪隐蔽、 利用漏洞，造成网络拥塞、降低系统性能、产生安全隐患、反复性和破坏性等特征，给 出相应的定义“网络蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停地 获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播”。该定义包含k i e n z l e 和e l d e r 定义的后两类蠕虫，不包括e m a i l 蠕虫。在2 0 0 3 年1 0 月的世界蠕虫会议上， s c h e c h t e r 和m i c h a e ld s m i t h 提出了一类新型网络蠕虫，即a c c e s sf o rs a l e 3 j 蠕虫。该蠕 虫除了上述定义的特征之外，还具备身份认证的特征，a c c e s sf o rs a l e 蠕虫初步体现蠕 虫的可控性。 综上所述，可以这样对蠕虫进行定义：“网络蠕虫是一种智能化、自动化、综合网 络攻击、密码学和计算机病毒技术，不需要计算机使用者干预即可运行的攻击程序或代 码。它会扫描和攻击网络上存在系统漏洞的节点主机，通过局域网者国际互联网从一个 大连交通大学丁学硕十学位论文 节点传播到另外一个节点【4 】”。该定义体现了新一代网络蠕虫智能化、自动化和高技术 化的特征。 2 2 蠕虫的分类 本节主要根据巡航策略、激活策略、繁殖与散布策略的差异性对蠕虫进行分类。当 然，蠕虫的分类还受到其编写者意图、所利用的漏洞类别、当前的黑客技术水平等因素 的综合影响与限制。 2 2 1 按巡航策略分类 巡航策略指的是蠕虫在选择新的感染目标时所用的机制。包括两层含义：寻找可路 由的主机和在可路由主机中寻找可感染的主机。常见的巡航策略包括扫描、预设地址列 表、外部生成列表、内建目标列表、被动监测等。对应地，蠕虫也可分为扫描式蠕虫、 预设地址列表式蠕虫、外部生成列表式蠕虫、内建目标列表式蠕虫、被动监测式蠕虫等。 ( 1 ) 扫描式蠕虫 使用探测的方式寻找一种地址并在其中确定可感染的主机。早期有两种简易的方 式：( a ) 连续扫描：利用有序的地址域建立地址。( b ) 随机扫描：随机尝试域外地址。后来 有很多改进方式，例如本地地址优先扫描，限定带宽扫描等。使用扫描机制的蠕虫的传 播速度受已感染主机密度，程序设计的优良程度以及边界路由性能的综合影响。使用扫 描机制的蠕虫，会引起非常明显的网络异常，易被发现，目f j 已有很多方式进行预防。 ( 2 ) 预设地址列表式蠕虫 预设地址列表式蠕虫也称作基于h i t 1 i s t 的巡航策略。蠕虫作者在蠕虫中提供一个 预先设定好的易感主机地址列表，该列表被称作“h i t 1 i s t ”。该机制的关键在于如何生 成此h i t 1 i s t 。局部的列表可利用公共资源侵入一些公开地址结点后，做小范围的扫描而 建立。如需建立大范围的列表，则须利用分布式扫描和一个完善的数据库来支持实现， 由于算法上较难实现，故大范围的h i t 1 i s t 蠕虫目前还未出现。 ( 3 ) 外部生成目标列表式蠕虫 此类蠕虫利用某些服务的一些公用服务器会保留其他服务器的地址这一特性来生 成其攻击列表。该类分散的服务器又被称为“m a t as e v e r ”。例如，g a m es p y 服务会在 其服务器中记录不同的游戏服务器的列表。g o o g l e 搜索服务，将g o o g l e 服务器作为一个 m a t as e v e r 轻易获得其他w e b 服务器的信息，建立自己的攻击列表。2 0 0 4 年出现的s a n t y 蠕虫就是使用这种机制，对大量的w e b 服务器进行破坏。 ( 4 ) 内建目标列表式蠕虫 6 第二章蠕虫的相关研究 某些网络应用程序会保留一些可能感染的主机信息。此类蠕虫利用这种特性，在入 侵后，先收集本机上的信息，建立一个与本机会话的拓扑结构，并利用此结构寻找下一 个易感主机。这种情况下，虽然在全局会产生流量的异常，但由于每台被感染主机只与 少量主机建立连接，故在本地看来流量还是正常的。因此该类蠕虫不易被发现，而如果 全局中易感主机密度大的话，也会有非常高的传播速度。对付该类蠕虫，需要一个全局 的检测机制。 蠕虫可以利用一个蠕虫线程间的通信来进一步地扩大拓扑信息，尽管这不会加快拓 扑蠕虫的速度，但这对蠕虫绕过防御是非常重要的。 尽管拓扑蠕虫的流量在全局看来是异常的，但在本地却不显现异常。每个传染系统 只需与一些其它新的系统通信。由于这些是己知的系统，新的受害者很可能是通信的正 常目的地。这说明需要分布式的探测器检测拓扑蠕虫。 ( 5 ) 被动监测式蠕虫 使用该巡航机制的蠕虫并不主动寻找易感主机，而是等待正常通讯请求或用户的j 下 常行为进行巡航。由于它不产生任何流量异常，故隐蔽性极强。例如c o n t a g i o n 利用正 常通讯请求找到易染的主机，c r c l e a n 等待c o d e r e d l i 的相关探测信息，当探测到一个 感染企图，则进行一次反击，一旦成功则在其上删除c o d e r e d l i 并将自己驻留到机器上。 通常该类蠕虫的传播速度较慢，但在某些特定情况下，如某些正常通讯本来就比较频繁， 则也有可观的传播速度。例如，作用于g n u t e l l a 的g n u m a nb a i t 蠕虫，它等待g n u t e l l a 的查询消息，并对每个查询消息回复以自己的副本，如果能运行，则在新感染机上继续 这一过程。 2 2 2 按激活策略划分 激活策略指的是蠕虫如何让自身的代码在计算机上获得执行的机制。该机制受到蠕 虫攻击渗透模块所利用的漏洞类型的影响。常见的激活策略包括人工激活、行为激活、 预定进程激活、自激活等。因此，蠕虫也可分为人工激活式蠕虫、行为激活式蠕虫、预 定进程激活式蠕虫、自激活式蠕虫等。 ( 1 ) 人工激活式蠕虫 这种激活方式最慢，类似于传统的病毒的激活方式。需要利用社会工程学诱使本地 主机使用者执行蠕虫的副本。邮件蠕虫通常使用这种激活方式。由于大多数人不希望在 他们的系统上执行蠕虫，这些蠕虫需要依赖于各种各样的社会工程技术完成这一激活任 务。一些蠕虫，如m e l i s s a 邮件蠕虫通知有紧急事件发生( a t t a c h e di sa ni m p o r t a n tm e s s a g e f o ry o u ”) ，而另一些，如i l o v e y o u 攻击，则针对个人用户的虚荣心( “o p e nt h i sm e s s a g e 7 大连交通大学 ：学硕十学位论文 t os e ew h ol o v e sy o u ”) ，还有一些，如b e n j a m i n 蠕虫针对人们的贪婪( “d o w n l o a dt h i s f i l et og e tc o p y r i g h t e dm a t e r i a lf o rf r e e o 尽管m e l i s s a 是宏病毒是利用内嵌在w o r d 文档中的微软固有的脚本语言编写的一 段代码，但是后来的人工激发的蠕虫通常是可执行文件，当这些可执行文件运行时，就 感染目标系统。更有甚者，一些蠕虫利用软件的漏洞将数据传到本地系统，用户即使简 单地预览一下，也会引起程序的执行。 ( 2 ) 行为激活式蠕虫 该激活取决于操作者的行为。当本地主机进行某种行为时使代码获得执行，例如重 启主机、登入网络、执行脚本文件、打开一个远程的被感染文件等。这种激活机制常常 见于w i n d o w s 蠕虫，它们利用开放的共享来传播蠕虫。采用这种激活机制的蠕虫在向 目标硬盘写数据时并不直接触发蠕虫执行，而是在系统重置或用户登录时被激活的。 ( 3 ) 预定进程激活式蠕虫 由于很多的操作系统和应用程序都包括一个自动升级程序，定时或周期的进行下载 安装或进行更新，某些系统也会定期的执行备份和某些网络软件，而这些程序或进程都 可能不带验证功能或者验证功能不强。利用这一特性，该类蠕虫只需要把该类进程中的 d n s 信息进行重定向即可使自己获得激活。如果该预定进程有验证功能，则该类蠕虫 还需要完成获取升级服务器密钥和编码标记的密钥的工作来使自身获得激活。 ( 4 ) 自激活式蠕虫 自激活式蠕虫是激活蠕虫的最快方式。该类蠕虫攻击系统常驻服务或常驻服务的库 中存在的漏洞而快速的使自身获得执行。该类蠕虫通常将自己配属于被攻击的服务，或 通过执行其他命令与常驻服务建立有许可的关联而获得执行。该类激活的效果会受到限 制常驻服务的入口数的抑制，但杜绝该激活的最好方式还是提高常驻服务的无漏洞性。 2 2 3 按繁殖与散布策略划分 繁殖与散布策略指的是蠕虫传输自身副本至目标时所用的机制。已有的繁殖与散布 策略包括了自载、二级通道和嵌入式等。蠕虫也可对应地被分为自载式蠕虫、二级通道 式蠕虫和嵌入式蠕虫等。 ( 1 ) 自载式蠕虫 大多数的扫描蠕虫和内建目标蠕虫采用该机制活跃地传播自己，传播过程作为整个 感染过程的一部分。通常需要建立新的一个或多个进程来完成自身的繁殖与传播。 ( 2 ) 二级通道( s e c o n dc h a n n e l ) 式蠕虫 8 某些蠕虫需要一个二级通信管道来完成自身的传播。以b l a s t e r 蠕虫为例，虽然使 用r p c 漏洞入侵主机，但在入侵后，被感染主机会建立一个f t p 连接到攻击源，下载 蠕虫的副本到本机。通常该二级通信管道都是由系统提供的传输服务。 ( 3 ) 嵌入式蠕虫 嵌入式蠕虫在普通通信中传输自己。它将自己添加到普通消息中，或者干脆替换普 通消息。该类蠕虫具有很高的隐蔽性。 嵌入式策略的着这种隐蔽性，仅在目标选择策略也隐蔽的情况下才有意义。否则， 蠕虫在目标选时就己暴露自己，那么随后采用的隐蔽的内嵌式传输方法就无法发挥效 能。这样扫描蠕虫不大可能使用内嵌式的分发策略，而被动蠕虫如果在确保分发与目标 选择都隐蔽时可以获益非浅。 内嵌式蠕虫的传播速度依赖于所使用的应用，依赖于蠕虫行为与标准通信模式的偏 差在多大的范围内可以不破坏隐蔽性而同时又可以加速传播。 蠕虫实体或相关的负载的分发可以是一对多，一个站点在被感染后向多个站点提供 一个蠕虫或模块；或是多对多的，多个副本传播恶意代码；或者使用混合的方法，基本 上蠕虫以多对多的方式传播，通过中央站点进行更新。通常，如果限制因素是执行分发 所用的时间，则多对多的分发速度会快些。 在下表2 1 中是关于传统i n t e m e t 蠕虫的分类总结。 2 2 4 按动机和攻击者划分 为了理解威胁的本质，我们必须明白蠕虫技术是很重要的，但是发起攻击的动机和 区分谁( 可能) 是攻击者也是同样重要。 ( 1 ) 实验性的好奇：尽管蠕虫技术很好理解，但是仍然存在这样一种趋势：各种 各样的人仍然对蠕虫和病毒的实验的兴趣一点也不减。比如i l o v e y o u 蠕虫是由一个 学生设计的，在它释放前是作为一个论文项目来研究的。 ( 2 ) 炫耀和欲望：有些攻击者编制蠕虫，其实只是为了一种得到权力的欲望和炫 耀他能让别的用户受害的知识和能力。这部分人通常是无组织的个人或目标随机的小 组之类。如果他们发现了有漏洞的系统，那么他们很可能去发动攻击。 ( 3 ) 商业优势：因为现在很多公司的发展越来越离不开个人p c ，因此攻击可能就 会扰乱很多依赖互联网公司的商业计划。这类攻击可能会被那些为了利益的攻击者利 用，从而掌控金融市场，也可能被商业竞争对手利用，从而限制求购方对出售方的活 动。 9 大连交通人学i ：学硕十学位论文 ( 4 ) 敲诈和其他犯罪：另外的潜在利益动机就是敲诈或其他犯罪。如果一个构造 完美的蠕虫被用来发动d o s 攻击，那么很多没有做好防范的电子商务公司将会深受 其害。同样，目前也存在很多专门以猎取信用卡信息的蠕虫。s o b i g 蠕虫属于此类。 ( 5 ) 政治抗议：有些组织可能会利用蠕虫，来向公众传达他们的观点。这类攻击 者包括个人，组织等。y a h a 邮件蠕虫属于此类。 ( 6 ) 恐怖主义：恐怖组织也会利用蠕虫迎合它们的目标。一般恐怖主义是政治上 的，但是也有是经济性的，它的目标不是人的生命，而是引起金融货币市场的动乱。 表2 1 传统的i n t e r n e t 蠕虫分类 t a b i e2 1c l a s s i f i c a t i o no f t r a d i t i o n a l i n t e m e tw o r m 分类标准名称特征 扫描探测方式选择可感染主机 预设目标列表蠕虫作者为蠕虫预先设定攻击范围 外部生成目标列表使用某些网络服务获得可感染目标主机 巡航策略 内建目标列表使j h j 本地机的拓扑信息获得可感染目标主机 被动监测捕获止常通讯信息获得可感染目标土机 人工激活利h j 社会工程学诱使用户激活蠕虫 行为激活片j 户的正常使用行为激活蠕虫 激活策略 预定进程激活使用主机的自动进程激活蠕虫 自激活使用程序漏洞激活蠕虫 白载白身建立通讯进程传播副本 二级通道利h j 系统提供的传输服务传输副本 繁殖与散布策略 嵌入式 嵌入普通通信进 副本传播 2 2 5 按负载划分 负载，就是蠕虫传输的与传播例程或传播功能无关的代码，通常是完成攻击者意图 的代码，例如，发动拒绝服务攻击的代码。它仅受限于黑客的目标和想象力。不同类型 的攻击者期望使用不同的负载来加强他们的目的。目前看到的负载有如下几种： 没有负载无功能的负载( n o n e n o f u n c t i o n a l ) ：没有负载或无功能性负载是一种简单 情况。具有这种负载的蠕虫通过增加网络流量和增加系统负荷仍就会对网络安全构成威 胁( m o r r i s 蠕虫和s l a m m e r 具有这种类型的负载) 。 1 0 第二章蠕虫的相关研究 因特网远程控制负载( i n t e r n e tr e m o t ec o n t r 0 1 ) ：c o d e r e d 在受害系统上开放了一个 特权后门，导致任何使用w e b 浏览器的用户拥有了执行任意代码的能力。这甚至导致 了a n t i c o d e r e d 站点的出现，这些站点可以利用后门发送命令以禁止i i s 服务和重置系 统。 垃圾邮件转发负载( s p a r e r e l a y s ) ：这类蠕虫为垃圾邮件创建邮件转发服务。利用因 特网创建无数的转发系统，垃圾邮件者可以绕过阻止发送垃圾邮件的机制而继续发送垃 圾邮件。 h t m l 代理负载( h t m l p r o x i e s ) ：这类蠕虫可以重定向发送给w e b 服务器的请求。 通过将w e b 请求( 通过d n s ) 重定向到随机选择的代理系统，可以诱骗请求者的敏感信 息。 因特网拒绝服务攻击负载( i n t e m e td o s ) ：另一个常见的负载是拒绝服务攻击。 c o d e r e d ，y a h a 等一些蠕虫都包含d o s 工具，要么针对特定的站点，要么在攻击者的 控制下重新改变目标。 数据采集负载( d a t ac o l l e c t i o n ) ：计这类蠕虫在入侵系统后搜寻存储各种关键词、帐 户卡号或类似信息的文件以获取用户敏感信息。 罪犯对身份信息感兴趣，b l a c k h a t 团体中相当一部分想获取信用卡。他们利用蠕虫 搜寻这些信息。在发现这些信息后，则使用加密方法对结果数据进行加密，并利用各种 通道传输这些信息。 销售访问负载( a c c e s sf o rs a l e ) ：远程控制负载和数据采集负载可以扩展到销售领 域。利用这种方法，可以远程访问顾客系统。 数据毁坏负载( d a t ad a m a g e ) ：有一些蠕虫，如c h e m o b y l 或k l e z ，包含定时的数据 擦除器。由于蠕虫可以更快地传播，它们可以在感染系统后立即启动擦除或操作数据。 此外蠕虫可以分发敏感信息，造成混乱。 现实世界远程控制负载( p h y s i c a l w o r l dr e m o t ec o n t r 0 1 ) ：除了修改被攻击的系统和 网络，攻击还可以影响非因特网目标、服务等。连网的系统通常利用监控和数据采集 ( s c a d a ) 系统控制现实世界的对象，蠕虫也可以攻击这些系统。 现实世界的拒绝服务攻击负载p h y s i c a l w o r l dd o s ) ：此外，现实世界的一些系统也 会遭到拒绝服务攻击。例如，蠕虫可以使用连接的调制解调器拨号到紧急服务，如9 1 1 或其它电话目标。 现实世界的搜寻负载( p h y s i c a l w o r l dr e c o n n a i s s a n c e ) ：这种类型攻击的一个例子是： 计算机蠕虫通过连接的调制解调器疯狂拨号( “w a r d i a l ) ，为后续工作做进一步的搜寻， 这一情况不是基于因特网的攻击。 大连交通大学r 学硕十学伊论文 现实世界破坏负载( p h y s i c a l w o r l dd a m a g e ) ：最直接的破坏目的是感染系统。尽管 b i o s 的多样性使通常意义上的重写b i o s 不可能，对一个蠕虫来说仍可能包含几个常用 的重写b i o s 的例程。因为f l a s hr o m s 通常固化在主板上，如果没有b i o s 恢复机制 或类似的机制，