（计算机科学与技术专业论文）蠕虫扩散特征研究.pdf

蠕虫扩敞特征研究 蠕虫扩散特征研究 摘要 蠕虫事件的频繁爆发严重威胁着i n t e r n e t 的安全，也造成了巨大的经 济损失。由于目前对蠕虫的研究相对滞后，还没有有效的蠕虫防治和对 抗方法。本文以蠕虫扩散为主要的研究对象，对影响蠕虫扩散的关键因 素进行了分析和提取，并建立了影响因素间的基本关系模型。 本文首先给出了对网络攻击扩散能力的定义( “网络攻击的扩散能力， 是指攻击代码仅在攻击的活跃个体的控制下，完成代码副本的自我复制， 并通过网络途径进行传播，实现由一个系统到另一个系统的扩散的能 力。”) 。鉴于扩散是蠕虫的特征表现，本文将具有扩散特征的网络攻击统 称作蠕虫，并对以往在蠕虫的功能、技术、扩散模型等各方面的研究中 所取得的成果进行了简单回顾。 接着，本文通过对一些知名蠕虫( 如c o d e r e d l l 、n i m d a 、冲击波等) 的扩散行为进行分析，对蠕虫的基本工作流程进行了描述，并对蠕虫的 基本模块构成进行了说明。本文还从近5 一1 0 年内关于蠕虫扩散模型的研 究中，选取了一些有代表性的模型进行了分析和对比，并将这些模型从 宏观状态模型上分为了三类：s i ( 易感一感染) 模型、s i s ( 易感一感染 一易感) 模型和s i r ( 易感一感染一移除) 模型。 在本文中提出了模型中参量选取的两个基本原则：原子性和可操作 性。根据这两个原则，借鉴已有蠕虫扩散模型中考虑过的一些参量，结 合对蠕虫扩散流程中可能出现的影响因素的分析，在本文中提取出了一 些影响蠕虫扩散的因素，并对这些因素的合理性及其参量值的确定作出 了说明。影响因素主要有：漏洞流行度、并行线程数、蠕虫所占带宽、 网络带宽、检测率、补丁率、蠕虫扩散延迟；此外还有一些影响因素不 能量化到模型表达式中，但是可用于仿真中，如防御延迟、目标选择算 法、蠕虫的触发方式。 最后，本文为这些影响因素建立了基本的关系模型，并通过仿真， 分析了防御延迟、检测率和补丁率等反映安全工具防御性能的参量对蠕 虫扩散的影响，从而为蠕虫的防治和对抗提供有益的参考。 关键词：蠕虫扩散能力扩散模型s i r 模型原子性可操作性 ! ! 塞业皇查堂竺塞兰兰：坐笙茎 堕皇芝墼堑堑婴壅 w o r mp r o p a g a t i o nc h a r a c t e r r e s e a r c h a b s t r a c t t h ef r e q u e n tw 0 1 t ne v e n t sb e c o m eam o r ea n dm o r es e r i o u st h r e a t a g a i n s tt h es e c u r i t yo fi n t e r n e t ，a sw e l la sb r i n go ng r e a te c o n o m i cl o s s b u t t h e r ea r en oe f f i c i e n td e f e n s e sa g a i n s tt h o s ew o r m sb e c a u s er e s e a r c h e so nt h e w o r ma r eb e h i n dw i t hw o r l n s t h i sp a p e rf o c u s e so nw o i q t ip r o p a g a t i o n ，a n d d o e sal o to fa n a l y s i so ff a c t o r sw h i c hw o u l dh a v ea ni m p a c to nw o r m p r o p a g a t i o n am o d e l i n v o l v e dw i t ht h o s ef a c t o r si sg i v e na sw e l l f i r s t l y ，t h ed e f i n i t i o n o ft h e p r o p a g a t i o na b i l i t y o fi n t e r n e ta t t a c k si s g i v e n ( t h ep r o p a g a t i o na b i l i t y o fa ni n t e r u e ta t t a c km e a n s ，t h ec o d eo ft h e a t t a c ki sc o p i e da n ds p r e a do u tf r o mas y s t e mt oa n o t h e rs y s t e mt h r o u g ht h e i n t e r n e tw i t h o u ta n yo t h e ri n t e r v e n e r s ，b u ta l lb yi t s e l f ”) a sp r o p a g a t i o ni s o n eo ft h ec h a r a c t e r so ft h ew o r m ，a l lt h ei n t e r n e ta t t a c k st h a tc a np r o p a g a t e a r ec a l l e dw o r mi nt h i s p a p e r a nb r i e fl i s t o fr e s e a r c h e sd o n eb e f o r ei s s h o w e di nt h i s p a p e r t h o s e r e s e a r c h e sa r ea b o u tt h ew o y i l l sf u n c t i o n ， t e c h n o l o g y ，p r o p a g a t i o nm o d e l ，e t c s e c o n d l y ，s o m en o t o r i o u sw o r m sa r ea n a l y z e di nt h i sp a p e r ( e g ，c o d e r e d1 1 ，n i m d a ，m s b l a s t e r ，e t c ) ad e s c r i p t i o no ft h eb a s i cf l o wo ft h ew o r m a n dt h em o d u l e si n v o l v e di nt h ew 0 1 t f la r eg i v e ni nt h i s p a p e r t h e r ea r e a n a l y s i sa n dc o m p a r i s o no fr e s e a r c h e s o nw o r m p r o p a g a t i o nm o d e lw h i c h w e r ed o n ei nt h e s e5t o10 y e a r si nt h i sp a p e r , a n dt h o s em o d e l sa r ec l a s s i f i e d i n t ot h r e et y p e sa c c o r d i n gt ot h e i rs t a t em o d e l ：s i ( s u s c e p t i b l e - - i n f e c t e d ) m o d e l ，s i s ( s u s c e p t i b l e - - i n f e c t e d - - s u s c e p t i b l e ) m o d e l a n d s i r ( s u s c e p t i b l e i n f e c t e d r e m o v e d )m o d e l 。 t h i sp a p e rl i s t st w or u l e st ob ef o l l o w e dw h e nc h o o s e p a r a m e t e r su s e d i n am o d e l ：a t o m i c ：a n de x e r c i s a b l e a c c o r d i n gt ot h o s et w or u l e s ，r e f e r r i n gt o w o r m p r o p a g a t i o nm o d e lg i v e nb e f o r e ，a n a l y z i n ge v e r yf a c t o rt h a tm a yp l a ya 些塞塑皇奎兰堑塞兰兰、业笙茎 堡当翌墼堑! ! 竺塞 r o l ei nw o r m p r o p a g a t i o n ，s o m ef a c t o r sa y ep o i n t e d o u ti nt h i sp a p e r , a n dt h e i r r a t i o n a l i t ya n dv a l u ea y eg i v e na sw e l l t h o s ef a c t o r sa r e ：s u s c e p t i b i l i t yo fa c o m p u t e r ，n u m b e r o f p a r a l l e lt h r e a d ，b a n d w i d t ho c c u p i e db y o n ew o r m c o p y , i n t e m e tb a n d w i d t h ，d e t e c t e dp r o b a b i l i t y ，p a t c hp r o b a b i l i t ya n dp r o p a g a t i o n d e l a y t h e r ea r ea l s os o m e f a c t o r sw h i c hc a nn o tb eu s e di ne x p r e s s i o nb u t c a nb eu s e di ns im u l a t i o n ，e g ，d e f e n s ed e l a y ，t h ep o l i c yu s e dt od e c i d en e x t v i c t i m ，s t a r t u pw a y o ft h ew o r m l a s t l y ，am o d e lw h i c hs h o w st h er e l a t i o n s h i po fa l lt h o s ef a c t o r sg i v e n b e f o r ew a sd e s c r i b e di n t h i sp a p e r d e f e n s ed e l a y ，d e t e c t e dp r o b a b i l i t ya n d p a t c hp r o b a b i l i t y a r e c h a n g e ds e p a r a t e l y i nt h es i m u l a t i o n s ，i no r d e rt o a n a l y z e h o wd e f e n s ea f f e c t sw o r n l p r o p a g a t i o n t h e r e s u l t so ft h o s e s i m u l a t i o n sm a yb e h e l p f u lt ow o r mp r e v e n t i o na n d d e f e n s e k e y w o r d s ：w o l q t l ，p r o p a g a t i o na b i l i t y ，p r o p a g a t i o nm o d e l ，s i rm o d e l ， a t o m i c ，e x e r c i s a t , l e 声明 独创- 眭( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究_ t + 作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容t 2 * l - ，论文中 不包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或 其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所 做的任何贡献均已在论文中作了明确的说明并表示了谢意。 中请学位论文与资料若有不实之处 本人签名：丑盏煎 本人承担一切相关责任。 日期：圣翌i 墨墨 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权 保留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅 和借阅：学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印 或其它复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文：；! 主释：本学位论文属于保密在一年解密后适用本授权书。非保密 论文注释：本学位论文不属于保密范围，适用本授权书。 本人签名： 导师签名： 日期： 2 缨量：型堡 日期：! 盟 ：i ：王曼 蠕虫扩散特征研究 1 1 引言 第一章绪论 随着计算机刚络的发展和普及，网络同口常生活、学习、工作的关系日益紧密， 网卜- 银行、电子商务、电子政务等依托于阚络的服务大量涌现。然而与此同时，对计 算机网络的攻击也目渐频繁。从1 9 8 8 年c e r t ( 计算机紧急响应小组) 由于m o r r i s 蠕虫事件成立以来，其统计到的i n m r n e t 安全威胁事件一直呈高速持续增跃。尤其 是近几年，各式各样的病毒、蠕虫大量涌现，其扩散能力强、覆盖面广、影响力强、 破坏力大的特性，给i n t e r n e t 的安全带来了极大的冲击：根据c e r t 的统计报告，2 0 0 0 年报告的安全事件为2 1 7 5 6 起，2 0 0 1 年和2 0 0 2 年报告的安全事件分别为5 2 6 5 8 起和 8 2 0 9 4 起，而2 0 0 3 年则更是达到了1 3 7 5 2 9 起【1 1 。这些安全事件给i n t e r n e t 带来了巨 大的经济损失，同时也使得网络安全问题成为全世界关注的焦点问题，很多国家都投 入了大量的人力、物力进行网络安全建设。 i n t e r n e t 面临的安全威胁是多种多样的，在进行本课题之前，我们已经对网络攻 击行为进行了一定程度的分类，并从网络攻击行为中抽取出一些重要属性对其进行描 述。在对分类结果进行统计和分析后我们发现，具有扩散能力的攻击在复杂度和危害 度上都远远超出一般的点对点攻击： 1 具有扩散能力的攻击的作用点通常不止一个。首先，这类攻击要通过网络 传播，所以隔络肯定是其作用点之一。自动搜索感染的攻击，通常需要通过网络 交换大量信息，这给网络带来了大量的数据流，蠕虫源代码的传播也足通过网络， 如果这并没有导致网络瘫痪，攻击强度只为弱：如果数据量过大，严重影响了网 络工作，或者说攻击的目的之一就是要使网络瘫痪，攻击强度则为强。其次，自 动搜索传播的攻击，通常要借助漏洞，如果利用的是缓冲区溢出漏洞，就对进程 造成了较强的攻击。再者。此类攻击为了隐藏自身，有时会对文件进行临时性修 改，有的还可能是永久修改，因此，还可能对文件系统形成较强的攻击；自动传 播的攻击在将攻击代码写入文件系统时，也对文件系统构成了强攻击。有的攻击 在完成后，会在受害系统中留下一个后门账户，这就对账户构成了较强的攻击。 如果攻击程序犬、营运行，会消耗大量资源，就可能对内存造成较强攻击： 2 由于具有扩散能力的攻击会对多个作用点都产生影响，因此攻击结果通常 也有多种表现，首先，这类攻击或是利用网络服务进行传播，如e m a i l 等，或是 蠕虫敞特征研究第6 萸共5 0 页 进行自动搜索，直接通过网络连接进行传播，因此，服务利用是此类攻击结果的 表现之。其次，此类攻击为了隐藏自身而对文件进行修改或删除，就产生了信 息修改的结果，另外，有的攻击传播时会为网络带来很大的负载，部分蠕虫( 如 c o d er e d ) 直接就是以堵塞网络为目的的，因此还会造成服务拒绝。而另一些攻 击，如m o r r i s ，是对主机的资源进行大量消耗，同样也能达到服务拒绝的结果。 有的攻击还会留下一个后门账户，这就实现了权限升级。对于自动搜索传播的攻 击来说，通常会对系统进行探测，检测漏洞情况，这就构成了信息的泄漏，不过 这只是攻击传播中的中间阶段，因此信息泄漏通常不作为最终的攻击结果；但如 果系统的系统信息、漏洞信息等在攻击实现后进一步散发出去，以便于以后的攻 击，那么信息泄漏也要作为攻击结果加以考虑了； 3 具有扩敞能力的攻击不同1 ：点对点的攻击，此类攻击可以在一定时l 砌内在 一定范围内自动进行扩散。攻击的扩散不仅增加了网络中受害机器的数量，攻击 传播过程中的数据交互也占用了大量的网络带宽，导致了网络性能的下降。并且 随着计算机性能的提高，以及攻击传播技术的发展，此类攻击扩散所耗费的时问 在不断减少，而攻击影响到的范围也早已突破了国界的范围，通常会造成国际性 的影响，并带来巨大的经济损失。 由此可见，从作用点、攻击结果、攻击强度和传播性等多个攻击属性来看，具有 扩散能力的攻击突出了其传播速度快、覆盖面广、影响力强，破坏力大等攻击特性， 其破坏力和影响力：邹远远甚于其他不具备扩散能力的攻击。从防御的角度上讲，如果 能够有效遏制攻击的传播，减少受影响的范围，也可以大大减轻攻击对网络造成的破 坏。 再结合当前网络安全形势来看，不难发现，具有扩散能力的攻击在网络攻击行为 中所占的比重正逐渐增加，其对于全球计算机网络所带来的破坏和影响也在逐步升 级。因此，对网络攻击行为的传播性特征进行重点研究，对于维护计算机网络世界的 安全能达到事半功倍的效果。很多研究中都采用了模型分析的方法，以便于剖析攻击 传播中的一些影响因素，更直观的反映攻击的传播趋势。这些模型的建立有利于对今 后的安全事件进行预测，可以推进安全防御技术的发展，为减少网络攻击造成的经济 损失提供相应的手段，对于网络安全事件的处理也有一定的指导意义。 1 2 研究范围说明 攻击代码的传播主要有三种途径：刁i 可移动的磁盘设备，可移动的磁盘设备， 网络。对于前两种途径来说，攻击代码的复制或移动都是用户在不知情的情况下完成 蠕虫扩散特，让可f 宄 第7 页共5 0 页 的，攻击代码在完成对文件的感染之后，并没有相应模块对代码的复制和进一步扩散 加以实现和控制，因此，这时的传播不能视作是攻击本身所具各的扩散能力。 在本文中，对扩散能力进行了如下定义： “1 叫络攻击的扩散能力是指，攻击代码仅在攻击的活跃个体的控制下，完成代码 副本的自我复制，并通过网络途径进行传播，实现由一个系统到另一个系统的扩散的 能力。” 在这个定义中，只强调了攻击代码自身对扩散的主导作用，而忽略了攻击代码的 触发方式以及代码是否为可独立运行的程序等其他特征差异。 由于网络攻击逐渐趋向复杂化，在一种攻击中可能既会表现出病毒的特征，又会 表现出蠕虫的特征，甚至还会具备后门等其他攻击特征，凼此同一种攻击，u j 能有时 被称为病毒，有时又被称为蠕虫；鉴于扩散是蠕虫的特征表现，在这里将具有扩散特 征的网络攻击统称作蠕虫。 1 3 国内外研究动态 1 9 8 8 年出现的m o r r i s 蠕虫，是第一例对较大范围内的网络造成重大影响的传播 性攻击，e u g e n eh s p a f f o r d 等人对m o r r i s 蠕虫都进行过详尽分析口j 。此后1 0 年间， 虽然又有新的蠕虫出王见，如a d m 蠕虫、m t u e t t t t i u m 蠕虫5 l 等，但由于它们都没有 对网络造成太大的影响，因此，并没有引起人们太大的关注，对于蠕虫扩散特征的研 究基本处于停滞状态。 1 9 9 8 年，s t e v er w h i t e 呼吁加大对蠕虫的研究力度【6 】，他指出，现有的防病毒 技术都是针对文件系统的，这些技术在防治蠕虫时不再适用。他认为人们忽视蠕虫研 究有两个原因：一是蠕虫在当时还比较少见，二是特定蠕虫只爆发一次，对于研究者 来讲，每次蠕虫爆发都是一个新的待研究的蠕虫。他认为针对蠕虫的研究主要分为检 测、分析和清除。 s t e v er w h i t e 所倡导的研究对于蠕虫的对抗来说是必要的，住修补系统、查杀 已有蠕虫以及抵御蠕虫的再次攻击方面有很大的指导意义，但是从对蠕虫的属性加以 把握的角度来看，研究的结果还应该经过理论上的进一步加工处理。 1 9 9 8 年底出现的h a p p y 9 9 网络蠕虫是第一个在i n t e r n e t 网上大规模传播的网络蠕 虫 7 1 01 9 9 9 年3 月，又爆发了m e l l i s a 网络蠕虫，使欧美一些大型网站频频受到堵塞， 造成了巨大的经济损失【7 j 。蠕虫事件的不断爆发，促使关于蠕虫的研究逐渐展开。2 0 0 1 年7 月c o d er e d 蠕虫事件发生，更是吸引了大批研究者对蠕虫的扩散特性进行分析 和建模。 蠕虫扩散特征研究 第8 页共5 0 页 从总体上看，国内外对蠕虫的研究主要集中在两个方面：对蠕虫功能、技术的分 析和对蠕虫扩散模型的分析。下面将进行简要说明。 1 3 1 对虫功能、技术的分析 已有的大多数针对蠕虫的研究主要集中在对特定蠕虫个体的分析匕。其中比较具 代表性的人物有：e u g e n eh s p a f f o r d ，他对m o r r i s 蠕虫进行了详尽的分析 3 1 ：m a x v i s i o n ，他分析了a d m 蠕虫【4 1 、m i l l e n n i u m 蠕虫f 5 等。国内也有一些类似的研究，如 左晓栋和戴英侠曾对“狮子”蠕虫进行过分析削。 2 0 0 0 年。i b m 开展了t a n w h a l l e y 项目，目的是开发一个自动蠕虫检测和分析的 软硬件环境【9 i ，项目中定义的蠕虫包含了所有能利_ 目j 网络传播的恶意代鸺( 如邮件病 毒) ，主要技术为用虚拟机构造蠕虫传播的网络环境。2 0 0 1 年，j o s en a z a r i o 等人| 1 州 讨论了蠕虫的技术发展趋势，给出了蠕虫的一个功能模型框架。 这类分析的共同特点就是，只是从功能和技术的角度对蠕虫进行了剖析，没有进 一步从理论上分析不同蠕虫所采用的技术手段的不同对于其扩散能力的影响。此外， 这些分析还割裂了蠕虫对于网络的依赖关系，没有分析网络环境对蠕虫行为的影响。 1 3 2 对蠕虫扩散模塑的分析 在对蠕虫扩散模型的分析上，比较突出的有n i c h o l a sw e a v e r ( p h dc a n d i d a t eo f u cb e r k e l e y ) ，他给出了几聃蠕虫的快速传播策略| 1 1 1 2 】，并预言了将会出现在半个 小时之内感染整个i n t e r n e t 的蠕虫。s l a m m e r 的出现证实了他的预言，不过s l a n - t r n e r 使用的仍然是最原始的随机目标选择策略，而不是他所提到的任何一种快速传播策 略。n i c h o l a sw e a v e r 还进一步讨论了蠕虫的传播策略i l ”，把传播策略分成五种：随 机扫描、外部目标列表、预先生成的目标列表、内部目标列表和被动传播，强调蠕虫 的检测、分析和响应需要实现自动化，认为对以往蠕虫的分析、数学建模和仿真是研 究蠕虫的主要手段，讨论了w o r m h o l e 和h o n e y f a r m 的功能和应用策略。n i c h o l a s w e a v e r 对蠕虫传摺策略的分析，为比较不同传播策略对蠕虫扩散能力的影响奠定了 理论基础，同时他还根据自己的研究经验，给出了一些科学有效的研究方法的建议。 另外，s l a m m e r 的出现也说明了攻击的扩散能力不是仅仅取决于其传播策略，而是还 会受到其他一些因素的影响。 i b m 的k e p h a r ：t 、w h i t e 和c h e s s 基于传染病模型对蠕虫的传染展开了系列研 究”4 ”j 。c l i f fc h a n g c h u nz o u ( 邹长春，p h dc a n d i d a t eo fu n i v m a s s a c h u s e t t s ) 以 c o d e r e d 蠕虫为例，讨论了基于微分方程描述的蠕虫扩散模型，考虑了人为因素对蠕 蠕虫扩散特 研艽 虫扩散的影响l 。d a v i dm o o r e ( c a i d a ，t h ec o o p e r a t i v ea s s o c i a t i o nf o ri n t e r n e td a t a a r l a l y s i s ) 提出r 衡量防治蠕虫的技术有效性的三个参数：响应时间、防治策略和布 置策略【1 7 i ，他认为目前的防治技术在这三个参数上都还远远达不到防治蠕虫的要求。 d u gs o n g 等人对蠕虫g 【起的网络流量统计特征傲了研究【1 8 】。这些研究中，一个比较 突出的问题是，缺乏对蠕虫整体特征的系统分析，基本上都是针对特定蠕虫( 如c o d e r e d 蠕虫) 进行研究、分析和建模。 国内在蠕虫方面的研究工作起步较晚，对于蠕虫扩散的理论研究也相对较少，其 中比较有参考意义是：北京邮电大学的郭祥吴等人在1 9 9 8 年给出了一个简单的蠕虫 扩散模型；南开大学的博士生郑辉对i n t e r n e t 蠕虫也进行过比较系统和深入的研究 | 2 0 】 1 4 本文的主要工作 给出了网络攻击扩散能力的定义。通过对各种蠕虫定义的分析，以及对网络攻击 的多种传掇途径的比较，给出了对网络攻击扩散能力的定义。 描述蠕虫扩散流程。通过对一些知名蠕虫的分析，并结合网络攻击的基本流程， 描述出蠕虫的基本扩散流程。 分析已有扩散模型。通过对已有蠕虫扩散模型进行分析，总结该领域内的现有研 究情况，对蠕虫扩散模型研究的发展动态进行介绍，分析当前蠕虫扩散模型研究中已 经取得的成果和存在的不足。 提出了模型中参量选择的基本原则。在分析已有扩散模型中所考虑过的参量的基 础上，从建模的角度总结出模型参数应当满足的两个基本条件。 提取影响蠕虫扩散的关键因子。通过对一些具有代表性的蠕虫的扩散行为进行分 析，并借鉴已有蠕虫扩散分析中使用过的参量，提取出蠕虫扩散过程中的一些关键因 子。 建立初步的蠕虫扩散模型。通过分析提取出的关键因子对蠕虫扩散的积极或消极 影响，依据蠕虫扩散过程中的状态迁移情况，得出关键因子和蠕虫扩散能力间的基本 逻辑关系，从而建立起初步的蠕虫扩散模型。 仿真验证蠕虫扩散模型。通过仿真，对得出的蠕虫扩散模型的合理性和正确性进 行验证。 1 5 本文章节安排 第一章绪论 蠕虫拶散特征研究第l o 页共5 0 页 第二章 第三章 第四章 第五章 第六章 参考文献 蠕虫扩散流程分析 现有蠕虫扩散模型分析 蠕虫扩散的影响因素分析 蠕虫扩散模型 结束语 【1 】“c a r n e g i e m e l l o n l u n i v e r s i t yc e r t c cs t a t i s t i c s1 9 8 8 2 0 0 4 ”，c e r t c o o r d i n a t i o n c e n t e r , h t t p ：w w w c a r t o r g s l a t s c e r t s t a t s h t m l 【2j 庄志川，程勇刚著。跟我学网络病毒防治，p 2 ，机械z , k 出版社，2 0 0 2 年 【3 1e u g e n ehs p a f f o r d ，“t h ei n t e m e tw o r mp r o g r a m ：0 na n a l y s i s ”，a c mc o m p u 比rc o m m u n i c a t i o n r e v i e w , 1 9 8 9 1 9f n p p ，1 7 5 7 1 4 】m a xv i s i o n ， “ab r i e f a n a l y s i s o ft h ea d mi n t e m e tw o r m h t t p ：w w w w h i t e h a t s c o m l i b r a r y w o n n s a d m 【5 】 m a xv i s i o n ， “o r i g i n a n db r i e f a n a l y s i s o ft h em i l l e n n i u mw o r m ” h t t p ：w w ww h i t e h a t s c o n l ，l i b r a r y w o r r n s m w o r m i n d e x h t r n l 【6 s t e v er w h i t e ， “o p e n p r o b l e m si n c o m p u t e r v i r u sr e s e a r c h ” h t t p ：w w wr e s e a r c h i b m c o m a n t i v i m s s c i p a p e r s w h i t e p r o b l e m s p r o b l e m s h t m l 1 7 1 “网络蠕虫病毒的发展”，江民公司h t t p ：w w w z e ig o v c n n e w s v i r u s z s 0 8 2 3 0 2 h t m 【8 】左晓栋，戴英侠，“狮子蠕虫分析及相关讨论”，计算机工程，v 0 1 2 8 ( 1 ) ，2 0 0 2 9 1 b i l l a r n o l d ，d a v i dc h e s s ，j o h nm o r a r , a l i as e g a l ，m o r t o ns w i m m e r “a ne n v i r o n m e n tf o r c o n t r o l l e dw o r m r e p l i c a t i o n a n d a n a l y s t s ” h t t p ；w w w r e s e a r c h i b m c o m a n t i v i m s s c i p a p e r s v b 2 0 0 0 1 n w p d f 1 0 1j o s en a z a r i o ，j e r e ：m ya n d e r s o n ，r i c kw a s h ，c h r i sc o n n e l l y ， t h ef u t u r eo fi n t e r u e tw o r m s ”， h t t p ：w w w c r i m e l a b s n e t d o c s w o r mh t m l 1 1 1 1 n i c h o l a s w e a v e r ,“p o t e n t i a l s t r a t e g i e s f o r h i g hs p e e d a c t i v e w o r m s ” h t t p ：w w wc s b e r k e l e y e d u n w e a v e r w o r m s p d f 1 2 1s t u a r ts t a n i f o r d ：mp a x s o n y , n i c h o l a sw e a v e n “h o wt oo w nt h ei n t e r n e ti ny o u r s p a r et i m e ” p r o c o f t h el l t hu s e n i xs e c u r i t ys y m p o s i u m f s e c u r i t y 0 2 ) ，2 0 0 2 【1 3 j n i c h o l a s w e a v e r ， “h o w m a n yw a y s t oo w nt h ei n t e r n e t ” h t t p ：w w w c s b e r k e l e y e d u 一n w e a v e r w o r m d e f e n s ep p t 1 4 1j e f f r e yok e p h a r t s t e v er w h i t e “d i r e c t e d g r a p he p i d e m i o l o g i c a lm o d e l so f c o m p u t e rv i r u s e s 1 0 蠕虫扩散特“l j 研究第1 1 页共5 0 _ 负 p r o c e e d i n g s 盯t h e1 9 9 1i e e ec o m p u t e rs o c i e t ys y m p o s i u m a nr e s e a r c hi ns e c u m t ya n d p r i v a c y , 1 9 9 1 p p 3 4 3 3 5 9 11 5 】j e f f r e y o k e p h a r t ，s t e v e rw h i t e “m e a s u r i n ga n dm o d e l i n gc o m p u t e rv i r u s p r e v a l e n c e ”， p r o c e e d i n g so f t h e1 9 9 9i e e ec o m p u t e rs o c i e t ys y m p o s i u m o nr e s e a r c hi ns e c u r i t ya n dp r i v a c y 【1 6 1c l i f fc h a n g c h u nz o n ，w e i b og o n g ，d o nt o w a l e y “c o d er e dw o r mp r o p a g a t i o nm o d e l i n ga n d a n a l y s i s ”9 t ha c m c o n f e r e n c eo nc o m p u 把ra n d c o m m u n i c a t i o ns e c u r i t y , 2 0 0 2 【1 7 j d a v i dm o o r e ，c o l l e e n s h a n n o n ，g e o f f r e yv o e l k e ra n ds t e f a ns a v a g e ，“i n t e r n e tq u a r a n t i n e ： r e q u i r e m e n t s f o r c o n t a i n i n gs e l f i p r o p a g a t i n gc o d e ， h t t p ：w w w c s cu e s d e d u u s e r s s a v a g e p a p e r s l n f o c o m 0 3p d f 【1 8 】d s o n g ，r m a l a n ，a n drs t o n e ，“a s n a p s h o t o fg l o b a li n t e r n e tw o r m a c t i v i t y ” h t t p ：w w w f i l 4 s t o r g e v e n t s p r o g c o n f 2 0 0 2 d 5 0 2 s o r t g s l i d e s ，p d f 【1 9 】郭祥吴，钟义信。“计算机病毒传播的两种模型”，北京邮电大学学报1 9 9 9 年第l 期 1 2 0 1 郑辉。“i n t e m e t 蠕虫研究”，南丌大学信息技术科学学院2 0 0 0 级博士论文，2 0 0 3 蠕虫j r 散特征研究第1 2 页共5 0 页 第二章蠕虫扩散流程分析 2 1 网络攻击的一般流程 在嘲络攻击中，对于攻击者来说，攻击目标的部分信息通常是未知的：此外，攻 击者还会尽量隐匿：自己的信息，并尽力使攻击目标察觉不到攻击的进行；因此，网络 攻击通常有很多准备工作和后续【作要完成。一般来说，一次完整的网络攻击主要分 为三个阶段：准备阶段，攻击实施阶段，后续阶段。 2 1 1 准备阶段 网络攻击总是针对特定的目标展开，这里所说的“特定”有如下两层含义： 第一，月标机器的位置是特定的。因为网络通信是点对点的，所以首先要确定目 标机器在网络中的位置，也就是t p 地址： 第一：，目标机器的漏洞是特定的。例如，对于有严格边界检查的程序来说，利用 缓冲区溢出进行攻击难度就比较大：而对于没有启用f 丁p 服务的机器来说，也不能 通过2 0 、2 l 端口进行攻击。针对特定的漏洞，可以确定相应的攻击手段。 准备阶段的主要工作就是确定攻击目标，这主要通过扫描来完成。扫描又分为两 种情况： 1 目标机器的位置已经确定，此时只需列漏洞进行扫描，以确定相应的攻击手 段。这种情况比较少见，可能是朋友之间的测试、恶作剧，或是他人的恶意破坏： 2 攻击手段基本确定，足针对特定的漏洞而进行的，此时要通过扫描确定具有 卡h 应漏洞的主机。这种情况比较普遍。 2 1 2 攻击实施阶段 在攻击目标和攻击手段确定之后，就可以在适当的时机展开攻击了。网络攻击的 手段有很多种，在此就不一一列举了。 在网络攻击中，攻击的实施通常只是为此后的工作进行铺垫，例如，利用缓冲区 溢出获得目标机器的管理员权限，通过密码攻击获得帐号、密码，甚至可以仅通过监 听网络数据流获得帐号、密码等敏感信息。 蠕虫扩敞特征研究 第1 3 页共5 0 其 2 1 3 后续阶段 除了d o s 、d d o s 这样以阻塞网络和影响服务正常进行为目的的攻击，以及恶意 毁坏数据等的攻击外，多数攻击的实施只是为了使攻击者能在目标机器e 获得更大的 权限，因此，一旦攻击成功，攻击者将在网络中拥有更广阔的活动空间。攻击者可以 在目标机器上安装木马、设置后门，还可以利用日标机器攻击其他机器，例如，d d o s 中真止实施攻击的机器不是网为接收到合法用户的指令，而是受到了其他攻击者的操 控。 2 2 蠕虫的工作流程 2 2 1 虫实例分析 下面以“冲击波”蠕虫为例，对蠕虫的工作流程进行分析。 1 建立一个名为“b i l l y ”的互斥体。这个互斥体就相当于蠕虫的感染标记，如 果该互斥体已经存在，蠕虫就会直接退出，不再执行下列操作； 2 对注册表进行操作，使蠕虫可以在开机时自动运行； 3 对当前日期进行判断；如果是在八月以后，或是在当月的1 5 口后，蠕虫会对 w i n d o w s u p d a t e 进行拒绝服务攻击； 4 生成i p 地址，作为下一个感染目标。目标选择算法为： 6 0 的i p 地址是随机生成的； 5 据包： 6 7 请求， 4 0 的i p 地址格式为a b c 0 ，其中a 、b 与感染源主机的i p 地址的前两 部分相同，c 是根据感染源主机的i p 地址的第三部分计算而得的。如果c 大于2 0 ，便从c 中减去一个小于2 0 的随机值。目标i p 地址的最后咭b 分 将从0 开始递增至2 5 4 ； 利用d c o mr p c 的缓冲区溢出漏洞。向目标主机的t c p1 3 5 端口发送t c p 数 如果溢出成功，蠕虫会启动目标机器上的c m d e x e 程序监听4 4 4 4 端口： 作为感染源的蠕虫监听u d p6 9 端口，如果源端蠕虫接收到目标主机发出的t f t p 就会向目标主机发送蠕虫副本m s b l a s t e x e 并让目标主机执行蠕虫。 2 2 2 囊虫基本工作流程 从2 2 1 中对“冲击波”蠕虫的分析中可以看出，作为网络攻击的一种，蠕虫的 蠕虫拶散特征研究 第1 4 页共5 0 页 工作流程同网络攻击的一般流程基本上是一致的，只是原来由攻击者完成的一些工作 现在被预置在了蠕虫代码中。蠕虫的工作流程如图2 一l 所示。 图2 - 1蠕虫工作流程图 图2 - i 描述的是单个蠕虫副本的工作流程，而不是蠕虫事件中蠕虫副本的循环扩 散过程，因此，将上传到目标机器上的蠕虫代码触发后，作为感染源的蠕虫就完成了 一次感染流程。在图2 1 中，从搜索攻击目标开始到触发蠕虫代码，便是蠕虫的扩散 过程。这是一个循研：过程，循环结束条件可能有多种，一般是在多次感染失败后跳出 循环，此时通常是到了蠕虫扩散的后期。蠕虫扩散时可能同时启动多个线程，在图 2 1 中只描述了单个扩散线程的工作流程。 在图2 一l 中，蠕虫被触发后，先进行了一系列功能操作，然后才进入蠕虫扩散的 蠕虫女散特征研究 鲰1 5 页共5 0 页 循环。蠕虫存扩散前进行的一r 作，通常是对注册表、文件系统等进行一系列的操作， 以确保蠕虫体以后的运行；还有就足设置一定的标记，避免重复感染；此外，还可以 在目标机器进行其他攻击行为，如创建后门、修改文件等。这些功能操作对蠕虫来说 不是必需的。 在实际攻击中，流程中每一步的界限不一定很清晰