（计算机软件与理论专业论文）基于体系对抗的网络蠕虫主动防御机制研究.pdf

西北大学硕士学位论文 摘要 在网络环境下，多样化的传播途径和复杂的应用环境使网络蠕虫发生频率 增高、潜伏性交强、覆盖面更广，给网络造成了极大的危害。事实证明，传统 的防病毒技术已不能满足网络蠕虫防治的要求，针对蠕虫攻击特征构建安全系 统成为蠕虫防治的一个重要发展方向。 本文以建立一个实时检测、主动防御网络蠕虫攻击的对抗体系为目标，对 体系模型以及对抗实施方案进行了深入的研究；讨论了蠕虫对抗的必要性，探 讨了利用知识获取、信息决策以及良性蠕虫对抗，构建体系对抗平台的研究思 路和实现方法。具体而言，论文的创新性研究内容主要包括以下几个方面： 1 、融合体系对抗思想，提出了一个支持主动防御理论的信息安全宏观模 型d p w p a r r c 。以此为支撑对s i r a 模型进行简化和改进，得到新的蠕虫对 抗模型s s i r a ( s i m p l es m h ) ，并且通过仿真实验对s s i r a 模型进行论证。 2 、利用h o n e y p o t 对蠕虫进行异常检测，改变了传统蜜罐的部署方式，提 出了d h a s 系统部署方案。通过引入了f p d s 检测算法，降低了a g e i s 系统对 变形以及多态未知蠕虫的误检率，并且对s a p p h i r es q l 蠕虫进行了测试，证明 了该算法能够为体系对抗中的信息决策提供保证。 3 、研究了良性蠕虫主体对抗技术。针对未知以及已知恶意蠕虫分别提出 了不同解决方案。对良性蠕虫的有效控制进行了深入研究，论证了分时段扫描 策略的必要性，并对后期传播策略进行了重点讨论，提出一种基于父子关系图 p c r d 的传播方法。 4 、构建了一个原型系统a e g i s ，并在系统中集成了经过改进的s s f n e t 实 验仿真平台。通过改变对抗环境，分析了不同条件下蠕虫对抗的效果，并对实 验结果进行了比较，从而证明了蠕虫对抗的有效性，为基于体系对抗的策略大 规模应用提供了有价值的数据以及参考方案。 实验证明，本文提出的系统具有良好的自适应性和开放式结构，有效结合 了体系对抗的相关技术，对蠕虫攻击具有高检测率和低误报率，并能及时有效 的防范蠕虫危机。 关：踺词：网络安全主动防御蠕虫体系对抗蜜罐系统 西北大学硕士学位论文 a b s t r a c t t h ed i v e r s ep r o p a g a t i o nw a ya n dc o m p l e xa p p l i c a t i o nc o n d i t i o n sb r i n gw o r m e r u p t i o ni nf f e q u e n c nl a t e n c ya n do v e r c a s t ，t h e r e f o r et h ew o r md o e sv e r ys e r i o u s c r i s i st ot h en e t w o r k t h ef a c ts h o w st h a t ，t h et r a d i t i o n a la n t i v i r u st e c h n i q u ec a n n t s a t i s f yn e t w o r kw o i t l lp r e v e n t i n ga n dc o n t r o l l i n g c o n s t r u c t i u gt h es e c u r i t ys y s t e m i nv i e wo ft h ew o r ma t t a c kc h a r a c t e r i s t i ci sb e c o m i n go n eo ft h em o s ti m p o r t a n t r e s e a r c ho b j e c t s a i m i n gt oi m p r o v et h er e a l t i m e o fd e t e c t i o na n dd e f e n s e ，t h i sd i s s e r t a t i o n f o c u s e so nt h es y s t e mc o u n t e r m e a s u r e so fw o r n ld e t e c t i o na n da c t i v ed e f e n s e t h e n e c e s s a r yo fa n t i - w o r m i se x p a t i a t e d t h em e t h o dt h a tr e s o l v e st h ea d a p t a t i o no f s e c u r i t ys y s t e mu s i n go b t a i n e dk n o w l e d g ea n dd e c i s i o n - m a k i n g ，g o o dw o r m i sa l s o i n c l u d e dt oc o n s t r u c tac o m b a tp a l t f o r m 1 、t h em a c r om o d e ld p w p a r r ci sp r o v i d e d a n a l y s i sr e s u l t ss h o wt h a t ，t h i s m o d e l s u p p o r t sa c t i v ed e f e n s ee x t e n s i v e l ya n dc o m b i n e sc o u n t e r m e a s u r e st h e o r y a n e wg o o dw o r mm o d e lo fs s i r ai so b t a i n e db ys i m p l i n ga n di m p r o v i n gt h em o d e l s i r a , w h i c hi sd e m o n s t r a t i n gb ys i m u l a t i o ne x p e r i m e n t 2 、a na n o m a l yd e t e c t i o nm e t h o db a s e do nh o n e y p o ti ss t u d i e d ，a n dt h e t r a d i t i o n a lm e t h o do fh o n e y p o td e p l o y i n gi sc h a n g e d a d d r e s s i n go nd h a s d e p l o y i n gm e t h o d ，t h ed e t e c t i o na l g o r i t h mf p d si si m p o t e d t h em i s d e t e c tr a t eo f d i s t o r t i o nw o r m si sr e d u c e d at e s to ns a p p h i r es q lw o r m sp r o v e dt h a tt h i s a l g o r i t h mi se f f e c t i v e 3 、c o u n t e r - a t t a c ko f u s i n gg o o dw o r mi sa l s od i s c u s s e d t h ed i f f e r e n ts o l u t i o n s a r eb r o u g h if o r w a r db e t w e e nt h ek n o w nm a l i c ew o r l t i sa n dt h eu n k n o w nm a l i c e w o r m s t h ep o l i c i e so fc o n t r o l so n g o o dw o f i t i s a r ea l s os t u d i e d d e e p l y d e m o n s t r a t i n gt h e n e c e s s a r i e sf o rs u b - p e r i o d ss c a n n i n gs t r a t e g ya n df o c u s i n go nt h e l a t t e rp a r to ft h es p r e a ds t r a t e g y , t h ed i s s e r t a t i o np r e s e n t sas p r e a dp l a nb a s e do n p c r d 4 、b u i l d i n g t h es i m u l a t i o nt e s t p l a t f o r m b yc h a n g i n g e n v i r o n m e n t a l p a r a m e t e r sc o n f r o n t a t i o n ，t h ee f f e c t so fd i f f e r e n tc o n d i t i o n so nw 0 1 t nc o n f r o n t a t i o n a r ee x a m i n e d ，a n dc o m p a r a t i v ea n a l y s i so ft h et e s tr e s u l t si sd o n e t h ep l a t f o r mf o r 西北大学硕士学位论文 一 一 l a r g e 。s c a l ea p p l i c a t i o n sb a s e do nt h es y s t e mo f c o n f r o n t a t i o n p i _ 0 v i d e dv a l ua _ b l ed a t a a n di n f o r m a t i o np r o g r a m m e s s 1 m u l a t l o ne x p e r i m e n t sa r eu s e dt o v e r i f yt h ev a l i d i t yo f a e g i s e x p e r i m e n t a l r e s u l t ss h o wt h a tt h ep r o v i d i n gs y s t e mi s s e l f - a d a p t i v ea n do p e ni na r c l l i t e c t l l r e 5 1 n c 8t h ew o 叻d e t e c t i o na n da c t i v ed e f e n s ei sc o m b i n e de f f i e i e n t l y i nt h i ss 四e i l l 。 i tc a l la c h i e v eal l i 曲d e t e c t i o n r a t ea n dv e r yl o wf a l s e p o s i t i v er a t ei nw o 肌 d e t e c t i o n , a n dc a np r o m p te f f e c t i v eg u a r da g a i n s tw o r m c r i s i sa c t i v e l 弦 k e yw o r d s ：n e t w o r ks e c u r i t y , a c t i v ed e f e n s e ，w o r m ，a r c h j t e c t i l r a lc o u n t e 卜a n a c k h o n e y p o t 西北大学学位论文知识产权声明书 本人完全了解学校有关保护知识产权的规定，即：研究生在校 攻读学位期间论文工作的知识产权单位属于西北大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和电子版。本人允许 论文被查阅和借阅。学校可以将本学位论文的全部或部分内容编入 有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存 和汇编本学位论文。同时，本人保证，毕业后结合学位论文研究课 题再撰写的文章一律注明作者单位为西北大学。 保密论文待解密后适用本声盟。 、 学位论文作者签名：聋巫指导教师签名：鳓 删年f 月二日。慨厂月z 日 西北大学学位论文独创性声明 本人声明：所呈交的学位论文是本人在导师指导下进行的研 究工作及取得的研究成果。据我所知，除了文中特别加以标注和 致谢的地方外，本论文不包含其他人已经发表或撰写过的研究成 果，也不包含为获得西北大学或其它教育机构的学位或证书而使 用过的材料。与我一同工作的同志对本研究所做的任何贡献均已 在论文中作了明确的说明并表示谢意。 学位论文作者签名 幽年只 西北大学硕士学位论文 第一章前言 本章首先介绍了课题的研究背景和意义，随后阐明了课题研究的主要内容 和目的，最后给出了论文的章节安排。 1 1 研究的背景和意义 蠕虫本来是个生物学名词，在1 9 8 2 年由x e r o xp a r c 的j o h nf s h o c h 等 人最早引入计算机领域，并给出了计算机蠕虫的两个基本特征：“可以从一台 计算机移动到另一台计算机”和“可以自我复制”。而早在1 9 8 0 年，x e r o xp a r c 的研究人员已经编写了最早的蠕虫，用来尝试分布式计算。1 9 8 8 年1 1 月2 日， 历史上第一个具有破坏作用的网络蠕虫m o r r i s 发作，它通过f m g e r d 、s e n d m a i l 、 r e x e c r s h 这3 种系统服务中存在的漏洞进行传播，几天之内造成6 0 0 0 多台 i n t e m e t 服务器被感染而瘫痪。之后，e u g e n e h s p a f f o r d 为了区分蠕虫和病毒， 从技术角度上给出了蠕虫的定义，“计算机蠕虫可以独立运行，并能把自身的 一个包含所有功能的版本传播到另外的计算机上”。 近年来出现的蠕虫其传播速度之快和影响范围之广已经超过了人工应对 能力的极限，从1 9 8 8 年c e r t ( 计算机紧急响应小组) 成立以来，统计到的安 全事件呈指数级增长，这些安全事件最大的威胁是占用大量的带宽，导致正常 的网络访问无法进行。 网络蠕虫是一种严重威胁信息系统安全的恶意程序，具有自我复制和自动 传播的功能。它利用自身所特有的植入功能，利用多种途径进驻目标主机，搜 集目标主机中的各种敏感信息，并通过网络与外界通信，发回搜集到的各种敏 感信息，接受植入者的各种指令，完成各种操作。蠕虫大量的自我复制和传播 占用大量网络资源，引起网络阻塞甚至网络瘫痪，最终造成巨大的经济损失。 目前蠕虫研究主要集中在蠕虫功能结构、工作机制、扫描策略、传播模型 及蠕虫对抗技术方面，s p a f r o r d 首次对m o r r i s 蠕虫的功能结构和工作机制进行 了剖析。u cb e r k e l e y 的n i c h o l a scw e a v e r 对网络蠕虫的快速扫描策略进行了 分析研究，并实现了w a r h o l 实验蠕虫，理论推测该蠕虫能在3 0 分钟内感染整个 互联网。i b m 的k e p h a r t ，w h i t e 和c h e s s 在1 9 9 1 年至1 9 9 3 年对病毒传播模型 进行了研究，在此基础上，邹长春等人以c o d e r e d 为例，讨论了基于微分方程 的双因素蠕虫传播模型。 在蠕虫对抗领域，1 9 9 8 年，i b m 的s t e v er w h i t e 认为传统的单机防病毒 西北大学硕士学位论文 技术已不再适用于对蠕虫的防治。2 0 0 0 年，m m 启动对抗网络蠕虫的项目，力 求开发一个自动检测和防御蠕虫的软硬件环境。d u gs o n g 等人对蠕虫引起的网 络流量统计特征做了研究，力图通过对网络流量异常检测实现对网络蠕虫的防 范。d a v i dm o o r e 提出了衡量蠕虫防范系统有效性的3 个参数：响应时间、防 范策略、部署策略，并认为目前蠕虫防范系统在这3 个参数上还难以达到要求。 网络蠕虫强的破坏力使安全问题面临严峻的考验，针对网络蠕虫的防御， 人们从传统的单纯的静态防御转向动态防御，从被动防御转向主动防御。在网 络蠕虫防治技术中，传统的防病毒技术、操作系统加固技术和防火墙技术等都 属于静态安全防御技术，这些方法虽然可以部分地解决系统的安全问题，但对 于复杂多变的蠕虫攻击缺乏主动反应。随着计算机网络的迅速发展，蠕虫的传 播越来越快，其带来的危害也越来越大。然而现有的防御体制对蠕虫的遏制效 果收效甚微，而且不能从根本上遏制蠕虫大规模爆发的可能。如何有效地防范、 遏制蠕虫的传播已经成为了研究热点。从国家安全利益出发，仅仅满足被动的、 分散的、以封堵已发现的安全漏洞为目的的研究已经不能满足社会需求，而必 须从基础着手，对网络环境下的信息安全开展强力度的对抗性研究。 因此，研究大规模网络环境下，结合信息对抗理论和相关策略，从传统的 良性蠕虫单点对抗转向针对网络蠕虫的立体防御体系建立，充分联动网络安全 组件，以知识获取和信息决策为辅助支撑，融合当前安全领域的良性蠕虫对抗 技术，构建一个有效的蠕虫动态防御体系是非常有意义的。 1 2 研究的目的和内容 本文研究目的：提出一个基于体系对抗的网络蠕虫动态防御模型。在该模 型中应用多个良性蠕虫作为智能对抗主体来对抗日益复杂的网络恶意蠕虫。通 过搭建仿真实验平台，在辅助对抗策略的保证和支持的前提下，利用多个主体 的合作，以交互协议的方式模拟物理社会中的安全组织的形成过程，仿真生物 学领域病毒对抗的方式，最终构建一个协同的动态对抗体系。 本文的主要研究内容如下： 1 、突破了传统的单点对抗的束缚，充分利用体系对抗思想与理论，以良 性蠕虫作为主要对抗技术，利用知识获取、信息决策为辅形成体系对抗。实验 表明该方案在解决蠕虫整体防御方面具有更大的优势。 2 、分析了传统的信息安全模型存在的不足，在充分考虑主动防御理论的 基础上，结合对抗响应策略，建立了一个信息系统攻击与对抗过程中广泛适用 西北大学硕士学位论文 的基础性抽象体系的宏观安全模型d p w p a r r c ，以此推动信息安全与对抗系 统层次上的研究。以d p w p a r r c 为依托，结合蠕虫对抗的行为和特点，提出 了一个a e g i s 网络蠕虫主动防御系统的结构模型，给出了a e g i s 模型对应的系 统框架。在系统框架中对s i r a 模型进行简化和改进，提出对抗双方数学模型 s s i r a ( s i m p l es m a ) ，在仿真环境下通过实验对s s i r a 模型进行论证。 3 、引入双蜜罐阵列的体系架构，通过区别定义i n b o u n d s 和o u t b o u n d s 主 机，捕获未知恶意蠕虫样本，根据样本提出了利用f p d s 方法分析变形和多态 蠕虫，并利用e m 算法进行确认。改造原型蠕虫产生变形多态蠕虫的实验证明， 该方法能够有效地检测未知蠕虫及其变体。 4 、对良性蠕虫对抗过程进行了深入分析，讨论了良性蠕虫交互过程对网 络整体性能的影响，选取了典型传播特征的蠕虫为实验样本，利用分时段扫描 策略避免网络流量的拥塞，并且对后期传播算法进行了比较研究。通过改进文 献 6 9 】感染节点汇报机制，优化群体感染数量统计，预先确定良性蠕虫繁衍过 程，提出一种基于父子关系图p c r d ( p a r e n t c h i l d r e l a t i o n + d i a g r a m ) 的传播 方法。系统应用表明，p c r d 传播方法能够减轻对正常网络流量的影响。 5 、利用s s f n e t 蠕虫仿真平台对不同条件下的传播进行了实验，验证了蠕 虫对抗的基本策略，讨论了在感染条件下良性蠕虫带毒杀毒的方法，通过改变 环境参数比较分析了不同条件下的对抗实施效果。 1 3 论文的主要贡献 本节介绍本文研究工作的主要贡献： 1 、提出了基于体系对抗的蠕虫防治模型，突破了单点对抗的概念，将知 识获取、信息决策和良性蠕虫结合从而构成完整的对抗体系，改变了传统的消 极防御策略，将被动防守变为主动遏制。 2 、设计并实现了一个基于体系对抗的蠕虫防御原型系统a e g i s ，通过实际 应用对所提出的模型进行了检测，实际运行表明，原型系统达到了实验目的， 实现了实验的基本要求。 3 、通过大量的实验仿真，研究了在对抗条件下良性蠕虫与恶意蠕虫交互 过程中产生的问题，并对这些问题进行了深入研究和分析，为体系对抗蠕虫防 御系统的大规模部署提供了有价值的数据以及指导方案。 西北大学硕士学位论文 1 4 论文结构和章节安排 本文的章节安排如下： 第二章主要介绍了蠕虫的主动防御机制与对抗理论，提出了体系对抗的思 想，分析讨论了对抗网络蠕虫面临的问题。 第三章主要介绍动态防御信息安全模型，通过对现有的模型进行分析比 较，提出了改进的d p w p a r r c 模型，并以此模型为参考，结合体系对抗相关 理论提出了一个蠕虫对抗系统a e g i s 结构模型，重点对该模型进行分析。 第四章结合前两章的结论，在体系对抗前提下，对蠕虫体系对抗中的知识 获取进行了研究，分别讨论了公共知识获取和环境知识获取方法与策略。公共 知识获取包含了安全漏洞知识与网络攻击知识两大部分；环境知识获取主要讨 论知识获取以及如何更新的问题。 第五章阐述信息决策辅助对抗技术研究，首先分析入侵检测子系统中引入 基于s n o r t 误用入侵检测引擎的思想和优势；然后通过部署双蜜罐系统讨论基 于h o n e y n e t 的蠕虫异常检测方法；最后对蠕虫攻击行为的认知以及安全威胁 评估和决策形成进行了讨论。 第六章主要介绍良性蠕虫主体对抗技术，全面分析了良性蠕虫产生的背 景，讨论了良性蠕虫的产生与协作问题，最后对良性蠕虫的传播策略进行研究。 第七章主要介绍a e g i s 系统的实现，在此基础上，给出了一系列蠕虫对抗 仿真实验，并且对实验结果进行分析。 第八章对全文进行了总结，并对未来工作做了进一步的展望。 4 西北大学硕士学位论文 第二章蠕虫主动防御机制与对抗理论 传统的被动防御往往是在安全事件发生之后对信息系统采取有针对性的 措施来降低事件对系统的整体风险。这样做会大大延长对事件的响应时间。而 在信息系统安全中及时地检测与迅速采取相应措施是降低系统整体风险的关 键。本章首先介绍蠕虫检测和防御技术的现状：然后阐明了主动防御机制中体 系对抗的思想以及相关理论；最后针对对抗网络蠕虫的不足，从网络安全防御 的角度，指出当前对抗网络蠕虫面临的问题。 2 1 蠕虫防御现状 长期以来，应对蠕虫威胁的传统做法是：一旦蠕虫爆发，尽快捕获样本， 再尽快破译病毒特征，并尽快去部署该病毒特征，然后寄希望于它能够迅速清 除蠕虫并且阻截该威胁的蔓延。这种方式一度比较有效，但是近年来，特别是 冲击波事件已经体现这种基于特征的响应方式效果不佳，该蠕虫在造成2 0 亿 美元损失后冲击波才基本被控制。 蠕虫传播表明，对于在不久的将来很可能出现的几分钟甚至几秒钟之内就 可以发作的超速蠕虫而言，当其传播速度和实现完全感染相关主机的速度比人 工或自动化系统生成和部署病毒特征的速度快得多时，原有的基于威胁的模式 已经效果甚微。p r o b eg r o u po f c e d a r k n o l l s 组织的一位分析家认为：未来蠕虫 的传播时间仅以秒计。如f l a s h 蠕虫能在3 0 秒内感染所有存在漏洞的主机，能 在几百毫秒内感染一个企业的所有主机【1 1 。因为当蠕虫爆发，滞后的特征响应 方式会让用户付出沉重的代价，所以，在防御蠕虫的策略上，越来越多的研究 人员正在关注一种新的防御机制主动防御。 2 2 主动防御机制 主动防御一词来源于英文“p r o a c t i v ed e f e n s e ”。其确切含义为“前摄性防 御”，是指由于某些机制的存在，使攻击者无法完成对目标的攻击。由于这些 前摄性措施能够在毋须人为被动响应情况下预防安全事件，因此，又称为主动 防御。主动防御技术可以分解成两个关键点：防御和主动性。防御突出了主体 客体与被访问之问的关联。主动性强调了安全动态的本质，静态、被动的防护 体系无法有效的完成动态安全的保障。所谓“道高一尺，魔高一丈”，安全也 西北大学硕士学位论文 是在这种攻击和保护的交替发展中推进的。只有主动进行防御，才能保证在交 锋的过程中占据优势。 防御一直是安全技术的核心。从动态安全基本模型看，安全机制规划分为 两个分支：一方面是持续的防护，另外一个方面是检测配合响应，两个方面达 到相同的目的，抵御和减低风险。 主动防御是一系列安全机制的共同特征，是从信息交换最基本的过程出发 得到的，因此，它是安全技术框架的核心。以主动防御为核心的技术框架可以 分为主动控制、主动避免和主动抵御三个环节。主动控制是规范约束主体操作， 使其从主观和客观两方面都不能违反策略访问客体；主动避免是对操作过程本 身和通信载体的保护；主动抵御是客体通过提升自身的安全水平或依赖某些检 测机制降低主体可能对自身造成的破坏。 综上所述，本文认为：主动防御是为了提高网络系统的防御功能，采取主 动攻击的方法，对网络系统的安全性能进行扫描、攻击和检查测试，及时发现 网络系统上存在的安全问题，针对相应的问题给出相关安全措施和建议，同时 进行响应的修补和配置，用于提高网络系统的防御功能。 2 3 信息对抗与体系对抗 2 3 1 信息对抗 1 9 8 3 年，美国计算机安全专家f e d r e dc o h e n 通过实验证明了计算机安全 病毒实现的可能性，并于1 9 8 4 年在美国国家安全会议上演示了病毒的实验【2 】。 至此，计算机病毒由幻想变成现实，围绕计算机病毒对抗的工作一直延续到现 在，目前还没有完全有效的方法解决p 】。 信息对抗( i n f o r m a t i o no r ，e r a t i o n ) 概念最初来自于二十世纪八十年代信息 战( i n f o r m a t i o n w a r f a r e ) 演变而成。1 9 9 6 年，美国国防部对1 9 9 2 年的绝密的信 息战指令修订成为信息对抗指令，该指令给出了信息对抗的定义“在任 何时候，为影响敌方的信息和信息系统，同时保护己方信息与信息系统所采取 的各种行动”，在“信息对抗”定义的基础上对信息战的重新定义是： “在危 机或冲突期间，为达到或支持某些特定目标，针对一个或多个特定的敌方所进 行的信息对抗”。显然，信息战仅是“信息对抗”下的一个概念子集，其含义 已趋向于指挥控制战，两者的区别仅在于后者的作战目标限定在指挥控制系统 及其能力上卜j 。 信息对抗严格上说是信息谋略范畴的内容，是讨论如何从多个角度或侧面 来获得信息并分析信息，或者在信息无法隐藏的前提下，通过增加更多的无用 西北大学硕士学位论文 信息来扰乱获取者的视线，以掩藏真实信息所反映的含义。从本质上来看，信 息对抗是在信息熵的保护或打击层面上讨论问题，也就是围绕着信息的利用来 进行对抗。 信息对抗包括进攻性信息对抗和防御性信息对抗。进攻性信息对抗手段有 心理战、电子战、欺骗、信息攻击、网络攻击和实体摧毁；防御性信息对抗手 段有安全措施，欺骗对抗、情报对抗和心理对抗等。 信息对抗 5 】的研究目标是建立起信息对抗理论体系，开发新型的信息安全 防御方法，抢占信息安全制高点。能够在提供有效的信息安全理论方法和可行 的安全产品用于保护已方的信息、信息处理过程、信息系统和基于计算机的网 络的同时，通过影响敌方的信息、信息处理过程、信息系统和基于计算机的网 络来获取信息优先控制权所采取的行动，以满足国家利益、社会、个人信息安 全需要。 根据对抗的区域角度来分析，信息安全对抗又可以分成点一点对抗、系统 一系统对抗和体系一体系对抗。战争系统的复杂性导致战争模拟的困难。特别 是信息化的战争更强调整体性，更加强调体系对抗。文献 6 指出，随着高新技 术不断发展，现代战争作战要素发生了改变：战场对抗由单一对抗向体系对抗 转变；作战样式由传统方式向非接触、非线性和非对称作战转变：战场空间由 一维、二维、三维向陆、海、空、天、电多维空间转变：制海权、制空权和制 信息权的地位越来越突出。体系对抗在对抗策略中的地位越来越重要。 2 3 2 体系对抗 现代汉语言词典( 第二版) 对“体系”解释是：“若干有关事务或某 些意识相互联系而构成的一个整体”。在英文中，体系的单词是a r c h i t e c t u r e ， 韦氏词典中给出的定义内容有：各个组成部分的搭配和排列；建筑物上承载重 力或外力部分的构造；建筑的艺术或者科学建造的方法、风格；计算机或者计 算机系统各部分的组织与集成方式。 体系对抗就是关于对抗系统的最高层概念的抽象，它给出了对抗系统的基 本组成单元以及基本功能，描述了对抗组成单元的相互关系以及集成的方法， 刻画了支持对抗单元的有效运转机制，同时给出了抽象分析理解对抗体系的方 法。 蠕虫对抗是信息对抗的一种表现形式，它借助信息对抗的相关理论和策略 结合蠕虫本身的特点进行研究。蠕虫对抗主要涉及到有关防御、检测、恢复、 攻击、评估等理论方法和技术。传统的蠕虫防御研究侧重于防守，而蠕虫对抗 不仅强调防守，更注重对敌攻击方法的研究。从信息安全对抗主体来看，蠕虫 西北大学硕士学位论文 对抗既属于个体与个体对抗，也属于体系与体系之间的对抗。 总之，信息安全对抗技术的研究发展趋势总体上是多学科技术融合，新的 方法在不断出现。在实际安全对抗过程中，对抗系统集成了不同方面的技术， 信息安全对抗技术将以安全体系对抗为中心，向更智能化、主动化的方向发展。 2 4 对抗网络蠕虫面临的问题 前面一节介绍了防御技术的研究现状，对抗理论在蠕虫防御中的使用情 况，通过归纳得到当前采用对抗思想遏制网络蠕虫还存在以下几个问题： l 、缺乏基于体系对抗的整体防御平台。目前很多机构和部门都购置了各 种不同性质的安全产品，比如：防火墙、漏洞扫描器、系统实时监控器、防病 毒软件等。这些产品由于缺乏统一安全管理平台对它们进行统一的安全管理和 配置，所以难以达到整体防御的目的。 2 、当前运用的良性蠕虫单点对抗的方法存在一定的缺陷，构建蠕虫防御 体系是一个动态和庞大的系统工程，采用单点对抗的方法脱离了蠕虫产生的原 理和繁殖的环境。相反，运用完整的体系对抗思想，从蠕虫爆发开始进行有效 的对抗遏制，尽量延缓其爆发的时间。 3 、蠕虫检测防御系统缺乏对异构平台的支持。大多数的蠕虫检测系统都 是针对特定平台设计的，因此缺乏很好的可移植性和可复用性。 4 、缺乏对蠕虫采取主动防御。大部分蠕虫检测系统都局限于在检测系统 发现蠕虫攻击之后，被动采取防御措施，使蠕虫防治始终处于被动的局面。 总之，网络蠕虫防治还处于发展和完善时期。本文主要研究基于体系对抗 主动防御系统的关键问题。 2 5 本章小结 本章首先介绍了网络蠕虫的防御现状，然后结合本文研究的问题，在引入 主动防御理论的基础上，着重分析了信息对抗与体系对抗的相互关系，最后给 出了当前对抗网络蠕虫存在的缺陷。本章的讨论分析，为对抗思想的引入和主 动防御模型的建立提供了理论基础。 西北大学硕士学位论文 第三章蠕虫体系对抗模型研究与设计 随着信息科学与技术的发展，安全与对抗已经成为系统中的固有问题，存 在信息系统就存在信息安全与对抗的问题。但是信息系统的复杂性决定了信息 安全与对抗问题的复杂性，对于复杂性系统或问题，不仅需要单项技术或单元 性技术的研究，更需要从系统的角度进行分析，建立系统研究的理论与技术体 系，所以对于信息系统安全与对抗问题，通过形成信息安全与对抗的工程系统 理论，为具体的安全与对抗问题的研究，以及系统设计提供理论与技术的指导， 为复杂的信息安全与对抗的系统设计提供从定性到定量的综合集成方法，提高 安全系统的分析、设计、评价的高效率、高成功率 7 】。 本章通过对传统信息安全模型的介绍，首先分析了传统的信息安全模型存 在的不足，在充分考虑主动防御理论的基础上，结合对抗响应策略，建立了一 个信息系统攻击与对抗过程中广泛适用的基础性抽象体系的宏观安全模型 d p w p a r r c ，以此推动信息安全与对抗系统层次上的研究。然后以d p w p a r r c 为 依托，结合蠕虫对抗的行为和特点，提出了一个a e g i s 网络蠕虫主动防御系统 的结构模型，并对该模型进行了数学分析和论证，最后给出了a e g i s 模型对应 的系统框架。 3 1 动态防御信息安全模型 以防火墙和防病毒卡等技术为代表的静态防御体系模型，被称为第一代安 全体系，其安全模型很像中国的“万里长城”，主要是追求封堵漏洞，随着计 算机黑客技术的发展，这种模型已经不再适应现代用户对信息安全的要求【8 】。 随着人们对信息安全认识的深入，其动态性和过程性的发展要求愈显重要，在 原来侧重防护技术的体系基础上，又先后诞生了诸如p d r 、p 2 d r 、p d r r 这样的 动态的生命周期性的体系模型。信息安全已经从侧重保密性、完整性、可用性 防护的阶段逐渐发展成防护、检测、响应、恢复并重的完整的信息保障阶段， 美国的i a t f 框架正是对这一思想的集中表述。 接下来本节主要对信息安全体系发展过程中一些重要模型做简单介绍。 3 1 1p 2 d r 安全模型 西北大学硕士学位论文 1 9 8 5 年美国国防部( d o d ) 国家计算机安全中心( n c s c ) 发布的可信计 算机安全评估准则( t c s e c ) 。这个准则的发布对操作系统、数据库等方面的 安全发展起到了很大的推动作用。但是随着网络的深入发展，这个标准已经不 能完全适应当前的技术需要，因为这个主要基于h o s tt e r m i n a l 环境的静态安全 模型和标准无法完全反应分布式、动态变化、发展迅速的i n t e m e t 安全问题。 9 0 年代末，美国国际互联网安全系统公司( i s s ) 提出了自适应网络安全模型 a n s m ( a d a p t i v e n e t w o r ks e c u r i t ym o d e l ) ，并联 合其他厂商组成a n s 联盟，试图在此基础上建立 网络安全的标准。a n s m 模型即可量化、可证明、 基于时间的、以p d r 为核心的安全模型，亦称为 p 2 d r ( p o l i c yp r o t e c t i o nd e t e c t i o nr e s p o n s e ) ( 图 3 1 ) 。p 2 d r 模型给网络安全管理提供了方法。所 有的安全问题都可以在统一的策略指导下，采取 防护、检测、响应等不断循环的动态过程。其中： 图3 - 1p 2 d r 模型 安全策略是模型的核心，为整个网络安全的i ：lx 土米”口魁恍土uj 1 凭l j 。，v 拦lr ) 二= 酉x 土j 依据。所有的保护、监测、响应都是依据安全策略实施的。安全策略的建立包 括安全策略的制定、评估、执行等，制定可行的安全策略取决于对网络系统的 了解程度。 检测是动态响应和加强保护的依据，也是强制落实安全策略的有力工具。 利用检测工具如：入侵检测，漏洞扫描等来动态检测和监控网络，发现新的威 胁和漏洞，了解和评估系统的安全状态，通过循环反馈来及时做出有效的响应。 响应在网络安全系统中占有重要的地位。它根据检测结果采取进一步的防 护措施增强系统的安全性。要解决好响应问题就需要制定好紧急响应的方案。 防护是通过一些静态的安全技术来实现，比如访问控制、加密、认证、信 息隐藏、防火墙技术等防范措施。 p 2 d r 模型体现了防御的动态性和基于时间的特性：他强调了系统安全的动 态性和管理的持续性，以入侵检测、漏洞评估和自适应调整为循环来提高网络 安全。 3 1 2p d r r 安全模型 p 2 d r 模型基本上已经体现了比较完整的信息安全体系的思想，勾画出信 息安全体系良好的表现形态。p 2 d r 模型可以作为我们安全实践活动的目标指 南，为信息安全建设的最终结果提供检验的依据，近十年来，该模型被普遍使 用，已经成为信息安全事实上的标准。 西北大学硕士学位论文 p 2 d r 也有它不够完善或者说不够明确的地方，模型对系统恢复的环节没 有足够重视。在p 2 d r 模型中，恢复( r e c o v e r y ) 环节是包含在响应( r e s p o n s e ) 环 节中的，作为事件响应之后的一项处理措施，不过，随着人们对业务连续性和 灾难恢复愈加重视，尤其是9 11 恐怖事件发生 之后，恢复、容灾、存活性( s u r v i v a b i l i t y ) 等概 念更是被安全业界屡屡提及，人们对p 2 d r 模 型的认识也就有了新的内容。于是，p d r r 模 型就应运而生了。 p d r r 模型，或者叫p p d r r ( 或者p 2 d r 2 ) ， 与p 2 d r 非常相似，唯一的区别就在于把恢复 环节提到了和防护、检测、响应等环节同等的 高度。在p d r r 模型中，安全策略、防护、检 图3 - 2p d r r 模型 测、响应和恢复共同构成了完整的安全体系，利用这样的模型，任何信息安全 问题都能得以描述和解释。 延续了p 2 d r 的特点，p d r r 也是基于时间的动态模型。其中，恢复环节 对于信息系统和业务活动的生存起着至关重要的作用，组织只有建立并采用完 善的恢复计划和机制，其信息系统才能在重大灾难事件中尽快恢复并延续业 务。 实际上p d r r 模型就是对信息保障( i n f o r m a t i o na s s u r a n c e ) 理念的最直接 阐述：为了保障信息安全，除了要进行信息的安全保护，还应该重视提高系统 的入侵检测能力，系统的事件反应能力和系统遭到入侵引起破坏时快速恢复的 能力。 3 1 3 其它衍生模型 前面介绍的信息安全模型，都表现的是信息安全最终存在形态，是一种目 标体系和模型，这种体系模型并不关注信息安全建设的工程过程，也没有阐述 实现目标体系的途径和方法。此外，以往的安全体系和模型无不侧重于安全技 术，尽管p 2 d r 和p d r r 都将与安全管理相关的策略置于核心位置，但它们并没 有将信息安全建设出技术以外的其它诸多因素体现到各个功能的环节中。 当信息安全技术发展到信息保障阶段之后，人们发现，完善的安全保障系 统必须从安全的各个方面综合考虑，必须把技术、管理、策略和工程等方面的 技术有机融合，安全模型才能真正成为有力的指导依据。受到上述理论的影响， 绿盟科技1 9 j 认为一个常见的p d r 和p 2 d r 模型只仅仅描述了安全技术体系中部分 安全要求，忽略了人和管理的因素，不能成为真正的安全体系架构。在借鉴上 西北大学顶士学位论文 述两个模型特点的基础上，绿盟科技提出a p d r r 模型，在技术层面上认为应该 具备评估( a p p r a i s e ) 、保护、检测、反应和恢复的五种技术能力。安络科技首 席技术官f r a n k i e 则认为【l o l ：人的行为是网络安全的决定因素，没有人为破坏， 就没有网络安全问题，而只存在系统稳定性问题。p d r 和p 2 d r 安全模型更大的 弱点是忽略了人员的流动，人员的素质差异也会导致出现安全问题。安氏 ( i s o n e ) 科技【“1 在此基础上归纳成p a d i m e e 模型。即以安全策略( p o l i c y ) 为核心，评估( a s s e s s m e n t ) 一设计( d e s i g n ) 一实现( i m p l e m e n t a t i o n ) 一管 理( m a n a g e m e n t ) 形成围绕策略的闭环( 其中紧急响应是管理的一个组成部分) ， 教育( e d u c a t i o n ) 覆盖核心和各个环节。我国专家在1 9 9 9 年提出了包括“保 护一预警( w a r n i n g ) 一监测一响应一恢复一反制( c o u n t e r a t t a c k ) ”等六个 环节的信息安全保障技术体系，使上述理论更加完善。此外国内厂商根据不同 的情况推出不同的安全体系，例如中联绿盟推出了d i e m 系统安全工程实施模 型；另外还有玛赛的m a r s e c 安全服务体系；网警创新的n e t c o p 安全监控 体系；中科网威的n p s s 安全服务体系等。 3 1 4 宏观模型进化树 当然，无论是i s 0 7 4 9 8 2 还是p d r 、p 2 d r 、p d r r 这些安全模型都存在一 定的缺陷，后期的衍生模型对前期的模型有一定的改进，在充分考虑技术实现 的前提下注重完整安全体系的构建。信息安全解决方案实际上是一门系统工 程，以上几个安全模型，相对于系统工程学来说，都是比较局限的。 为了更清晰的展现信息安全模型的演变，本文给出一个宏观模型进化树来 描述其过程，如图3 3 所示： 宏观模型进化树表明：每 一个更新的安全模型，都不是 把前面的安全模型全面否定， 比如说p d r 安全模型中的防护 这一部分，实际上就用到了静 态防御体系中的防火墙等技 术。同样，最新一代的信息安 全系统工程，也不是对以往安 全体系的全面否定，而是对以 前各种安全模型的包容、优化和扩展。 叵p w d r r 芦cn 型 a p d r r $ 莫 叵亟圆 图3 - 3 宏观模型进化树 茜北大学硕士学位论文 3 2d p w p a r r c 信息安全宏观模型 上一节主要介绍了两类信息安全模型及其衍生模型，针对蠕虫防治的特 点，结合本文主要研究方向，在包容主要安全模型核心思想的基础上，融合主 动防御相关理论，对现有模型进一步扩展，本节提出了一个基于主动防御思想 的信息安全宏观模型d p w p a r r