（计算机系统结构专业论文）网络蠕虫病毒监测报警系统的设计与实现.pdf

华中科技大学硕士学位论文 摘要 当网络迅速发展的时候，网络蠕虫病毒引起的危害开始显现，网络的发展使得网 络蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪，使得网络管理面临更大 的挑战，网络蠕虫病毒的监测及报警是网络管理中非常重要的一个环节，特别是在 不进行硬件升级时，仍能保障良好的网络性能有很大的实用意义。 从分析当前各种网络蠕虫病毒攻击特性入手，研究如何实时的在网络设备上截 获各种网络蠕虫病毒数据包并对其进行定时采集工作，并将之存储于网络蠕虫病毒 数据库系统中，对网络蠕虫病毒数据包的来源和特性进行分析，生成网络蠕虫病毒 报警信息并通过h t m l 页面显示给网络管理员，同时给各个联网单位的网络管理员定 时自动发送该单位的网络蠕虫病毒报警信息。完成了网络蠕虫病毒数据监测分析和 报警系统的设计与实现，且系统的配置方式非常灵活，可对路由器实时进行配置修 改，以适应各种不断出现的新网络蠕虫病毒包的截获与采集工作。 对蠕虫病毒防治需要考虑多方面的问题，如：病毒的查杀能力、病毒的监控能 力、对新病毒的反应能力等等。防范网络蠕虫病毒的一个重要方面是需要系统的管 理和策略，对网管人员提出防范蠕虫病毒系统的策略和建议。 关键词：网络蠕虫截获采集监测报警 i 华中科技大学硕士学位论文 a b s t r a c t w i t ht h ef a s td e v e l o p i n go fc o m p u t e rn e t w o r k ，t h eh a z a r d c a u s e db yn e t w o r kw o r m v i r u si se m e r 百n g i nf a c t ，t h ew o r mv i r u sc a ne x p a n dt ot h ew h o l ec o m p u t e rn e t w o r k i nv e r ys h o r t t i m ea n di tc a n p a r a l y z e t h ew h o l en e t w o r k e a s i l y b e c a u s eo f t h ei n c r e a i n gs c l a ea n dt r a n s m i s s i o n s p e e do fc o m p u t e rn e t w o r k s o ，i tb r i n g sg r e a tg r e a t c h a l l e n g e t o c o m p u t e r n e t w o r km a n a g e m e n t a sa r e s u l t ，i n t h e c o m p u t e rn e t w o r k m a n a g e m e n ts y s t e m ，i ti sav e r yi m p o r t a n tc o m p o n e n t t om o n i t o rw o l l nv i r u sa n ds u p p l y r e l a t e da l a r mm e s s a g e m o r e o v e r , m o n i t o r i n gw o r mv i r u sa n ds u p p l i n g r e l a t e da l a r m m e s s a g e s h a sv e r y s i g n i f i c a n tp r a c t i c a lm e a n i n g t o g u a r a n t e eo p t i m a l n e t w o r k p e r f o r m a n c e w i t h o u tn e t w o r kh a r d w a r ee q u i p m e n t u p d a t i n g t h i sd i s s e r t a t i o nb e g i n sf r o mt h ea n a l y s i so ft h ea t t a c kc h a r a c t e r i s t i c so fc u r r e n ta l l k i n d so fw o r mv i r u s s u b s e q u e n t l y , t h i s d i s s e r t a t i o n a l s or e s e a r c h e sh o w t or e a l t i m ec a p t u r et h ed a t ap a c k e t so fa l lk i n d so ft h ew o r mv i m sa n dc o l l e c tt h ed a t a p a c k e t so fa l lk i n d so ft h ew o r m v i r u si naf i xt i m ei n t e r v a l n e n ，h o wt os t o r et h ed a t a p a c k e t so fw o r m v i r e si n t ot h es p e c i a ld a t a b a s eh a sa l s ob e e nd i s c u s s e d t oc r e a t ec o r r e c t a l a r mm e s s a g e so fw o r mv i r u sa n de m b e dt h e s em e s s a g e si n t oh t m l w e b p a g e i no r d e rt o s h o wt ot h en e t w o r km a n a g e r , t h es o u r c eo fw o l - n lv i r u sa n dt h ec h a r a c t e r i s t i c so ft h ed a t a p a c k e t s o fw o r mv i r u sm u s tb ea n a l y z e d n o t et h a tt h e s ea l a r mm e s s a g e ss h o u l db e a u t o m a t i c a l l ys e n tt ot h ec o r r e s p o n d i n gn e t w o r km a n a g e r o fe a c hn e t w o r ku n i ti naf i x e d t i m ei n t e r v a l a 1 io ft h e s ep r o c e s s e sa r e c l e a r l yp r e s e n t e d i nt h i sd i s s e r t a t i o n t h i s d i s s e r t a t i o nh a s d e s i g n e da n di m p l e m e n t e d as e to fw o r mv i r u sm o n i t o r i n g ，a n a l y s i n ga n d a l a r m i n gs y s t e m i np a r t i c u l a r l y , t h ec o n f i g u r i n gm e t h o do ft h i ss y s t e mi sv e r yf l e x i b l e ， w h i c hc a nr e a l t i m em o d i t yt h ec o n f i g u r a t i o no ft h et o u t e r st oa d a p tt ot h ec a p t u r i n ga n d c o l l e c t i n go f n e ww o r mv i r u s t op r e v e n tw o r mv i r u s ，t h e r ea r em a n y q u e s t i o n sn e e dt ob es o l v e d ，f o re x a m p l e ：t h e a b i l i t yt os c a na n d k i l lt h ev i r e s ，t h ea b i l i t yt om o n i t o rt h ev i r u sa n dt h ea b i l i t yt or e a c tt o t h en e wv i r u s i nf a c t ，i n t h i sf i e l d ，o n eo ft h em o s t i m p o r t a n ta s p e c t s i s s y s t e m i c m a n a g e m e n t a n d s t r a t e g y i n o t h e r w o r d s ，i t i sv e r yi m p o r t a n tt o p r e s e n ts y s t e m i c s t r a t e g ya n ds u g g e s t m n t on e t w o r km a n a g e r so i lh o wt op r e v e n tw o r mv i r u s k e y w o r d s ：w o r mv i r u s c a p t u r ea n d c o l l e c tm o n i t o ra n da l a r m 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个 人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体， 均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：王匆确 日期：刁峰年牛月2 6 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 本论文属于 保e o ，在年解密后适用本授权书。 不保密击 ( 请在以上；8 - 框内打“”) 学位论文作者挑互涵矾指剥币签名乡之客 同期：勘叶年牛月日日期：2 叶年皇月7 目 华中科技大学硕士学位论文 | = = 目| = a = = e ；= = = _ = = = _ | 目_ - _ _ 目；= j = = j j = o 自= = 目目_ _ 自_ 口目z e 目_ = 目= 掣ii = _ _ _ - _ - 目e = ；_ | 目e _ _ - _ _ _ - _ _ 墨 1 绪论 随着网络的发展，计算机网络已经变的越来越普遍，已经进入了工作、生活各 个领域。特别是互联网络以令人瞠目的高速悄无声息地蔓延，它不再是实验室里穿 自大褂的专家的专有。各式各样的网络服务，简直无所不包：想旅游，可以上网查 地图、景点的详情，了解航班、列车、旅馆信息，在线订票，预订旅馆；想找工作， 可以在网上看到各类公司的招聘信息，即时取得联系；想休闲，网上有各式游戏， 各种书籍；想炒股，网上有各证交所的即时信息甚至不敢想象：人类缺乏互联 网，世界将会变成怎样? 网络将决定我们的生存方式，网络的质量直接影响了社会生活和经济生活的方 方亟面。目前，随着我国电子商务、电子政务迅速发展的同时，网络蠛虫病毒也在 以极高的速度增长，对网络系统的安全带来了极其严重的影响。据了解，在2 0 0 2 年， 全球的计算机病毒已有6 万种，目前每年还以近2 万种的数量在激增。当前的网络 入侵主要来自于蠕虫病毒，这些隐藏在网络上的“杀手”，正呈现出功能强，传播 速度快，破坏性大等新特点。不仅可以感染可执行文件，通过电子邮件、局域网和 聊天软件等多种途径进行传播，同时还兼有黑客后门功能，能进行密码猜测，实施 远程控制，并且终止反病毒软件和防火墙的运行。2 0 0 3 年1 月2 5 日，仅在s q l l 4 3 4 病毒出现的当天，我国就有8 0 的网络服务供应商先后遭受此孀虫病毒的攻击，造 成许多网络的暂时瘫痪。同时计算机网络的发展特点是规模不断扩大，复杂性不断 增加，异构性越来越高。一个网络往往由若干个大大小小的子网组成，集成了多种 网络系统( n o s ) 平台，并且包括了不同厂家、公司的网络设备和通信设备等。同时， 网络中还有许多网络软件提供各种服务。随着用户对网络性能要求的提高，如果没 有一个高效的管理系统对网络系统进行管理，就不能保证网络的稳定运行和有序发 展，就很难保证向用户提供令人满意的服务。 网络管理涉及到网络运行的方方面面，并己成为现代信息网络中最重要的内容。 网络管理中，流量检测、统计分析是最基本的，是网管的基础，可以有效的帮助网 华中科技大学硕士学位论文 络管理员进行性能管理、计费管理、故障管理等网络管理的内容，并做出相宜的决 策“。 本章从网络管理入手，分析网络管理的现状，着重进行了对造成网络流量异常 的网络蠕虫病毒的研究。 1 1 网络管理系统的基本构成与模型 在网络发展早期，网络规模非常小，网络管理几乎无事可做，对网络的管理停 留在使用i c m p 和p i n g 的基础上。通常一个或几个系统管理员采用一些临时措施来 完成初期的网络管理工作。一般，管理员开机登录执行命令完成所需的管理操作。 在能够使用诸如r l o g i n 、r s h 、t e l n e t 等远程访问的命令和程序后，管理工作相对 简化了一些，因为管理员可以在某个地方连接到远端的多台机器。但这些机器必须 处于正常的运行状态，远端访问才可用。u n i x 系统工具比如“p i n g ”常被用来检查 某个设备是否已连接到网络。p i n g 命令向指定设备发出询问，如果指定设备处于运 行状态并且已连接到网络，该设备就会返回一个应答。另外一个工具是 “t r a c e r o u t e ”，它能够跟踪数据包在网络上从一点到另外点的路径，这个工具常 用来清查网络配置。 随着网络规模的增大，网络管理者需要知道有关计算机网络的大量信息以进行 有效的管理。为了帮助网络管理者完成这些工作，逐渐出现了网络管理的概念。网 络管理是控制一个复杂的计算机网络使得它具有较高效率和生产力的过程。根据进 行网络管理的系统的能力，这一过程通常包括数据收集、数据处理，然后提交给管 理者，用于在网络操作中使用。它还包括分析数据并提供解决方案，生成对管理网 络有用的报告“。 网络管理系统不仅仅只是完成常规任务，作为发现问题的辅助手段，它可以持 续的监视网络，还可以产生网络信息日志并利用这些信息日志去研究和分析网络。 1 ，1 1 网络管理框架 现在有两个开放的、基于标准的重要网络管理框架在使用：一个是i n t e r n e t 管 2 华中科技大学硕士学位论文 理标准的s n m p ( 简单网络管理协议，s i m p l en e t w o r km a n a g e m e n tp r o t o c 0 1 ) ，另一 个是o s i 网络管理规范的c m i s ( 公共管理信息服务，c o m m o nm a n a g e m e n ti n f o r m a t i o n s e r v i c e ) 和c m i p ( 公共管理信息协议，c o m m o nm a n a g e m e n ti n f o r m a t i o np r o t o c 0 1 ) 。 o s i 网络管理规范是由国际标准化组织( i s o ) 在8 0 年代中期制订并于1 9 8 8 年 公布的。o s i 网络管理标准曾经而且至今也还具有极大的重要性，因为是它第一次在 非专有协议的基础上进行管理信息交换。没有这样的标准，就不可能实现对多厂家 产品的管理，也不可能有管理数据的透明交换。o s i 管理框架为所有的管理标准建立 了模型，给出了指导准则。后来出现的一切管理标准都参考、模仿了o s i 框架。整 个标准体系包括以下内容： 术语和o s i 管理概念的定义； 抽象模型和全部管理对象的结构规范； 管理协议的规范。 简单网络管理协议s n m p 从字面上看是一个协议设备之间通信的一套规则， 但它更是一个网络管理框架。它是作为一种网络管理解决方案提出的，伴随着 i n t e r n e t 一起演进，成为当今世界上得到最广泛应用的框架。该框架包括： 协议操作的定义 管理决策 安全 管理信息结构组织规则 接受管理的变量清单。3 1 1 2 网络管理的5 个功能域 一般来说，著名网络的管理功能需求都已经有人对它们进行过详细分析，尤其 是0 s i 规范。它定义了网络管理的5 大功能需求。这5 个功能域在当今的网络管理 设计和实现中通常是必须要考虑的。 故障管理：故障管理是对计算机网络中的问越或故障进行定位的过程。故障管理的 最主要的作用是：通过提供网络管理者快速地检查问题并启动恢复过程的工具，使 3 华中科技大学硕士学位论文 得网络的可靠性得到增强。 配置管理：某些网络设备的配置决定着该计算机网络的表现。配置管理是发现和设 置这些关键设备的过程。把网络设备用对象来抽象描述，它们有各自的属性。这些 属性列成可管理变量的清单，可以设置或查看属性的值“3 。 计费管理：计费管理可以跟踪每个用户或团体用户对网络资源的使用情况，对其收 取合理的费用。这一方面可以维持网络的运行和发展，另一方面，管理者也可以根 据情况更好地为用户提供他所需的资源，并促使用户合理地使用网络资源“1 。 性能管理：性能管理可以测量网络中硬件、软件的性能，考虑网络的利用情况，测 量的参数包括：整体吞吐量、利用率、错误率、响应时间等等。运用性能管理，管 理者可以保证网络具有足够的容量以满足用户的需要“1 。 安全管理：安全管理是控制计算机网络中的信息的访问的过程。网络上有很多重要 资源、私有信息，都是不可以让所有人看到或修改，这些称为敏感信息。对敏感信 息的访问是要受约束和控制的，包括验证用户权限、检测和记录未授权用户的非法 操作“3 。 1 1 3 网络管理模型 几乎所有的管理模型都是采用管理迸程和代理进程模式。如图1 - 1 所示。 图1 - 1 营哩看代理梗型 因为一切管理活动都需要有一个很大的信息库，还需要与之相关的数据管理工 具。如果能把一个对象纳入到管理概念中，则称其为可管理对象。所谓管理功能就 是根据给定的属性参数把一个操作序列施于对象。从网络管理站到被管理对象的通 信，从来都不是直接进行，而是通过代理进行的。代理必须对网络管理站的服务请 4 华中科技大学硕士学位论文 求作出回答，还要向管理站转发告警信号和事件报告。管理站与代理之间的通信是 要遵守通信协议的。1 。 1 1 4 网络管理系统 网络管理系统提供了一组进行网络管理的工具，网络管理员对网络的管理水平 在很大程度上依赖于这组工具的能力。网络管理软件可以位于主机内，也可以位于 传输设备内( 如网桥、路由器等等) 。一个网络管理系统可以提供五种网络管理的功 能( 故障管理、配置管理、计费管理、性能管理、安全管理) ，并提供图形化的用户 界面，这样的网络管理系统一般又称为网络管理平台。 网络管理系统主要有三种：管理整个网络的集中系统；分布在网络中的系统： 结合前两者的层次型系统。 集中式结构是由一个大系统去运行大部分所需应用程序，运行在管理系统中的 每个应用程序都将把信息存储在位于网络中心的同一数据库中。如图卜2 所示。 图1 2 集中式嗣络管理系统 在分布式结构中，几个对等网络管理系统同时运行在计算机网络中。每一个系 统可以管理网络中的一个特定部分。而且，可以由不同系统管理不同类型的网络设 备，并不一定要求其结构在地理上是分布的。 结合集中式和分布式的层次型系统中，集中方案中的中心主系统仍然存在于层 次的根部，他用来收集所有的必要信息并且允许来自网络各处的访问。然后，通过 在分布式结构中建立对等系统，中心系统授权网络管理子系统作为代表，完成层次 中子节点的功能“3 。 5 华中科技大学硕士学位论文 1 2 国内外网络管理的研究现状 目前关于网络管理开展的有关研究可以分为两个相关的方向：网络管理框架的 研究和网络管理系统实现技术的研究。网络管理框架的研究给网络管理系统的实现 提供指导、规范，而网络管理系统实现技术中的创新，经过检验又可以加到新的规 范里，从而形成一个互相促进的整体研究。 1 2 1 网络管理协议框架的研究 网络管理协议框架的研究包括一些国际性标准和规范组织的工作组在不断的发 展各自原有的网管框架( 如i s o o s i ，i a b i e t f ，c c i t t i t u t 等) 。 i s o o s i 的相关研究内容 在i s o o s i ( 国际标准化组织开放系统互连) 著名的7 层协议框架的基础上提 供了一个网络管理框架，由一系列标准组成。这个标准系列是精心设计的，历经多 年演进，得到公认，但其实现却步履缓慢。最重要的i s o 网络管理标准有。 o s i 网络管理框架是一个完全面向对象的设计、应用了面向对象的所有概念， 包括继承、包含、管理对象间的关联等“1 。 基于i n t e r n e t 的相关研究内容 1 9 8 8 年，l a b ( i n t e r n e t 体系结构委员会) 的i e t f ( i n t e r n e t 工程任务组) 发 布了s n m p 建议。随着i n t e r n e t 的飞速发展，s n m p 研究不断积累，现在已经发展到 了第三版。各种建议、草案、标准已有了几百篇。我们将在第二章对s n m p 进行详细 地讨论”1 。 i t u t 的相关研究内容 国际电信联盟的电信标准部( i t u - t ，即以前的c c i t t ) 于1 9 8 5 年就开始了远 程通信网络管理的研究，制订相关标准，即“电信管理网络”( t e l e c o m m u n i c a t i o n s m a n a g e m e n tn e t w o r k ，t m n ) 。主要规范是m 3 0 0 0 系列建议书。 t m n 是面向对象的，主要采用了o s i 构件，如m i b 和管理对象、c m i p 管理进程 和代理进程、管理信息交换的o s i 协议等“1 。 6 华中科技大学硕士学位论文 n m f 的相关研究内窖 n m f ( 网络管理论坛，n e t w o r km a n a g e m e n tf o r u m ，现已改名为t e l e m a n a g e m e n t f o r u m ) 是由感兴趣的厂家、服务提供商等组成的一个团体，已经推出了一系列规范， 称为o m n i p o i n t 。考虑的是如何让已经存在和正在出现的网络管理框架共存。他们现 在进行的研究已转为：为通信服务的管理和操作提供战略指导和实际解决方案”1 。 1 2 2 网络管理系统实现技术的研究 网络管理系统实现技术的研究包括基于w e b 的网管，分布式网管，与专家系统 集成的智能网管，能够动态装卸m i b 的网管和为创新的网管应用提供a p i 等等。 基于w e b 的网管 基于w e b 的企业管理w b e m ( w e b b a s e de n t e r p r i s em a n a g e m e n t ) 是d 姐f ( 分 布式管理任务组d i s t r i b u t e dm a n a g e m e n tt a s kf o r c e ，以前的桌面管理任务组， d e s k t o pm a n a g e m e n tt a s kf o r c e ) 的首创。 9 8 年1 0 月，d m t f 宣布了 ( m l 编码规范v 1 0 版，用来为c i m 编码。作为d m t f 的基于w e b 企业管理的一部分，x m l 规范促使公司运用w e b 技术管理企业系统。x m l 是用文本形式表示结构数据的一种标记语言。c i m 是面向对象的信息模块，是d m t f 为管理数据提供抽象框架而标准化的。通过使c i m 信息能以x 溉形式表示，把煳l 及相关技术的优点带入管理信息模型中”1 。 分布式网管 利用分布式对象建立网络元素及其关系的模型是网络管理研究的一个重要方 向。公共对象请求代理体系结构( c o m m o no b j e c tr e q u e s t b r o k e r a r c h i t e c t u r e ，c o r b a ) 是当今最流行的分布式对象模型之一。c o r b a 的有关规范是由 对象管理组( o b j e c tm a n a g e m e n tg r o u p ，o m g ) 管理的。o m g 于1 9 9 7 年成立了电信 工作组( t h et e l e c o m m u n i c a t i o n st a s kf o r c e ) 。他们的主要任务是发布与电信工 业有关的基于c o r b a 技术的r f i 和r f p ，促进电信工业使用o m g 技术作为解决方案等 等。正在研究发布的规范有嘲。 与专家系统集成的智能网管 华中科技大学硕士学位论文 来自入工智能研究成果的专家系统技术的应用更为广泛了，这项复杂的软件技 术正在辅助甚至替代许多以前靠手工完成的任务。当前发布的许多网络管理站的管 理应用程序中都包括有专家系统组件和嵌入式专家引擎，以辅助完成f c a p s 管理功 能。专家系统根据从代理进程和网络管理站数据库中收集的数据，经过推理做出决 策。当过程算法不能适用于某个特殊问题时，就利用启发式方法。 能够动态装卸m i b 的网管 i e t f 工作组不断地定义出新的m i b 模块来扩展i n t e r n e t 标准m i b ，各大企业和 个人也在创建和扩展着企业组和实验组的m i b 。结果，各种不相干的安装在被管节点 上的可管组件，经常在被管设备形成复杂的集合。每个组件提供了在m i b 模块中定 义的被管对象的操作的实现。利用动态安装和卸载m i b ，就可以保持被管设备的简单 性，灵活性”。 1 3 网络流量检测与网络蠕虫病毒 1 3 1 网络蠕虫病毒对网络性链的影响 计算机病毒自出现之日起，就成为计算机的一个巨大威胁，而当网络迅速发展 的时候，网络蠕虫病毒引起的危害开始显现。从广义上定义，凡能够引起计算机故 障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，网络蠕虫病 毒也是一种病毒，但是网络蠕虫病毒和一般的病毒有着很大的区别一般认为，网络 蠕虫病毒是一种通过网络传播的恶性病毒，它具有病毒的些共性，如传播性，隐蔽 性，破坏性等等，同时具有自己的一些特征，如不利用文件寄生( 有的只存在于内存 中) ，对网络造成拒绝服务，以及和黑客技术相结合等等，在产生的破坏性上，网络 蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得网络蠕虫病毒可以在短短的 时间内蔓延整个网络，造成网络瘫痪。 网络监测的目的是通过对网络设备和网络运行状况的连续监测，及时地发现网 络中的异常情况，当网络中出现异常时能够及时发出报警通知，以提醒网管人员采 取必要措施，来保持网络正常运行。当网络规模不大，数据量不多时，可以凭借管 8 华中科技大学硕士学位论文 理经验来对它们进行分析，对网络的运行状况作出判断和评价。但是，当网络管理 员面临大量的数据时，往往束手无策，这就迫切需要一种对这些数据进行自动化处 理的技术，当数据中出现网管人员感兴趣的异常信息时，能够自动发现或检测出来， 实现自动化报警，这样的数据处理技术将会大大减轻网络管理人员的负担，进一步 地，如果对各个参数之间的空间或时间关系进行综合考虑，那么将有助于提高发现 问题的能力和准确性。通过检测网络流量异常可以检测出许多的网络故障和影响性 能问题。其中网络蠕虫病毒就是一个需要关注的重要因素。由于网络蠕虫病毒能通 过网络进行传播，一台p c 机的病毒可以通过网络感染与之相连的众多计算机。由于 网络蠕虫病毒造成网络瘫痪的损失是难以估计的。如果不能及时的加以控制，会占 用大量的网络带宽，严重地影响网络的性能“。 所以，对引起网络流量异常的网络蠕虫病毒的防治工作是网络管理中非常重要 的一个环节，同时在不进行硬件升级下确保给用户提供最优的网络性能也是非常有 意义的。 1 3 2 网络蠕虫病毒数据采集方法 从目前的研究和实现来看，网络蠕虫病毒数据采集主要有两种方法：一是网络 侦听，另一个是直接读取对象的流量信息。 第一种方法，是专门使用一台计算机在网络中侦听。但是需要满足一定的条件： 所有到达对象的流量都能监听到，否则会造成数据的不准确。网络对象以路由器为 例，即可采用让路由器和流量检测工作站在同一个物理网段上来实现这种方法。所 以必须是完全的第一层的互连设备。流量检测工作站的网卡必须使用混杂模式，以 便能接收到以太网上所有的报文。对于这种方法，优点是可以减少路由器的负担， 能够让路由器更好的参与路由。缺点就是实现起来有些困难，如何确保完整的流量 数据是工作的难点j 。 第二种方法就是直接从网络对象获取数据。 以路由器为例，从路由器取得流量数据有二种方式： 华中科技大学硕士学位论文 一是通过s n m p ( s i m p l e n e t w o r km a n a g e m e n tp r o t o c 0 1 ) ，利用它的g e t r e q u e s t 和g e t n e x t r e q 遍历整个m i b 表得到。虽然这种方法由于其格式( a s n 1 ) 复杂，所 以实现比较麻烦，但目前很多语言都已有了支持s n l 4 p 的库函数，利用它们可直接得 到网络流量数据，而且采用s n m p 软件可移植性高，具有可对不同厂家路由器进行流 量检测的广泛性“。 第二种方法比较简单，就是模拟t e l n e t 程序，登录到路由器上，获取数据源。 也就是说，通过编码模拟t e l n e t ( 借用2 3 号端口) ，把t e l n e t 的输出定向到一个日 志文件中，通过采集这个临时日志文件，就得到了病毒或流量数据。 本文中采用模拟t e l n e t 程序，登录路由器上直接从路由器读取病毒日志文件。 1 4 论文的研究工作 蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理 论体系。一般认为：蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性， 如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生( 有 的只存在于内存中) ，对网络造成拒绝服务，以及和黑客技术相结合，等等。在产生 的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短 短的时间内蔓延整个网络，造成网络瘫痪。根据使用者情况将蠕虫病毒分为两类： 一种是面向企业用户和局域网而言，这种病毒利用系统漏洞，主动进行攻击，可以 对整个互联网可造成瘫痪性的后果。以“红色代码”、“尼姆达”以及最新的“s q l 蠕虫王”为代表。另外一种是针对个人用户的，通过网络( 主要是电子邮件、恶意 网页形式) 迅速传播的蠕虫病毒，以爱虫病毒、求职信病毒为代表。在这两类蠕虫 中，第一类具有很大的主动攻击性，而且爆发也有一定的突然性，但相对来说，查 杀这种病毒并不是很难。第二种病毒的传播方式比较复杂和多样，少数利用了微软 的应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的病毒 造成的损失是非常大的，同时也是很难根除的，比如求职信病毒，在2 0 0 1 年就已经 被各大杀毒厂商发现，但直到2 0 0 2 年底依然排在病毒危害排行榜的首位就是证明。 华中科技大学硕士学位论文 蠕虫一般不采取利用p e 格式插入文件的方法，而是复制自身在互联网环境下进 行传播，病毒的传染能力主要是针对计算机内的文件系统丽言，而蠕虫病毒的传染 目标是互联网内的所有计算机。局域网条件下的共享文件夹、电子邮件e m a i l 、网络 中的恶意网页、大量存在着漏洞的服务器等，都成为蠕虫传播的良好途径。网络的 发展也使得蠕虫病毒可以在几个小时内蔓延全球，而且蠕虫的主动攻击性和突然爆 发性将使得人们手足无措。本文从分析当前各种网络蠕虫病毒攻击特性入手，研究 如何截获网络蠕虫病毒数据包，并对网络蠕虫病毒数据包的来源和特性进行分析， 生成网络蠕虫病毒报警信息并嵌入h t m l 页面显示给网络管理员，同时给各个联网单 位的网络管理员定时自动发送该单位的网络蠕虫病毒报警信息。论文完成了网络蠕 虫病毒数据监测分析和报警系统的设计与实现，且系统的配置方式非常灵活，可对 路由器实时进行配置修改，以适应各种不断出现的新网络蠕虫病毒包的截获与采集 工作。 1 1 华中科技大学硕士学位论文 2 网络蠕虫病毒截获与采集 随着网络的不断发展，路由器在校园网中担当起了重要的角色。然而路由器不 仅仅具有路由的功能，同时路由器提供了基本的通信流量过滤的能力，例如通过使 用访问控制列表( a c c e s sc o n t r o ll i s t ，a c l ) 阻止一些特殊的通信流量，例如网 络蠕虫病毒等等。 2 1 访问控制列表概述 访问控制列表( a c l ) 是应用到路由器接口的指令列表，这些指令列表用来告诉 路由器哪些数据包可以接收，哪些数据包需要拒绝。至于数据包是被接收还是被拒 绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。a c l 通过在 访问控制列表中对目的地进行归类，来管理通信流量、处理特定的数据包。归类处 理激活每个特定接口的a c l 。从而通过该接口的所有通信流量都要按照a c l 所指定的 条件接受检测。 a c l 适用于所有的路由协议，如i p 、i p x 等。当这些协议的数据包经过路由器 时，都可以利用a c l 来过滤它们。a c l 通过在路由器接口处，控制路由数据包是被转 发还是被阻塞来过滤网络通信流量。路由器根据a c l 中指定的条件，来检测通过路 由器的每个端1 3 的每个数据包，从而决定是转发还是丢弃该数据包。a c l 中的条件， 既可以是数据包的源地址，也可以是目的地址，还可以是上层协议或其他因素。 a c l 的定义是基于每一种协议的。换言之，如果想控制某种协议的通信数据流， 那么必须要对该接口处的这种协议定义单独的a c l 。注意，对有些协议来说，a c l 就 像一个过滤器。例如，要是用户的路由器接口配置成支持3 种协议( i p 、a p p l e t a l k 和i p x ) ，那么至少得定义3 个访问控制列表。通过灵活地增加访问控制列表，a c l 可以当作一种网络控制的有力工具，来过滤流入、流出路由器接口的数据包“。 华中科技大学硕士学位论文 2 1 1 建立a o l 优越性 限制网路流量、提高网络性能。a c l 可以根据数据包的协议，指定这种类型 的数据包具有更高的优先级，同等情况下可预先被路由器处理。关于这些功 能可以参考队列，队列保证路由器可以丢弃那些不需要的数据包。这样一来， 队列不但限制了网络流量，而且减少了网络拥塞。 提供对通信流量的控制手段。a c l 可以限定或简化路由选择更新信息的长度， 这种限定往往用来限制通过路由器的某一网段的通信流量。 提供网络访问的基本安全手段。a c l 允许某一主机访问某一网络，而阻止另 一主机访问同样的网络。 在路由器接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被 阻塞。例如，用户可以允许e - m a i l 通信流量被路由，同时却拒绝所有的t e l n e t 通信流量。”。 2 1 2 如何按正确顺序创建 o l 在a c l 中各描述语句的放置顺序是很重要的。当路由器决定某一数据包是被转 发还是被阻塞时，c i s c ol o s 软件按照各描述语句在a c l 中的顺序，根据各描述语句 的判断条件，对数据包进行检查。一旦找到了某一匹配条件，就结束比较过程，不 再检查以后的其它条件判断语句。如果创建了一个允许所有通信流量通过的条件判 断语句，那么它后面的所有条件判断语句形同虚设，是不会被检查的。如需另外的 条件判断语句，必须删掉该a c l ，然后再重新建立一个新的带有一系列条件判断语句 的a c l 。这就是为什么要在一台p c 上使用文本编辑器编辑路由器配置列表，再通过 简单文件传输协议( t f t p ) 把它上传到路由器的原因。 在访问控制列表中另加一条件判断语句都被安置在访问控制列表的最后面。一 旦a c l 建好之后想通过行序删除某一指定的条件判断语句是行不通的，只能删除整 个a c l - 。 华中科技大学硕士学位论文 2 。1 。3 如何使用a o l 通常对每一个路由器接口、每一种协议可以创建一个a c l 。不过对有些协议， 可以建立一个a c l 来过滤输入的通信流量，同时建立另一个a c l 来过滤输出的通信 流量。有两种主要的a c l ，即标准a c l 和扩展a c l ，本章的后面将会详细讨论这两种 类型的a c l 。 一旦数据包跟a c l 中的某个条件判断语句相匹配，路由器就使用访问组中的某 个接口转发或丢弃该数据包。 如图2 1 所示，c i s o cl o s 利用访问控制列表检查数据包及其上层协议报头。 例如，可以使用标准a c l 基于源地址过滤数据包。 2 1 4a g l 的工作流程 图2 - 1a c l 控制判断图 一个a c l 是一组判断语句的集合，它对下列数据包进行控制： 入站接口的数据包； 通过路由器进行中继的数据包： 从出站接口跳出路由器的数据包。 如图2 2 所示，无论是否使用访问控制列表，处理过程的开始是完全一样的： 当一个数据包进入了一个入站接口时，路由器对它进行检查，看它是否是可路由的 1 4 华中科技大学硕士学位论文 ( 或者是可桥接的) 。如果遇到任何不可路由的情况，这个数据包就会被丢失。要是 数据包是可路由的，一个路由选择表的入1 2 为它指出了一个目标网络，某种路由选 择计量标准或状态，以及要使用的具体接口。然后，路由器检查目标接口是否被编 组在某一个访问控制列表中。如果没被编组，就把这个数据包直接送到目标接口输 出。 访问控制列表中的条件判断语句按照逻辑次序顺序执行。如果一个数据包的报 头跟某个条件判断语句相匹配，该数据包就忽略剩下的条件判断语句。要是由某个 判断条件进行判定，数据包要么被允许通过，要么被拒绝通过“”。 图2 2a c l 工作流程图 只有在数据包跟第一个判断条件不匹配时，它才被交给a c l 中的下一个条件判 断语句进行比较。假设另一个不同的数据包跟a c l 中的第二个条件判断相匹配，这 个被允许的数据包就被送到目的接1 3 。如果另有一个数据包跟第一、第二个条件判 断都不匹配，却跟a c l 中的最后一个条件判断相匹配，同样地，它也被允许而送往 目的地接口。 a c l 允许网络管理员控制什么样的客户端可以访问网络。一个访问控制列表文 件中的条件可以： 筛选出一些特定的主机、协议或端口，允许或拒绝访问部分网络。 华中科技大学硕士学位论文 建立口令认证机制，以便只有那些提供合法登录名和口令的用户能够访问网 络。 为每个用户授权，允许他们对网络实现个性化访问“”。 2 2 基于访问控制列表的病毒数据截获 2 2 1 常见的网络蠕虫病毒 ( 1 ) 网络蠕虫病毒 这是一种针对m s s q l 服务的蠕虫，已经开始在网上大面积的传播，该蠕虫发送 了大量针对1 4 3 4 端口的u d p 协议包，导致网络堵塞，无法正常工作。此蠕虫感染运 行了m s s q l 的机器，蠕虫感染机器后只驻留在内存当中。感染机器后蠕虫会利用 w i n d o w sa p i 函数( g e t t i c k c o u n t ) 来产生大量随机的i p 地址，之后针对这些地址的 1 4 3 4u d p 端口进行扫描，并利用漏洞进行传播。 针对单机的解决办法：用户可以给他的m s s q l 打上相应的补丁后，重启机器。 针对网络的解决办法：在路由上临时屏蔽掉所有发往1 4 3 4 端口的u d p 包“”。 ( 2 ) d v l d r 3 2 蠕虫 2 0 0 3 年3 月7 日以来，一种破坏力很强的蠕虫( 暂且以攻击程序的名字命名为 d v l d r 3 2 蠕虫) 在网络上传播，控制了大量口令设置不安全的w i n d o w s 系统，对网 络造成了很大破坏。目前主要的网络运行商已经在网络上对其传播途径进行了控 制，但是，被感染的系统、可能被感染的系统仍然大量存在，而且类似的蠕虫攻击 有可能再度发生。计算机感染d v l d r 3 2 蠕虫后，定期地随机选择两个c 类地址进行 扫描( t c p4 4 5 端口) ，如果目标机器上存在弱口令账号( 如：a d m i n i s t r a t o r 账号 口令为空) ，蠕虫便会利用该账号将自身远程注入到目标系统中该蠕虫会在感染的 系统上留下可以远程控制的后门( t c p5 8 0 0 ，t c p5 9 0 0 ) ，并通过互联网聊天协议( i r c ， t c p 目标端口6 6 6 7 ) 与境外的服务器进行通信。 该蠕虫的扫描和传播可能造成网络严重拥塞，主要表现为大量t c p4 4 5 端口的 扫描、t c p6 6 6 7 端口的通信。另外，网络流量监测结果表明i p 协议字段为2 5 5 ( i p 华中科技大学硕士学位论文 头标的第9 个字节) 的流量增大也与d v l d r 3 2 蠕虫的感染有关啪3 。 ( 3 ) i c m p 蠕虫 该蠕虫利用了m i c r o s o f tw i n d o w sd c