（计算机软件与理论专业论文）良性蠕虫的数据隐藏及传播模型研究.pdf

良性蠕虫的数据隐藏及传播模型研究 摘要 随着网络在社会生活中占据越来越重要的地位，恶意蠕虫的危害影响越来越严 重，其对社会造成的危害影响程度大大超越传统的病毒。但是传统的对抗恶意蠕虫的 安全技术对之已经不适应，要使恶意蠕虫的传播扩散得到基本控制，需要采用不同于 以往的针对单个恶意蠕虫进行防治的方法，因为恶意蠕虫种类成千上万，且每种又衍 生许多变体，更甚的是，恶意蠕虫编写者越来越采用人工智能技术使恶意蠕虫得到更 好的隐蔽。所以，针对恶意蠕虫的研究刻不容缓，且只有在技术上走在其前面，才能 当相关的恶意蠕虫出现时，对其进行有效防治。而在恶意蠕虫的防治方面，良性蠕虫 的研究较少。尤其是针对良性蠕虫的传播扩散方面，大多研究没有考虑良性蠕虫在对 抗恶意蠕虫的过程中对网络系统和用户系统的影响。因此研究良性蠕虫的扩散传播和 资源占用在恶意蠕虫防治方面具有积极的理论意义和实践参考价值。 本文的研究工作主要集中于以下方面： l 、首次对被良性蠕虫渗透的主机进行分类：被渗透类主机和探测类主机，从而 为减少良性蠕虫扩散过程中产生的网络通信量提供了新的视角。 2 、提出了反馈式的轮转探测扩散模型以及基于b + 地址树( b a t ) 的扩散算法。并 且对扩散算法进行了仿真和对比测试。仿真结果显示：根据恶意蠕虫的疫情和应用需 求，良性蠕虫可以选择不同的探测主机数进行扩散。对比测试显示：在探测主机数达 到预设值后基于b a t 的扩散算法网络通信量一直处于平稳状态，且相比基于e t 扩散 算法的网络通信量要小。 3 、设计和实现了一个用于支持本文扩散模型的基于x m l 的应用层网络协议和良 性蠕虫系统，并且进行了测试，结果表明：基于x m l 的应用层网络协议在良性蠕虫扩 散过程中能够很好地被解析，对本文扩散模型起到了支撑作用，且良性蠕虫交互流程 设计思路符合实际情况也满足本文的要求。 摘要 4 、设计和实现了数据隐藏功能。暂时需要的数据可以进行隐藏，减少了对用户 系统的资源占用。 关键词：良性蠕虫；传播模型；扩散算法；网络协议；数据隐藏 i i ， 、 r e s e a r c ho np r o p a g a t i o nm o d e la n dd a t ah i d i n g o fb e n i g nw o r m a b s t r a c t a st h en e t w o r kp l a y sam o r ea n dm o r ei m p o r t a n tp a r ti nt h es o c i a ll i f e ，t h em a l i c i o u s w o r md o e sm o r eh a r mt oo u rl i f et h a nt r a d i t i o n a lv i r u s b u t ，t r a d i t i o n a l s e c u r i t y t e c h n o l o g i e sc a n 、td e a lw i t hm a l i c i o u sw o r m sw e l la n ym o r e ，i no r d e rt om a k et h es p r e a d o fam a l i c i o u sw o r ms p r e a d i n gu n d e rc o n t r o l ，w en e e dt ot a k em e t h o dw h i c hi sd i f f e r e n t f r o mt h ep a s tm e t h o dt h a tc a r r i e do u to n l yt op r e v e n tas i n g l em a l i c i o u sw o r m ，a sw ek n o w t h e r ea r et h o u s a n d so ft y p e so fm a l i c i o u sw o r m ，a n de a c ht y p ew o r mc a nd e r i v em a n y v a r i a n t s ，a n de v e nm o r e ，t h em a l i c i o u sw o r mw r i t e r sa r eu s i n ga r t i f i c i a li n t e l l i g e n c et o m a k et h em a l i c i o u sw o r m st ob eh i d d e nb e t t e r t h er e s e a r c ha b o u tm a l i c i o u sw o r m si s n e e d e du r g e n t l y , a n do n l yw ep r e p a r ew e l li nt e c h n o l o g y , e f f e c t i v ep r e v e n t i o na n d t r e a t m e n tc a nb ea d o p t e dt od e a lw i t ht h em a l i c i o u sw o r m s t h e r ei sf e ws t u d i e so nb e n i g nw o r m sf o rt h ep r e v e n t i v et r e a t m e n to fm a l i c i o u sw o r m ， a n dm o s ts t u d i e so nb e n i g nw o r m sd on o tc o n s i d e rt h ei n f l u e n c et ot h en e t w o r ks y s t e ma n d u s e rs y s t e m st h a tt h eb e n i g nw o r mm a d ei nt h ep r o c e s so ff i g h t i n ga g a i n s tm a l i c i o u s w o r m s s ot h es t u d yo fp r o l i f e r a t i o na n dr e s o u r c e st ot a k eu po ft h eb e n i g nw o r mt h e r ei s p o s i t i v et h e o r e t i c a la n dp r a c t i c a lr e f e r e n c ev a l u ef o rp r e v e n t i v et r e a t m e n to fm a l i c i o u s w 0 m t h ec o n t r i b u t i o no ft h i sa r t i c l ei sa sf o l l o w ： f i s r t l y , c l a s s i f y i n gt h ec o m p u t e r si n f e c t e db yb e n i g nw o r mt oi n f e c t e dc o m p u t e ra n d s c a n n i n gc o m p u t e r ，w h i c ho f f e r sa n o t h e rv i e w p o i n tf o rr e d u c i n gn e t w o r kf l u xi nt h e p r o l i f e r a t i o no fb e n i g nw o r m s e c o n d l y , p r o p o s e dar o t a t i n gs c a n n i n gm o d e lb a s e do nf e e d b a c ka n dap r o p a g a t i o n i i i a b s t r a c t a l g o r i t h mb a s e do nb + a d d r e s st r e e ( b a t ) s i m u l a t e dt h ep r o p a g a t i o na l g o r i t h ma n d c o m p a r e di tt ot h ep r o p a g a t i o na l g o r i t h mb a s e do ne x p o n e n t i a lt r e e ( e t ) t h er e s u l to f s i m u l a t i o nt u r n so u tt h a ta c c o r d i n gt ot h em a l i c i o u sw o r mp r o p a g a t i o ni n ，w ec a nc h o o s e d i f f e r e n tn u m b e ro ft h es c a nh o s t st os p r e a db e n i g ew o r m t h er e s u l to ft h ec o m p a r i s o n d e m o n s t r a t e sa f t e rt h en u m b e ro fs c a nh o s ta t t a i n e dt h eg i v e nn u m b e rt h en e t w o r kf l u xo f t h ea l g o r i t h mb a s e do nb a ti ss t a b l ea n dw a sl e s st h a nt h a to ft h ea l g o r i t h mb a s e do ne t t h i r d l y , d e s i g na n di m p l e m e n ta na p p l i c a t i o nl a y e rn e t w o r kp r o t o c o l ，w h i c hc a nb e a d o p t e dt ot h em o d e lo ft h ea r t i c l e ，a n dab e n i g nw o r ms y s t e m ，t h e nt e s tt h e m t h er e s u l t s o ft h e s et e s t sr u mo u tt h en e t w o r kp r o t o c o lc a nb er e s o l v e dc o r r e c t l ya n dc a l ls u p p o r tt h e m o d e lv e r yw e l la n dt h ed e s i g na b o u tt h ei n t e r a c t i v ep r o c e s sa b o u tb e n i g nw o r ms y s t e m a c c o r d e dw i t ht h ef a c ta n dm e tt h ea r t i c l e l a s t l y , d e s i g na n di m p l e m e n tad a t ah i d i n gf e a t u r e t h et e m p o r a r yn e e d e dd a t ac a n b eh i d d e n ，w h i c hc a nr e d u c eo c c u p a n c yo ft h eu s e r ss y s t e mr e s o u r c e s k e y w o r d s ：b e n i g nw o r m ；p r o p a g a t i o nm o d e l ；n e t w o r kp r o t o c o l ；d i f f u s i o n a l g o r i t h m ；d a t ah i d i n g i v 一，0耳 目录 摘要i a b s t r a c t i i i 1 绪论1 1 1 研究背景1 1 2 国内外研究现状3 1 2 1 恶意蠕虫检测4 1 2 2 被动防御5 1 2 3 主动遏制6 1 3 本文研究工作7 1 3 1 本文贡献7 1 3 2 章节安排7 2 传播模型与扫描算法及数据隐藏技术简介9 2 1 已有传播模型9 2 1 1 双因素模型1 0 2 1 2s i r s 模型1 1 2 1 3w a w 模型1 2 2 1 4 小结。1 3 2 2 已有扫描算法介绍13 2 2 1 均匀随机扩散算法1 3 2 2 2 本地优先扩散算法1 4 2 2 3 基于目标列表的扩散算法1 4 2 2 4 基于搜索引擎扩散1 4 2 2 5k w a y 扩散算法1 4 2 2 6 被动式扩散算法一1 5 2 2 7 小结15 2 3w i n d o w s 常用文件系统简介1 5 2 3 1m b r 和d b r 简介15 2 3 2f a t 3 2 文件系统简介1 9 2 3 3n t f s 文件系统简介2 0 3 良性蠕虫的扩散模型与扩散算法及数据隐藏2 2 3 1 良性蠕虫的扩散模型2 2 3 2 良性蠕虫的主动扩散2 3 v 3 3b + 地址树的生成与稳定性分析2 9 3 4 良性蠕虫的数据隐藏3 6 4 良性蠕虫的设计与实现3 8 4 1 良性蠕虫系统设计3 8 4 2 良性蠕虫通信协议设计4 0 4 2 1c m d i d 定义4 2 4 2 2 通信数据解析4 3 4 3 良性蠕虫隐藏功能实现4 4 4 4 反馈式轮转探测扩散模型实现4 8 5 良性蠕虫模拟测试4 9 5 1 测试环境4 9 5 2 扩散模型测试与分析4 9 5 2 1 探测主机数与扩散时间一4 9 5 2 2 网络通信量比较测试51 5 3 系统功能测试5 3 5 4 ，j 、结5 4 6 总结与展望5 6 参考文献5 7 攻读学位期间取得的研究成果6 3 致谢6 4 浙江师范大学学位论文独创性声明6 5 学位论文使用授权声明6 5 v i 1 1 研究背景 1 绪论 近年来，i n t e r n e t 在改变人类生活方式的过程中，使全球的社会生活更加紧密的 联系到了一起，逐渐成为了人类社会不可缺少的重要组成部分，它的广泛应用给人类 生活带来了更多的便利和更高的效益。 然而与此同时，多年来，由于i n t e m e t 的共享、开放等特性和计算机系统本身的 弱点，使得信息安全一直是世界人们心中的心头大患。根据成立于1 9 8 8 年的美国 c e r t c c ( 计算机应急响应小组协调中心) 的统计数字【l j 表明，在1 9 9 8 年以前，信息安 全事件每年的次数还比较少，逐年增加幅度也不大。这是因为网络规模、应用范围和 开放性不足。1 9 9 9 年以后，随着互联网在全球的普及，信息安全事件每年发生的绝 对数目比较大，逐年增长的幅度也比较大。而我国内也表现出类似的情形。根据中国 互联网络信息中心2 0 1 0 年1 月发布的中国互联网络发展状况统计报告1 2 j ，2 0 0 2 年以后的每一年，网民数都呈2 5 左右的增加趋势。随着i n t e m e t 在全球范围内进一 步普及和逐渐进入人们的生活之中，普通百姓对它的依赖性越来越大，各种带有漏洞 网络应用系统越来越多，加之计算机病毒等方面导致了安全事件呈几何级的上升趋 势。 下面图1 1 和图1 2 为近几年来的新增病毒、木马数量对比： 近几年电隧病毒木马新增数霜对比 图1 1金山的病毒木马统计数据图1 2 瑞星的病毒木马统计数据 从上面两个图我们可以看出，2 0 0 8 年新增计算机病毒、木马数量呈几何级增长， 虽然它们的实际数据不尽相同，但是可以发现2 0 0 8 的病毒与木马是2 0 0 7 年1 0 倍以 上。 在上述的这些信息安全问题中，i n t e m e t 上的恶意代码以其扩散速度快等特点， 成为了网络安全方面的代表之一，每年因为计算机木马病毒全球有成千上万台计算机 停机，网络瘫痪，银行自动提款机运行中断，政府部门和一些大公司因为计算机病毒 的泛滥而紧急关闭网络服务器，造成上亿美元的经济损失。通常恶意代码主要包括计 算机病毒、网络蠕虫和木马程序等。上述的恶意代码都具有非常强的传染性，但网络 1 绪论 蠕虫的传播更加快速并且另外两种也有采用网络蠕虫的传播技术的趋势。所以近年 来，i n t e m e t 蠕虫作为恶意代码家族的代表，对社会产生的危害性已经不可同日而语。 在1 9 8 2 年x e r o xp a r c 的j o h nf s h o c h 和h u p p 等人将蠕虫这个生物学名词引入 计算机领域【4 j 并给出了网络蠕虫的两个特征：“可以从一台计算机移动到另一台计算 机”和“可以自我复制”。我们可以看出，网络蠕虫最初的概念表现不出其巨大的破 坏性。1 9 8 8 年出现的蠕虫m o r r i s 是第一个利用主机的软件漏洞，快速地在网络中传 播的恶意蠕虫。此后，e u g e n eh s p a f f o r d 为了区分蠕虫和病毒，从技术角度给出了 蠕虫的定义，“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传 播到另外的计算机上，【5 1 。但是直到2 0 0 1 年c o d e r e d 蠕虫爆发以后，人们才慢慢意 识到蠕虫能够在网络中快速传播，并且在人们采取应对措施之前就已经感染了绝大多 数的漏洞主机，而在这些已感染主机之间，也会间接的进行其他攻击，对网络也造成 了极大的危害，远远的超过了人们的想象。此后k i e n z l e 和e l d e ：从破坏性、网络传播、 主动攻击和独立性4 个方面对网络蠕虫进行了定义【印：网络蠕虫是通过网络传播，无须 用户干预能够独立地或者依赖文件共享主动攻击的恶意代码。根据传播策略，他们把 网络蠕虫分成3 类：e m a i l 蠕虫、文件共享蠕虫和传统蠕虫。最近几年对网络造成影响 比较严重的事件主要如下： ( 1 ) 2 0 0 1 年，在这一年里面出现了几个具有很大影响的蠕虫：r a m e n 蠕虫 j 、w i n u x 出现【8 1 、c o d e r e d 蠕虫【9 , 1 0 】也即红色代码【1 1 , 1 2 】、n i m d a 蠕虫 1 3 - 1 5 】，其中r a m e n 被媒体 称为l i n u x 下的第一例病毒，而w i n u x 则是首个能够同时感染w i n d o w s 和l i n u x 的跨 平台概念性蠕虫，虽然其不具有危害性，不过标志着能够感染多个平台的蠕虫诞生。 c o d e r e d 是利用i i s 服务缓冲溢出漏洞进行感染和传播的蠕虫，它的爆发引起了组织 和企业对恶意蠕虫的重视。n i m d a 蠕虫展示了与以往蠕虫的不同之处，它能够采用多 种传播方式和通过多种途径进行传播、并且能够感染多种w i n d o w s 操作系统。尼姆 达用了半小时之内就传遍了整个世界，比c o d e r e d 更快，这得益于它与以往蠕虫的 特点。 ( 2 ) 2 0 0 3 年爆发了s q ls l a m m e r ( 又名：s a p p h i r e ) 蠕虫1 1 6 和“冲击波”( w o r m m s b l a s t a ) 【1 7 】，这两个蠕虫的一个共同特点是，感染或者传播速度极快。其中s l a m m e r 每隔8 5 秒被它感染的主机数目就要翻番，其另外一个特点是其体积非常小。“冲击 波”( w o r m m s b l a s t a ) 【1 7 j 该蠕虫在5 天内感染的w i n d o w s 系统超过了3 3 0 0 0 0 台。 ( 3 ) 2 0 0 4 年爆发了网络蠕虫“m y d o o m ”【l8 j 及其变种和“c a b i r ”蠕虫病毒。其中 m y d o o m 是一种利用邮件进行传播的蠕虫，并且还可以终止安全程序的运行。而 “c a b i r ”是第一例手机蠕虫病毒，它通过蓝牙的方式进行传播。c a b i r 的出现标志着 手机病毒的时代到来。 ( 4 ) 2 0 0 5 年出现了通过即时通信软件m s n 发送病毒文件的“性感烤鸡 。用户误 运行病毒文件后，会在浏览器中显示一张烤鸡图片，而在显示图片的同时，该病毒会 在中毒电脑里放置后门程序，使黑客可以远程控制该电脑，从而使用户面临极大的安 全威胁。 ( 5 ) 2 0 0 8 年的f l a s hp l a y e r 插件漏洞给诸多网民造成了损失。 2 绪论 ( 6 ) 2 0 0 9 年底由于i e 漏洞，著名搜索引擎g o o g l e 被攻击，引起巨大的风波。 综上所述，只要有一处漏洞就全盘皆输。在现在软件规模越来越大的情况下，写 出完全无漏洞的软件几乎是不可能的。这就给了恶意代码制造者机会。随着互联网技 术的发展，人们对互联网的认识越来越深入，计算机恶意代码表现出如下的特点： 1 、病毒制造进入“机械化”时代 由于各种病毒制作工具的泛滥和病毒制作的分工更加明细和程式化，病毒作者开 始按照既定的病毒制作流程制作病毒。病毒制造进入了“机械化”时代。大量的蠕虫 工具包和蠕虫编写技术也不断的出现互联网上供大家学习和使用，这就使得蠕虫编写 工作的难度越来越低。 2 、病毒制造的模块化、专业化特征明显 病毒团伙按功能模块发外包生产或采购技术先进的病毒功能模块，使得病毒的各 方面功能都越来越“专业”，病毒技术得以持续提高和发展，对网民的危害越来越大， 而解决问题也越来越难。例如年底出现的“超级a v 终结者”集病毒技术之大成，是 模块化生产的典型代表。 3 、病毒“运营”模式互联网化 病毒团伙经过2 0 0 8 一年的运营已经完全转向互联网，攻击的方式一般为：通过 网站入侵呻写入恶意攻击代码一 利用成为新型网络病毒传播的主要方式，网民访 问带有挂马代码的“正常网站”时，会受到漏洞攻击而“不知不觉 中毒。这种传播 方式的特点是快速、隐敝性强、适合商业化运营( 可像互联网厂商一样精确统计收 益，进行销售分成) 。 4 、病毒团伙对于“新”漏洞的利用更加迅速 i e0 d a y 漏洞被利用成2 0 0 8 年最大安全事件。当m s 0 8 6 7 漏洞被爆光后部分流行 木马下载器就将此漏洞的攻击代码集成到病毒内部实现更广泛的传播。而年底出现的 i e 0 d a y 漏洞，挂马集团从更新挂马连接添加i e0 d a y 漏洞攻击代码到微软更新补丁已 经过了近1 0 天。期间有上千万网民访问过含有此漏洞攻击代码的网页。 5 、病毒与安全软件的对抗日益激烈 在病毒产业链分工中，下载器扮演了“黑社会”的角色，它结束并破坏杀毒软件， 穿透还原软件，“保护”盗号木马顺利下载到用户机器上，通过“保护费 和下载量 分脏。下载者在2 0 0 8 年充当了急先锋，始终跑在对抗杀毒软件的第一线，出尽风头 且获得丰厚回报。 1 2 国内外研究现状 从上节可以看出，在计算机技术飞速发展的同时，并未使系统的安全性得到增强。 同时由于互联网络开放性的特点，缺乏中心控制和全局视图能力，无法保证网络主机 都处于统一的保护之中1 9 】。与传统的病毒相比蠕虫有更强的繁殖能力和破坏能力。 目前国内外的研究者主要从以下三方面对蠕虫进行防治。 3 绪论 1 2 1 恶意蠕虫检测 目前的检测方法大致可分为基于特征码和基于行为特征的检测方法。 l 、基于特征码的检测方式 安全人员通过对新出现的蠕虫进行分析，提取出能够代表该蠕虫的特征码。当该 类蠕虫再次爆发时就可以使用模式匹配的方式对该类蠕虫进行识别。j o h nw l o c k w o o d 2 0 】等人提出了一种采用通过人工配制蠕虫特征串和表达式的可编程逻辑设 备对抗网络蠕虫的防范系统。该系统的优点是由于是采用专门的硬件设备对抗，所以 其扫描速率非常快，能够用于高速网络环境下对恶意蠕虫的检测。缺点在于：( 1 ) 特征 码只是蠕虫的一部分，因此很有可能正常的程序被误报为蠕虫等，从而影响用户的正 常使用；( 2 ) 网络中漏洞仍然存在，被保护的内部网络仍有可能蠕虫爆发。 国内，文献 2 1 提出了基于端1 5 1 、协议和包尺寸大小三维度的多特征蠕虫检测方 法。该方法对上述三维度分别计算相似度，然后复合成一个相似度值，然后比较相邻的 相似度，最终发现异常。 从上述可以看出，特征码检测方法只能检测已知的蠕虫，而对未知蠕虫无能为力。 2 、基于行为特征的检测方法 针对特征码检测方法的不足，安全研究人员提出了基于行为特征的检测方法，通 过蠕虫在传播过程中的异常行为特征来检测以达到检测未知蠕虫的目的。 一般又可以归纳为基于连接异常的行为特征、基于数据包的相似性行为特征和基 于扫描的行为特征等方式。下面分述之。 g e o r g eb a k o s 【2 2 】等人认为一个源地址连接到多个不同的目的地址是异常行为，该 异常行为会产生大量的i c m p 目的不可达报文，因而可以通过该方式来检测恶意蠕 虫。s c h e n 【2 3 】使用计算t c p 失效连接率的方法来检测蠕虫，该方法预先设置一个阈 值，如果失效连接率超过该阈值就认为被感染。w i l l i a m s o n 和t w y c r o s s 2 4 2 5 1 提出通过 计算主机向外发起的新连接数来检测蠕虫，该方法也先设置一个阈值，如果一个主机 向外部不同的主机发起的连接超过阈值则认为是异常行为。文献 2 8 提出了基于端口 的多工作集区分异常连接请求和正常连接请求，避免了不同端口流量之间的相互影响； 但是，该方法和w i l l i a m s o n 和t w y c r o s s 提出的方法同样不能区分相同端口的异常流量 和正常流量。 s s i n g h 2 6 】等人通过检测数据包中一定长度的子串出现的频数来检测恶意蠕虫。 不过该方法没有考虑到蠕虫特征会分布在不同的数据包中；另外该方法需要对每个数 据包进行检测和比对，所以要消耗更多资源和时间。另有一些专家提出建立 c c d c ( c y b e r c e n t e r sf o rd i s e a s ec o m r 0 1 ) 2 6 j 来对抗网络蠕虫攻击，不过因为c c d c 是 一个开放性的体系，以及其本身的一些因素，该方法还有待验证。 文献 2 9 针对上述问题，针对恶意蠕虫传播过程中不同的阶段具有不同的行为特 征，分别采用了基于扫描行为特征和基于内容来发现网络中的具有扫描行为的主机和 被蠕虫感染的主机。文伟平等学者对网络蠕虫扫描策略、传播模型和网络蠕虫的检测 4 绪论 与防御等方面进行了分析与研究m 】，并提出了一种基于网状关联分析的网络蠕虫预警 新方法【47 | ，建立了网络蠕虫预警模型。而根据文献 3 0 可知，随着黑客更加倾向与利 用搜索引擎寻找攻击目标，针对扫描行为的检测显得无能为力。s a n t y 的出现将这种 思想编程了现实。另一方面，文献f 3 1 - 3 3 也说明在p 2 p 网络中也不需要通过扫描来 寻找攻击目标。而且随着代码混淆变形和花指令等技术的采用，基于扫描和传输相似 数据包检测蠕虫的方式对于控制和遏制恶意蠕虫的扩散显得力不从心。 当然也有其它的辅助检测方式如文献 3 6 3 8 提出的使用h o n e y n e t 来转移攻击目 标、延长蠕虫传播周期，以便网络安全人员研究反制措施，不过不能达到预期效果。 1 2 2 被动防御 目前被动防御方面主要有三种方式：主机隔离、阻断和限速。 主机隔离指中止被感染主机与其他主机的通信。文献【3 4 提出疏导被感染主机访 问告警服务器从而隔离与正常主机通信的方法，及时通知被感染主机的使用者对采取 相应处理措施，从而达到消灭蠕虫的效果。s i l i c o nd e f e n s e 公司开发出一种遏制蠕虫 在企业网内的快速传播硬件产品c o u n t e r m a l i c e t 4 引，该产品首先对企业网络进行分区， 然后一旦发现某个分区内出现异常情况，就马上对隔离该分区。 d a v i dm o o r e l 3 9 】等人研究了在i n t e r n e t 级别对蠕虫进行有效的隔离，讨论了隔离系 统的特性，提出了影响隔离有效性的因素。c l i f f z o u t 4 l j 等人提出了动态隔离的思想并 进行了数学分析和模拟。该方法的思想为：主机如果被检测认为可疑，将被隔离；直 到被分析确认后，没有问题再取消隔离。 阻断主要是指阻止恶意蠕虫的传播，主要通过两个方面实现，一个是阻止其在网 络上传播的通道。该方法一般通过匹配数据包流量和恶意蠕虫特征码，将匹配成功的 数据包直接丢弃的方法，目前的网络入侵防御系统一般通过该方式来阻碍恶意蠕虫的 传播。上节中的j o h n w l o c k w o o d t 2 0 】提出的可编程逻辑设备对抗网络蠕虫的防范系统 也是采用该方式。另一方面是采取对漏洞主机进行临时性保护，这样恶意蠕虫的目标 就减少了。其扩散速度就得到了减缓。文献 4 9 阐述了对易感主机接种疫苗减少网络 中易感主机的数量，从而使恶意蠕虫无法继续传播。不过该方法也有局限对可重 复感染的恶意蠕虫不起作用，如s l a m m e r 。 限速就是通过限制主机向外发起新连接的频率来延缓蠕虫的传播。文献 3 5 对该 方法进行了阐述。从其思想可以看出该方法不能完全阻碍蠕虫的扩散，只是将扩散速 度限制在一定范围内。m a t t h e wm w i l l i a m s o n 4 0 j 提出了一种感染主机的软阻断方法。 该方法根据正常主机与被感染主机的行为不同，如连接请求等，因此提出了“良性 的响应的思想，其意思为在主机的网络协议栈设置一个过滤器，它通过使用一系列的 超时来限制连接到新的节点的速度。这种行为不影响正常的流量，但却可能影响用户 正常业务。 5 绪论 1 2 3 主动遏制 当一个流行软件的漏洞被披露后，在很短的时间内就会有利用该漏洞的恶意蠕虫 出现，随即很快传遍i n t e m e t 【5 0 】。而大量的网民不知道如何保护自己的系统和信息， 这就亟需一种可管理的主动式的防护方式【5 。由于蠕虫出现的时间内多数情况下，软 件公司还没有提供相关的补丁，即使发布，大量网民也未必及时打上补丁。因此许多 安全研究人缘提出了使用良性蠕虫对抗恶意蠕虫的方法【5 2 。”】，并且已有一些黑客组织 实现了一些对抗蠕虫，下面是一些已有的对抗蠕虫： ( 1 ) c h e e s e 蠕虫【5 5 】，c h e e s e 蠕虫主要用于对抗l i o n 蠕虫【4 5 - 4 6 ，它通过主动扫描 被l i o n 蠕虫感染的主机，利用l i o n 留下的后门进入主机，删除l i o n 蠕虫，关闭该 后门，最后继续扫描。 ( 2 1c o d eg r e e n 蠕虫【5 8 j 和c r c l e a n 蠕虫【6 1j ，这两个对抗蠕虫都是用于对抗c o d e r e d l i 5 9 , 6 0 1 。它们之间的区别有c o d eg r e e n 主动扫描被c o d er e di i 感染的主机，而 c r c l e a n 只是被动监听。c o d eg r e e n 利用i s a p i 漏洞进入主机，删除c o d e r e di i 之后 从微软网站上下载、安装补丁程序，而c r c l e a n 通过添加一个i s a p i 过滤器来保护 漏洞主机。它们都没有被开发者释放到i n t e m e t 中。 ( 3 ) w e l c h i a 蠕虫【6 2 1 ，其主要用于对抗m s b l a s t e r 蠕虫【6 3 1 。它会主动扫描主机，如 果存在相关的漏洞就会进入主机，如果主机中有m s b l a s t e r 蠕虫，就清除之。然后下 载补丁程序并安装，当主机时间为2 0 0 4 年时白毁。不过w e l c h i a 蠕虫的扫描和修复 策略占用大量的带宽、拥塞网络、对微软更新网站造成了d d o s 攻击。 在良性蠕虫的研究初期，f r a n kc 畔】等人研究通过负载代码替换来将恶意蠕虫转 变为良性蠕虫；a l l e n 研究了用于资源发现等功能分布式计算蠕虫c a c t u sw o r m 【6 川， s m a r tw o r m 6 6 j 也是一种著名的分布式计算蠕虫。 文献f 7 5 】利用传染病学的经典s e m 模型对网络蠕虫进行了建模，然而该模型不 能反映蠕虫后期的传播规律。杨峰给出了网络蠕虫的分类，并使用常微分方程建立了 普通情况下多种蠕虫相互作用传播的模型【48 i 。邹长春等人【7 6 j 通过考虑蠕虫在传播的 后期人们对其防治的两个因素，在k m 模型的基础上得到了双因素模型，该模型可以 反映蠕虫传播后期的规律。文伟平给出了基于双因素模型【6 酬改进的蠕虫对抗模型 ( w o r m a n t i w o r m 模型) 【4 6 | ，并指出了使用良性蠕虫遏制恶性蠕虫技术中的关键研究 方向。d a v i d 对良性蠕虫的法律问题、技术问题以及安全问题作了探讨1 6 圳。文献 7 0 】 给出了良性蠕虫的定义、功能结构以及工作机制，研究了良性蠕虫对抗模型并进行了 分类，在恶性蠕虫扩散算法k w a y 的基础上提出了e t 扩散算法，并进行了模拟测试。 文献 7 2 对良性蠕虫进行了分类，然后仿真证明复合型的混合良性蠕虫抑制蠕虫传播 的效果最好。文献 7 7 提出了刻画采用随机扫描策略网络蠕虫的传播模型a a w p ( a n a l y t i c a la c t i v ew o r m p r o p a g a t i o n ) 。张祥德等人【_ 7 8 j 更进一步对于选择性随机扫描蠕虫 进行了数学建模。k e s i d i sg 【7 9 】等还对消耗带宽的s l a m m e r 【8 0 】蠕虫进行了建模。文献4 6 ， 4 8 ，8 1 对主动的良性蠕虫进行了建模。文献 7 3 ，7 4 分析了基于c d c 的良性蠕虫的特 征，通过仿真总结了影响基于c d c 的良性蠕虫对抗蠕虫传播的2 个主要因素：响应 时间和探针的蠕虫检测率。这些都为良性蠕虫的后继研究提供了很好的理论基础。 6 绪论 综上所述，传统防病毒、防入侵等防范措施已不再适用于恶意蠕虫的防治，使用 良性蠕虫来对抗恶意蠕虫正成为一种新的应急措施。该方法可以主动地防御恶意蠕虫 并且在没有传统的蠕虫防御框架下仍具有潜在的部署能力。 不过目前良性蠕虫的扩散策略和主动对抗策略还有得到比较普遍的接受。主要是 对良性蠕虫对抗恶意蠕虫的过程中产生的影响处理得不太恰当，导致良性蠕虫本身扩 散中加重了对网络的冲击。如k w a y 树和e t 方式的e t 树就存在重复扫描的现象， 在至少提高四倍的重复扫描时，才能够很好地保持其稳定性。并且随着智能手机和手 持设备的大量应用，它们的资源没有普通p c 强，所以要考虑良性蠕虫本身的大小对 系统的影响。针对以上的考虑，结合w i n d o w s 的网络特征特性，本文研究基于良性 蠕虫的数据隐藏和通信控制，研究如何在不影响现有网络性能的情况下控制良性蠕虫 的传播和良性蠕虫本身数据的隐藏。 1 3 本文研究工作 1 3 1 本文贡献 本文的贡献主要集中在以下方面： 1 、首次对被良性蠕虫渗透的主机进行分类：被渗透类主机和探测类主机，从而 为减少良性蠕虫扩散过程中产生的网络通信量提供了新的视角。 2 、提出了反馈式的轮转探测扩散模型以及基于b + 地址树( b a t ) 的扩散算法。并 且对扩散算法进行了仿真和对比测试。仿真结果显示：根据恶意蠕虫的疫情和应用需 求，良性蠕虫可以选择不同的探测主机数进行扩散。对比测试显示：在探测主机数达 到预设值后基于b a t 的扩散算法网络通信量一直处于平稳状态，且相比基于e t 扩散 算法的网络通信量要小。 3 、设计和实现了一个用于支持本文扩散模型的基于x m l 的应用层网络协议和良 性蠕虫系统，并且进行了测试，结果表明：基于x m l 的应用层网络协议在良性蠕虫扩 散过程中能够很好地被解析，对本文扩散模型起到了支撑作用，且良性蠕虫交互流程 设计思路符合实际情况也满足本文的要求。 4 、设计和实现了数据隐藏功能，使良性蠕虫系统的各个功能模块更加模块化。 暂时需要的数据可以进行隐藏，减少了对用户系统的资源占用。 1 3 2 章节安排 本文总共包括六章，其安排如下： 第一章：回顾网络蠕虫的发展历史；然后对防治恶意蠕虫的情况进行详细的介绍； 之后详尽阐述良性蠕虫的研究情况，并进行了总结；最后介绍了本文的研究目标、意 义、内容等。 第二章：对已有的一些蠕虫传播模型和扩散算法进行了阐述，并使用s c i l a b 进 行了模拟；之后对w i n d o w s 常用的文件系统进行了介绍，该部分是后续的数据隐藏部 分的基础。 第三章：是本文的主要理论基础。第一节描述了轮转反馈式模型；然后阐述了 7 绪论 b + 地址树扩散算法的研究；最后讲述了数据隐藏的实现流程。 第四章：是良性蠕虫系统的设计与实现。在该部分最先阐述了系统的总体设计； 然后介绍了用于轮转反馈式模型的应用层网络协议；之后，介绍了数据隐藏功能的实 现方式；最后对基于轮转反馈式模型的良性蠕虫系统整体实现进行了阐述。 第五章：在该部分先对b + 地址树扩散算法进行了仿真模拟，之后对第四章实现 的良性蠕虫系统进行了模拟测试。 第六章：对本文的工作进行了总结，并对未来研究提出了展望。 8 2 传播模型与扫描算法及数据隐藏技术简介 本文后面需要用到的名词说明如下： 漏洞主机：指具有漏洞的主机，也叫易感染主机，处于该状态的主机也叫易感染 态主机； 被感染主机：指被恶意蠕虫感染的主机，处于该状态的主机也叫已感染态主机； 被渗透主机：指被良性蠕虫渗透，但是不参与探测及进行网络渗透的主机，该状 态也叫被渗透态； 探测主机：指被良性蠕虫渗透的，并且之后参与探测及进行网络渗透其它漏洞主 机的主机，该状态也叫探测态； 免疫主机：指打上漏洞补丁的主机，也叫恢复主机，该状态也叫免疫态。 本文后面涉及的数学模型需要用到的符号如下： 表2 1 数学模型符号 符号意义 q 总的主机数量 s ( t )t 时刻易感主机数目 i ( t ) t 时刻恶意蠕虫感染主机的数目 r ( t ) t 时刻感染恶意蠕虫的主机已免疫恢复的数目 q ( t ) t 时刻由易感主机恢复的主机数目 j ( t )时间t 时，被恶意蠕虫或已感染恶意蠕虫但是被良性蠕虫感染过的主机数量 1 3 ( t )t 时刻良性蠕虫的感染率，当良性蠕虫感染率为常= 蕈= 时用b 表示 九( t ) t 时刻恶意蠕虫的感染率，恶意蠕虫感染率为常量时用九表示 n b + 地址树最大的阶数 m 总的探测主机数 l 探测主机总数达到m 时的b + 地址树的阶数 n 每个i p 地址组所含的i p 地址数 a ；一棵i 阶的b + 地址树所含的节点数 a ； b + 地址树第