（管理科学与工程专业论文）基于分布式蜜网的蠕虫传播与控制研究.pdf

大连理工大学硕士学位论文 摘要 近年来，随着互联网技术的飞速发展，网络提供了越来越多的应用和服务，其在给 人们带来便利的同时，也给网络安全问题带来巨大的挑战，其受到的安全威胁日益增加， 尤其是恶意代码的泛滥给网络及应用造成很大的破坏。在恶意代码中，蠕虫凭借无需人 为干预、能够自动传播等特点，其造成的安全威胁最大。如何有效的防范并遏制蠕虫大 范围传播成为很迫切的问题? 在蠕虫相关研究中，对网络蠕虫结构、扫描策略、攻击方 法的分析等是防范蠕虫传播的前提条件，蠕虫传播模型和控制策略的建立是防范蠕虫的 根本保证和核心内容。 虽然人们在如何有效检测和防范蠕虫传播等进行了一些研究，并开发了如防火墙、 入侵检测系统( i d s ) 和反病毒软件等安全防护系统，但这些系统主要还是基于已有蠕 虫进行针对性的防护，在对新型蠕虫的检测和防范方面显得力不从心。蜜罐和蜜网技术 的出现，打破了传统的被动防御的局面，使得安全防御转为主动。同时，i n t e m e t 无标 度特性的发现对于深入研究网络蠕虫传播行为，基于网络拓扑结构特性进行针对性防 护，树立网络化思维的安全观，对于保障网络安全具有重要作用。 蜜罐技术是一种安全资源，其价值在于被扫描、攻击和攻陷。分布式蜜网是在蜜罐 基础上逐步发展而来，并融入数据捕获、数据分析和数据控制等工具，按照分布式体系 部署由诸多蜜罐及网络所构成的诱骗网络体系。本文正是以目前对分布式蜜网技术的研 究为基础，针对网络蠕虫的特有传播机制、工作方式和当前网络蠕虫传播模型和控制策 略的不足，将分布式蜜网技术与蠕虫检测及防御技术蠕虫融为一体，引入基于分布式蜜 网的蠕虫捕获与控制系统。本文从构建蠕虫传播模型、提出相应的免疫及控制策略和从 复杂网络抗毁性的角度构建分布式蜜网部署模型等方面进行研究。本文主要研究内容包 括以下三个部分： 第一，提出了基于分布式蜜网的蠕虫传播模型。鉴于已有蠕虫传播模型在描述现实 网络蠕虫传播存在的不足，考虑到分布式蜜网下的蜜罐主机对蠕虫表现出强诱骗性，能 优先感染蠕虫，其对出入的数据流采取“宽进严出”的控制策略等特性和i n t e m e t 的无 标度网络特性，考虑到及时安装补丁等使得主机对蠕虫具有免疫性和由于蠕虫变异、没 有及时安装补丁等所导致免疫主机丧失免疫性而重新成为易感染节点等，构建部署分布 式蜜网下的网络蠕虫传播模型，并通过模拟实验对其进行研究，并分析蜜罐诱骗级别和 蜜罐数目等因素对蠕虫传播的影响。 第二，提出基于分布式蜜网的蠕虫免疫及控制策略。基于当前免疫理论，考虑到分 布式蜜网下的蜜罐充当“免疫代理”能对邻近的主机进行免疫，蜜罐问通过蜜网共享蠕 基于分布式蜜网的蠕虫传播与控制研究 虫信息，分布式蜜网体系下的蜜罐主机具备“宽进严出”数据控制策略，通过控制部署 在网络边界及关键位置的蜜罐主机一定程度上对网络起到分割作用，遏制蠕虫大规模传 播等，基于对免疫临界值等进行分析，给出了合理的免疫临界值，以最大程度上遏制蠕 虫传播。 第三，给出了分布式蜜网部署模型及实现方案。针对分布式蜜网能抑制蠕虫传播， 对蠕虫进行免疫等，分布式蜜网部署对于保障网络安全具有十分重要的作用。本节主要 考虑分布式蜜网的部署从微观上改变网络结构，研究其对网络抗毁性的影响等，构建分 布式蜜网部署模型，通过对模型进行分析，得出一个合理的分布式蜜网部署及实现方案， 并通过模拟实验对模型进行验证。 关键词：网络安全；分布式蜜网；蠕虫；传播模型；免疫；抗毁性 大连理工大学硕士学位论文 r e s e a r c ho nw o r m p r o p a g a t i o n a n dc o n t r o lb a s e do nd i s t r i b u t e d h o n e y n e t a b s t r a c t i nr e c e n t l yy e a r s ，w i t ht h er a p i dd e v e l o p m e n to fi n t e r n e t , m o r ea n dm o r ea p p l i c a t i o n s a n ds e r v i c e sa l ep r o v i d e dt l u o u g ht h en e t w o r k , a tt h es a m et i m et h es e c u r i t yo ft h en e t w o r k a l s of a c e st h ee n o r m o u sc h a l l e n g e ，i ti st h r e a t e n e ds e r i o u s l y ，e s p e c i a l l yt h ep o p u l a t i o no f m a l i c i o u sc o d ep o s e sa ne s s e n t i a lp a r to ft h e s et h r e a ts o u r c e s o fa l lt h em a l i c i o u sc o d e s ， w o r m sa r ec a p a b l eo fs e l f - p r o p a g a t i o nw i t h o u th u m a ni n t e r v e n t i o n , w h i c hm e a n st h a tm o r e s e r i o u su n d e r l y h a gd i s a s t e r t h e r e f o r e ，h o wt od e f e n dn e t w o r ka g a i n s tw o r m se f f e c t i v e l ya n d p r e v e n ti tf r o ms p r e a d i n gi nt h en e t w o r kb e c o m eap r e s s i n gw o r k i nt h es t u d yo fw o r m ，t h e a n a l y s i st ow o r ms t n l 曲】r e ，s c a n n i n gs t r a t e g ya n da t t a c km e t h o de t ca l i st h ep r e c o n d i t i o nt o p r e v e n tw o r m sf o r ms p r e a d i n gi nn e t w o r k , e s t a b l i s h i n gw o r mp r o p a g a t i o nm o d e la n dc o n t r o l s t r a t e g yi se s s e n t i a lg u a r a n t e ea n d k e r n e lc o n t e n to fd e f e n d i n ga g a i n s tw o r m s al a r g eo fr e s e a r c hh a v eb e e nd o n eo nh o wt od e t e c ta n dp r e v e n tn e t w o r kw o r m s e f f e c t i r e l ya n ds e c u r i t ys y s t e m ss u c ha sf i r e w a u ，i n t r u s i o nd e t e c t i o ns y s t e ma n da n t i - v i r u s d e f e n d i n gs y s t e mh a db e e nd e v e l o p e d ，h o w e v e r ，a l lt h e s es y s t e m sm a i n l yd e f e n dn e t w o r k a g a i n s tw o r m sp u r p o s e l yb a s e do nk n o w n w o r ms a m p l e ，s ot h a tt h e yc a nd on o t h i n gw h e na n e ws t y l ew o r ma r i s e s 1 1 1 ep r e s e n c eo fh o n e y p o ta n dh o n e y n e tt r i e st oc h a n g et h ep a s s i v e s i t u a t i o no ft r a d i t i o n a ln e t w o r ks e c u r i t yb ym a k i n gt h es e c u r i t yp r e v e n t i n gt oa c t i v e ； m e a n w h i l e ，t h ed i s c o v e r yo fi n t e r n e tp e r f o r m so b v i o u ss c a l e - f r e ec h a r a c t e r si nt o p o l o g yi so f g r e a ts i g n i f i c a n c et or e s e a r c ht h ew o r mb e h a v i o r si nd e p t h , p r o t e c tn e t w o r kf r o ma t t a c ko n p u r p o s eb a s e do nn e t w o r kt o p o l o g y ，b u i l du pn e t w o r kc o n c e p t i ns e c u r i t ya n de n s u r en e t w o r k s e c u r i t y h o n e y p o ti s as e c u r i t yr e s o u r c ew h o s ev a l u el i e si nb e i n gp r o b e d ，a t t a c k e da n d c o m p r o m i s e d d i s t r i b u t e dh o n e y n e ti sg r a d u a l l yd e v e l o p e db a s e do nh o n e y p o t ，i ta d du pt o t h et o o lo fd a t ec a p t u r e ，d a t aa n a l y s i sa n dd a t ac o n t r o l ，w h i c hi sah o n e y n e tn e t w o r k 蛐m 舭 t h a tw a sm a k eu po fb yh o n e y p o th o s t sa n dh o n e y n e tu n d e rd i s t r i b u t e ds y s t e m sp a p e r t o o kr e s e a r c ho nw o r mp r o p a g a t i o na n dc o n t r o ls t r a t e g yb a s e do nd i s t r i b u t e dh o n e y n e tw h i c h h a sb e e nd e p l o y e di nt h en e t w o r kt od e f e n da g a i n s tw o r m sa n dh a c k e r se t ca 1 i nv i e wo ft h e s p e c i a lp r o p a g a t i o nm e c h a n i s m ，w o r k i n go fw o r m sa n dt h e l i m i t a t i o n o fp r e s e n tw o r m p r o p a g a t i o nm o d e la n dc o n t r o ls t r a t e g yi nd e s c r i b ew o r ms p r e a da n dc o n t r o l ，w eb r i n g d i s t r i b u t e dh o n e y n e ta n da n t i w o r mt e c h n o l o g yi n t ot o g e t h e ra n dp r e s e n tw o r mc a p t u r ea n d c o n t r o ls y s t e mb a s e do nd i s t r i b u t e dh o n e y n e t t h i sp a p e rt r yt oc o n s t r u c tw o r mp r o p a g a t i o n 基于分布式蜜网的蠕虫传播与控制研究 m o d e lu n d e rd i s t r i b u t e dh o n e y n e t , b r i n gf o r e w o r dt oc o r r e s p o n d i n gw o r mc o n t r o ls t r a t e g ya n d c o n s t r u c tt h ed e p l o y m e n tm o d e lo fd i s t r i b u t e d h o n e y n e t m e n t i o n e db a s e do nt h e i n v u l n e r a b i l i t yo fc o m p l e xn e t w o _ r k t 1 1 i sp a p e ri sc o m p o s e do ft h r e ep a r t s ： f i r s t , w ep r e s e n taw o r mp r o p a g a t i o nm o d e lb a s e do nd i s t r i b u t e dh o n e y n e t i nv i e wo f t h el i m i t a t i o no ft h ep r e s e n tw o r mp r o p a g a t i o nm o d e li nd e s c r i b i n gw o r ms p r e a di nt h er e a l i t y n e t w o r k s ，c o n s i d e r i n gh o n e y p o th o s tp e r f o r mo b v i o u si n v e i g l e m e n tt ow o r m s ，c a nb ei n f e c t e d b yw o r m sa tf i r s tt i m ea n di t sd a t ac o n t r o lp o l i c y - c o m ei ne a s i l y ，o u ts t r i c t l y u n d e r d i s t r i b u t e dh o n e y n e ta n dt h es c a l e - f l e ec h a r a c t e r si nn e t w o r kt o p o l o g y ，w ea l s oc o n s i d e r st h e i m m u n i z a t i o no fh o s tf o ri ti n s t a l ls e c u r i t yu p d a t ei nt i m ea n dt h el o s eo fi m m u n i t yf o r i m m u n i z e dh o s tf o ra b e r r a n c eo ro t h e rc a u s e s ，i tb e c o m es u s c e p t i b l ea g a i ne t ca l ，w ec o n s t r u c t w o r mp r o p a g a t i o nm o d e lu n d e rd i s t r i b u t e dh o n e y n 鸭v a l i d a t ei to v e rs i m u l a t i o ne x p e r i m e n t , a n a l y s i st h ee f f e c to fn e t w o r kt o p o l o g y ，t h ed e g r e eo fc a j o l e r yf o rh o n e y p o th o s ta n dt h e n u m b e ro fh o n e y p o th o s ti nw o r ms p r e a d s e c o n d ，w ep r e s e n taw o r mi m m u n i z a t i o na n dc o n t r o ls t r a t e g yb a s e do nd i s t r i b u t e d h o n e y n e t b a s e do nt h ep r e s e n ti m m u n i t yt h e o r y ，c o n s i d e r sh o n e y p o th o s t c a l la c ta s “i m m u n i z a t i o na g e n t ”t od i s p e n s ei m m u n i t yi n f o r m a t i o nt oi t sn e i g h b o rh o s t s ，h o n e y p o th o s t s s h a r ew o r mi n f o r m a t i o no v e rh o n e y n e ta n dd e p l o y i n gh o n e y p o ta tn e t w o r kb o u n d a r yo rk e y l o c a t i o nc a l ld i v i d i n gn e t w o r ki n t om a n yp a r t sf o ri t sd a t ac o n t r o lp o l i c y - “c o m ei ne a s i l y ，o u t s t r i c t l y ”u n d e rd i s t r i b u t e dh o n e y n e t ，t h e nw ec a np r e v e n tw o r mf o r ms p r e a d i n gi nl a r g e s c a l e n e t w o r ko v e rc o n t r o lh o n e y p o th 0 鸭a tl a s t ，w eg i v ear e a s o n a b l es c h e m e 、) l ，i ld i s t r i b u t e d h o n e y n e to v e ra n a l y s i s ，t h e np r e v e n tw o r mf x o ms p r e a d i n gi nt h en e t w o r k t 1 1 i r d ，w ep r e s e n tt h ed e p l o y m e n tm o d e lo fd i s t r i b u t e dh o n e y n e ta n di t ss c h e m et o r e a l i z a t i o n s i n c ed i s t r i b u t e dh o n e y n e tc a nb eu s e di nc o n s t r a i n i n gw o r mp r o p a g a t i o na n d w o r mi m m u n i z a t i o n , t h ed e p l o y m e n to fd i s t r i b u t e dh o n e y n e ti so fg r e a t + s i g n i f i c a n c ei n e n s u r i n gn e t w o r ks e c u r i t y t 1 1 i ss e c t i o np r e s e n tad e p l o ym o d e lo fd i s t r i b u t e dh o n e y n e ta n dt h e s c h e m et or e a l i z a t i o nb a s e do nt h ea n a l y s i st od i s t r i b u t e dh o n e y n e ti nn e t w o r kd i v i d i n ga n di t s i n f l u e n c eo nn e t w o r ki n v u l n e r a b i l i t yf o rt h ec h a n g eo fm i c r o c o s m i cs t r u c t u r e ，c o n s t r u c t i n ga d e p l o y m e n tm o d e lo fd i s t r i b u t e dh o n e y n e t ，a n dg i v ei t sd e t a i ls c h e m et or e a l i z a t i o n ；a tl a s t , w e v a l i d a t et h ec o r r e c t t l e s so ft h em o d e lo v e rs i m u l a t i o ne x p e r i m e n t k e yw o r d s ：n e t w o r ks e c u r i t y ；d i s t r i b u t e dh o n e y n e t ；w o r m ；p r o p a g a t i o nm o d e l ； i m m u n i z a t i o n ；i n v u l n e r a b 【 t y i v 大连理工大学学位论文独创性声明 作者郑重声明：所呈交的学位论文，是本人在导师的指导下进行研究 工作所取得的成果。尽我所知，除文中已经注明引用内容和致谢的地方外， 本论文不包含其他个人或集体已经发表的研究成果，也不包含其他已申请 学位或其他用途使用过的成果。与我一同工作的同志对本研究所做的贡献 均已在论文中做了明确的说明并表示了谢意。 若有不实之处，本人愿意承担相关法律责任。 学位论文题目：基王金查塞蜜圆鲍蝠虫笾搔量控剑珏窒 作者签名： 秘显竖李一一一日期：珥年上月坐日 大连理工大学硕士学位论文 大连理工大学学位论文版权使用授权书 本人完全了解学校有关学位论文知识产权的规定，在校攻读学位期间 论文工作的知识产权属于大连理工大学，允许论文被查阅和借阅。学校有 权保留论文并向国家有关部门或机构送交论文的复印件和电子版，可以将 本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印、或扫描等复制手段保存和汇编本学位论文。 学位论文题目蕉互蛐! 銎血嗑堡垒堡鲤型垡彩 作者签名： ：弛显坐至日期：皇塑芝年l 月竺日 铋签名：立睁吼珥年j 月立日 大连理工大学硕士学位论文 1 绪论 1 1论文的研究背景及意义 2 0 世纪9 0 年代以来，i n t e r a c t 在全球范围内迅猛发展，截至1 9 9 2 年7 月，全世界共 约有9 9 2 万台主机连入i n t e r a c t ，到2 0 0 5 年1 月，i n t e m e t 的主机数量约达到3 1 7 6 5 万台。 计算机技术的迅速发展和互联网络的迅速扩大，改变了世界经济结构、社会结构等，给 人们生活带来了巨大便利，然而由于其设计缺陷，共享性、开放性和交互性等因素，安 全漏洞数量不断增加，据美国c e r t c c 统计，该组织2 0 0 7 年共收到信息系统漏洞报告 7 2 3 6 个，自1 9 9 5 年以来，漏洞报告总数已达3 8 0 1 6 个，互联网络正面临着日益严峻的 安全问题。蠕虫、木马等恶意代码所带来的i n t e r a c t 安全威胁呈现指数级增长趋势，尤其 是近年来的增长态势异常迅猛，我国c e r ，r c c ( 计算机紧急与响应小组协调中心) 2 0 0 7 年度统计报告显示，安全漏洞数量层出不穷( 如图1 1 所示) 2 0 0 7 年各种网络安全事件 与2 0 0 6 年相比都有显著增加，蠕虫、木马等恶意代码成为互联网的最大危害，僵尸网络 成为网络攻击的基本手段和资源平台等【l 】。日益频繁的网络安全问题给国家、企业和个 人造成了重大的经济损失，据统计，世界各国每年由于网络安全问题而遭受的经济损失 达数百亿美元。 在i n t e r a c t 的各种安全问题中，恶意代码造成的损失占有很大的比重，恶意代码主要 包括计算机病毒( v i r u s ) 、蠕虫( w o r m ) 、木马程序( t r o j a nh o r s e ) 、后门程序( b a c k d o o r ) 、逻 辑炸弹( l o g i cb o m b ) 等，其中蠕虫和木马程序的比例最高，在高速网络环境下，多样化 的传播途径和复杂的应用环境使网络蠕虫的发生频率增高、潜伏性变强、覆盖面更广、 扩散速度更快，使得蠕虫病毒成为最为严重的网络安全问题之一。1 9 8 8 年，著名的m o r r i s 蠕虫【2 】事件成为网络蠕虫攻击的先例，从此，网络蠕虫成为研究人员的重要课题。2 0 0 1 年7 月，c o d er e d 蠕虫【3 】爆发，其在短短9 小时内就攻击了2 5 万台计算机，造成的损失 估计超过2 0 亿美元，随后几个月内产生了威力更强的几个变种，造成数十亿美元的损失； 2 0 0 1 年9 月1 5 日，n i m d a 蠕虫【4 】被发现，对n i m d a 造成的损失评估数据从5 亿美元一 直攀升到2 6 亿美元。目前蠕虫爆发的频率越来越快，尤其是近两年来，越来越多的蠕虫 不断出现，更是呈现出和木马相结合进行传播，呈现隐蔽性强，传播途径多样化等特点， 其造成的损失越来越惨重。 以蠕虫为主的恶意代码所造成的严重损失已引起人们的重视，如何有效地检测蠕虫、 防御蠕虫攻击，减少其带来的危害等课题成为当前国内外研究和开发的热点。 基于分布式蜜网的蠕虫传播与控制研究 当前蠕虫防治技术中，防火墙，入侵检测系统( i d s ) 和反病毒软件都是被动防护技 术，均具有一定的局限性，如防火墙不能防范网络内部蠕虫的攻击，入侵检测对蠕虫检 测存在漏警、误警等问题，反病毒软件无法对最新的蠕虫进行检测，时间上存在一定的 滞后性，同时无论是防火墙、防病毒软件还是入侵检测系统，都是针对边界而言的，需 要划分系统的内部和外部区域，从而对边界内部加以隔离和保护。如果不能够在复杂网 络中发现彼此的边界，那么，防火墙、防病毒软件以及入侵检测系统做得再好也无法保 护网络的安全。 传统的安全手段确实在某种程度上提高了单个节点和局部网络的安全性，但是从整 体角度上看，i n t e m e t 是一个开放的、多变量、高度分布、边界模糊、层次不清、动态演 化的复杂巨系统f 5 】无法做到处处设防，而蠕虫充分利用了i n t e r n e t 开放、复杂的特点， 它的传播与很多因素相关联。在这样复杂的环境下，如何对蠕虫进行检测和预警，从而 对主机系统和网络进行最大限度的保护? 一种有效的方法是采用李德毅院士提出网络化 思维的安全观【6 】，从网络的拓扑结构和内在特征分析入手，寻找复杂网络内部蕴含的功 能特性和运行机制，挖掘隐藏在网络拓扑中不同集团间的安全边界，将安全问题转化为 两个基本问题： ( 1 ) 分析网络中的结构特性，发现重点保护对象，以最小的代价保证网络的安全。 ( 2 ) 分析网络上的行为特性，研究病毒的传播行为规律，从而抑制病毒的扩散。 针对以上两个基本问题，基于i n t e m e t 的复杂网络特性，利用最新的安全防护技术构 建蠕虫预警和检测系统，对蠕虫行为和防范进行研究，从而遏制蠕虫在大规模网络上的 爆发，将网络蠕虫对网络造成的破坏降到最低。 随着网络安全形势的加剧，蜜罐和蜜网技术成为研究的热点，蜜罐技术本质上是一 种对攻击者进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务以及信息诱使攻 击者对他们进行攻击，减少对实际系统所造成的安全威胁，更重要的是蜜罐技术可以对 攻击行为进行监控和分析，了解攻击者所使用的攻击工具和攻击方法，推测攻击者的意 图和动机，从而能够让防御者清晰地了解他们所面对的安全威胁；蜜网技术是一种高交 互型的用来获取广泛的安全威胁信息的蜜罐，同时它不仅仅是一个蜜罐，而是由多个蜜 罐以及防火墙、入侵防御系统、系统行为记录、自动报警、辅助分析等一系列系统和工 具所组成的一整套体系结构，这种体系结构组成了一个高度可控的网络，使得安全研究 人员可以控制和监视其中的所有攻击活动，从而去了解攻击者的攻击工具、方法和动机。 鉴于分布式体系结构具有覆盖范围广、资源利用率高，数据批量处理，安全可控性高等 优点，按照分布式体系部署蜜网以构成分布式蜜网体系，其能够用来捕获蠕虫病毒、黑 大连理工大学硕士学位论文 客攻击行为等，进而通过分布式蜜网来共享蠕虫信息和分发免疫信息等，最后通过控制 分布式蜜网管理控制系统实现对蠕虫病毒的捕获，分析和控制等，其对于加强i n t e r n e t 安全防护，扭转被动的安全防护局面起着十分重要的作用。为此，本文通过在骨干网络 和网络边界位置部署分布式蜜网，研究部署分布式蜜网下的蠕虫传播规律；接着基于网 络拓扑结构特性和分布式蜜网特性，提出相对应的免疫及控制策略；最后考虑到分布式 蜜网的部署一定程度上改变网络微观结构，从复杂网络抗毁性的角度等对分布式蜜网部 署进行研究，并给出具体的实现方案，其对构建基于分布式蜜网的蠕虫控制系统，对蠕 虫进行检测和预警，最大程度上减少蠕虫传播给网络安全带来的危害具有重要作用。 1 2 蠕虫研究现状及存在的问题 一 目前蠕虫的研究领域主要包括主要集中在蠕虫功能结构、工作机制、扫描策略、传 播模型、蠕虫对抗技术等。s p a f f o r d 首次对m o r r i s 蠕虫的功能结构和工作机制进行了剖 析【7 j ，u cb e r k e l e y 的n i c h o l a scw e a v e r 在文献【8 d o 】中对网络蠕虫的快速扫描策略进行了 分析研究，并实现了w a r h o l 试验蠕虫，理论推测该蠕虫能在3 0 分钟内感染整个互联网在 传播模型方面，i b m 的k e p h a r t ，w h i t e 和c h e s s 在1 9 9 1 年1 9 9 3 年对病毒传播模型进 行了研究【l 卜川，在此基础上，邹长春等人以c o d er e d 为例，讨论了基于微分方程的双因素 蠕虫传播模型【l3 1 ，在蠕虫对抗技术方面，1 9 9 8 年，i b m 的s t e v e1 lw h i t e 认为传统的单 机防病毒技术已不再适用于对蠕虫的防治【1 4 】；2 0 0 0 年，i b m 启动对抗网络蠕虫的项目， 力求开发一个自动检测和防御蠕虫的软硬件环境【1 5 l 等。近年来国外政府、研究机构都非 常重视网络蠕虫研究，美国政府近期投入5 4 6 万美元给u cb e r k e l e y 和s o u t h e r n c a l i f o r n i a 大学建立网络攻击测试床，用于蠕虫、病毒等方面的研究，测试床设备多达千 余台主机【l 副，2 0 0 3 年l o 月，网络蠕虫专题研讨会在w a s h i n g t o nd c 召开，讨论了i n t e m e t 蠕虫的发展历程及未来趋势、计算机蠕虫的分类、蠕虫流量仿真、蠕虫预警系统设计与 测试、蠕虫的传播仿真、蠕虫模型剖析及隔离技术等。在国内，网络蠕虫研究也日益得 到重视，政府及安全公司都在积极开展蠕虫研究及防治工作。 1 2 1 蠕虫的定义及分类 蠕虫这个生物学名词在1 9 8 2 年由x e r o x p a r c 的j o h n f s h o c h 等人最早引入到计算 机领域1 1 7 j ，并给出了计算机蠕虫的两个最基本特征，“可以从一台计算机移动到另一台 计算机 和“可以自我复制 。1 9 8 8 年m o r r i s 蠕虫爆发后，s p a f f o r d 为了区分蠕虫和病 毒，给出蠕虫技术角度的定义【2 l ，“计算机蠕虫可以独立运行，并能把自身的包含所能 的版本传播到另外的计算机上”。k i e n z l e 和e l d e r 从破坏性、网络传播、主动攻击和独 立性4 个方面对网络蠕虫进行了定义i l8 】：网络蠕虫是通过网络传播，无须用户干预能够 基于分布式蜜网的蠕虫传播与控制研究 独立地或者依赖文件共享主动攻击的恶意代码。郑辉在文献i l9 】给出蠕虫完整的定义：“网 络蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停地获得网络中存在漏 洞的计算机上的部分或全部控制权来进行传播”o 文伟平等在上述基础上提出蠕虫定义 2 0 1 ：“网络蠕虫是一种智能化、自动化，综合网络攻击、密码学和计算机病毒技术，不需要 计算机使用者干预即可运行的攻击程序或代码它会扫描和攻击网络上存在系统漏洞的 节点主机，通过局域网或者国际互联网从一个节点传播到另外一个节点 。 蠕虫和病毒都能够复制自身并进行传染，二者有很多相似之处，但对蠕虫、计算机 病毒进行区分是非常必要的，因为通过对它们之间的区别、不同功能特性的分析，可以 确定谁是对抗蠕虫的主要因素，从而可以找出针对性的对抗方案，同时也为进一步研究 奠定基础。下表是文献9 j 提出的病毒和蠕虫的差别： 表1 1 蠕虫和病毒区别列表 t a b 1 11 1 1 et a b l eo ft h ed i f f e r e n c eb e t w e e nw o r ma n dv i r u s 文献弘u j 根据蠕虫的传播机制及行为，将蠕虫分为e m a i l 蠕虫、基于扫描的蠕虫和多 矢量蠕虫等。e m a i l 蠕虫通过电子邮件传播，当用户打开邮件附件或查看邮件时感染计算 机，典型的有“m e l i s s a 、“m yd o o m ”等。基于扫描的蠕虫对p 地址空间进行扫描，对 有漏洞的计算机直接进行感染，典型的如“c o d er e d ”、“s l a m m e r ”、“b l a s t e r 等。 多矢量蠕虫指能够同时采用多种途径进行传播的蠕虫，如邮件、扫描、对等网络和即时 通信等。多矢量蠕虫由于传播方式多，传播速度快，对网络的危害最大，如“n i m d a ”、 “熊猫烧香”等都属于多矢量蠕虫。在各种类型的蠕虫中，e m a i l 蠕虫在传播过程中需要 用户的介入，因此大多数研究者认为，e m a i l 蠕虫为恶意代码的一种，并非严格意义上的 蠕虫。近年来各种恶意代码呈现了相互融合的趋势，越来越多的病毒和木马程序结合蠕 大连理工大学硕士学位论文 虫的部分技术，一方面使得恶意代码传播途径呈现多样化趋势；另一方面以加快自身扫 描和扩散速度，使得蠕虫、病毒和木马之间的界限已不再那么明显了， 1 2 2 蠕虫结构及传播机制 ( 1 ) 蠕虫实体结构 蠕虫相对于一般的应用程序，在实体结构方面体现更多的复杂性，一在文献【1 9 】中通过 对多个蠕虫程序的分析，可以粗略的把蠕虫程序的实体结构分文如下的六大部分，具体 的蠕虫可能是由其中的几部分组成，如图1 1 所示： 图1 1 蠕虫实体结构 f i g 1 1 t h er e a l i t ys t r u c t u r eo fw o r m s 由于有的程序参数必须在编译时确定，或者包含不同平台的链接库，所以蠕虫程序 可能包含一部分未编译的公共程序源代码，由于源代码可以有很大的通用性，所以跨系 统平台的蠕虫常常会包含源代码部分；不同的系统可能需要不同的运行模块，例如不同 的硬件厂商和不同的系统厂商采用不同的运行库，这在u n i x 族的系统中非常常见，这 时可以尽量减少程序编译的工作；可运行代码是是蠕虫的主体部分，整个蠕虫可能是由 一个或多个编译好的程序组成。利用脚本可以节省大量的程序代码，充分利用系统s h e l l 的功能。受感染系统上的可执行程序如文件传输等可被蠕虫作为自己的组成部分，很多 蠕虫为了尽量减小自身的大小，同时完成更强大的功能，会直接执行系统平台提供的各 种可执行文件，如在w i n d o w s 系统平台下的c m d e x e ，t f t p e x e 和u n i x 系统平台下的b a s h 等。信息数据包括已破解的口令、要攻击的地址列表、蠕虫自身的压缩包等。 ( 2 ) 蠕虫功能结构 蠕虫为了实现其扫描探测、自动复制等功能，在网络上进行传播，j o s e n a z a r i o 提出 蠕虫的功能结构框架，该框架共包括6 个部分：搜索模块、特殊攻击模块、命令操作界 面模块、通信模块、智能模块和非攻击使用模块。在此基础上，文献【1 9 1 给出了蠕虫程序 基于分布式蜜网的蠕虫传播与控制研究 的统一功能模型，统一功能模型将蠕虫程序分解为主体功能模块和扩展功能模块。实现 了基本功能模块的蠕虫能够实现复制传播流程，而包含辅助功能模块的蠕虫程序则具有 更强的生存能力和破坏能力，具体的蠕虫功能结构如图1 2 所示： 蠕虫功熊结构 主体功能模块 信 息 搜 索 模 块 扫 描 探 测 模 块 攻 击 渗 透 模 块 自 我 推 进 模 块 辅助功能模块 实 体 掩 藏 模 块 宿 主 破 坏 模 块 信 息 通 信 模 块 图1 2 蠕虫功能结构 f i g 1 2 f u n c t i o ns t r u c t u r eo fi n t e r a c tw o r m s 远 程 控 制 模 块 自 动 升 级 模 块 主体功能模块由4 个模块构成。信息搜集模块：该模块决定采用何种搜索算法对本 地或者目标网络进行信息搜集，内容包括本机系统信息、用户信息、信任或授权的主机、 所处网络的拓扑结构、边界路由信息等，这些信息可以单独使用或被其他个体共享。扫 描探测模块主要完成对特定主机脆弱性检测，决定采用何种攻击渗透方式。攻击渗透模 块利用获得的安全漏洞，建立传播途径，该模块在攻击方法上是开放的、可扩充的。自 我推进模块采用各种形式生成各种形态的蠕虫副本，在不同主机间完成蠕虫副本传递。 辅助功能模块是对除主体功能模块以外的其他模块的归纳或预测，主要由5 个功能模块 构成。实体隐藏模块实现对蠕虫各个实体组成部分的隐藏、变形、加密以及进程的隐藏， 主要提高蠕虫的生存能力。宿主破坏模块用于摧毁或破坏被感染主机，破坏网络正常运 行，在被感染主机上留下后门等。信息通信模块使得蠕虫间、蠕虫同黑客之间进行交流， 这是未来蠕虫发展的重点，利用通信模块，蠕虫间可以共享某些信息，使蠕虫的编写者 更好地控制蠕虫行为。远程控制模块功能是调整蠕虫行为，控制被感染主机，执行蠕虫编 写者下达的指令。自动升级模块可以使蠕虫编写者随时更新其他模块的功能，从而实现 不同的攻击目的。 ( 3 ) 蠕虫工作机制 火连理工大学硕士学位论文 文伟平等提出了蠕虫的工作机制【2 0 1 ，如图1 3 所示。蠕虫攻击行为可以分为四个阶 段：信息收集、扫描探测、攻击渗透和自我推进。其中信息收集阶段主要完成对本地和 目标节点主机的信息汇集，扫描探测阶段完成对具体目标主机服务漏洞的检测，攻击渗 透阶段利用己发现的服务漏洞实施攻击，自我推进阶段完成对目标节点的感染。 图1 3 蠕虫工作机制 f i g 1 3 t h em e c h a n i s mo fw o r mw o r k i n g ( 4 ) 蠕虫传播机制 蠕虫是一种自治代理，能够在网络中迅速传播，特别是在高速网络环境下，多样化 的传播途径和应用环境更使得蠕虫爆发率大为提高，覆盖面也更加广泛，造成的损失越 来越大。影响网络蠕虫传播速度的因素有四个：一是存在漏洞的主机被发现的感染速度； 二是有多少潜在“脆弱 主机可以被利用即目标地址空间的选择；三是网络蠕虫对这些 目标的感染速度，决定蠕虫传播速度的主要因素是对存在漏洞的主机被发现的速度，也 就是能够找到多少有效的主机系统，这要由蠕虫的扫描模块来完成，所以为了更有效的 防御蠕虫攻击，必须从蠕虫的扫描方法入手来研究蠕虫的传播机制。 蠕虫利用系统漏洞进行传播首先要进行扫描探测。扫描探测主要利用i c m pp i n g 包 和t c ps y n ，f i n 和a c k 包。蠕虫扫描策略的好坏直接影响着蠕虫在网络中的传播速 度。按照蠕虫对目标地址空间的选择方式进行分类，扫描策略可分为：随机扫描、选择 性随机扫描、基于目标列表的扫描、分治扫描、基于路由的扫描、基于d n s 扫描等。一 般情况下，采用d n s 扫描传播的蠕虫速度最慢，选择性扫描和路由扫描比随机扫描的 速度要快；对于h i t 1 i s t 扫描，当列表超过1 m 字节时，蠕虫传播速度就会比路由扫描 蠕虫慢；当列表大于6 m 时，蠕虫传播速度比随机扫描还慢。目前，网络蠕虫首先采用路 由扫描，再利用随机扫描进行传播是最佳选择。 1 2 3 蠕虫传播模型 蠕虫病毒在自我复制、传播行为上类似于生物病毒，因此，经典的传染病传播模型 及免疫理论适用来研究i n t e m e