（计算机应用技术专业论文）网络蠕虫检测技术应用研究及系统实现.pdf

摘要 摘要 随着互联网技术的高速发展，网络传输速率显著增加，网络应用复杂性增强， 使得网络蠕虫成为网络系统安全的重要威胁。从1 9 8 8 年第一个网络蠕虫m o r r i s 到 疯狂传播的a n i 蠕虫，c e r t ( 计算机应急响应小组) 统计到的h l t e m e t 安全威胁事 件每年以指数增长，近年来的增长态势尤为迅猛。 蠕虫对网络造成巨大损害的主要原因在于蠕虫传播的突发性。通常，其传播 会经历慢速启动、快速传播和缓慢结束三个阶段，也就是说蠕虫传播初期速度通 常比较慢，但随着传播的进行，其扩散速度将会呈指数态急剧增大，最后随着未 被感染的主机数量减少，其传播速度又会逐渐降低。由此可见，只有在慢速启动 阶段发现蠕虫并进行隔离才能真正有效地遏制其传播。如何在蠕虫传播早期快速 有效地发现和定位蠕虫，并遏制蠕虫的扩散成为一个极具挑战性的研究课题。 本文围绕蠕虫慢速启动阶段的预警方法进行研究，首先对蠕虫的国内外研究 现状进行了总结，揭示了网络蠕虫研究的必要性。接着介绍了网络蠕虫的定义、 行为模型、攻击过程等活动机理，深入分析了当前蠕虫常用的隐蔽技术。然后本 文归纳总结了目前蠕虫检测和响应技术，描述了一种新的特征提取系统，这种系 统区别于早期的基于报文语法、语义的特征提取模式，它采用虚拟执行的方式， 将蠕虫所利用的漏洞的执行路径作为特征，引出一个新的蠕虫研究点。 根据以上研究，本文提出了一种网络蠕虫检测与响应的整体解决方案，设计、 实现了网络蠕虫本地化预警系统。该系统将误用检测和异常检测相结合，通过d s c 算法来统计t c pr e s e t 异常包以判断蠕虫的早期爆发，采用基于协议的特征匹配 技术来识别己知蠕虫的传播，将网络蠕虫异常扫描行为与正常扫描行为进行区分， 更好地实现蠕虫早期的预警检测。同时，考虑到系统自身的安全性，采用了s s l 加密通信方式，将检测端注册为服务，保证系统在电脑重启或登陆前便可进行蠕 虫的检测。文中详细介绍了通信模块、检测模块和响应模块的设计流程和实现难 点。然后，利用s y m 觚t e c 推出的免费软件w o m ls i i n u l a 幻r 来模拟蠕虫的爆发行为， 在实验室环境下对网络蠕虫预警系统进行了测试，给出了功能测试和性能测试报 告。测试结果显示，网络蠕虫本地化预警系统在本地局域网环境下能有效地检测 蠕虫的早期爆发行为，其误报率低于s n o r t ，系统整体性能有所提高，具有一定的 应用价值。 摘要 最后，本文对已有工作进行总结，并提出下一步研究方向。 关键词：网络蠕虫，异常检测，特征提取，预警系统 i i a b s t r a ( 了r a b s t r a c t w i t l lt 1 1 er a p i dd e v e l o p m e n to f1 1 1 t e m e tt e d m o l o g y ，t h er a t eo fn e t w o f k 仃a 1 1 s f e r s i i l c r e a s ef 缸t 觚dn e 咐o r ka p p l i c a t i o l l sb e c o m em o r ec o m p l i c a t e d ，h i c hm a l ( em e n 咖，o r kw o 册b e 觚i n l p o r 1 tm r e a tt om en e t w o r ks y s t e i ns e c u r i 啦f l r o mm ef i r s t n 咖r kw o m lm o m si n1 9 8 8t om ea n i 、釉姗w l l i c hs p r e a d sc r a z i l yr e c e l l t l y c e r t h 嬲m a d eas t a t i s t i c s 、) l ，：i l i c hr 印o r t st h a tm em t e n l e ts e c 嘶t ya f r a i r si n c r e a s eb ye x p o n e n t e v e 巧y e a rc x p e c i a l l yi nr e c 豇l ty e a r s t h em a i nr e a s o n 向rm ed 锄a g e s 1 a tm ew o 姗m a k e st 0m en e 俺r o r ki st h a tw o 肌 s p r e a d sp a r o x y s m a l l y ：u s u a l l 弘i th 嬲m r e cp h a s e s ：s l o w - b e 百耐n 吕f 弧t s p r e a d i i l ga l l d s l o 、班锄【d i i l 舀w 1 1 i c hm e a l l s l e 、o ms p r e a d sv e 叮s l o w l ya tm eb e 西i l l l i n go fm e 证f b c t i o nt i m e ，m e ns p r e a d s 觚e r 釉df 奴e r 勰t i m e9 0 e sb y ，f i n a l l yt 1 1 es p r e a d i n gr a t e b e c o m e ss l o w 、) l ，：h e n 廿1 ev i c t i mh o s t sd e c r e a s ei nm 曲b t h u si tc a nb es e e i lw ec a i ls t o p a n dc o n t r o lw o 姗s p r e a d i n ge f j e - e c t l yo n l yi l lt h ep a h s eo fs l o w - b e g 慨n g h o wt o d i s c o v e ra n dg ot 0t l l er i 曲tp l a c et o s t o pa n dc o n t r o l 廿l es p f e a d i n go ft l l ew o 吼 b e c o m e sa 1 1d i 伍c u l 哆a i l dc h a l l e l l 舀n gs t u d ) ，i n gt a s k 。 t l l i sp 印e r 南c u s e so nm ee a r l yw a n l i n gm e t h o d ss t u d y i l l gi n s l o w b e 百1 1 1 1 i n g s p r e a d i n gp h a s e f i i 苫to fa l l ，i ts u m m a r i z e sm ec l 】【r r e i l tr e s e 鲫c ha b o u tn l ew o r ms t u d y i n g i i la n da b r o a d ，锄ds p e c i 6 e sm e n e c e s s i t ) ro fs t u d y i n gm ew o 吼s c c o n d l y ，i ta n a l y s e st 1 1 e w o m l删t i e s 试c l u d i n gt h ew o m sd e f i r 曲o n ，b e h a v i o rm o d e l 锄d a t t a c k i l l g p r o c e s s ，a n d a l s 0 a n a l y s e s也e c u 旺e n tw o mh i d 妇lt e d h n o l o g y d e 印琅nm e i l s u m m a r i z 骼m ec u 盯e 1 1 tt e d h n o l o g yo fw o 姗d e t e 鲥o na 1 1 dr e s p o n s e a c c o r d h 培t 0m e r e s e 龇c h ，i t d e s c r i b 髂an e ws i g n a t u r e - g e r 斌a t i o n s y s t e m ，w l l i c ：hi sd i 任e r e n t 董b m 仃a d i t i o n a lm e 1 0 d sb a s e ds ) ，l 】慨嘶c0 rs e m a i l t i c nf o c u s e so nv u l n e r a b i l i 够s i 鲷a n 玳s t l l a td o n tc ：h a l l g ei nw o 加抛c k i ta d a p t sm ev i l t u a le x e c u t i o nt e c ：1 1 1 1 0 l o g ya i l dw i l lb e an e wr e s e a r c ：ht a s ki i lm em t u r e a c c o r d i n gt 0m er e s e a r c hb e f o r e ，w ep r o p o s eaw h o l es o l u t i o no fm ew o 咖f 瓠t d e t e c t 主o n 砒l d r e s p o n s e d e s i g na n d 证i p l e m e n t an e 研o r kw o 蕊 e 积i y - w a m i n g s y s t e m t l l i ss y s t e mc o m b i l l e sm em i s u s et e c l l i l o l o g ) ，a 1 1 da i l o m a l yt e 6 h n o l o 麟a l l d a d a p t sd s ca l g o r i t l l mw l l i c hc o u i l t s 1 et o t a ln m n b e ro ft c pi 也s e tp a c k e t si l lo r d e rt 0 m a b s t r a c r d e t e c tw o mi ne a r l ys p r e a d i n gp h a s e w ea l s oa d a mm es i 盟砷m em a t c ht e c h n o l o g y w 1 1 ic ：hi sb a s e do np r o t o c o l st od e t e c tm ek n o w nw o m a si tc 弛d i 筇巳r e n t i a t et 1 1 e a 1 1 0 m a l ys 删n gb e h a v i o r 舶m 也en o m a lo n e s ，i t1 e a d st 0b e t t e rw o md e t e c t i o n r e s u l t s m e a l l w l l i l e ，c o n s i d 嘶n gm ee 砌y w a n l i n gs y s t 锄ss e c u d 劬o u rs y s t e ma d a p t s s s lc o m m u n i c a t i o nm e t h o d 龇dr e 酉s t e ri t s e l fa saw i l l d o w ss e r v i c e 、h i c ha s s u r e si t c 距d e t e c tm ew o n l lw h e nr e b o o t i n gt 1 1 e 唧u t e ro rb e f o r el o g 舀n gi n t ot 1 1 ec o m p u t 既 t 1 1 i sp 印e r 枷胁d u c e st h ei m p l e m 枷o n p r o c c s s e so fc o 删：n u l l i c 撕o nm o d u l e ，d e t i t i o n m o d u l ea n d r e s p o n s e m o d l l l e i i l d e t a i l s f i n a l l y ，w e u s ea ：6 沱es o 胁a r eo f s y i n a n t e c w b r ms i l i l u l a t o rt os i m u l a t em ew o m sb r e a k i n 分o u tb e h a 、，i o r st 0 t e s tt 1 1 e e 砌y - w a r n i n gs y s t e m 吼d e r0 1 】r1 a be n v i r o n m e l l t 觚dc o m p l e t ea 如n c t i o nt e s t i n gr 印o r t a 1 1 dap e r f b 锄a n c et e s t i n gr e p o r t a sm er e p o r t ss a mn e t w o r kw o n ne 砌y - w a n l i n g s y s t e mc a nd e t e c tt 1 1 ew o m se a d yb e h a v i o r se f r e 谢v e l yi n1 0 c a la r e an e t w o r k i tp r o v e s m es y s t e r n sp e r f o m a i l c eh 弱i n c r e a s e dt oac e r t 血e x t 钉l t锄di t sv a l u a b l ei n a p p l i c a t i o n 1 1 1t h ee n d ，t h e r ei sas u l n m a r yo nm ep r e s e n tw o r ka n dm e p r o s p e c ti sp u tf o 刑a r d k e y w o r d s ：n e f w o r kw o r m ，锄o m a l yd e t e 撕o i l ，s i 鳃a t u r eg e r a t i o n ，e 砌y - w 蛳m g s y s t e l n i v 缩略词表 缩略词表 英文缩写英文全称中文释义 h 夸n 滑 a n a l 如c a la c t i v ew 幻mp r o p 赠a t i o n蠕虫传播动态分析模型 s i r s u s c 印t i b l e s i n f e c t i v e s - r e c o v e r e dm o d d易感感染免疫模型 n s 2n e t w o r ks i m u l a t o r - 2 网络模拟器2 g t n e t s g c o 晒at e c hn e t 、】l ，o r ks i m u l a t o r网络环境模拟器 d d o s 气xh 1s e a r c ho fav r a c c m ef o rd i s t r i b u t c d 分布式拒绝服务攻击防 d e n j a lo fs e r 访c ea t t a c l ( s 御研究项目 n w sn c t w o r kw r o 肌s i m i l l a t i o n 网络蠕虫模拟器 d n sd o m a i nn 锄es y s t e m 域名系统 i c m pi n t c n l e tc o n t r o lm e s s a g ep r o t o c o l 互联网控制消息协议 t c pt r a i l s m i s s i o nc o n 仃0 lp r o t o c 0 1 传输控制协议 u d pu s e rd a t a 黟锄p r o t o c o l 用户数据报协议 n a tn e t w o r ka d d l - e s s 椭s l a t i o n 网络地址转换 a s ra d d r e s ss p a c er a n o m i z a t i o n 地址空间随机化 s s ls e c u r es o c k e tl a y e r 安全套接层 d s cd e s t i n a t i o ns o u l ec o r r e l a t i o n 目标源关联算法 v i i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他入已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明 确的说明并表示谢意。 签名：雪咖冬 日期：年月 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：趣导师签名：巡 日期：年月日 第一章引言 随着网络的普及，基于网络的信息化已经成为大势所趋，它广泛地影响到政 治、经济、军事等各个方面，随之而来的网络安全问题日益成为社会关注的焦点。 2 0 0 6 年，反病毒公司f s e c u r e 统计的恶意代码数量已经超过1 0 0 0 0 0 种，各式各样 的恶意代码层出不穷。蠕虫作为恶意代码的一种，对计算机系统安全和网络安全 的威胁日益增加。特别是在开放的计算机网络环境和复杂的应用环境下，多样化 的传播途径和复杂的应用环境使网络蠕虫的发生频率增高，潜伏性变强，覆盖面 更广，造成的损失也更大。因此，网络和信息系统的安全问题急需在方法、技术 和原理上的新突破。 1 1 蠕虫发展历史 蠕虫最早由x e r o xp a r c 的j o l u lf s h o “1 】等人在1 9 8 2 年引入计算机领域，并 给出了计算机蠕虫的两个最基本特征：“可以从一台计算机移动到另一台计算机 和“可以自我复制 。他们最初编写蠕虫的目的是做分布式计算的模型试验。1 9 8 8 年1 1 月，莫里斯蠕虫【2 】【3 】造成全世界6 0 0 0 多台计算机瘫痪；2 0 0 1 年8 月爆发的红 色代码在9 小时之内入侵了世界上2 5 万台计算机，造成的损失估计超过2 0 亿美 元，随后几个月内产生了威力更强的几个变种，其中红色代码i i 造成的损失估计 超过1 2 亿美元。2 0 0 3 年8 月爆发的冲击波蠕虫在8 天内造成全世界2 0 多亿美元 的损失。日益严重的蠕虫问题不仅给企业和个人带来了巨大的损失，而且有人蓄 意利用蠕虫病毒进行违法犯罪活动，至此网络安全问题已经上升为国家安全的问 题。 在全球信息化浪潮的冲击下，我国信息化建设也进入快速发展阶段，蠕虫病 毒疯狂涌现，造成网络大范围阻塞瘫痪。在我国，“杀手蠕虫使全部骨干网络受 到严重影响，部分骨干网国际入口基本瘫痪；“口令蠕虫 蔓延到大部分骨干网络 中，累计超过4 万余台计算机受到感染；“冲击波及冲击波清除者蠕虫”使受感染 的主机累计超过2 0 0 万台。自2 0 0 4 年5 月1 日发现“震荡波”病毒到5 月9 日， 被感染主机数一路飙升至1 1 8 2 0 3 台。可见蠕虫对网络造成的灾难是毁灭性的，损 失是难以估计的，危害是难以预料的。 电子科技大学硕士学位论文 2 0 0 0 年至今，是网络蠕虫发展期。最初的蠕虫病毒尽管蔓延速度快，虽然严 重威胁着计算机系统的安全，但由于其结构简单，功能单一，技术相对初级，传 统的病毒防治手段能够对其起到根治的作用，但是，随着网络技术不断发展，己 经出现利用各种复杂技术编制的网络蠕虫病毒。 蠕虫病毒结合木马病毒，后门程序以混合式的攻击手法继续成为对网络攻击 的病毒主流，蠕虫在网络上存在的生命周期越来越长；发现网络安全漏洞与利用 该漏洞编写的蠕虫出现在网络上的时间间隔越来越短；蠕虫变种数目繁多，出现 变种的时间间隔也相应缩短。网络蠕虫家族泛滥于网上的现象频频发生；新蠕虫 的出现难以预测，网络蠕虫已经逐步集多种攻击技术于一身，很难在短时间内彻 底根除，蠕虫功能增强，传播速度加快，危害加重。 1 2 国内外研究现状 正由于蠕虫的不可预知性、强大的攻击性、导致后果的灾难性使得网络安全人 员更加关注蠕虫的入侵检测和防御研究，力争能够防御蠕虫，将蠕虫给我们带来 的损害降到最低。那么，如何对蠕虫病毒进行定性、定量的描述，如何对蠕虫的 实体结构、功能模型、行为特征、工作原理进行剖析与研究，如何高效地对付现 有的蠕虫病毒，如何编制能够针对现有蠕虫与未知蠕虫特性的检测与防御模型系 统等等，就成为了网络安全中备受关注的话题。 近年来，国外政府、研究机构都非常重视网络蠕虫研究，美国政府投入5 4 6 万美元给u cb e r k e l e y 和s o u m e mc a l i f o n l i a 大学建立网络攻击测试床，用于蠕虫、 病毒等方面的研究，测试床设备多达千余台主机。2 0 0 3 年l o 月，网络蠕虫专题研 讨会在华盛顿召开，讨论了慨e t 蠕虫的发展历程及未来趋势、计算机蠕虫的分 类、蠕虫流量仿真、蠕虫预警系统设计与测试、蠕虫的传播仿真、蠕虫模型剖析 及隔离技术等。在国内，网络蠕虫研究日益得到重视，政府及安全公司都在积极 开展网络蠕虫的防治工作。 目前，蠕虫研究主要集中在蠕虫功能结构、工作机制、扫描策略、传播模型、 蠕虫模拟及蠕虫对抗技术方面。在扫描策略方面，文献 4 5 6 7 8 提出了优 化的扫描策略；在传播模型方面，研究学者认为蠕虫传播模型的建立主要借助于 生物学中的传染病模型，在传染病模型中，涉及三个状态：s ( 易感状态) 、i ( 感染状 态) 和r ( 免疫状态) 。围绕这三个状态间的转换以及有关影响因素，研究者采用确定 型或随机型模型来对蠕虫的传播过程进行建模。确定型模型用于描述易感染数量 2 第一章引言 很大时平均传播过程，而随机型模型【9 】贝0 适用于易感染数量小的情形，目前已经采 用了多种模型对蠕虫传播进行建模，包括“传统检测传染病 模型【5 1 ，基于传统的 传染病k 撇a c k - m c k e i l 越c k 模型【l o 】、脚c a n a l 蜘c a la c t i v ew r o mp r o p a g a t i o n ) 模型【1 1 1 、s r 模型的扩展【1 2 】等。在蠕虫模拟方面，主要研究对蠕虫行为、蠕虫传 播过程、蠕虫对网络的影响、蠕虫检测和应对技术等研究。目前，己经有各种通 用模拟工具， 如n s 2 州e t 、) i r o r ks 油u l a t o r ) 【1 3 】，s f n e t ( s c a j a b l e s i i l l u l a t i o n f 删皿e w o r k ) 和g t n e t s ( g e 0 哂at e c hn e 铆o r k s i m u l a t o r ) 【1 5 】【1 6 】等，以及专用模拟工 具，如d d o s v 舣项卧17 】和n w s m e 咐o r kw 6 ms i i l l u l a t i o n ) 模拟器【1 8 】等，可以进 行蠕虫模拟。蠕虫模拟分为两大部分，一是蠕虫传播过程模拟，可分为基于解析 模型、包层次和混合层次的模拟方法；二是蠕虫流量模拟。文献 1 8 卜 2 2 对两种 方法进行了描述。在蠕虫检测方面，技术的研究已经成为目前的研究热点。蠕虫 检测属于入侵检测的范畴，按照入侵检测方法来分类，可以分为误用检测和异常 检测。目前较常用的蠕虫检测方法是误用检测，即通过蠕虫代码特征来检测蠕虫 的存在。该方法只能在蠕虫爆发后，通过对相应蠕虫进行分析得到检测特征，具 有对特定蠕虫检测准确率高的特点，但是无法检测未知蠕虫，因此无法实现对蠕 虫的有效防范。另一种日益受到重视的蠕虫检测方法是异常检测，即根据正常情 况对系统建模，通过检测主机的异常行为或者流量的异常模式来确定蠕虫的存在。 目前，主流的开源检测系统包括s n o r t 【2 3 】和b r o 【2 叼；商用的检测系统包括i s s r e a l s e c u r e 【2 5 1 、c i s c 0s e c u r ei d s 【2 6 1 等。 由于网络蠕虫的复杂性和行为不确定性，目前对其防范措施已经采用多种技 术进行综合检测和防御，包括网络蠕虫检测与预警、网络蠕虫传播抑制、网络蠕 虫利用漏洞的自动修复、网络蠕虫阻断等。但随着网络信息的频繁交流，网络上 还没有完美无缺的蠕虫入侵检测和防御产品，研究不断出现的蠕虫病毒工作依旧 是国内外网络安全领域的重要任务。 1 3 课题研究意义和目标 网络蠕虫具有较强的繁殖能力和破坏能力。传统的计算机病毒主要通过计算 机用户间的文件复制来传播，它以粘附在其他文件中的寄生形式存在，不能独立 运行，影响的只是本地计算机。而网络蠕虫作为一个独立的程序，能够主动搜索 网络上的易感主机、对易感主机发起攻击。同时，网络蠕虫的传播会抢占网络带 宽，造成网络堵塞甚至瘫痪。面对网络蠕虫的威胁，如何实时高效地监测发现网 电子科技大学硕士学位论文 络中的蠕虫活动迹象、如何准确定位传播网络蠕虫的已感染主机、如何及时采取 合理措施阻止网络蠕虫的扩散传播等问题己经成为计算机网络安全领域的一个重 要研究课题。目前，国内外许多安全专家对网络蠕虫进行了深入研究，提出了诸 如特征匹配、统计分析、网状关联分析、蜜罐诱捕等多种蠕虫检测技术，也产生 了诸如修改系统漏洞、网络设备过滤、良性蠕虫对抗、杀病毒软件清除等多种蠕 虫响应技术，在蠕虫检测和响应方面研究取得了极大的成果。 但是，多数的研究往往侧重于如何提高蠕虫检测的性能，或者侧重于如何有 效应对蠕虫的传播和破坏，却忽视了将检测和响应技术的有机结合。更重要的是， 多数研究侧重于全球网络中蠕虫的防治策略，需要多个部门合作，且存在以牺牲 部分网络利益为代价的可能。这些研究忽视了蠕虫传播对本地网络正常网络应用 所带来的严重影响。事实上，由于网络蠕虫在向外传播时会持续发送大量的连接 请求包，这些频繁发送的连接包占用了大量的网络带宽，给本地网络造成了严重 的网络阻塞。这种现象非常普遍，比如许多校园网就曾遭受并仍然遭受着网络蠕 虫引起的网络拥塞。 本课题旨在通过分析当前网络蠕虫常用的检测技术，提出一种网络蠕虫检测 与响应的整体解决方案，设计一种网络蠕虫本地化预警架构，将已有蠕虫检测技 术应用于系统架构，并结合网络环境等实际情况制定网络蠕虫报警响应机制，最 终实现网络蠕虫的有效检测。同时，本课题在研究蠕虫隐蔽技术的基础上，对预 警系统融入反识别技术，将相似的隐蔽技术加入检测系统中，采用s s l 加密通信 机制，提高系统自身的隐蔽性和安全性。系统适用于小型局域网中，避免了常用 i d s 的繁琐计算，同时也改进了单独使用防火墙防御蠕虫病毒的不足。 考虑到工作量和实际网络环境，该系统的研究对象主要针对： ( 1 ) 基于t c p 、l 刀) p 传播的蠕虫。在现实网络环境下，t c p 和u d p 流量占据了 大部分网络流量。鉴于此，本文只限于讨论基于t c p 和切) p 传播的蠕虫。 ( 2 ) 采用随机扫描策略的蠕虫。随机扫描策略算法简单、易实现，一直以来大部 分蠕虫传播都采用这种扫描方式。例如：c o d e r e d ，s l a p p e r ，s l a m m e r 等 综上所述，网络蠕虫本地化预警系统应具备以下特点： ( 1 ) 快速检测未知蠕虫爆发，并进行及时的报警。 ( 2 ) 准确检测已知蠕虫的传播，并进行及时的报警、阻止。 ( 3 ) 较强的稳定性，隐蔽性，保证检测系统的安全性。 ( 4 ) 系统配置灵活，用户使用方便，可扩展性强。 4 第一章引言 1 4 课题主要内容和组织结构 本课题在研究蠕虫检测、响应技术应用的基础上，以设计和实现网络蠕虫本 地化预警系统为主要内容，将异常检测技术与模式匹配技术相结合地应用于系统 中，提出了蠕虫预警系统的整体架构和部署策略。然后，从系统检测原理、流程 设计、实现难点到系统的测试分析，都进行了详细分析和描述。最后，由实验证 明，该系统在本地网络中具有一定的应用价值。各章节安排如下： 第一章概括了蠕虫发展历史和研究现状，介绍了课题研究的重要意义，提出 课题的主要内容和实现目标。 第二章分析了网络蠕虫的活动机理，引出了蠕虫的定义和行为模型，并从攻 击技术和隐蔽技术两个方面，重点分析了当前蠕虫所使用的各种复杂技术。 第三章在分析比较蠕虫各种攻击、隐蔽技术措施的基础上，对当前蠕虫的检 测、响应技术进行了全面的研究，总结了前人提出的各种检测、响应方法，并提 出一种基于漏洞的蠕虫特征提取的研究方向，通过将蠕虫利用的漏洞执行路径作 为特征，实现对多态、变形蠕虫的检测。 第四章在w i n d o w s 平台下，结合异常检测d s c 算法和误用检测技术，提出 一种网络蠕虫检测与响应的整体解决方案，设计并实现了蠕虫本地化预警系统。 第五章对系统进行测试和分析，采用模拟测试的方法对系统功能和性能进行 了验证。 第六章全文的总结和展望。总结了本文的主要工作和技术上的局限性，提出 了下一步的研究方向。 电子科技大学硕士学位论文 第二章网络蠕虫活动机理分析 2 1 蠕虫定义和行为模型 2 1 1 蠕虫定义 蠕虫自从在1 9 8 2 年引入计算机领域，就具有了两个最基本特征：“可以从一 台计算机移动到另一台计算机和“可以自我复制 。在文章 1 中，蠕虫的破坏 性和不易控制已初露端倪。1 9 8 8 年m o r r i s 蠕虫爆发后，网络蠕虫因其自身的主动 性和独立性区别于计算机病毒。e n z l e 和e 1 d e r 从破坏性、网络传播、主动攻击 和独立性4 个方面对网络蠕虫进行了定义【2 7 】：网络蠕虫是通过网络传播，无须用 户干预能够独立地或者依赖文件共享主动攻击的恶意代码。根据传播策略，他们 把网络蠕虫分为3 类：e m a i l 蠕虫、文件共享蠕虫和传统蠕虫。国内郑辉认为蠕虫 具有主动攻击、行踪隐蔽、利用漏洞、造成网络拥塞、降低系统性能、产生安全 隐患、反复性和破坏性等特征，并给出相应的定义【2 8 】：“网络蠕虫是无须计算机使 用者干预即可运行的独立程序，它通过不停地获得网络中存在漏洞的计算机上的 部分或全部控制权来进行传播 。该定义包含了鼬e n z l e 和e 1 d e r 定义的后两类蠕虫， 不包括e m a i l 蠕虫。在2 0 0 3 年1 0 月的世界蠕虫会议上，s c h e c h t e r 和m i c h a e l d s i i l i 也提出了一类新型网络蠕虫，即a c c e s sf 0 rs a l e 蠕虫【2 9 1 。这类蠕虫除了上述 定义的特征之外，还具备身份认证的特征。 综上所述，目前蠕虫具有以下几点共性： ( 1 ) 蠕虫具有自我复制和传播的特性，该特性也是病毒的特性之一。 ( 2 ) 蠕虫能够独立运行，无需用户活动的支持，该特性是病毒所不具备的， 因此与病毒相比，蠕虫传播速度更快。同时，该区别使得通常说的“邮 件蠕虫 和“即时消息蠕虫 属于病毒，因为这些攻击均需用户打开文 件或者链接等操作才能传播。 ( 3 ) 蠕虫利用漏洞进行传播，由于各种漏洞( 包括软件设计和实现漏洞、策 略漏洞等) 的不可避免，使得蠕虫具有广泛的生存空间。 2 1 2 行为模型 6 第二章网络蠕虫活动机理分析 网络蠕虫的工作机制如图2 1 所示。从网络蠕虫主体功能模块实现可以看出， 网络蠕虫的攻击行为可以分为4 个阶段：信息收集、扫描探测、攻击渗透和自我 推进。信息收集主要完成对本地和目标节点主机的信息汇集；扫描探测主要完成 对具体目标主机服务漏洞的检测；攻击渗透利用已发现的服务漏洞实施攻击；自 我推进完成对目标节点的感染。 图2 1 网络蠕虫的工作机制 2 2 蠕虫的典型攻击过程 一个蠕虫的攻击过程通常包括感染、传播和执行负载三个阶段咖3 。 2 2 1 感染 这个阶段，蠕虫己入侵到本地系统，它为了利用网络资源进行自治传播必须 修改一些系统配置，运行程序，为后续阶段做准备，如生成多个线程以备快速探 测新的目标之需，设置互斥标志防止系统被再次感染而影响传播速度等。通过这 个阶段的工作，蠕虫将所入侵的系统变为一个新的感染源。以后这个感染源就可 以去感染其它系统以扩大感染范围。 2 2 2 传播 在这个阶段蠕虫会采用多种技术感染更多的系统。该阶段通常包含下列过程： 目标探测。在蠕虫感染系统前，它必须首先发现目标。有许多技术可以帮助蠕 虫发现和利用新目标：扫描( 外部目标列表、预生成的目标列表、内部目标列表) 和被动监视。蠕虫也可以混合使用这些技术。如果防御系统能够抵御一种策略，则 7 电子科技大学硕士学位论文 它可以阻止采用这种目标发现策略的这一类蠕虫的传播。扫描需要探测一个地址空 间，识别出有漏洞的系统。它是一种主动的目标发现技术。由于这一方法的简单性， 因此它是常见的传播策略。常用的地址选择策略有：完全随机、优先选择本地地址、 顺序扫描。蠕虫扫描的速度由一些因素限制，包括弱点系统的密度，扫描器的设计 和边界路由器处理数据包的能力。扫描是特别异常的行为，如产生大量的无效的p 数据报文，产生异常的网络活动，利用这一特点可以进行有效检测。被动监视网络 活动，并从中获取地址信息的蠕虫并不主动搜寻受害系统。它们要么等待潜在的受 害系统与之发生联系，要么依赖用户的行为发现新的目标。尽管这会导致蠕虫传播 很慢，但它们能够依靠正常通信发现新的目标，因此其在目标发现期间不产生异常 数据流模式，因此它们的行踪是很隐秘的。利用漏洞感染目标系统。利用常见服务 的漏洞获取特权，这样可以在目标系统做更多的事情，比如c o d er e d 在感染系 统时利用i i s 服务的缓冲区溢出漏洞获取特权，然后在系统安装后门。由于蠕虫漏 洞利用的模式相同，因此可针对这一特点进行检测。 运输蠕虫代码。蠕虫必须将自身从一个系统传播到另一个系统以重复这样的过 程从而控制大量的系统。一些蠕虫，如冲击波蠕虫( b 1 a s t 神，需要第二个通信通道 完成感染。被感染的系统使用t f t p 回连到感染源以下载蠕虫实体，完成蠕虫代码 的运输。而有些蠕虫在利用漏洞入侵系统时将蠕虫代码放在同一个报文中进行运 输。还有一些蠕虫将蠕虫代码作为正常通信的一部分进行发送，要么附在正常信息 后要么替换正常信息。这样做的结果是，如果观测通信模式，其传播行为并不显现 异常。蠕虫在运输代码时可以是一对多，一个站点在被感染后向多个站点提供一个 蠕虫或模块；或者是多对多的，多个副本传播恶意代码；或者使用混合的方法，基 本的蠕虫以多对多的方式传播，通过中央站点进行更新。通常，如果限制因素是执 行分发所用的时间，则多对多的分发速度会快些。蠕虫在复制自身进程代码运输时 具有相同的通信模式，因此可利用这一特点进行检测。 2 2 3 执行负载 有些蠕虫包含负载，而有些蠕虫不包含负载。负载是指能够完成黑客攻击者 意图的代码，通过执行负载，蠕虫可以完成攻击任务，例如，发动拒绝服务攻击 的代码，删除系统数据等。在这个阶段蠕虫表现出一定的攻击性，我们可以采用 多种入侵检测手段予以检测，如网络防火墙、入侵检测系统、个人防火墙等等。 下面我们以震荡波蠕虫为例对蠕虫的攻击过程进行分析。 8 第二章网络蠕虫活动机理分析 2 2 4s a s s e r ( 震荡波) 分析 s a s s e r 蠕虫是利用w i n d o w s 的l s a s s 服务中的缓冲区溢出漏洞来感染系统 的，根据蠕虫的典型攻击过程，对s a l s s e r 蠕虫的分析如下。 一、感染过程 蠕虫到达目标系统后，执行下面的过程以完成感染： ( 1 ) 创建一个互斥体以保证只有一个蠕虫实例在系统上运行。 ( 2 ) 将蠕虫自己复制为、m n d i a v s e r v e e x e ( 3 ) 在注册表项： h i a 三yi ，o c a l 丛c h i n e s o f ”are 、m i c r o s o 献w i n d o w s c u 玎e i l t | v e r s i o n 恨 u n 中添加注册表项：“a v s e r v e e x e - w i n d i r a v s e r v c e x e 以便在系统重启时， 蠕虫能够重新启动。 ( 4 ) 使用a b o r t s y s t 啪s h u t d o w na p i 阻止系统关机或重启。 ( 5 ) 在t c p5 5 5 4 端口启动f t p 服务器，用于传播蠕虫。 ( 6 ) 启动1 2 8 个线程随机选择p 地址，尝试连接t c p4 4 5 端口。如果连接成功， 则向对方发送s h e l l c o d e ，这会导致对方系统在t c p9 9 9 6 端口运行r e m o t es h e l l 。 ( 7 ) 利用这个s h e l l 使被感染系统连回传染机的5 5 5 4 端口以获取蠕虫副本。 二、地址选择策略 震荡波蠕虫会生成l2 8 个线程探测口地址。其中5 0 的地址是完全随机产生 的，2 5 的地址与被感染系统的i p 地址的头个字节是致的，另有2 5 的地址与 被感染系统的p 地址的头两个字节是相同的。蠕虫在传播过程中还检测本机口地 址。如果有可路由的网络地址，则选择这一地址。否则使用私有地址。如果没有 地址，则使用1 2 7 0 0 1 。 三、漏洞利用 震荡波所利用的应用漏洞是w i n d o w 系统上的l o c a ls e 硼t ya u t h o r i t ys e r v i c e s e r v c r ( l s a s s ) 的缓冲区溢出漏洞。如果攻击者成功利用这一漏洞就可以s y s t e m 权限执行任意代码。 四、危害 由于被感染的系统将开启上百个线程去攻击其他网上的用户，因此震荡波会 造成系统运行缓慢、网络堵塞，系统还会不停的进行倒计时重启。 2 3 蠕虫的隐蔽技术 9 电子科技大学硕士学位论文 2 3 1 反跟踪技术 网络蠕虫采用反跟踪技术可以提高自身的伪装能力和防侦破能力，增加检测 与清除网络蠕虫的难度。目前常用的反跟踪技术有两类：反动态跟踪技术和反静态 分析技术。反动态跟踪技术主要有： ( 1 ) 禁止跟踪中断。针对调试分析工具运行系统的单步中断和断点中断服务程序， 网络蠕虫通过修改中断服务程序的入口地址实现其反跟踪目的。 ( 2 ) 检测跟踪法。检测跟踪调试时和正常执行时的运行环境、中断入口和时间的差 异，并根据这些差异采取一定的措施，实现其反跟踪目的。例如，通过操作系 统的a p i 函数试图打开调试器的驱动程序句柄，检测调试器是否激活，而确定 代码是否继续运行。 ( 3 ) 封锁键盘输入和屏幕显示，破坏各种跟踪调试工具运行必需的环境。 ( 4 ) 其它反跟踪技术。如指令流队列法和逆指令流法等。 反静态分析技术主要有： ( 1 ) 多态( p o l y m o 印h i s m ) 技术：即是完成同一功能但采用了不同的方法。多态的特 点是随机性和变化性。例如一个检查过程，调用了3 个子过程完成全部安全检 查机制。应用多态技术，这个检查过程在每次程序运行时，会随机调用不同的 子程序并以不同的调用次序来完成全部的安全检查计划。如此，检测者很难跟 踪并做出通用破解补丁。这个随机的初始化过程一般由一个初始化程序完成， 这个程序通常称为“多态引擎。 ( 2 ) 变形( m e t a 吼。印1 1 i s m ) 技术：基于多态技术，它发展和提升了多态技术。它可以 动态生成更复杂的变形过程，包括对重要程序段的动态加密、解密，动态变换 全部被检查过程的代码和数据，基于内置的各种不同加密、解密算法。对目标 代码段进行动态控制和编解码。这其中可能还包括代码混淆过程，使得跟踪者 迷惑于复杂的变换和还原过程，无法找到真正的检查过程和解码程序。如果其 中包含复杂的加密算法会使得整个安全检查机制十分难于分析和最终的破解。 变形是在多态的基础上更进了一步。对整个恶意代码进行了变换，不但没有固 定的特征码，而且也无需还原成没有任何变化的病毒体，如果说对付多态还可 以通过虚拟机等待病毒体被还原之后检测特征值，那么完全的多态则使得这种 技术完全失效。 ( 3 ) 混淆技术：将一段代码变得非常难以理解，但功能完全相同。例如：加花指令、 修改文件特征码等。 1 0 第二章网络蠕虫活动机理分析 2 3 2 进程注入技术 当前操作系统中都有系统服务和网络服务，它们在系统启动时自动加载。进 程注入技术就是将这些与服务相关的可执行代码作为载体，网络蠕虫程序将自身 嵌入到这些可执行代码之中，实现自身隐藏和启动的目的。这种形式的网络蠕虫 只须安装一次，以后就会被自动加载到可执行文件的进程中，并且会被多个服务 加载。只有系统关闭时，服务才会结束，所以网络蠕虫程序在系统运行时始终保 持激活状态，如“w m ! g g d r o p s h e l l ”就是注入w i n d o w s 的大部分关键服务程序。 2 3 3 三线程技术 在w 协d o w s 操作系统中引入线程的概念，一个进程可以同时拥有多个并发线 程。三线程技术是指一个网络蠕虫进程同时开启了三个线程，其中一个为主线程， 负责远程控制工作，另外两个辅助线程是监视线程和守护线程，监视线程负责检 查网络蠕虫程序是否被删除或被停止自启动。守护线程采用远程线程注入，与网 络蠕虫进程同步，一旦进程被停止，它会重新启动该进程，并向主线程提供必要 的数据，这样就保证了网络蠕虫运行的可持续性。例如，“中国黑客 等，就是采 用这种技术的网络蠕虫。 2 3 4 端