（计算机应用技术专业论文）网络蠕虫检测技术研究与实现.pdf

浙江人学硕上学位论文 网络蠕虫检测技术研究与实现 摘要 随着计算机技术的发展和互联网应用的深入，各种恶意代码( 计算机病毒、 网络蠕虫等) 成为计算机使用者遇到的最普遍问题。网络蠕虫的传播不仅可以占 用被感染主机的大部分系统资源，对目标系统造成破坏，同时，还会抢占网络带 宽，造成网络严重堵塞，甚至整个网络瘫痪。由于网络蠕虫泛滥产生的巨大危害， 如何对网络蠕虫进行检测、预警和应对，已经成为计算机网络安全研究领域的一 个重要课题。 本文首先回顾了计算机病毒、网络蠕虫的出现和发展，对网络蠕虫的定义进 行了阐述，并综述了入侵检测技术和网络蠕虫检测技术的研究现状。 通过对网络蠕虫工作机制的研究和分柝，提出了两种网络蠕虫检测方法：1 1 基于贝叶斯方法的网络蠕虫检测技术，该技术以失败连接概率作为网络蠕虫检测 指标，当失败连接的概率值超过了网络蠕虫判断闽值时，则认为该主机是网络蠕 虫主机，当失败连接概率值难以判断时，则将该概率值作为下一次计算的先验概 率，这样保留了历史行为对当前行为的影响，使检测结果更加精确。2 ) 基于信息 熵的网络蠕虫检测技术，该技术以源地址主机的所有连接中的目标地址分布情况 作为考察对象，当计算得到的目标地址熵值超过了设定的网络蠕虫判断阈值时， 则认为该源地址异常。对于上述两种网络蠕虫检测技术，通过实验进行了验证和 分析，实验结果说明这两种检测技术效果良好。 利用网络蠕虫检测技术的研究成果，设计和开发了一套实时网络蠕虫检测系 统。该系统丰要包括了网络蠕虫检测端、监控管理端和数据库系统三个组成部分， 可以实现网络蠕虫检测策略修改、实时报警、历史记录查询等功能。 最后对研究工作进行了总结，本文提出的两种网络蠕虫检测技术具有较低漏 报率和很高的有效性，基于这两种网络蠕虫检测技术开发的实时网络蠕虫检测系 统具有很好的网络蠕虫检测能力。同时分析了存在的问题，并对下一步的研究工 作做了展望，由于网络速度的提高、漏报率和误报率仍然存在，本文提出了几个 研究工作的发展方向，包括：实对高速网络数据捕获、流量分析、提高检测精度、 实时应对等。 关键词：网络安全、网络蠕虫、入侵检测、异常检测、误用检测、贝叶斯方法、信息熵 浙江大学硕士学位论文嘲络蠕虫检测技术研究与实现 a b s t r a c t w i t ht h ed e v e l o p m e n to fc o m p u t e rt e c h n o l o g i e sa n da p p l i c a t i o n so ft h ei n t e r n e t ， m a l i c i o u sc o d e s ，s u c ha sv i r u sa n dn e t w o r kw o i t n s ，h a v eb e c o m eac o m m o np r o b l e m f o ra l lc o m p u t e ru s e r s n e t w o r kw o r m sc a nn o to n l ye x h a u s ts y s t e mr e s o u r c e so f i n f e c t e dh o s t sa n dd a m a g et h e m ，b u ta l s oo c c u p yn e t w o r kb a n d w i d t ha n dt h u sj a m n e t w o r k ，e v e nd i s r u p tw h o l en e t w o r k b e c a u s eo ft h eh u g ed a m a g eo fn e t w o r kw o i m i e p i d e m i c s ，h o wt od e t e c ta n dr e s p o n s en e t w o r kw o h n sh a sb e c o m ea ni m p o r t a n tt a s k i nc o m p u t e rn e t w o r ks e c u r i t yf i e l d f i r s t l y , t h ea p p e a r a n c ea n dd e v e l o p m e n to fc o m p u t e rv i r u sa n dn e t w o r kw o r m s w e r er e v i e w e di nt h i st h e s i s ，f o l l o w e db yt h ed e f i n i t i o no fn e t w o r kw o r m t h es t a t eo f a r t so fi n t r u s i o nd e t e c t i o na n dw o r md e t e c t i o nw a sd e s c r i b e d s e c o n d l y , a f t e ra n a l y z i n gt h em e c h a n i s mo fn e t w o r kw o r m s ，t w on e t w o r kw o r m d e t e c t i o nm e t h o d sw e r ep r o p o s e d ：1 ) b a y e s i a n b a s e dn e t w o r kw o r md e t e c t i o nm e t h o d ， w h i c hc o n s i d e r e d t h ef a i l e dc o n n e c t i o np r o b a b i l i t ya sd e t e c t i o ni n d e x w h e nt h e f a i l e dc o n n e c t i o np r o b a b i l i t yi sl a r g e rt h a nw o r mt h r e s h o l d ，t h eh o s ti sr e g a r da sa n i n f e c t e dh o s t o t h e r w i s et h ep r o b a b i l i t yw i l lb eu s e di nn e x tc o m p u t a t i o na se a r l i e r p r o b a b i l i t y t h i sm e t h o dk e e p sd o w nt h ee m p r e s so fh i s t o r yn e t w o r kb e h a v i o r 2 ) e n t r o p y b a s e dn e t w o r kw o r md e t e c t i o nm e t h o d ，w h i c hc o n s i d e r e dt h ed i s t r i b u t i o no f d e s t i n a t i o ni pa d d r e s s e si nc o n n e c t i o n sa sd e t e c t i o ni n d e x w h e nt h ee n t r o p yo f d e s t i n a t i o ni pa d d r e s s e si sl a r g e rt h a nw o r md e t e c t i o nt h r e s h o l d ，t h eh o s tw i l lb e r e g a r da sa ni n f e c t e dh o s t t h et w om e t h o d sw e r ev a l i d a t e db ye x p e r i m e n t sa n dt h e r e s u l t ss h o w e dt h ee f f e c t i v e n e s s t h i r d l y , b a s e do nt h ea b o v er e s e a r c h e s ，an e t w o r kw o r md e t e c t i o ns y s t e mw a s d e s i g n e da n di m p l e m e n t e d t h es y s t e mi n c l u d e st h r e ec o m p o n e n t s ：n e t w o r kw o r m d e t e c t i o nc o m p o n e n t ，m o n i t o ra n dm a n a g e m e n tc o m p o n e n t ，a n dd a t a b a s e t h es y s t e m p r o v i d e dt h ef u n c t i o no fr e a l t i m ea l a r m i n g ，a sw e l la sm o d i f i c a t i o no fd e t e c t i o n p o l i c i e sa n dq u e r yo fa l a r mr e c o r d sf o rn e t w o r ka d m i n i s t r a t o ra n do t h e ru s e r s f i n a l l y , t h er e s e a r c hw o r kw a ss u m m a r i z e da n dt h ee x i s t i n gp r o b l e mw a sa n a l y z e d t h ef u t u r ew o r k sw e r ep r o p o s e da l s o k e y w o r d ： n e t w o r ks e c u r i t y , n e t w o r kw o r m ，i n t r u s i o nd e t e c t i o n ，a n o m a l yd e t e c t i o n ，m i s u s e d e t e c t i o n ，b a y e s i a nm e t h o d ，i n f o r m a t i o ne n t r o p y i i 浙江大学硕+ 学位论文 网络蠕虫检测技术研究与实现 1 1 论文研究的背景 第一章绪论 计算机的诞生为人类开辟了一个崭新的信息时代，使得人类社会发生了巨大 的变化。但是人们在享受计算机带来各种好处的同时，也在经受着各种恶意代码 ( 计算机病毒、网络蠕虫、特洛伊木马等) 的困扰和侵害。 2 0 世纪6 0 年代初，美国贝尔实验室程序员编写的计算机游戏中，采用通过 复制自身的方法来摆脱对方控制，这是“病毒”的第一个雏形。2 0 世纪7 0 年代， 美国作家雷恩在其( p 1 的青春一书中构思了一种能够自我复制的计算机程序， 并第一次称之为“计算机病毒”。1 9 8 3 年1 1 月，在国际计算机安全学术研讨会 上，美国计算机专家首次将病毒程序在v a x 7 5 0 计算机上进行了实验，世界上 第一个计算机病毒在实验室诞生。 随着计算机技术的发展，计算机病毒也向前发展，从基于d o s 系统的计算 机病毒，发展到可以在w i n d o w s 、u n i x 等操作系统中传播的各种计算机病毒； 近几年随着互联网应用的深入，更加激发了计算机病毒传播的活力。根据c e r t ( c o m p u t e re m e r g e n c yr e s p o n s et e a m 计算机紧急响应小组) 从1 9 8 8 年以来的 统计数据表明，i n t e r n e t 安全威胁事件每年以指数增长口l ，近年来的增长态势变 得尤为迅速( 见图1 ) 。 葶妒挛妒妒拿守擎擎霉擎擎妒妒妒 年份 图1 、互联网安全事件报告 浙江大学硕士学位论文 嘲络蠕虫检测技术研究与实现 这些网络安全威胁事件给世界各国带来了巨大的经济损失。1 9 8 8 年1 1 月2 日，由c o m e l l 大学学生r o b e r tt m o r r i s 编写的名为m o r r i s 的网络蠕虫爆发， 该网络蠕虫是世界上第一个大规模爆发的网络蠕虫。它利用u n i x 系统的f i n g e r 和s e n d m a i l 程序的漏洞，导致了当时i n t e m e t 上1 0 的邮件服务器受到严重影响， 无法提供正常的服务，损失超过了一千万美元，同时也直接导致c e r t 的成立。 2 0 0 1 年7 月1 9 日，c o d e r e d 蠕虫【2 】利用微软于2 0 0 1 年6 月1 8 日公稚的i n t e r n e t i n f o r m m i o ns e r v e r 软件一个安全漏洞而爆发，在爆发后的9 个小时内攻击了2 5 万台计算机，造成的损失估计超过2 0 亿美元，并且随后几个月内产生了具有更 大威胁的几个变种，其中c o d e r e di i 造成的损失估计超过了1 2 亿美元。2 0 0 1 年 9 月1 8 日，n i m d a 蠕虫被发现，对n i m d a 蠕虫造成的损失评估数据从5 亿美元 攀升到2 6 亿美元。2 0 0 3 年1 月2 5 日，s l a m m e r 蠕虫【3 】、【2 5 1 爆发，它利用了m ss q l s e r v e r 的缓冲区溢出漏洞，在1 0 分钟内感染了7 5 ，0 0 0 存在软件缺陷的主机系 统；2 0 0 3 年3 月7 日d v l d r 3 2 蠕虫爆发；2 0 0 3 年8 月1 2rb l a s t e r 蠕虫爆发， 它利用了w i n d o w sx p 和w i n d o w s2 0 0 0 的远程过程调用服务缺陷，感染了 5 0 0 ，0 0 0 台主机；2 0 0 4 年4 月3 0 日s a s s e r 蠕虫爆发，它利用了w i n d o w s2 0 0 0 ， w i n d o w s2 0 0 3s e r v e r 和w i n d o w sx p 系统中本地安全认证子系统服务( l s a s s ) 的漏洞，在短短的几天内感染了近百万台计算机，并使这些计算机反复的自动重 新启动。2 0 0 5 年1 2 月9 同m s d t c 蠕虫【4 1 爆发，该蠕虫利用了微软m s 0 5 0 5 1 漏洞进行传播和攻击。 目前网络蠕虫爆发的频率越来越快，造成的损失也越来越大，以美国为例， 其每年因为网络安全造成的经济损失超过1 7 0 亿美元。 1 2 论文研究的意义 随着计算机应用的普及和互联网应用的深入。网络蠕虫对计算机系统和计算 机网络的安全威胁日益增加。特别是在开放的计算机网络环境和复杂的应用环境 下，网络蠕虫利用多样化的传播途径，其潜伏性变得越来越强，发生频率的越来 越高，影响到的范围也越来越广，同时造成的损失也更大。 网络蠕虫与传统的计算机病毒相比，具有更大的危害性。传统的计算机病毒 主要通过计算机用户之间的文件拷贝来进行传播，并且计算机病毒的发作需要计 算机用户来运行病毒文件，其影响的只是本地计算机。而网络蠕虫是一个独立的 程序，它会主动搜索网络上存在缺陷的目标系统，并进行感染，不需要用户的干 预，并且网络蠕虫的载荷里可能就附加了病毒的功能。网络蠕虫的传播不仅可以 对目标系统造成破坏，占用被感染主机的大部分系统资源，同时，还会抢占网络 带宽，造成网络严重堵塞，甚至整个网络瘫痪。 浙江大学硕士学位论文 嘲络蠕虫检测技术研究与实现 由于网络蠕虫在互联网上的传播泛滥，对社会造成了巨大的影响，如何对网 络蠕虫进行检测，在网络蠕虫大规模爆发前实现预警，并对其传播过程进行抑制， 已经成为计算机网络安全研究领域的一个重要课题。目前，基于误用检测的入侵 检测技术、基于异常检测的入侵检测技术以及网络蠕虫检测技术，对网络蠕虫的 检测、抑制都有一定的作用，但是这些技术在应用过程中存在着较高的误报率和 漏报率，检测能力有待进一步的提高。本文通过研究分析，提出了两种新的网络 蠕虫检测方法，这两种方法对于网络蠕虫检测有很好的效果，基于这两种技术开 发的实时网络蠕虫检测系统能够从网络蠕虫的传播源头进行检测，及时发现网络 蠕虫传播，为网络蠕虫应对措施的采取提供实时报警信息，从而抑制网络蠕虫犬 规模泛滥。 1 3 论文的主要工作 本论文的研究工作主要完成了以下几个方面的工作： 回顾了计算机病毒、网络蠕虫的出现和发展，并对网络蠕虫的定义进行了阐 述，总结了入侵检测技术和网络蠕虫检测技术的研究现状，并对其关键技术进行 了综述； 通过对网络蠕虫工作机制的研究和分析，发现感染网络蠕虫的主机发起的连 接中，其连接失败的概率与正常主机的连接失败概率相比，具有显著的区别，根 据这个检测指标，提出了基于贝叶斯方法的网络蠕虫检测技术，并通过实验进行 了验证和分析； 通过对网络蠕虫工作机制的研究和分析，发现在网络蠕虫传播过程中的扫描 阶段，其欲攻击的目标主机i p 地址分布与正常主机向外连接的目标主机l p 地址 分布具有明显的区别，根据这个检测指标，提出了基于信息熵的网络蠕虫检测技 术，并通过实验进行了验证和分析； 在对两种网络蠕虫检测技术研究的基础上完成了网络蠕虫检测系统 ( n w d s ) 设计和开发。网络蠕虫检测系统( n w d s ) 包括了三个组成部分：1 ) 检测机。检测机主要运行网络蠕虫检测端程序，包括了三个模块：网络数据捕获 模块，实现从网络中实时捕获网络数据包，并对这些数据包进行预处理，形成能 够提交网络数据检测模块的统计信息；网络蠕虫检测模块，根据网络数据捕获模 块实时获得的网络数据，采用网络蠕虫检测方法进行检测，产生报警记录；通讯 模块，实现网络蠕虫检测模块与系统管理模块、数据库系统之间的通讯，包括监 控管理机发送控制信息到检测机，修改检测策略和判断阈值；检测机产生的报警 信息传递给数据库系统等。2 ) 监控管理机，脏控管理机主要运行监控管理程序。 该程序提供一个友好的用户界面，终端用户通过该模块配置系统参数，检测策略 浙扛大学硕i 学位论文 网络蠕虫检测技术珂究与实现 等信息，并对报警记录进行监控、查询和统计；3 ) 数据库系统，主要用于存储 整个系统的配置信息、检测策略、实时报警信息和历史数据。 通过建立实际网络测试环境，分别用样本数据和实际网络环境对网络蠕虫检 测系统进行了测试。测试结果表明，该系统对于网络蠕虫检测具有很好的效果。 1 4 本文的组织结构 本文的组织结构如下： 第一章：绪论。阐述了本文的研究背景、研究的主要意义、所做的主要工作 和内容组织。 第二章：网络蠕虫检测技术研究现状。综述了网络蠕虫的定义、入侵检测技 术和网络蠕虫检测技术； 第三章：网络蠕虫检测关键技术研究。通过研究网络蠕虫的工作机制，分析 了网络蠕虫的检测指标，提出了基于贝叶斯方法的网络蠕虫检测技术和基于信息 熵的网络蠕虫检测技术，并对这两种技术进行了验证和分析。 第四章：网络蠕虫检测系统。基于上述提出的两种网络蠕虫检测技术，设计 和开发了套实时网络蠕虫检测系统。 第五章：网络蠕虫检测系统测试及验证。分别用样本数据和实际网络环境对 网络蠕虫检测系统( n w d s ) 进行了测试、验证。 第六章：总结与展望。对本论文的研究工作做了总结，并提出了下一步的研 究工作重点。 4 浙江人学硕士学位论文 网络蠕虫检测技术研究与实现 第二章网络蠕虫检测技术研究现状 2 1 网络蠕虫定义 计算机病毒的概念第。次出现是在美国作家t h o m a s j r y a n 于1 9 7 7 年写成的 科幻小说( ( a d o l e s c e n c eo fp 1 中。在1 9 8 3 年，f r e dc o h e n 在l e na d e l m a n 的 指导下，第一次完成了真正的计算机病毒。并在v a x i i 7 5 0 型机卜演示了五种 原型病毒，这些计算机病毒能够在一个小时内完全控制该系统，这是世界上第一 次计算机病毒实验性发作。最早发现的实战计算机病毒是出现于1 9 8 6 年1 月的 “巴基斯坦”病毒。目前，计算机病毒每年都以指数级迅速增长。 蠕虫，本来是一个生物学名词，1 9 8 2 年x e r o xp a r c 的j o h ne s h o c h 5 瞎人 首次将它引入了计算机领域，并给出了两个基本的特征：“可以从一台计算机移 动到另一台计算机”和“可以自我复制”。s p a f f o r d 6 】为了区别网络蠕虫和计算机 病毒，对网络蠕虫和计算机病毒给出了新的定义，他认为“病毒是一段代码，能 把自身加到其它程序包括操作系统上，它不能独立运行，需要它的宿主程序激活 运行它。”而“网络蠕虫是可以独立运行，并能把自身的一个包含所有功能的副 本传播到另一台计算机上”。郑辉1 7 j 认为网络蠕虫具有利用漏洞主动传播、行踪 隐蔽、造成网络拥塞、降低系统性能、产生安全隐患、反复性和破坏性等特征， 并给出了相应的定义，“网络蠕虫是无需计算机使用者干预即可运行的独立程序， 它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。 网络蠕虫与传统的计算机病毒相比，其具有的明显特征是，网络蠕虫可以通 过网络进行传播，会主动攻击目标系统，网络蠕虫的传播过程不需要使用者的人 工干预，而计算机病毒主要通过计算机用户之间的文件复制、拷贝来进行传播， 计算机病毒在感染某个文件后，必须由用户使用被感染的文件之后，病毒才能进 行攻击，计算机病毒在传播过程中必须把自己附加到别的软件即宿主程序上。郑 辉【7 1 把病毒和蠕虫进行了以下几个方面的比较( 见表1 ) ： j 嚣鬻j 睫糕| | | | | 豢j篡嬲 ； t 潮 | ；：裕矧# l 瓣攀孽舞黼臻盎鎏烈辫蠢船2l 搿蹦| | | | _ c 嬲褂；| i i l 聪蛾澍i 存在形式寄生独立个体 复制形式插入到宿主程序( 文件) 中自身拷贝 传染机制 循主程序运千丁 系统存在漏洞 针对网络上的其它计 攻击目标针对本地文件 算机 触发传染计算机使用者程序t l 身 影响重点文件系统网络性能、系统性能 防治措施从宿主文件中摘除 为系统打补丁 浙江大学艇1 肆 位论空 网络蛹虫检测技术1 _ ) f 究与实现 第二章网络蠕虫检测技术研究现状 2 1 网络蠕虫定义 计算机病毒的概念第次出现是在美国作家t h o m a s j r y a n 于1 9 7 7 年写成的 科幻小说( a d o e s c e n c eo fp 一1 中。在1 9 8 3 年，f r e dc o h e n 在b e na d e l r a a n 的 指导下，第次完成了真正的计算机病毒，并在v a x l l 7 5 0 型机r 演示_ r 五种 原型病毒，这些计算杌病毒能够在一个小时内完全控制该系统，这是世界上第一 次计算机病毒实验性发作。最早发现的实战训算机病毒是出现于1 9 8 6 年1 月的 “巴基斯坦”病毒。日前，计算机病毒每年都以指数级迅速增长。 蠕虫，本柬是一个生物学名词，1 9 8 2 年x e r o xp a r c 的j o h ne s h o c h 5 】等人 首次将它引入了计算机领域，并给出了两个基本的特征；“可以从一台计算机移 动到另一台计算机”和“可以自我复制”。s p a f f o r d 6 l i 了区别网络蠕虫和计算机 病毒，对网络蠕虫和计算机病毒给出了新的定义他认为“病毒足一段代码，能 把自身加到其它程序包括操作系统上，它不能独立运行，需要它的宿主程序激活 运行它。”而“网络蠕虫是可以独立运行，并能把自身的个包含所有功能的副 本传播到另台计算机上”。郑辉【7 j 认为蚓络蠕虫具有利用漏洞丰动传播、行踪 隐蔽、造成剐络拥塞、降低系统性能、产牛安龟隐患、反复性和破坏性等特征， 并给出了相应的定义，“网络蠕虫是无需计算机使用者干预即可运行的独立程序， 它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。 网络蠕虫与传统的计算机病毒相比，其具有的叫硅特征是网络蠕虫可以通 过网络进行传播，会主动攻击目标系统，网络蠕虫的传播过程不需要使用者的人 工干预，而计算机病毒主要通过计算机用户之问的文件复制、拷贝来进行传播， 计算机病毒在感染某个文件后必须由用户使用被感染的义件之后，病毒才。能进 行攻击，计算机病毒在传播过程中必须把自己附加到别的软件即宿主程序上。郑 辉1 7j 把病毒和蠕虫进行了咀下几个方面的比较( 见表1 ) ： 辉【7 l 把病毒和蠕虫进行了以下几个方面的比较( 见表1 ) 存在形式寄生独立个体 复制形式插入到宿主程序( 文件) 中自身拷贝 传染机制佰主程厅连仃系统存在漏洞 针对网络上的其它计 攻击日标针对本地文件 算机 触发帖染计算机使用者 程序自身 影响重点文件系统踟络性能、系统性能 防治措施从宿主文件中摘除为系统打补丁 5 浙江大学顺士学位论殳网络蠕虫榆测技术研究与实现 = 一_ _ _ ：l 翼囊蔓2 皇誊一萎jo 瓣薛銎擎 囊毒 计算机使用 病毒传播中的关键环节 无关 者角色 系统软件和服务软件 对抗主体 计算机使用者、反病毒厂商提供商、网络管理人 员 表1 、病毒和蠕虫的一些差别 与计算机病毒相比较，网络蠕虫的传播速度更快，影响的范围更广，具有更 大的破坏性，它不仅会占用目标系统的大部分资源，影响目标系统的正常运行， 而且会抢占网络带宽，造成网络的大面积严重堵塞，甚至整个网络的瘫痪。 通过对多种网络蠕虫的分析，可以确定网络蠕虫的基本工作机制分为5 步， 包括：收集信息、探测目标主机、攻击目标系统、自我复制、后续处理。被感染 后的目标主机又会重复以上步骤，感染别的计算机系统。其工作流程如图2 所 不： 厂、 (开始) 、 0 = = 收集信息 ： 探测目标主机 毒 否受 ，是 攻击目标系统 图2 、网络蠕虫工作流程图 收集信息是网络蠕虫传播的第一步，网络蠕虫根据一定的搜索算法对目标网 络或主枫系统进行信息的收集，这些信息可能包括了目标网络的拓扑结构、路由 浙江人学硕士学位论文 忸4 络蠕虫榆测技术研究与实现 信息、目标主机的操作系统类型、用户信息等； 探测目标主机是网络蠕虫对目标主机进行扫描，探测目标主机是否存在、是 否活动、是否有操作系统或者应用程序漏洞，然后决定如何进行渗透； 攻击目标系统是网络蠕虫利用目标主机存在的漏洞和缺陷，通过共享文件 夹、缓冲区溢出等方式获得目标系统的部分或者全部管理员权限； 自我复制是网络蠕虫通过f t p ，t f t p 等方式将自身的副本传输到目标主机上， 并利用已经获得的管理员权限，使网络蠕虫副本在目标系统上运行； 后续处理主要是传播到目标主机上的网络蠕虫在目标系统上进行非法操作， 如信息窃取、删除文件、安装后门等，并进一步感染其它的计算机系统。 针对网络蠕虫的传播和泛滥，人们提出了许多检测网络蠕虫的方法和技术， 入侵检测技术可以实现对网络蠕虫的检测和早期预警。 2 2 入侵检测技术 入侵检测作为一种主动防御技术，弥补了传统安全技术如防火墙的不足。入 侵检测系统通过捕获网络上的数据包，经过分析处理后，报告异常和重要的数据 模式和行为模式，使网络管理员能够清楚地了解网络上发生的事件，并采取措施 阻止可能的破坏行为。入侵检测系统可以对主机系统和网络进行实时监控，阻止 来自外部网络黑客的入侵和来自内部网络的攻击。 早在1 9 8 0 年，a n d e r s o n 【3 3 l 就提出了入侵检测的概念，对网络入侵行为进行 了简单地划分，并提出使用审计信息来跟踪用户的可疑网络行为。1 9 8 5 年， d d e n m i n g “l 等人提出了第一个实时入侵检测专家系统模型和实时的基于统计 量分析和用户行为轮廓的入侵检测技术，该模型成为入侵检测技术研究领域的一 个里程碑。2 0 世纪9 0 年代，e p o r r a s 和r k e m m e r e r 提出了基于状态转换分析的 入侵检测技术，该技术提出利用已知的攻击模型来进行入侵检测。与此同时，大 型系统原来用于评价系统性能的审计数据开始被作为入侵检测的数据来源，这大 大提高了入侵检测的力度和精确度。 入侵检测系统一般由3 个部分组成：数据采集、入侵检测和响应。数据采集 主要根据入侵检测类型的不同，采集不同类型的数据，比如网络的数据包、操作 系统的系统调用日志或者应用软件日志。入侵检测主要由分析引擎对数据采集模 块提供的信息进行分析和判断，并将结果传递给响应模块。数据采集模块一般都 会对采集到的信息进行预处理，比如简单过滤采集到的数据，并输出格式化的信 息。预处理后的信息先存放到日志数据库中，再提交给分析引擎。分析引擎主要 实现检测算法，从最简单的字符串匹配到复杂的专家系统甚至神经网络，分析引 擎是入侵检测系统的核心，由它最终判定一个行为是异常的还是正常的。检测策 浙江大学硕士学位论文 嗣络蠕虫检测技术研究与实现 略包含了如何诊断入侵的配置信息、入侵的行为特征、各种检测阈值等。分析引 擎在做出对网络行为的入侵判断后，将结果直接发给响应模块。响应模块根据响 应策略中预定义的规则进行不同的响应处理。一般来说，可能的响应行为包括： 发出报警、通知管理员、阻断连接等。对恶意网络行为自动地采取反击措施，一 方面可自动地重新配置目标系统，阻断入侵者；另一方面也可以重新配置检测策 略和数据采集策略，针对正在执行的特定行为采集更多的信息，对该网络行为的 性质进行更准确的判断。 根据入侵检测的分析技术进行分类，入侵检测系统可以分为：误用检测 ( m i s u s ed e t e c t i o n ) 和异常检澳l j ( a n o m a l yd e t e c t i o n ) 。 2 2 1 误用检测技术 误用检测又称为基于规则的入侵检测。误用检测通过预先收集一些认为是异 常的特征，建立匹配规则库，然后根据检测到的事件或者网络行为的特征，与匹 配规则库中预先设定的规则进行匹配，如果匹配成功，则认为该网络行为异常， 产生报警。这种检测方法建立在对过去的知识积累基础上，只有当匹配规则库中 已经存在的特征，入侵检测系统爿能进行检测。如果发现了一种新的网络入侵行 为，则需要根据新的网络入侵行为特征，往匹配规则库添加相应的匹配规则，这 样入侵检测系统才能够及时检测到新的网络入侵。 误用检测技术，具有很高的准确性，但是这种检测技术是根据已经出现过的 异常行为特征模式进行匹配检测，对于未出现过的异常行为或者是已经出现过的 网络蠕虫的变种无能为力，而且它必须时刻根据新情况的出现不断更新规则库， 匹配规则库更新的频率会大大影响整个系统的检测能力。 早期的基于误用检测的入侵检测系统是一个专家系统，构成入侵行为的审计 记录会触发相应规则。这些规则可以识别出单个审计事件，也可以分析出构成一 个入侵过程的简单审计事件序列。如i d e s ，w & s 【8 j 等系统中都使用这种技术。 g a r v e y 和l u n t 9 】提出了基于模型的误用检测系统，该系统根据入侵过程的审计 记录建立抽象的高层模型，管理员通过建立入侵模型来描述入侵过程，入侵模型 到审计记录序列的转换由系统完成。j b o n i f a c i o 等人通过使用m l p ( m u l t i - l a y e r p e r c e p t r o n s ) 神经网络进一步分析网络数据包与入侵规则匹配的结果，得到了更 高的正确率。r l i p p m a n n 和r c u n n i n g h a m t l 0 】通过将关键字匹配和神经网络结 合到同一个入侵检测系统中，使原系统性能有了明显改进。 2 2 2 异常检测技术 异常检测与误用检测有本质的区别：异常检测是通过对正常网络行为的描述 浙江人学硕士学位论文 网络蠕虫检测技术研究与实现 来分析和发现可能出现的异常情况，任何偏离了正常范围的网络行为都被认为异 常行为。异常检测技术中对正常网络行为的描述是通过对过去大量历史数据的分 析得到的。而误用检测则是标识一些已知的入侵行为，通过对一些具体行为进行 判断和推理，从而检测出异常行为。异常检测的主要缺陷在于误报率比较高，而 误用检测由于依据具体的规则库进行判断，准确率很高，误报率比较低，但是误 用检测的漏报率很高。 目前的异常检测技术又可以分为以下几种： 1 1 基于统计异常检测u l j 统计方法是当前产品化的入侵检测系统中最常用方法，它是一种成熟的入侵 检测方法。基于统计的异常检测方法能够使入侵检测系统学习目标对象的日常行 为，并将那些与难常行为存在较大统计偏差的行为标识成异常行为。在统计模型 中常用的检测参数包括：事件的数量、间隔时间、资源消耗情况等。 目前常用的入侵检测有5 种统计模型： 操作模型：该模型假设异常行为可以通过测量结果与一些固定指标相比 较得到，固定指标可以根据经验值或段时间内的统计平均得到。例如 在短时间内的多次登录失败很有可能是口令尝试攻击； 方差：计算参数的方差，并设定其置信区间，当被考察的指标超过了置 信区间的范围时表明该行为可能是异常行为； 多元模型：它是操作模型的扩展，通过同时分析多个参数实现异常行为 检测； 马尔柯夫过程模型：将每种类型的事件定义为系统状态，用状态转移矩 阵来表示状态的变化； 时间序列分析：将事件计数与资源耗用根据时间排成序列，如果一个新 的事件在该时刻发生的概率较低，则认为该事件可能是人侵。 采用统计分析的方法形成系统或用户的行为轮廓，实现上比较简单，且在度 量选择较好时( 即系统或用户行为的变化会在相应的度量上产生显著的变化) 能 够可靠地检测到网络入侵。该方法的缺点是：以系统或用户一段时间内的行为特 征为检测对象，检测的时效性差，在系统检测到入侵时，实际的入侵行为可能已 经造成损害；度量的闺值难以确定；忽略了事件间的时序关系等。 2 1 基于数据挖掘异常检测l l 2 j 异常检测技术实质上可归结为对安全审计数据的处理，这种处理可以针对网 络数据，也可以针对主机的审计记录或应用程序的日志，其目的在于正常使用模 式的建立以及如何利用这些模式对当前的系统或用户行为进行比较，从而判断出 与f 常模式的偏离程度。如何从大量的审计数据中提取具有代表性的系统或用户 特征模式，用于对程序或用户行为的描述，是实现整个系统的关键。为了对审计 浙江大学倾十学位论文 网络蠕虫检测技术研究与实现 数据进行全面、高速和准确的分析，可以使用数据挖掘方法来处理安全事件数据。 数据挖掘( d a t am i n i n g ) 是一种特定应用的数据分析过程，该方法可以从包含 大量冗余信息的数据中提取尽可能多的蕴藏的安全信息，抽象出有利于进行判断 和比较的特征模型，这些特征模型可以是基于异常检测的特征向量模型，也可以 是基于异常检测的行为描述模型。根据这些特征向量模型和行为描述模型，可以 由计算机利用相应的算法判断出当前行为的性质。在安全审计数据的处理上，目 前应用较多的数据挖掘算法是关联规则( a s s o c i a t i o na n a l y s i s ) 、序列挖掘 ( s e q u e n c em i n i n g ) 和数据分类( d a t ac l a s s i f i c a t i o n ) 。 关联规则：程序执行和用户活动在系统特征之间表现出常见的相互关联， 可以运用关联规则提取入侵行为之间的关联特征； 序列挖掘：通过发现数据之间的前后( 因果) 联系，运用序列分析找出入 侵行为的序列关系，从中提取出入侵行为之间的时间序列特征； 数据分类：将一个数据项映射到给定类别中的某一个类别。在入侵检测 中，收集系统或者用户的足够多“证常的”和“异常的”审计数据，然 后应用一个分类算法训练分类器，使之可以标识或预测属于正常类型或 异常类型的新的未见过的特征。 基于数据挖掘的异常检测技术可以从大量的审计数据中自动生成简洁而精 确的检测模型，捕捉正常行为的实际模式，这样去除了人工对正常模式进行特征 选择时的猜测。但该方法的实现需要大量的审计数据作为基础，因此在检测模型 学习和评价阶段的计算成本很高，难以实现入侵检测系统的实时学习；基于数据 挖掘的入侵检测系统比传统的检测系统更加复杂。 3 1 基于神经网络异常检测1 1 3 1 基于神经网络的异常检测是指用神经网络对正常行为进行学习，从而检测出 潜在的攻击，其中所用的神经网络为多层反向传递( b a c k p r o p a g a t i o n ，b p ) 模型。 在入侵检测系统中，可以用b p 模型对正常的行为进行分类，并对异常行为进行 标记。神经网络学习过程包括三个阶段： f a l 网络构造及训练。在这个阶段，主要是根据神经网络的实际输出模式与 期望输出模式之间的误差来调整神经网络的权值； 网络修剪。主要是删除多余的隐藏层节点和多余的节点之间联结； ( c ) 规则提取。从修剪后的网络中提取出分类规则。 基于神经网络的入侵检测系统优点是：具有学习和自适应性，能够自动识别 未曾遇到过的入侵行为；能够很好的处理不完全的数据：采用非线性方式进行分 析，处理速度很快；这种方法能够很好地处理原始数据的随机特性，即不需要对 这些数据做任何统计假设，并且有较好的抗干扰能力。其缺点是：识别精度依赖 于系统的训练数据、训练方法及训练精度；神经网络拓扑结构只有经过相当的尝 1 0 浙江大学顿士学位论史 嘲络蠕虫榆测技术研究与实现 试后才能确定下来：样本数据的获取比较困难；在学习阶段，基于神经网络的入 侵检测系统可能被入侵者训练。 4 ) 基于免疫系统异常检测【1 4 】 基于免疫系统的入侵榆测方法是通过模仿生物有机体的免疫系统工作机制， 使得受保护的系统能够将非法行为和合法行为区分开来。在生物学中，生物免疫 系统连续不断地产生称作抗体的检测器细胞，并且将其分布到整个机体中。这些 分布式的抗体监视所有的活性绌胞，并试图检测出入侵生物有机体的细胞。类似 的，计算机免疫系统按照系统调用序列为不同的行为( 正常行为和异常行为) 建 立应用程序模型，通过比较应用程序模型和所观测到的事件就可以分出正常行为 和异常的行为。基于免疫的入侵检测系统由分布于整个系统的多个代理或组件 ( 即抗体) 组成，这些组件之间相互作用以提供对系统的分布式保护。同时，由于 没有控制中心，故不会因为某个节点的失败导致整个系统的崩溃。系统能够记住 由适应性学习得到的入侵行为的特征结构，使系统在以后遇到的结构或特征相似 的入侵行为时能够快速做出反应。系统能根据实际需要灵活地分配资源，当系统 遭受比较严重的入侵时能动用较多的资源，产生较多的组件，而在其它的时候， 动用的资源较少，。 基于特征选择异常检测【1 5 j 异常检测的困难问题是在异常活动和入侵活动之间作出判断。基于特征选择 异常检测方法，是通过从一组度量中挑选能够检测出入侵的度量来构成特征子 集，并利用这些特征子集准确地预测或分类已检测到的入侵行为。但是判断符合 实际的度量是非常复杂的，因为合适地选择度量子集依赖于检测到的入侵行为类 型。一个度量集对所有的各种各样的入侵类型不可能是足够的，预先确定特定的 度量来检测入侵可能会错过单独的特别的环境下的入侵。最理想的检测入侵度量 集必须动态地决策判断以获得最好的效果。 以上这些基于异常检测的入侵检测方法与基于误用检测的入侵检测相比较， 能够适应网络行为的变化，实现对新出现的、未知的网络入侵行为进行检测。 入侵检测技术在实现对网络入侵行为检测的同时，也具备了一定的网络蠕虫 检测和早期预警功能。随着网络蠕虫的快速发展，仅仅依靠入侵检测技术已经不 能很好地解决网络蠕虫的检测问题，一些专门针对网络蠕虫传播的检测技术和应 对技术得到了研究和发展。 2 3 网络蠕虫检测技术 目前，网络蠕虫已经成为计算机网络的最大威胁。网络蠕虫在传播过程中具 有与黑客攻击相似的网络行为，网络蠕虫检测技术在采用入侵检测技术的同时， 1 1 浙江大学硕士学位论文 网络蠕虫检测技术岍究与实现 还需要结合网络蠕虫自身及其传播具有的特点，综合应用多种技术，包括网络蠕 虫检测与预警、网络蠕虫传播抑制、网络蠕虫应对等。 c h e u n g s 等人提出了著名的g r i d s l l 6 】，该系统通过收集计算机和网络活动的 数据以及它们之问的连接，在预先定义的模式库驱动下，将这些数据构建成网络 活动行为来表征网络活动结构上的因果关系。通过建立和分析节点间的行为图， 通过与预定义的行为模式图进行匹配，检测网络蠕虫是否存在。但是g r i d s 没 有对网络中传输的包信息进行上下文相关性分析，也没有对t c p 连接中的目标 地址和目标服务作有效性分析。 j o h n 等人提出了一种采用可编程逻辑设备( p r o g r a m m a b l el o g i cd e v i c e s ， p l d s ) 对抗网络蠕虫的防范系统。该系统通过捕获流经网络出入口的所有数据 包，与内容匹配服务器提供的特征串或规则表达式进行匹配，根据匹配的结果做 出放行或阻断等响应。该系统由于采用高速硬件实现其核心功能，具有很强的匹 配能力，但是该系统实质上是种基于误用检测方法的系统，它不能检测和防御 未知的网络蠕虫，存在较高的漏报率。 p r o v o sn 1 l8 】提出了采用虚拟h o n e y p o t 检测和阻断网络蠕虫的防范框架。该 框架通过在网络中部署多个虚拟的h o n e y p o t ，并且这些h o n e y p o t 之间可以相互 共享捕获的数据信息，来检测网络蠕虫的扫描行为。当网络蠕虫根据一定的扫描 策略扫描存在系统漏洞的主机时，h o n e y p o t s 可以捕获网络蠕虫扫描的数据，然 后采用特征匹配来判断网络蠕虫。o u d o t l l 9 】采用h o n e y p o t 实现了对w 3 2 b l a s t e r 的检测与防御。由于网络蠕虫缺乏判断目标系统用途的能力，所以h o n e y p o t 具 有良好的隐蔽性，并且可以转移网络蠕虫的攻击目标。但是h o n e y p o t 的检测能 力依赖于很多因素，比如h o n e y