（计算机应用技术专业论文）网络蠕虫传播与控制研究.pdf

内容提要 随着网络系统应用及复杂性的增加，网络蠕虫成为网络系统安全的重要威胁。 网络蠕虫的研究已经成为近年来国际上在网络安全和信息安全领域最活跃的研究 方向之一。对网络蠕虫结构、扫描策略、攻击方法的分析是防范网络蠕虫传播的 前提条件，传播模型和控制策略的建立是防范蠕虫的根本保证和核心内容。 针对现有网络蠕虫传播模型和控制策略中存在的不完善之处，本文结合人们 防范自然界中传染病( s a r s ) 的方法，对蠕虫传播模型进行了较为实际的改造，提 出了基于隔离策略的网络蠕虫传播模型。针对多子网网络环境下防火墙对网络蠕 虫传播的控制作用，提出了基于防火墙的蠕虫传播与控制模型。实验结果表明， 本文提出的一系列控制策略都取得了蘸好的效果。 归纳起来，本文的研究成果主要表现在以下几个方面： 1 重新审视了现有的网络蠕虫定义。现有的定义不够准确，忽略了人的因素， 不能概括目前己出现的网络蠕虫。再加上网络蠕虫采用的新技术会不断出现，网 络蠕虫新的特点还会不断出现，但有两点基本特征是不会变的，即通过网络传播、 自我复制。分析、比较各种恶意代码的特点，给出了其相同点和不同之处。 2 详细分析了网络蠕虫的传播机制。对网络蠕虫的扫描方法、攻击方法进行 了深入的研究。通过分析几个有代表性的网络蠕虫实例，得出了网络蠕虫的实体结 构，为清除以及防御网络蠕虫打下基础。 3 提出了两个基于隔离策略的网络蠕虫传播模型。第一个模型基于经典的 k 锄1 a c k m c k c n 赫c k 模型，在考虑主机的恢复时，包括了易感主机的恢复。第二 个模型基于s e r 模型，考虑了网络蠕虫出生率和死亡率的影响。 4 提出了一个基于多层次防火墙的企业网网络蠕虫综合控制系统。该系统在 企业网络边缘、各子网间和用户主机上分别布置多层次的防火墙系统，并配合网 络蠕虫检测与控制系统、网络防病毒系统等构成综合网络蠕虫控制系统。 5 提出了基于防火墙的蠕虫传播与控制模型。针对多子网网络环境下防火墙 对网络蠕虫传播的控制作用，提出了此模型。通过分析网络蠕虫在各子网内传播 以及子网间交互传播，利用防火墙减小各子网间蠕虫的交互感染率，使网络蠕虫 的传播得到了抑制。 6 给出了一个新的无尺度网络的生成算法。综合利用了节点接入时的成本、 局部信息。用无尺度网络拓扑生成器b r i t e 模拟了w i t t y 蠕虫的传播，验证了无尺 度网络上网络蠕虫传播不存在类似随机网络上的传播阈值。 关键词：网络蠕虫蠕虫传播模型无尺度网络幂率传染病模型传播机制 a b s t r a c t w i t ht h ec 】p l o s i v eg r o w t ho fn e m o r k 印p l i c a t i o n sa n dc o m p l e x i 也m et h r e a to f i n t e m e tw o m l sa g a i n s tn e t w o r ks e c u d t yb e c o m e si n c r e a s i n 班ys e r i o u s i i lr c c e my e a r s ， t h es t l l d vo ni n t e m 就w o 衄sh a sb e c o m eo n eo fm em o s ta c t i v er e s e a r c ht o p i c si nt h e 丘e l do fn c t w o r ks e c u r i t ya n di n f o r m a t i o ns e c l 】r i l yi nt h ew o d d i i lo r d e rt or e s 订a i n i n t e m c tw o 珊s ，w es h o u l df i r s ta n a l y z et h e i rs t r u c t l l r e ，s c a m l i n gs 打a t e g ya n da t t a c k m e l o d s m o r e o v 豇廿1 ee s s e l l t i a lg u a r a n t e ea n dk e n l e lc o n t e l l to fd e f h d i n gm e i r li st o e s t a l i s ht 1 1 e i rp r o p a g a t i o nm o d e l sa n dc o n t r o ls 打a t e 百e s t oo v e r c o m et h ef 孤l t i n e s so fm ea v a i l a b l ep m p a g a t i o nm o d e l sa j l dc o m r o l s t r a t e 百e s ，b yc o m b i l l i n gt 1 1 ec o n 仃d lm e t l l o do fn a h h d 印i d e m i c ( s a r s ) ，w ea c t i l a l l y i m p r o v em et r a m t i o n a lp i d p a g a t i o nm o d e l si nt h i sd i s s e r t a t i o n ，a n d 也e np r o p o s ean e w w o m p r o p a g a t i o nm o d e lb a s e do nq u a 瑚t i n es h 砒e g y mv i e wo fm ec o n 仃0 1o fm e f i r e w a l lt on e 仰o r kw o 衄s1 l i l d e rm a n ys u b n e t s ，w ea l s op r o p o s eaw o m p m p a g a d o n 柚dc o n 仃o lm o d db a s e do nm ef i r e w a l l 1 1 1 ee x p 缸n e n t a lr e s u l t si 1 1 u s t r a t em e e 脆c t i v e i l e s sa n dg o o dp 酬白m a l l c eo f o u rc o n 仃o ls 仃a t e 西e s i ns 岫，廿l em a i nr e s e a r c h 丘u i t sa c l l i c v c di nt l l i st h e s i sa r e 百v c i la sf 0 1 l o w s b ys t u d y i n gc 嘲mh n e h l e tw o h n sd e f i i l i t i o n s ，i t i sf o l l n d 也a tm ee x i m n g d e f i m t i o n sa r ei n a c c l l r a t e ；t h a ti st os a y ，m e s ed c f i i l i 石o n sn e 9 1 e c tt l l eh u m a nf h c t o r sa n d c a l ln o tg e i l e r a l i z ea c t l l a lw o n n s m o r e o v e r n e wt e c h n o l o 百e s 血a tw o 衄su s ea r e c e a s e l e s s l ya p p e a r i n 舀柚dn e wc h a m c t e r i s d c so fi n t e r i l e tw o 衄sm a yi n c i d e i l t a l l y c e a s e l e s s l ya p p e 跹h o w “t h e i r b a s i cc h a r a c t e r i s t i c sc a t ln o tc h a l l g e ，i e p m p a g a t i o n t h r o u 曲n e 啪r ka i l ds d f - d u p l i c a t i o n t h e p p a g a t i o nm e c h a n i s mo f i i l t e m c tw o n n si s 锄a l y z e dm i n u t e l yt h es c m n i n g a n da t t a c km e m o d sa r ec 枷e d 啪u 曲i n _ d e p 协r e s e a r c h e s b ya n a l y z i n gs o m e r 印r e s e l l t a t i v ew o 珊c a s e s ，n l e 枷t a t i v es 协l c t l l r eo f w o 朋si se l i c i t e d ，a 1 1 dp r c p a r e st h e b a s eo f c l e a n i n ga 1 1 dd e 枷i n gi n t e m e tw o r n l s t w oi n t e m 武w o np r o p a g a t i o nm o d e l sb a s e do n 血eq u a r a l l t i n es t r a t e g ya r e p r o p o s e d t h ef i r s to n e ，b a s e do nt h ec l a s s i ck e m a c k m c k c n d r i c km o d e l ，c o n s i d e r st h e r e c o v e r yo fs u s c e p t i b l eh o s t sw h e nw ed e f 缸dw o n n s t h es e c o n do n e ，b a s e do n 出e s e i rm o d e lc o i l s i d e r sm eb i r mr a t ea n dd e a mr a t eo f e m e tw o r i n s aw o mc o n t r 0 1s y s t e mo f m u l t i l e v e l 矗r c w a l le n t e r p r i s en e 慨o r ki s 口m p o s c d t h i s s y s t e mi n s t a l l sm u l t i l e v df i r c w a l ls y s 佃mr e 印e c d v e l y 唧o n gt h ee n t e r p d s en e 咐o r k e d g e s ，e a c hs u b n e t sa i l dt e r i i l m a l s ，a r l dc o o p e r a t e sw i mw o n nd e t e c t i o n 甜l dc o n t r o l s y s t e m ，n e t w o r k 删一v i n l ss y s t e ma n ds oo nt 0f o 衄m ei m e g r a t e dw o mc o n 仃o l s y s t e m 1 1 1v i e wo fn l ec o n 昀1o fm ef i r e w a ut on e t w o f kw o 蚰su n d e rm a n vs u b n c t s a m o d e io fm ew o m lp r o p a g a t i o n 鲫dc o n n o lm o d e lb a s e do nf i r e w a l li sp r o p o s e d t h i s m o d e lr e d u c e sm ec r o s si n f e c t i o nr a t e 锄o n gs u b n e t st t l r o u g ht 1 1 ef i 】r c 、v a l la n d s u p p r c s s e sn e 晰o f kw o mp m p a g a d o n an e wg e n c r a t i n ga l g o r i 1 mo fs c a l e 一矗en e “o r ki s p r o p o s c d t h ea i g o r i m m c o m p r e h e n s i v c i yu s e st h ec o s ta i l d1 0 c a l 缸f o 舯a t i o nw h c i li ti sj o i n t e d 谢t he x i s t i n g n 咖o r k t b ep r o p a g a 士i o no fw i t t yw o mi ss i i n u l a t e dw i 扫hb r i t e ( b r i t e ：b o s t o n 砌v e r s i t yr e p r e s e l l t a t i v ci n t e m 武t 叩o l o g yg 吼e r a t o r ) ，a i l dt l l er e s l l l t sc o n f i r mt h a tt h e r e i sn o tas 娃n i l a rr a n d o mn c f w o r k p i d p a g a t i n gt 王l r 嚣h o l dj l ls c a i e - 丘e en e t w o r k k e yw o r d s ：i n t e m e tw b 衄w b mp r o p a g a t i o nm o d d s c “e f r e en 咖o r k p o w e r - l a w e p i d 啪i cm o d e l p r o p a g a t i o nm 幽a l l i s m 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了本文中特别加以标注和致谢中所罗列的内容外，论文中不 包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均已在论文中做了明确的说明并表示了谢意。 本人签名 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：学校 有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部或 部分内容；可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论文在解 密后遵守此规定) 苯人签皂 导师签名： 过垂钮 蝉 日瓤缸篷：。 第一章绪论 随着全球计算机网络的迅猛发展，网络安全问题目益严重，网络入侵及安全 事件频繁发生，据c e r l l c c 统计数据显示，从1 9 8 8 年到现在，计算机网络安全 事件呈几何速度增长趋势，其中很大一部分“得益于”网络蠕虫。现在计算机系 统漏洞的发现速度加快，大规模网络蠕虫攻击不断爆发，且具有攻击源相对分散， 攻击手段灵活多样，攻击对象的范围扩大的新特点。虽然现在的网络安全技术较 过去有了很大进步，但网络安全是攻击和防御的技术和力量中此消彼长的一个动 态过程，整体状况不容乐观。本章重点对网络蠕虫、病毒和木马的概念以及恶意 移动代码做了深入地探讨，并就网络蠕虫的发展，尤其是近几年的演化情况作了 综述，对研究现状做了分析比较。 1 1 概述 随着互联网应用的深入，网络蠕虫对计算机系统安全和网络安全的威胁日益 增加。特别是在高速网络环境下，多样化的传播途径和复杂的应用环境使网络蠕 虫的发生频率增高，传播速度更快，覆盖面更广，造成的损失也更大。1 9 8 8 年， 著名的m o r r i s 蠕虫事件成为网络蠕虫攻击的先例【l 】。从此，网络蠕虫成为人们研 究的重要课题。 1 1 1 网络蠕虫的概念 通常，人们提到网络蠕虫，首先会想到病毒，所以经常听到蠕虫病毒的说法。 网络蠕虫和计算机病毒都具有传染性和复制功能，这两个主要特性上的一致， 导致二者之间是非常难区分的，尤其是近年来，越来越多的病毒采取了部分蠕 虫的技术，另一方面具有破坏性的蠕虫也采取了部分病毒的技术，更加剧了这 种情况。随着计算机病毒技术的发展，又出现了木马程序、后门等多种形式。 计算机病毒、网络蠕虫、木马程序和后门等都称为恶意移动代码 2 ，3 1 ，也可称为 广义上的计算机病毒。 ( 1 ) 计算机病毒 人们在探讨计算机病毒的定义时，常常追溯到d 撕dg e d l d 在1 9 7 2 年的发 表的科幻小说w h e i l h a r l i e w 缸o n c ，但计算机病毒的技术定义是由f r e d c o h e n 在1 9 8 4 年给出的 4 】，“计算机病毒是一种程序，它可以感染其它程序，感染的方 式为在被感染程序中加入计算机病毒的一个副本，这个副本可能是在原病毒基础 上演变过来的。” ( ap r o 掣a mt 1 1 a tc a i l “i i l r o t h e rp r o g r a m sb ym o d i 研n gm 锄t o i n c l u d eap o s s i b l ye v o l v e dc o p yo f i t s e l f ) 。 1 9 8 8 年m o r r i s 蠕虫爆发后，e u g e l l eh s p a 肋r d 为了区分蠕虫和病毒，将病毒的含义作了进一步的解释。“计算机病毒是 ；= ：，：亘窒童茎塾垄奎茎墼重塞i 垦堑堡篓堡量鏊童l 堑蜜 一段代码，能把自身加到其它程序包括操作系统上。它不能独立运行，需要由它 的宿主程序运行来激活它。” ( v i m si s ap i e c eo fc o d et h a ta d d si t s e l ft oo t h e r p r 0 鲫s ，i n c l u d i n go p e r a t i n gs y s t e i r l s ，i tc 锄o tr u ni n d 印饥d e n t i ya n di tr e q u i r e sm a t i t s h o s r p m 乎砌b er u nt oa c t i v a t ei t ) 【5 6 1 。 以上定义是传统的计算机病毒定义，其主要特点是自我复制、寄生在宿主程 序、通过移动存储介质来传播、通过运行宿主程序发作并主要影响本地文件系统 等。近年来，计算机病毒技术有了很大的发展，它们结合了网络蠕虫、网络攻击 等技术，使得计算机病毒能够过网络传播，功能得到了延伸。而网络蠕虫、特洛 伊木马、后门程序和网络攻击程序等也都借助了传统计算机病毒技术，使得计算 机病毒的概念得到延伸。目前，广义上的计算机病毒的概念已经涵盖传统计算机 病毒、网络蠕虫、木马、后门等概念，比如，瑞星、金山等防病毒软件厂商都将 b l a s t e i j 、n i m 1 a 等网络蠕虫称为“b l 勰t e r ”蠕虫病毒和n i i n d a ”蠕虫病毒。所以 我们认为广义上的计算机病毒的定义是：“凡是能复制自己来感染目标系统， 引起计算机和网络故障，破坏计算机数据的程序统称为计算机病毒。” 我们在本文中“计算机病毒”的概念使用传统计算机病毒。 ( 2 ) 网络蠕虫 蠕虫这个生物学名词在1 9 8 2 年由x e r o x p a r c 的j o h n fs h o c h 等人最早引入 计算机领域【”，并给出了计算机蠕虫的两个最基本特征：“可以从一台计算机移动 到另一台计算机”和“可以自我复制”。 他们编写蠕虫的目的是做分布式计算的 模型试验，在他们的文章中，蠕虫的破坏性和不易控制已经初露端倪。1 9 8 8 年 m o r t i s 蠕虫爆发后，e u g c n e h s p 碉f o r d 为了区分蠕虫和病毒，给出了蠕虫的技术 角度的定义，“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本 传播到另外的计算机上。”( w o 咖i sap m 芦锄t l l a tc a nm nb yi t s e l f a 1 1 d c a n p r o p a g a t e a f m l y w o d d n g v e r s i o n o f i t s e l f t oo t h e r m a c h i n e s ) 6 】。 郑辉在其博士论文 5 中考虑了计算机使用者在蠕虫和病毒传播中的作用的不 同，给出了如下定义：“耻e r i l e t 蠕虫是无须计算机使用者干预即可运行的独立程 序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传 播。”( h n e n l e tw o mi s ap r o g r a mw l l i c hc a ne x e c u t e si i l d e p e i l d e i l t l yw i 也o u t 血e r v c n t i o no fc o m p u t e r1 1 s e r sa i l dp r o p a g a t e sb yc o m p r o 血s i l l g 1 n e r a b l ec o m p u t e r s p a n i a l l yo r 舢y o nt h ei n t c r n e t ) 。但是，我们知道，现在的网络蠕虫的传播方式复 杂多样，有一些网络蠕虫是通过电子邮件、社会工程学等方式传播的。该定义不 能很好地包括这类蠕虫。 文卫平等 8 】中提出了网络蠕虫的定义：“网络蠕虫是一种智能化、自动化，综 合网络攻击、密码学和计算机病毒技术，不需要计算机使用者干预即可运行的攻 击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或 者国际互联网从一个节点传播到另外一个节点。”该定义比较全面，但太复杂， 而且同样不能包括电子邮件蠕虫。 d m 鼬e i l z l e 等习给出的定义是：网络蠕虫是通过网络传播的恶意代码，它需要 人为干预或者不需要人为干预( aw o n l li sm a l i c i o u sc o d et h a tp r o p a g a t e so v e ra n e 咐o r k w i t ho r w i m o u t h u m a na s s i s t a i l c e ) 。这里，作者专门指出了有的网络蠕虫需 要人为干预，有的不需要人为干预。 近年来，网络蠕虫的技术发展很快，它结合了传统病毒、木马等多种技术。例 如，在文献【9 】中，将“c o d e r e d ”蠕虫称作病毒，认为“c o d e r e d ”病毒是一种新型网 络病毒，其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合， 将网络蠕虫、计算机病毒、木马程序合为一体，开创了网络病毒传播的新路，可 称之为划时代的病毒。由此可见，网络蠕虫、计算机病毒和木马的概念的界限越 来越难分清楚，它们正逐步融合在一起。所以，准确地给网络蠕虫下一个定义非 常困难，因为网络蠕虫采用的新技术还会不断出现，网络蠕虫新的特点还会不断 出现，但是传统网络蠕虫的概念还是比较清楚，其基本特点通过网络传播、自我 复制等特征还是非常明确的。 ( 3 ) 木马程序 木马程序是根据古希腊神话来命名的，这种程序从表面上看起来具有某个有用 的或善意的目的，但是实际上却隐含着一些恶意功能【2 】。一些木马程序会通过覆盖 系统中已经存在的文件的方式存在于系统之中，同时它可以携带恶意代码，还有 一些木马会以一个软件的身份出现( 例如：一个可供下载的软件) ，但它实际上 是一个窃取密码的工具。这种木马程序通常不容易被发现，因为它一般是以一个 正常的应用的身份在系统中运行的。特洛伊木马可以分为以下三个模式： 通常潜伏在正常的程序应用中，附带执行独立的恶意操作。 _ 通常潜伏在正常的程序应用中，但是会修改正常的应用进行恶意操作。 一完全覆盖正常的程序应用，执行恶意操作。 大多数木马都可以使木马的控制者登录到被感染电脑上，并拥有绝大部分的管 理员级控制权限。为了达到这个目的，木马一般都包括一个客户端和一个服务器 端，客户端放在木马控制者的电脑中，服务器端放置在被入侵电脑中，木马控制 者通过客户端与被入侵电脑的服务器端建立远程连接。一旦连接建立，木马控制 者就可以通过对被入侵电脑发送指令来传输和修改文件。通常木马所具备的另一 个功能是发动d d o s ( 拒绝服务) 攻击。 还有一些木马不具备远程登录的功能。它们中的些的存在只是为了隐藏恶意 进程的痕迹，例如使恶意进程不在进程列表中显示出来。另一些木马用于收集信 息，例如被感染电脑的密码；木马还可以把收集到的密码列表发送互联网中一个 指定的邮件帐户中。 ! 塑塞堑墼垫邕鲢垒垫：坠堡皇堡堑型堑塞= ：! ： 一般来说，木马程序也属于广义上计算机病毒。 ( 4 ) 恶意代码 一般认为，计算机病毒是恶意代码的早期形式【2 。在文献 2 】中，将恶意代码 分为病毒、蠕虫、特洛伊木马、后门等多种形式。我们认为，恶意代码就是前面 提到的广义上的计算机病毒的概念。 文献【2 】给出了恶意代码的定义：“恶意代码是运行在你的计算机上，使系统按 照攻击者意愿执行任务的一组指令”。n e 晰o r ka s s o c i a t e s 定义恶意代码如下：“恶 意代码是有意设计的一段代码，它完成一些未授权( 有时有害有时无害) 的操作”。 ( p r o g r a m sm a ta r ei m 咖o n a i i yd e s i 弘e dt op e r f b 衄s o m eu n a u t h o r i z e d ( a 1 1 do r 既 h a r 1 f 1 1 lo ru n d e s i r a b l e ) a c ts u c ha sv i r u s e s ，w o 肌s ，a i l d 妇r o j a l l s ) 1 0 】 我们综合分析恶意代码的特点，给出如下定义：“恶意代码是一种程序，它通 过把代码镶嵌到另一段程序中或以独立个体通过网络传播，从而达到破坏被感染 计算机数据的完整性、运行具有入侵性或破坏性的程序的目的和降低网络的可用 性”。 恶意代码和网络蠕虫、计算机病毒、木马程序的关系如图1 1 所示。 图1 1 恶意代码和阿络蠕虫、计算机病毒、木马程序的关系 1 1 2 网络蠕虫的特点和危害 传统的计算机病毒主要破坏本地文件系统，早期的网络蠕虫主要危害表现在对 网络和计算机系统资源的消耗上，导致网络阻塞和计算机系统性能的下降。新一 代网络蠕虫的主要特点和危害有： ( 1 ) 造成骨干网大面积阻塞甚至瘫痪，致使网络服务中断。由于感染网络蠕 虫的计算机要搜寻下一步感染目标，它要发送大量的扫描数据包和一些异常报文， 使得网络设备不能处理，导致瘫痪。例如，m s b l a s t e r 蠕虫感染后会发送大量的目 的端口为1 3 5 的t c p 数据包，面n i c h i 蠕虫要发送大量的i c m p 数据包。 ( 2 ) 造成主机开放，导致严重的信息安全威胁。有的网络蠕虫感染主机后， 会在主机上安装后门程序，从而用户主机上的信息会暴露在互联网上，有些后门 程序不需要专门的客户端程序就能直接被利用，使用户的信息安全受到严重威胁。 同时，后门程序成为下一轮攻击的基础。 ( 3 ) 计算机系统性能下降，甚至瘫痪。由于感染网络蠕虫的计算机系统后台 要运行大量的进程去扫描其他目标主机，或发送大量数据包进行网络攻击，致使 计算机系统的性能大大下降，有的感染计算机系统频繁启动，导致计算机系统瘫 痪。 ( 4 ) 发动拒绝服务攻击。利用大面积的感染，通过程序自动设定针对特定目 标的分布式拒绝服务攻击，对互联网和目标主机造成致命的伤害。 ( 5 ) 攻击者回收和集中控制感染节点。网络蠕虫的编写者通过程序设定，让 每一个感染蠕虫的计算机去连接一些特定的服务器群，从而使编写者能集中控制 成千上万的感染计算机，对互联网产生了巨大的安全威胁。 1 1 3 网络蠕虫和其它恶意代码区别 随着恶意代码技术发展，传统计算机病毒、网络蠕虫和木马程序之间的界限 已不再明显，但对它们进行区分还是非常必要的，通过对它们之间的区别、不同 功能特性的分析，可以更好地了解其传播方式，可以有针对性地找出检测和控制 它们传播的方法，更好地对抗计算机病毒、网络蠕虫和木马程序。下面是三者在 存在形式、传播方式和攻击目标等几方面上的区别。 表1 1 传统计算机病毒、网络蠕虫和木马程序的区别 传统计算机病毒网络蠕虫 木马程序 寄生，不以文件形式存独立个体，以文件形 寄生或独立，伪装成 存在形式 在 式存在其它文件 依赖宿主文件或介质，自主传播，利用系统 依靠用户主动传播， 传播方式 插入其它程序存在的漏洞 诱骗手段 网络上的计算机，网 攻击目标本地文件 感染的计算机系统 络本身 计算机使用者 角色 病毒传播中的关键环节无关需要 无关 破坏数据完整性、系统 主要危害 侵占资源 留下后门，窃取信息 完整性 传播速度快 极快慢 下面对传统病毒和网络蠕虫的几个主要特性进行讨论。 ( 1 ) 传播方式 一般认为网络蠕虫通过网络主动传播，而传统计算机病毒通过软盘等移动介 质传播。然而，一些文件感染型病毒( f i l e - i n f e c 血gv i m s e s ) 通过网络远程文件 ：= ：= ：亘枣皇垂塾邀壁耋；i 垒塞i 璺堑堑皇重量皇l l 童堡善：，：! ：! ： 共享感染本地计算机并不认为是网络蠕虫，主要是因为它不是主动传播的【3 】。所 以，是否主动传播是区分传统病毒和网络蠕虫的关键因素。网络蠕虫一般不采取 利用p e 格式插入文件的方法，而是复制自身在互联网环境下进行传播，传统病 毒的传染能力主要是针对计算机内的文件系统而言，而网络蠕虫的传染目标是互 联网内的所有计算机。局域网条件下的共享文件夹、电子邮件、网络中的恶意网 页以及大量存在着漏洞的计算机等都成为蠕虫传播的良好途径。 ( 2 ) 人为干预 是否需要人为干预进行传播是区别传统病毒和网络蠕虫的重要因素。一般认 为：传统病毒的传播必须通过计算机使用者，例如将软盘从一台机器插入到另一 台机器，而网络蠕虫不需要或需要少量的人工干预进行传播【3 1 。所以有人把网络 蠕虫分成两类，一类需要人工干预( 例如，打开一封自日件的附件) ，一类不需人工 干预u ”。一般网络蠕虫不需要人工干预，主要靠计算机系统的漏洞进行传播，电 子邮件蠕虫需要用户打开邮件或邮件附件。 ( 3 ) 攻击目标 传统计算机病毒主要感染对象是本地计算机系统，通过网络传播的病毒也是 这样。而网络蠕虫主要攻击的对象是网络上的计算机系统，很多蠕虫会实施d d o s 攻击，影响网络的可用性。 1 1 4 网络蠕虫的发展 随着1 9 8 8 年1 1 月2 号由r o b e n m o r r i s 编写的一个基于b s du i l i x 的“i m e m e t w 妇n ，蠕虫出现，到2 0 0 1 年8 胃5 号的红色代码“c o d er e d ，蠕虫发作，直至2 0 0 3 年8 月1 2 号的冲击波b l a s t e r ”蠕虫的大规模爆发。互联网的安全威胁正逐渐逼近 每一个普通用户。从1 9 8 8 年c 玎( 计算机紧急响应小组) 由于m o r r i s 蠕虫事 件成立以来，统计到的i n t 髓e t 安全威胁事件每年以指数增长，近年来的增长态 势变得的尤为迅猛f 1 2 】( 图1 2 所示，2 0 0 4 年、2 0 0 5 年没有官方统计数字) 。 图1 2 互联网安全事件报告 在i n t 黜e t 安全问题中，恶意软件( m a l w a r e ) 造成的经济损失占有最大的比 例。恶意软件主要包括蠕虫( w o 蛳) 、计算机病毒( m s ) 、木马程序( t r o j a n h 饼s e ) 、 后门程序( b a d ( d o o r ) 等等。网络蠕虫是目前危害最大的恶意软件，几乎每次蠕 虫发作都会造成巨大经济损失。1 9 8 8 年1 1 月2 日，m o r r i s 蠕虫发作，几天之内 6 0 0 0 台以上的i n t e r i l e t 服务器被感染而瘫痪，损失超过1 0 0 0 万美元；1 9 9 9 年爆 发的“梅丽莎”蠕虫造成的损失在l o 亿美元左右；2 0 0 0 年5 月，欧美爆发的“爱 虫”蠕虫，导致全世界4 5 0 0 万电脑瘫痪，损失高达8 7 亿美元；2 0 0 1 年7 月1 9 日，c o d e r e d 蠕虫爆发，在爆发后的9 小时内就攻击了2 5 万台计算机，造成的损 失估计超过2 0 亿美元；随后几个月内产生了威力更强的几个变种，其中c o d e r e d i i 造成的损失估计超过1 2 亿美元；2 0 0 1 年9 月1 8 日，n i i i l d a 蠕虫被发现，对 n i m d a 造成的损失评估数据从5 亿美元攀升到2 6 亿美元后，继续攀升，到现在已 无法估计。2 0 0 3 年8 月1 1 日爆发的b l a s t e r 蠕虫导致数千个局域网瘫痪，损失达 几十亿美元；2 0 0 4 年5 月1 日爆发的s a s s e r 蠕虫，仅1 天时间就感染了1 8 0 0 万 电脑，造成高达几十亿美元的损失。目前蠕虫爆发的频率越来越快，尤其是近两 年来，越来越多的蠕虫( 如s a s s c r 、w i t c y 、狙击波等) 出现，其传播速度成几何 级增长，危害也大有过之而无不及。 ( 1 ) 主要网络蠕虫 主要网络蠕虫和爆发的时间如表1 2 所示。 表1 2 主要网络蠕虫列表 网络蠕虫名称时间网络蠕虫名称时间 x e r o x p r a c1 9 8 0m o 而sw o n n1 9 8 8 1 1 0 2 、) l ，a n k w j m1 9 8 9 1 0 1 6a d m r o m1 9 9 8 0 5 m i l l e n 血1 m1 9 9 9 - 0 9r m e nw o r m2 0 0 l - 0 1 l i o n w b r m2 0 0 1 0 3 2 3a d o r e 、m2 0 0 1 一0 4 0 3 国e e s c 讳新m2 0 0 l - 0 5s 却h 凸i 删i i sw o r m2 0 0 l ，0 5 c o d e i h d 碍b 撇2 0 0 l - 0 7 1 9n i m d a b n n2 0 0 1 0 9 1 8 s 1 a p p e r 2 0 0 2 - 0 9 1 4s l a m 心r2 0 0 3 ，0 1 2 5 d v i d r 3 22 0 0 3 一0 3 0 7m s b l a s 瞬2 0 0 3 。0 8 1 2 n a c h i2 0 0 3 - 0 8 1 8 m y d 0 0 m c2 0 0 4 一0 2 0 9 w i t t yw b r m2 0 0 4 0 3 2 s a s s e r w b n n2 0 0 4 _ 0 4 3 0 s a n t v w o m2 0 0 4 1 2 2 1z o t o b w o r n l 2 0 0 5 0 8 1 5 ( 2 ) 近来网络蠕虫的情况 根据c n c e r t c c 2 0 0 5 年上半年网络安全工作报告 1 3 】，今年以来，蠕虫、木马、 间谍软件等恶意代码在网上的传播和活动仍然频繁。据c n c e r t c c 统计，从2 0 0 5 年1 月1 日到2 0 0 5 年6 月3 0 日，全球共新增蠕虫、木马、病毒等恶意代码1 1 8 5 1 种， 系去年同期增长数量的1 2 倍。病毒厂商瑞星公司的统计数据也显示，2 0 0 5 年上半 年其新截获的病毒数量达到了1 3 4 6 4 个，比去年同期增加了一倍多。 2 0 0 5 年上半年没有出现影响严重的利用系统漏洞进行自动传播复制的蠕虫，而 在2 0 0 3 年有s q ls l a m m c r 、口令蠕虫、冲击波等蠕虫，2 0 0 4 年上半年就出现了w i t t y 和震荡波等蠕虫。在2 0 0 5 年上半年，利用电子邮件手段传播的蠕虫呈下降趋势， 而即时消息( 主要是通过m s n i c q q q ) 蠕虫迅速增多。出现的针对s 弘曲i a n 系统 的手机蠕虫也值得关注。总体来看，近年来以网络蠕虫为主的恶意代码呈现出如 下几大趋势： 即时消息蠕虫( d 一w o 咖) 迅速增多 利用m s n i c q q q 等即时消息软件传播的蠕虫在2 0 0 5 年上半年迅速增多。出现 了s 吼o n 、k 耐v c r 、b r i o p a 、m s n 性感鸡”病毒( w o 衄m s n l o v e m e ) 等利用m s n 传播和q q r r o b e r 、q q t r a n 等利用国产的q q 传播的蠕虫。即时消息蠕虫成为一种 趋势。 群发邮件蠕虫( m a s s m a i l w o n n ) 逐渐减少 2 0 0 5 年，群发邮件类蠕虫( 包括新出现的m y t o b ) 仍然活跃，但较2 0 0 4 年显著 降低。2 0 0 4 年曾出现了m y d o o m ，n e t s k y ，b a 百e 和z a 丘等非常活跃的邮件蠕虫。导致 这个现象的主要原因是：媒体的广泛宣传，加强了用户安全意识；杀毒软件改进 了对受密码保护的邮件附件的处理技术，对邮件附件中可执行文件提前扫描；微 软对o u t l o o k 、o u t l o o ke x p r e s s 出现的漏洞及时打补丁。这些因素都导致邮件蠕虫 走向衰退。 手机病毒，蠕虫技术的进化 2 0 0 4 出现的c a b i r 蠕虫感染s y i i l b i a i l 手机操作系统，利用b 1 u e t o o m 作为传播 途径。2 0 0 5 年，出现了更多的利用b 1 u c t o o m 传播的手机蠕虫，这些蠕虫仍然瞄 准s y 棚【b i a n 系统，但传播手段趋于多样化。需要说明，很多s ”n b i 觚蠕虫都利用 了公开源代码的c a b i r 蠕虫的代码。此外，出现了利用彩信( m m s ) 传播的c o m w a r 蠕虫和感染s i s 文件的l a s c o 病毒。l a s c o 虽然感染文件，但。s i s 格式类似于z i 口或r a r 这类压缩文件，并且它利用b l u e t o o 血作为传播手段，也可认为它是蠕虫。 1 2 网络蠕虫研究现状 网络蠕虫虽然早在1 9 8 8 年就显示出它巨大的破坏力和危害性，但当时i n t e m e t 没有普及，因而并也没有引起人们高度的重视。从1 9 9 0 年到2 0 0 0 年，科研人员的 主要精力放在如何预防、检测和消除攻击个人电脑文件系统的病毒上，虽然邮件 病毒的出现，使人们认识到了i n t e m e t 已经使病毒的性质发生了一些变化，需要调 整研究方法和目标，但对于网络蠕虫的研究和防御比较少。2 0 0 1 年爆发的c o d e r c d 蠕虫使人们手忙脚乱，不知所措，它所造成的损失远远超过了传统的病毒，人们 这才意识到事态的严重性，科研工作人员纷纷把目光转移到网络蠕虫的研究上。 目前网络蠕虫研究主要集中在网络蠕虫功能结构、工作机制、扫描策略、传 播模型及蠕虫防御技术方面。s p a 肋r d 首次对m o r d s 蠕虫的功能结构和工作机制进 行了剖析”。郑辉 5 】抽象出一个网络蠕虫的统一功能结构模型。u cb e r k d e y 的 n i c b 0 1 a scw e a v e r 【1 5 。1 7 1 对网络蠕虫的快速扫描策略( 随机扫描、随机选择扫描、路 由扫描、分而治之扫描、d n s 扫描等策略) 进行了深入地分析和研究，并实现了 w 砒0 1 试验蠕虫，理论推测该蠕虫能在3 0 分钟内感染整个互联网，s l a m m e r 的出现 证实了他的预言，但值得注意的是s l 舢c r 没有采用任何一种他提到的快速传播策 略，而依然使用的是最原始的随机目标选择策略。在传播模型方面，k 印h a r t ，w h i t e 和c h e s s 在1 9 9 1 年到1 9 9 3 年对病毒传播模型进行了研究 1 8 - 。目前常见的模型有： 经典的、简单的流行病模型1 2 0 0 ”、k e 咖a c k m c k c i l d r i c k 模型( s m ) 【2 1 2 2 】、a a w p 模型 【2 3 、t w o f a c t o r 模型f 2 4 1 、s b p 模型( s t o d l a s t i c b r a n c h i n g p r o c e s s m o d e l ) 。c 1 i f f c z 0 u 等矧以c o d e r e d 蠕虫为例，讨论了基于微分方程描述的蠕虫传播模型，考虑了人为 因素和网络拥塞对蠕虫传播的影响，他的工作可以看作是s 服传播模型的一种扩 展。y a n gw a i l g 等【2 6 】提出了一个模型，考虑了感染延时和用户警惕性因素对网络蠕 虫传播的影响。以上这些模型都是基于随机网络的模型。随着研究的深入，大量 的实验表明，现在的m t e m e t 是无尺度网络，再用随机网络来模拟网络蠕虫的传播 显然不准确，现在研究人员纷纷研究基于无尺度网络的蠕虫传播模型。 p a s t o r - s a t o r r a s 等【2 7 。9 】利用平均场的方法求