（计算机应用技术专业论文）网络蠕虫的传播模型及应用研究.pdf

摘要 摘要 信息技术的进步给网络带来了巨大发展。网络连接着成千上万台电脑，并且为信 息传递提供了虚拟高速公路。当然，它也成了网络蠕虫传播的通道。网络蠕虫的产生， 主要是利用系统漏洞所设计，而网络蠕虫使用网络作为其活跃的舞台与传播的媒介， 因此往往能够引发大规模泛滥，除直接耗用网络资源，更间接造成社会经济巨额损失。 本论文对网络蠕虫的发展历史做了全面的回顾。通过对曾经爆发的蠕虫的行为进 行分析，给出总体的蠕虫行为特征描述、综合的蠕虫实体结构和蠕虫的统一功能结构 模型，同时也介绍了蠕虫的两种功能结构。 本论文对网络中蠕虫防御的常用算法进行了详细介绍，对关键部分给出详细的执 行过程，并通过实验对算法的效果进行了比较。 深入分析了蠕虫的传播模型，考虑了重复感染与感染时间对网络蠕虫传播的影响 这两个要素，提出了根据响应时间对网络蠕虫传播造成影响和基于双要素模型的s i r s 这两种改进的传播模型，分别利用两个模型对c o d er e d 和s q ls l 咖e r 这两个蠕虫 进行模拟仿真，仿真结果表明，本论文提出的模型与已有模型相比较，能够更好地描 述出现代网络蠕虫传播过程。 最后论文指出了进一步研究的方向与方法。 关键字：蠕虫，传播模型，防御算法，网络安全 江南大学硕上论文 a b s t r a c t t h ep r o g r e s so fi n f o r m a t i o nt e c h n 0 1 0 9 yb r i n g st h er a p i dd e v e l o p m e n to f t h ei n t e r n e t i n t e r n e tc o n n e c t sm i l l i o n so fc o m p u t e r sa n dp r o v i d e sav i r t u a l h i g h w a yf o ri n f o r m a t i o nd e l i v e r y h o w e v e r ， i ta l s ob e c o m e sap l a c ew h e r e n e t w o r kw o r m ss p r e a d m o s tn e t w o r kw o r m sa r ed e v e l o p e db y t a k i n ga d v a n t a g e o ft h ev u l n e r a b i l i t yo fo p e r a t i n gs y s t e mo ra p p l i c a t i o n s w i t ht h ei n t e r n e t a st h em e d i u m ，t h es p r e a do fn e t w o r kw o r m su s u a l l yn o to n l yc o n s u m e s c o n s i d e r a b l e n e t w o r kr e s o u r c e sb u ta l s oi n d i r e c t l y1 e a d st om u c hl o s s o f s o c i e t ya n de c o n o m yc o s t i nt h i sp a p e r ，w ei a d ead e t a i l e dr e v i e wo ft h eh i s t o r yo fw o r d e v e l o p m e n t ， a n db a s e do nt h ea n a l y s i so fs o m ew o r mc a s e sb r o k e no u t ，w ee x p l a i n e da n d d e s c r i b e dh o ww o r mw o r k s ，t h es t r u c t u r eo fw o r me n t i t ya n dt h ea r c h i t e c t u r e o fw o r mp e r f o r i n a n c e ，s oa n dt w ok i n d so ff u n c t i o n a ls t r u c t u r eo fw o r m w e v ea l s om a d eaf u l l s c a l ee x p l a n a t i o no fs o m ew o r md e f e n s ea l g o r i s m i nc o 衄o nu s ei nn e t w o r k ，f o rs o m ek e yp a r t s ，w ed e t a il e d l ya n a l y z e dt h ep r o c e s s o fi t se x e c u t i o n ，a n dc o m p a r e dt h e mb a s e do no u te x p e r i m e n t sr e s u l t s t h e n ，w ea n a l y z e dt h ew o r mp r o p a g a t i o nm o d e l ，c o n s i d e r e dm u l t i p l ee f f e c t a n de f f e c td u r a t i o n ，w h i c ha r et o wf a c t o r sc o n c e r n sw i t hw o r mp r o p a g a t i o nm o d e l w ec a m eo u tw i t ht h ee f f e c to fw o r mp r o p a g a t i o nm o d e la c c o r d i n gt oi t sr e s p o n s e t i m es p a na n dai m p r o v e dp r o p a g a t i o nm o d e ls i r sb a s e do nt w o f a c t o rm o d e l a c c o r d i n gt ot h ep r o p a g a t i o ns i i u l a t i o no fc o d er e da n ds q ls 1 a i m e ru s i n go u r m o d e l s ，w ef o u n dt h a tc o m p a r eo u rm o d e lw i t ht h e e x i s t e do n e s ，o u rm o d e l sw o r k s b e t t e ri nd e s c r i p t i o no fm o d e r nw o r mp r o p a g a t i o np r o c e s s i n g a f t e rt h a t ，w ep o i n t e do u ts o m es u g g e s t i o n sf o rf u r t h e rr e s e a r c hi nt h i s a r e a k e yw o r d s ：w o r m ，p r o p a g a t i o nm o d e l ， d e f e n s ea l g o r i s m ，n e t w o r ks e c u r i t y 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 本人为获得江南大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 ? 签名：日期：a 妒年垆月，莎日 关于论文使用授权的说明 本学位论文作者完全了解江南大学有关保留、使用学位论文的规 定：江南大学有权保留并向国家有关部门或机构送交论文的复印件和 磁盘，允许论文被查阅和借阅，可以将学位论文的全部或部分内容编 入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、 汇编学位论文，并且本人电子文档的内容和纸质论文的内容相一致。 保密的学位论文在解密后也遵守此规定。 签名：珥导师签名础 日期：鼢占年妒月日 第一章课题研究背景 第1 章课题研究背景 随着现代互联网络间的高速发展，信息科技日新月异，网络的规模也不断扩大， 使个人与网络的依存度越来越深。然而在现今日益复杂的计算环境下，却也充斥着各 种大大小小的漏洞。他们无处不在：作业系统、通讯协定、各种应用程序、桌面用户 端、w e b 浏览器、影音多媒体播放器等，甚至是安全软件本身，都存在着大量漏洞。 一方面，漏洞影响着语音、邮件、电子商务以及其他支援这些应用的网络基础设施。 另一方面，网络本身也成为恶意程序利用漏洞来传播散布的最佳途径。 从1 9 8 8 年c e r t ( 计算机紧急响应小组) 由于m o r r i s 蠕虫事件成立以来，统计到 的i n t e r n e t 安全威胁事件每年以指数级增长如图1 1 ，这些安全威胁事件给i n t e r n e t 带来了巨大的经济损失，比如：美国每年因为网络安全造成的经济损失超过1 7 0 亿美 元，因此网络安全的问题得到了世界各国的重视。2 0 0 1 年美国投资2 0 亿美元加强网 络安全建设，同样其他各国也都投入了巨大的人力和物力。 皿 耧 ，。：! 。兰竺竺竺 慨嗍舰僦舰嚣硎抛硼抛 图1 1 事件报告 据不完全统计，蠕虫每年给互联网产业造成的直接经济损失就可达数十亿美元， 间接经济损失则还要比这高得多。有人预言未来的蠕虫有可能在十五分钟内控制整个 互联网，虽然这一说法不见得完全正确，但从中足以看出蠕虫对网络的危害性。可以 肯定地说，只要有网络存在就会有蠕虫在作怪。人类和蠕虫之间的战争将是长期的甚 至是无限期的。只有充分地认识到这一点，才能更好地开展反蠕虫的工作，才能更好 地进行蠕虫和反蠕虫的研究工作。要防患于未然，时刻保持着较高的警惕性。只有这 样，才能把蠕虫带来的损失降到最低。 2 d 8 6 4 2 0 江南大学硕士论文 1 1 蠕虫的历史 在探讨“蠕虫”这个概念前，常常追溯到1 9 7 5 年美国科普作家约翰布鲁勒尔 ( j o h nb r u n n e r ) 发表的一本名为震荡波骑士( s h o c kw a v er i d e r ) 的科幻小说。 但从技术角度讲最先由x e r o xp a l oa n or e s e a r c hc e n t e r ( p a r c ) 于1 9 8 0 引入计算机 领域，但当时引入它的目的是进行分布式计算而不是进行恶意破坏。 1 9 8 8 年的“m o r “s 蠕虫”案”。1 9 8 8 年1 1 月2 日，由美国青年 r o b e r tt a p p a nm o r r i s 编写的“m o r r i s 蠕虫”导致了6 0 0 0 台电脑瘫痪在当时这 6 0 0 0 台电脑占了接入互联网电脑总数的十分之一，造成1 5 0 0 万美元的损失。m o r r i s 被判有罪并处以3 年缓刑、1 万美元罚金和4 0 0 小时的社区义务劳动，事后，m o r r i s 承认这只是为了炫耀自己的花招，并对自己的行为感到遗憾，而m o r r i s 的父亲老 m o r r i s 则是美国国安局( n s a ) 从事电脑安全事务的专家。r o b e r tt a p p a nm o r r i s 现 在是马萨诸塞科技学院的助理教授。 1 9 9 8 年5 月，a d m 蠕虫被发现。1 ，它借助b i n d b 1 和4 9 8 反向查询中的缓冲区 溢出漏洞在l i n u x 系统上进行传播，但由于程序自身的限制，它的传染效率较低。a d m 蠕虫是u n i x 平台上蠕虫的重要里程牌，因为：它引入了随机地址生成器；它通过 s h e l l 脚本对攻击代码进行了封装。这两种技术都被后续的很多蠕虫作者所采纳。 1 9 9 9 年9 月，a d i m 订l e n n i u m 蠕虫被报告“1 ，由于该蠕虫将其所有文件的时间戳 设置为2 0 0 0 年1 月1 日，所以人们称其为“m 订1 e n n i u m ”蠕虫。由于它在很多方面 类似于1 9 9 8 年的a d m 蠕虫，所以被认定是a d m 蠕虫的仿制品。m i ll e n n i u m 蠕虫只感 染l i n u x 系统，它入侵系统后，会修补所有它利用的系统漏洞，以此来防止重复感染。 它通过i m a p 4 、q p o p p e r 、b i n d 、r p c m o u n t d 四种系统服务中存在的漏洞进行传播。 2 0 0 0 年5 月4 日，l 0 v el e t t e r 蠕虫爆发5 1 ，这是一个用v b s c r i p t 语言写成的蠕 虫程序，它可以通过多种方式进行传播，包括：e m a i l 、w i n d o w s 文件共享、i r c 、u s e n e t 新闻组等。截至2 0 0 0 年5 月8 日，根据c e r t 的统计就有近5 0 0 0 0 0 台主机被感染。 该蠕虫一旦感染了某台主机就会采取下面的动作：用自身的副本来替代系统内部的 特定类型的文件；生成m i r c 脚本；修改浏览器的主页，将其指向一个可能含有 恶意代码的网页；从地址薄中获取邮件地址来发送自己的副本；修改注册表以保 证自己在主机起动时得到执行。 2 0 0 1 年1 月，r a m e n 蠕虫在l i n u x 系统下发现，它的名字取自一种面条“3 。它在1 5 分 钟内可以扫描1 3 万个地址，早期的版本只修改被入侵计算机w e b 服务下的 i n d e x h t m l 文件，在利用系统漏洞入侵后会为系统修补好漏洞。但后期的版本中被 加入了隐藏其踪迹的工具包( r 0 0 t k i t ) ，并在系统中留下后门。该蠕虫通过三种方式 进行攻击：利用w u ft p d 2 6 o 中的字符串格式化漏洞：利用r p c ，s t a t d 未格式 化字符串漏洞：利用l p r 字符串格式化攻击。由于以上所涉及的软件组件可以安装在 第一章课题研究背景 任何的l i n u x 系统上，所以r a m e n 能够对所有的l i n u x 系统造成威胁。同时它也向人们 显示出构造一个蠕虫并不是非常复杂的事情，因为该蠕虫所用到的漏洞和脚本等大多 数来自互联网上公开的资料，但这并没有影响该蠕虫爆发后给互联网带来了巨大的损 失。 2 0 0 1 年3 月2 3 日，l i o n 蠕虫继r a m e n 之后在互联网上出现，最初发布的版本中 l i o n 蠕虫集成了多个网上常见的黑客工具如扫描工具p s c a n 、后门工具t o r n 、d d o s 工 具t f n 2 k 等等，并把被攻击的主机上重要信息如口令文件等发往 l i o n s n i f f e r c h i n a c o m ，但后来出现的变体中又引入了其它的一些组件来隐藏自己。 l i o n 蠕虫通过域名解析服务程序b i n d 中的t s i g 漏洞进行传播，代码中有明显的对 r a m e n 蠕虫的抄袭痕迹，而且所有关键模块都来自于网上其它的工具包。 2 0 0 1 年5 月8 日，s a d i n i n d i i s 蠕虫爆发。1 ，它被认为是第一个同时攻击两种操 作系统的蠕虫。它利用s u n 公司的s 0 1 a r i s 系统( u n i x 族) 中的s a d m i n d 服务中的两个 漏洞进行传播，另外还可以利用微软公司i i s 服务器中的u n i c o d e 解码漏洞来攻击安 装了i i s 的服务器。 2 0 0 1 年5 月1 7 目，c h e e s e 蠕虫在互联网上出现，这个蠕虫号称是良性蠕虫0 1 ， 是针对l i o n 蠕虫编写的，它利用l i o n 蠕虫留下的后门( 1 0 0 0 8 端口的r o o t s h e l l ) 迸j 行传播。进入系统后，它会自动修补系统漏洞并清除l i o n 蠕虫留下的所有痕迹。它： 的出现，被认为是对抗蠕虫攻击的一种新思路，但由于在实现上没有采取很好的控制 措施，最终还是对互联网的性能造成了负面的影响。 2 0 0 1 年7 月1 9 日，c o d e r e d 蠕虫爆发，在爆发后的9 小时内就攻击了2 5 万台计算 机“。造成的损失估计超过2 0 亿美元。该蠕虫感染运行m i c r o s o f ti n d e x s e r v e r2 o 的系统，或是在w i n d o w s2 0 0 0 ，i i s 中启用t i n d e x i n gs e r v i c e ( 索引服务) 的系统。该 蠕虫只存在于内存中，并不向硬盘中拷文件，它借助i n d e xs e r v e ri s a p ie x t e n s i o n 缓冲区溢出漏洞进行传播，通过t c p i p 协议和端口8 0 ，将自己作为一个t c p i p 流直接 发送到染毒系统的缓冲区，它会依次扫描w e b ，以便能够感染其他的系统。一旦感染了 当前的系统，蠕虫会检测硬盘中是否存在c ：n o t w o r m ，如果该文件存在，蠕虫将停止 感染其他主机，而且将感染对象锁定为英文系统。随后几个月内产生了威力更强的几 个变种，其中c o d e r e di i 蠕虫造成的损失估计达1 2 亿美元，它与c o d e r e d 相比作了很 多优化，不再仅对英文系统发动攻击，而是攻击任何语言的系统，而且它还在遭到攻 击的主机上植入特洛伊木马，使得被攻击的主机“后门大开”。c o d e r e di i 拥有极强 的可扩充性，可通过程序自行完成木马植入的工作，使得蠕虫作者可以通过改进此程 序来达到不同的破坏目的。 2 0 0 1 年9 月1 8 日，n i m d a 蠕虫被发现“”。n i m d a 蠕虫执行代码里包含“c o n c e p tv i r u s ( c v ) 5 5 ，c o p y r i g h t ? 2 0 0 1r p c h i n a ”，由此有计算机专家推断这个蠕虫也是中 国黑客所编写的。不同于以前的蠕虫，n i m d a 开始结合病毒技术，它通过搜索 江南大学硕士论文 s o f t w a r e m i c r o s o f t w i n d o w s c u ”e n t v e r s i o n a p p p a t h s 来寻找在远程主机上的可执 行文件，一旦找到，就会以病毒的方式感染文件。它的定性引起了广泛的争议，n a i ( 著 名的网络安全公司，反病毒厂商m c a f e e 是它的子公司) 把它归类为病毒，c e r t 把它归 类为蠕虫，i n c i d e n t s o r g ( 国际安全组织) 同时把它归入病毒和蠕虫两类。自从它诞 生以来到现在，无论哪里、无论以什么因素作为评价指标排出的十大病毒排行榜，它 都榜上有名。该蠕虫只攻击微软公司的w i n d o w s 系列操作系统，它通过电子邮件、网 络共享、i e 浏览器的内嵌 f i m e 类型自动执行漏洞、i i s 服务器文件目录遍历漏洞以及 c o d e r e d h 和s a d m i n d i i s 蠕虫留下的后门共五种方式进行传播。其中前三种方式是病 毒传播的方式。对n i m d a 造成的损失评估数据从5 亿美元攀升到2 6 亿美元后，继续攀升， 到现在已无法估计。 2 0 0 2 年5 月2 0 日，自s q ls n a k e 蠕虫“”( 也叫s p i d a 及d i g i s p i d ) 露面以来，就 一直在扫描成千上万台与i n t e r n e t 相连的电脑系统的1 4 3 3 端口，企图寻找运行微软 s q l 且没有在系统管理员帐号上设置适当f r e t h e m i n d e x h t 旷t a r g e t = ”b l a n k ” s t y l e = t e x t d e c o r a t i o n ：u n d e “i n e ：c o l o r ：# 0 0 0 0 f f 密码的系统。虽然蠕虫的传 播速度并不快，但也感染了好几千台计算机，这充分说明了蠕虫作者所用技术的先进 性，其中最重要的一点是该蠕虫的扫描地址不是随机产生的而是由蠕虫作者将最有可 能被感染的那些地址集成到蠕虫个体当中去的，这大大提高了蠕虫成功的概率和攻击 目标的明确性。 2 0 0 3 年1 月2 5 日，s q ls 1 a m m e r 蠕虫爆发o “，它是出现过的蠕虫中传播速度最 快的，每隔8 5 秒它所感染的主机数就要翻一翻，在1 0 分钟内它就感染了近9 0 的脆 弱性主机。该蠕虫利用的是s q l 服务器或m s d e2 0 0 0 中包含的缓冲区溢出漏洞。该 蠕虫的另一个特点是它的代码仅有3 7 6 字节，其负载也不过4 0 4 字节。幸运的是，该 蠕虫所利用的随机地址产生器存在b u g ，使很大一部分i p 空间逃过了它的攻击。 2 0 0 3 年3 月1 1 日发布了“d e l o d e r ”蠕虫“，该蠕虫并没有用任何编程方面的漏 洞，借助的是弱密码给系统所带来的脆弱性，最终也同样造成了大量主机被攻击。这 就警示计算机用户密码设置不能只从易记方面加以考虑，还要充分考虑密码的健壮 性。 2 0 0 3 年8 月1 1 日，“冲击波”( w o r mm s b l a s t a ) 开始在国内互联网和部分专用 信息网络上传播“。该蠕虫传播速度快、波及范围广，对计算机正常使用和网络运行 造成了严重影响。该蠕虫在短时问内造成了大面积的泛滥，因为该蠕虫运行时会扫描 网络，寻找操作系统为w i n d o w s2 0 0 0 x p 的计算机，然后通过r p c d c o m ( 分布式组件模 型) 中的缓冲区溢出漏洞进行传播，并且该蠕虫会操纵1 3 5 ，4 4 4 4 ，6 9 端口，危害计算 机系统。被感染的计算机中w o r d ，e x c e l ，p o w e r p o i n t 等文件无法正常运行，弹出找 不到链接文件的对话框，“粘帖”等一些功能也无法正常使用，计算机出现反复重新 启动等现象，而且该蠕虫还通过被感染系统向w i n d 。w s u p d a t e m i c r o s o f t c o m 网站发 d 第一章课题研究背景 动d o s ( d e n yo fs e r v i c e ) 攻击。自1 1 日夜晚至1 2 日凌晨在中国境内发现，仅3 天的 时间就已经使数十万台主机受到感染。2 0 0 4 年1 月2 7 日和2 8 日，网络蠕虫“m y d o o m ， 及其变种“m y d o o m b ”相继开始在互联网上迅速传播。它是一种利用邮件进行传播的 蠕虫，可以利用自身的s m t p 引擎创建邮件信息。感染后，它会从被感染计算机上获 取邮件地址，并把自身发送到所获取的“寄件人”地址里，而且它还可以终止安全程 序的运行。由于信件来自自己熟悉的人，所以很容易使人受骗而被感染。 2 0 0 4 年1 月1 9 日发现的“恶鹰”蠕虫( w o r m b e a 9 1 e ) 是新型网络蠕虫的代表， 它有典型的木马特征，表现出如下一些新特点：该蠕虫能搜索所有可能含有邮件地址 的文件，并在其中匹配出邮箱的地址，提取后发送到事先设计好的网站中，然后通过 e m a i l 的方式发送给这些用户，既制造了大量的垃圾邮件，又传播了自身的副本，还 获取了一些私人信息。该蠕虫能够动态监视系统中运行的进程，在很短的时间问隔遍 历进程表，如发现反病毒软件的进程，则立即查杀，从而阻止了反病毒软件的运行，达 到自我保护的目的。另外，在操作系统的主要进程运行时，它采用线程植入的策略，动 态插入蠕虫，以有效地隐藏自身。动态控制机制b e a g l e 通过设置后门来取得系统的 控制权。在此基础上，该网络蠕虫采用动态模块的策略，将黑客新编写病毒的扩展功能 模块动态地插进该病毒模块中，实现模块的动态升级。该网络蠕虫体现了今后网络蠕 虫的发展方向，代表了新一代蠕虫的特征：利用新型的制作技术如植入技术、加载技 术、自我保护技术、隐蔽技术、动态控制技术和自动编写技术等，具有新型的结构和 破坏功能等。可以把这种融合了蠕虫、病毒和木马技术并具有网络传播、感染和破坏 作用的恶意程序称之为新型网络蠕虫。 2 0 0 4 年4 月3 0 日，震荡波( s a s s e r ) 被首次发现“，虽然该蠕虫所利用的漏洞微 软事先已公布了相应的补丁，但由于没能引起计算机用户的充分重视，还是导致其在 短短一个星期时间之内就感染了全球1 8 0 0 万台电脑，成为2 0 0 4 年当之无愧的“毒王”。 它利用微软公布的l s a s s 漏洞进行传播，可感染w i n d o w s n t x p 2 0 0 3 等操作系统，开 启上百个线程去攻击其他网上的用户，造成主机运行缓慢、网络堵塞。震荡波攻击成 功后会在本地开辟后门，监听t c p5 5 5 4 端口，作为f t p 服务器等待远程控制命令， 黑客可以通过这个端口偷窃用户主机的文件和其它信息。“震荡波”发作特点类似于 前面所说的“冲击波”，会造成被攻击主机反复重启。 2 0 0 5 年8 月1 4 日，z o t o b 蠕虫在小范围内爆发“”，受攻击的系统全部为w i n d o w s 2 0 0 0 系统。该蠕虫利用了8 月9 日微软发布的即插即用中的漏洞( m s 0 5 一0 3 9 ) ，在微 软发布安全公告后短短的5 天之内即出现该蠕虫，表明蠕虫作者利用漏洞的能力越来 越强。用户电脑感染了该蠕虫之后，在某些情况下会出现系统频繁重启的现象。同时， 该蠕虫会在用户电脑上开设后门，方便黑客对其进行远程控制。 以上只是简单地回顾了一下从第一个蠕虫出现至今蠕虫发展的历史，并选择其中 具有代表意义的蠕虫加以简单介绍。最近几年，随着信息交流方式的便捷，越来越多 江南大学硕士论文 的蠕虫编写知识为更多的黑客所掌握，蠕虫编写技术也随之不断提高，新的蠕虫将会 更加频繁地出现在互联网中，研究新的更为有效的蠕虫检测与防范手段成为当务之 急。 1 2 目前研究状况 i n t e r n e t 蠕虫虽然早在1 9 8 8 年就显示出它巨大破坏力和危害性，但当时i n t e r n e t 没有普及，因而也没有引起人们更多的注意。从1 9 9 0 年开始，对抗恶意软件破坏的主 要内容锁定在个人电脑的防病毒上，而且这种状况一直延续到现在。科研人员的主要 精力放在如何预防、检测和消除攻击个人电脑文件系统的病毒。虽然邮件病毒的出现， 使人们认识到了i n t e r n e t 已经使病毒的性质发生了一些变化，需要调整研究方法和目 标，但对于蠕虫的研究和防御到日前为止还比较少；近年来，新蠕虫层出不穷，危害 越来越大，其造成的危害程度远远超过传统的病毒，由于对蠕虫研究的滞后，使人们 在蠕虫面前手忙脚乱。 通过对蠕虫的研究，可以扩大反病毒技术涵盖的范围，推进反病毒技术的发展。 对蠕虫的实体特征、功能结构模型的研究，可以直接的转化应用到安全产品和反病毒 产品中去，为减少恶意软件造成的经济损失提供相应的手段。 2 0 0 1 年c o d er e d 蠕虫爆发后，针对蠕虫的研究逐渐重新成为热点。比较突出的 有n i c h o l a sw e a v e r ( p h dc a n d i d a t eo fu cb e r k e l e y ) ，他给出了几种蠕虫的快速 传播策略，并预言了可以在半个小时之内感染整个i n t e r n e t 的蠕虫将要出现。 s l a m m e r 的出现证实了他的预言，但值得注意的是s 1 a m m e r 没有采用任何一种他提到 的快速传播策略，而依然使用的是最原始的随机目标选择策略。n i c h o l a sw e a v e r o ” 最近的工作近一步讨论了蠕虫传播策略，把传播策略分成五种，随机、外部的目标列 表( m e t as e r v e r ) 、预先生成的目标列表( h i tl i s t ) 、内部目标列表( t o p o l o g i c a l ) 、 被动( 等待目标自己上门) ，强调蠕虫的检测、分析和响应需要自动化，认为对以往 蠕虫的分析、数学建模和仿真是研究蠕虫的主要手段，讨论了w o r m h o l e 和h o n e yf a r m 的功能和应用策略；c l i f fc h a n g c h u nz o u ( 邹长春，p h dc a n d i d a t eo fu n i v m a s s a c h u s e t t s ) 以c o d er e d 蠕虫为例，讨论了基于微分方程描述的蠕虫传播模型， 考虑了人为因素对蠕虫传播的影响，他的工作可以看作是s i r 传播模型的一种扩展， 本文中给出的蠕虫传播模型即为在其基础上的扩充，他们还提出了r o u t i n gw o r m “”， 从i p v 4 向i p v 6 过渡过程中，基于i p 地址信息的快速、有选择性攻击的蠕虫将使蠕虫的 防治更加艰难。d a v i dm o o r e ( c a i d a ，t h ec o o p e r a t i v ea s s o c i a t i o nf o ri n t e r n e t d a t aa n a l y s i s ) “”提出了衡量防治蠕虫技术的有效性的三个参数：响应时间、防治策 略、布置策略，他认为目前的防治技术在这三个参数上都远远达不到对蠕虫防治的要 求。d u gs o n g 等人对蠕虫引起的网络流量统计特征做了研究。这些工作中，一个比 第一章课题研究背景 较突出的问题是，缺少对蠕虫整体特征的系统性分析，基本上都是针对特定的蠕虫( 如 c o d er e d 蠕虫) 进行研究讨论和建模。另外，在防治策略上，目前的方案大多停留 在感性认识的基础上，或者仅提出功能性需求。 c o d er e d 蠕虫用到了很多相当高级的编程技术，它是通过微软公司i i s 服务 的i d a 漏洞( i n d e x i n gs e r v i c e 中的漏洞) 进行传播。 2 0 0 1 年9 月1 8 目，n i m d a 蠕虫被发现，与以前的蠕虫不同的是n i m d a 开始结合 病毒技术。它的定性引起了广泛的争议，著名的网络安全公司n a i 把它归类为病毒， c e r t 把它归类为蠕虫，国际安全组织i n c i d e n t s o r g 同时把它归入病毒和蠕虫两类。 n i m d a 蠕虫只攻击微软公司的w i n x 系列操作系统，它通过电子邮件、网络邻近共享文 件、i e 浏览器的内嵌m i m e 类型自动执行( a u t o m a t i ce x e c u t i o no fe m b e d d e dm i m e t y p e s 漏洞、i i s 服务器文件目录遍历( d i r e c t o r yt r a v e r s a l ) 的漏洞、c o d er e di i 和s a d m i n d i l s 蠕虫留下的后门共五种方式进行传播。其中前三种方式是病毒传播的 方式。 冲击波( w o r m b 1 a s t e r ) ”蠕虫会持续利用i p 扫描技术寻找网络上系统为w i n 2 k 或 x p 的计算机，找到后就利用d o o mr p c 缓冲区漏洞攻击该系统，并向具有漏洞的系统 的1 3 5 端口发送数据。然后攻击有r p c 漏洞的计算机，一旦攻击成功，蠕虫将会被传 送到对方计算机中进行感染，值得注意的是，该蠕虫还会对微软的升级网站进行拒绝 服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统，这样就使更多的系统 漏洞无法打补丁。蠕虫在网络中持续扫描，寻找容易受到攻击的系统，它就会从己经 被感染的计算机上下载能够进行自我复制的代码m s b l a s t e x e ，蠕虫驻留系统后在注 册表中创建键值，以达到随系统启动而自动运行的目的，使系统操作异常、不停重启、 甚至导致系统崩溃。 任何事情都有它的两面性，就像其它的事情一样，不仅要反蠕虫，而且要学会利 用蠕虫。也许在未来的电子信息战中，蠕虫可以帮上的大忙。 在这样一个背景下，如何能够防住蠕虫，把蠕虫带来的损害降到最低点，就成为 了网络安全中一个非常重要的问题。如何对蠕虫进行定性、定量的描述，如何在理论 上对蠕虫的实体结构，功能模型，行为特征，工作原理进行剖析与研究：如何高效地 对付现有的蠕虫以及如何编制能够针对现有蠕虫与未来蠕虫特性的杀毒引擎，使其比 现有的蠕虫杀毒引擎更有效就成为了重中之重。 1 3 研究意义与目标 综合上述分析可以看出，蠕虫的产生、传播和发作有如下特点： ( 1 ) 蠕虫严重地威胁着信息系统的安全，尽管人们已经作了大量的工作，但问题 远远没有解决，而且蠕虫带来的新的安全问题又不断的涌现，信息系统的安全面临着 越来越大的威胁。 江南大学硕士论文 ( 2 ) 信息系统本身存在的安全问题和安全脆弱性是不可避免的，针对这些脆弱性 的蠕虫的产生也就不可避免。 ( 3 ) 信息共享和i n t e r n e t 的开放性给蠕虫的传播提供了便利的传播路径，信息系 统本身存在的安全脆弱性客观上造成蠕虫的传播：网络技术的飞速发展和人们对 i n t e r n e t 越来越高的依赖程度，进一步加速了蠕虫传播。 ( 4 ) 检测技术的局限性和蠕虫的欺骗性使得难以区分正常代码和蠕虫，使得蠕虫 的入侵，传播和发作不可避免。 ( 5 ) 安全管理人员对信息系统错误的安全策略配置和网络用户安全意识的淡薄， 使得在正常的操作中，很多蠕虫被有意和无意地执行，而操作系统本身却不能区分也 不能抵御蠕虫的感染和发作，使蠕虫的入侵系统和破坏系统不可避免。 针对上述特点，本文试图从理论和实践两个方面研究蠕虫的机理，探索防范蠕虫 的新技术。本文的研究目标是： ( 1 ) 分析蠕虫防御和检测算法，对蠕虫防御和检测的几种算法讨论，并通过试验 来进行分析比较，使防治蠕虫的工作能得到有效的进行。 ( 2 ) 分析蠕虫自身的在传播中表现出来的特性及外部因素对蠕虫传播所造成的影 响，给出具体的模型。 1 4 本文章节安排 本文共由7 章组成，各章的内容安排简要描述如下： 第1 章绪论，分5 个小节，第一小节介绍了课题研究工作背景。第二小节对蠕虫的 历史进行了回顾第三小节介绍了i n t e r n e t 蠕虫的研究现状。第四小节重点描述了蠕 虫与病毒的区别。第五小节介绍了本文的章节安排。 第2 章介绍了蠕虫的功能结构，根据蠕虫在整个生存过程中所要完成的任务，将 蠕虫划分为各个功能模块，并介绍了各个功能模块的用途。 第3 章网络蠕虫的传播模型并在对以往模型进行详细分析的基础上，建立的新的 传播模型。 第4 章介绍了两种网络蠕虫防御算法：病毒扼制技术和报文匹配，给出了详细的 执行过程，并进行试验仿真。 第5 章对全文进行总结和展望。 第二章蠕虫的分析 2 1 网络蠕虫的演化过程 第2 章蠕虫的分析 早在1 9 8 0 年，x e r o xp a r c 的研究人员已经编写了最早的蠕虫，用来尝试进行分布 式计算。整个程序由几个段组成，这些段分布在网络中的不同计算机上，它们能够判断 出计算机是否空闲，并向处于空闲状态的计算机迁移。当某个段被破坏掉时，其它段能 重新复制出这个段。在最初的试验中，蠕虫的破坏性和不易控制已经初露端倪。1 9 8 8 年1 1 月2 日，历史上第一个具有破坏作用的网络蠕虫m o r r i s 蠕虫发作，它通过对 f i n g e r d 、s e n d m a i l 和r e x 2 e c r s h3 种系统服务中存在的漏洞进行传播，几天之内造成 6 0 0 0 多台i n t e r n e t 服务器被感染而瘫痪。 目前，网络蠕虫发展的趋势是在病毒基础上与木马技术结合。特洛伊木马是一种 单独运行的后门程序，不像网络蠕虫那样自我复制传播，也不像病毒那样感染其他程 序。利用木马功能蠕虫可以接受并执行黑客发出的远程控制指令，实现蠕虫体的动态 升级和扩展功能，达到蠕虫编制者的各种破坏目的。新一代的网络蠕虫己彻底摆脱了 传统模式下植入方法原始、通信方式单一、隐蔽性差等不足。借助一些新技术，网络 蠕虫不再依赖于对用户进行简单的欺骗，可以不必修改系统注册表，不开新端口，不在 磁盘上保留新文件甚至可以没有独立的进程，可以轻易穿过防火墙与外界( 入侵者) 通信。这些新特点使对网络蠕虫的查杀变得愈加困难，与此同时却使得网络蠕虫的功 能得到了很好的完善。 网络蠕虫是计算机技术、网络技术和编程技术不断发展的产物。随着技术的进步 和新的系统漏洞的发现，新的网络蠕虫也会随之出现，但是通过对众多的网络蠕虫源 代码的分析，不管蠕虫利用什么样的系统漏洞，使用什么编程技术，在特定的发展阶段 内蠕虫在结构和功能上有很大的共性，因此，有必要从特性各异的网络蠕虫特征中归 纳出这些共性和本质特征来进行研究，寻找新的途径来达到防治网络蠕虫的效果。 2 2 病毒和蠕虫的区别 计算机病毒和计算机蠕虫都具有传染性和复制功能，这两个主要特性上的一致， 导致二者之间是非常难区分的，尤其是近年来，越来越多的病毒采取了部分蠕虫的技 术，另一方面具有破坏性的蠕虫也采取了部分病毒的技术，更加剧了这种情况。但对 计算机蠕虫和计算机病毒进行区分还是非常必要的，因为通过对它们之间的区别、不 同功能特性的分析，可以确定哪些是对抗计算机蠕虫的主要因素、哪些是对抗计算机 病毒的主要因素；可以找出有针对性的有效对抗方案；同时也为对它们的进一步研究 9 江南大学硕士论文 奠定初步的理论基础。 2 2 1 病毒的定义 人们在探讨计算机病毒的定义时，常常追溯到d a v i dg e r r 0 1 d 在1 9 7 2 年的发表 的科幻小说w h e nh a r l i ew a so n e ，但计算机病毒的技术角度的定义是由f r e dc o h e n 在1 9 8 4 年给出的，“计算机病毒是一种程序，它可以感染其它程序，感染的方式为 在被感染程序中加入计算机病毒的一个副本，这个副本可能是在原病毒基础上演变过 来的。 ” ( ap r o g r a mt h a tc a ni n f e c to t h e rp r o g r a m sb ym o d i f y i n gt h e mt oi n c l u d e ap o s s i b l ye v o l v e dc o p yo fi t s e l f ) “。1 9 8 8 年m o r r i s 蠕虫爆发后，e u g e n eh s p a f f o r d 为了区分蠕虫和病毒，将病毒的含义作了进一步的解释。“计算机病毒是 一段代码，能把自身加到其它程序包括操作系统上。它不能独立运行，需要由它的宿 主程序运行来激活它。”( v i r u si sap i e c eo fc o d et h a ta d d si t s e l ft oo t h e r p r o g r a m s ， i n c l u d i n go p e r a t i n gs y s t e m s i tc a n n o tr u ni n d e p e n d e n t l ya n di t r e q u i r e st h a ti t s h o s t p r o g r a mb er u nt oa c t i v a t ei t ) 2 0 3 1 9 9 4 年2 月1 8 日，我国正式颁布实施了中华人民共和国计算机信息系统安全 保护条例，在条例第二十八条中明确指出：“计算机病毒，是指编制或者在计算 机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一 组计算机指令或者程序代码。”此定义具有法律性、权威性。 2 2 2 蠕虫的定义 蠕虫这个生物学名词在1 9 8 2 年由x e r o xp a r c 的j o h nf s h o c h 等人最早引入计 算机领域，并给出了计算机蠕虫的两个最基本特征：“可以从一台计算机移动到另一 台计算机”和“可以自我复制”。他们编写蠕虫的目的是做分布式计算的模型试 验，在他们的文章中，蠕虫的破坏性和不易控制已经初露端倪。1 9 8 8 年m o r r i s 蠕虫 爆发后，e u g e n eh s p a f f o r d 为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义， “计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计 算机上。 ” ( w o r mi sap r o g r a mt h a tc a nr u nb yi t s e l fa n dc a np r o p a g a t eaf u l l y w o r k i n gv e r s i o no fi t s e l ft oo t h e rm a c h i n e s ) 22 3 病毒和蠕虫的区别 计算机蠕虫和计算机病毒都具有传染性和复制功能，这两个主要特性上的一致， 导致二者之间是非常难区分，尤其是近年来，一方面越来越多的病毒采取了部分蠕虫 的技术，另一方面具有破坏性的蠕虫也采取了部分病毒的技术，更加剧了这种情况。 在传统的对计算机病毒的传播机制研究中，常常借用已有的传染病数学模型，但 计算机病毒主要攻击的是文件系统，在其传染的过程中，计算机使用者是传染的触发 0 第二章蠕虫的分析