（计算机科学与技术专业论文）多传播载体蠕虫模拟的设计与实现.pdf

国防科学技术大学研究生院硕士学位论文 摘要 互联网已经渗透到人们日常生活的各个方面，如何保护互联网的安全成为了 计算机研究领域的重要课题。然而从最初的p a r c 蠕虫到最近的c o n _ t i c k e r ，计算 机网络的发展不断地受到蠕虫的威胁。恶意攻击者希望控制尽可能多的机器以获 取最多的收益，因此能够自动传播、渗透性强、传播范围广泛的蠕虫成为了他们 的得力武器。为了感染尽可能多的机器，恶意攻击者越来越多地采用多传播载体 的蠕虫。该蠕虫可以通过多种方式进行传播，从而扩大了它的影响范围。 本文针对多传播载体蠕虫的模拟进行研究，对该蠕虫建立了模拟模型，同时 在扩展网络模拟器n s 2 的基础上实现了模型。本文的主要工作包括： l 、为多传播载体蠕虫建立了一个可扩展的模拟模型。在此模型中可以加入各 种蠕虫的传播载体，当前模型中包含了两种传播载体一一电子邮件传播载体和基 于软件漏洞的传播载体。 2 、建立电子邮件蠕虫传播模拟模型。在该模型中，蠕虫的传播与邮件网络中 的度密切相关。模拟实验的结果表明，邮件网络的度越大蠕虫传播越快。同时节 点的入度越大，它被感染的时间越早。 3 、研究了基于漏洞分布的非均匀蠕虫扫描策略，并给出了相应的防护措施。 各种网络应用在i p 地址空间上的分布是不均匀的，这就意味着蠕虫可以利用的漏 洞也是不均匀分布的。基于漏洞分布的非均匀蠕虫扫描策略通过重点扫描那些含 漏洞密度较高的地址区域来加快蠕虫的传播速度。 主题词：互联网蠕虫多传播载体模拟模型 第i 页 国防科学技术大学研究生院硕士学位论文 a b s t r a c t t h ei n t e m e th a sp e n e t r a t e di n t oa l la s p e c t so fd a i l yl i f e s oh o wt op r o t e c ti t s s e c u r i t yi sa l li m p o r t a n tt o p i co fc o m p u t e rr e s e a r c h e r s h o w e v e r ，f r o mt h ef i r s tp a r c w o r m st ot h ec o n f i c k e r ，t h ec o m p u t e rn e t w o r kh a sc o n s t a n t l yb e e nc o n f r o n t e db yt h e t h r e a to fw o r m s m a l i c i o u sa t t a c k e r sw i s ht oc o n t r o lm a c h i n e sa sm u c ha sp o s s i b l et o g e tm o r eb e n e f i t s s ow o r m sw h i c hc a na u t o m a t i c a l l ys p r e a d ，h a v es t r o n gp e r m e a b i l i t y a n dw i d e l yc o v e r a g eb e c o m et h e i re f f e c t i v ew e a p o i l s t oi n f e c ta sm a n ym a c h i n e sa s p o s s i b l e m a l i c i o u sa t t a c k e r sa r ei n c r e a s i n g l yu s i n gm u l t i v e c t o rw o r m s n l i sk i n do f w o r mc a l ls p r e a dt h r o u g hav a r i e t yo fw a y s s oi t si n f l u e n c ei se x p a n d e d t h i sd i s s e r t a t i o ns t u d i e st h es i m u l a t i o no ft h em u l t i v e c t o rw o r ma n dp r o p o s e sa s i m u l a t i o nm o d e lf o ri t t h r o u g he x t e n d i n gn e t w o r ks i m u l a t o rn s 2 t h es i m u l a t i o n m o d e li si m p l e m e n t e d t h i sd i s s e r t a t i o n sc o n t r i b u t i o n si n c l u d e ： 1 p r o p o s i n gas c a l a b l es i m u l a t i o nm o d e lf o rm u l t i v e c t o rw o r m av a r i e t yo f w o r m sp r o p a g a t i o nv e c t o rc a nb ei n c l u d e di nt h i sm o d e l n o wt h em o d e lc o n t a i n st w o k i n d so fw o r m sp r o p a g a t i o nv e c t o r s e m a i la n ds o f t w a r e l n e r a b i l i t i e s 2 ，e s t a b l i s h m e n to fas i m u l a t i o nm o d e lf o re - m a i lw o r m sp r o p a g a t i o n i nt h i s m o d e l ，t h es p r e a do fw o r m si sc l o s e l yr e l a t e dt ot h ed e g r e eo fe - m a i ln e t w o r k t h e r e s u l t so fs i m u l a t i o ns h o wt h a to na ne - m a i ln e t w o r kw i t l lag r e a t e ra v e r a g ed e g r e e ， w o r mc a np r o p a g a t ef a s t e r s i m u l a t i o n sa l s or e v e a lt h a tn o d e st h a th a v eg r e a t e r i n - d e g r e ew o u l db ei n f e c t e de a r l i e rt h a no t h e r sw i t hl i t t l e ri n - d e g r e e 3 ，s t u d y i n gaw o r m sn o n - u n i f o r ms c a n n i n gs t r a t e g yw h i c hb a s e so nv u l n e r a b i l i t y s d i s t r i b u t i o n ，a n dp r o p o s i n gt h ec o r r e s p o n d i n gp r o t e c t i v em e a s u r e s av a r i e t yo fn e t w o r k a p p l i c a t i o n si ni n t e m e td i s t r i b u t eu n e v e n l yi n i pa d d r e s ss p a c e n l i sm e a n st h e v u l n e r a b i l i t i e sw h i c hw o r mc a nm a k eu s eo fd i s t r i b u t eu n e v e n l y s ot h r o u g hm o r e f r e q u e n t l ys c a n n i n gt h ea d d r e s sa r e a sw i t hm o r ev u l n e r a b l eh o s t s ，t h ew o r m su s i n gt h i s n o n - u n i f o r ms c a n m n gs t r a t e g yc a l ls p e e du pl ts p r e a d k e yw o r d s ：i n t e r n e t ，w o r m ，m u l t i v e c t o r ，s i m u l a t i o nm o d e l 第i i 页 国防科学技术大学研究生院硕士学位论文 表目录 表2 1w i n d o w s 操作系统的市场占有率7 表2 2 双因素蠕虫传播模型中各变量的意义1 5 表5 1 模拟实验中的网络配置3 3 表5 2 模拟实验中的蠕虫配置3 3 表5 3 邮件蠕虫的基本配置4 2 表5 4 三种不同的邮件网络4 2 表5 5 节点的入度对感染时间的影响4 4 表5 6 多传播载体蠕虫模拟时邮件网络的配置4 5 第1 i i 页 国防科学技术大学研究生院硕士学位论文 图目录 图1 1蠕虫在恶意代码中的比例1 图2 2 蠕虫的功能结构1 0 图3 1多传播载体蠕虫模拟模型的框架1 9 图3 2 基于软件漏洞蠕虫的传播过程2 2 图3 3w e b 服务器的分布2 4 图4 2n s 2 模拟过程2 7 图4 3n s 2 中类n o d e 的结构2 8 图4 5m v w s s 中主要类的序列图2 9 图5 1 漏洞分布3 4 图5 2 感染蠕虫的主机数3 5 图5 3 单位时间内感染蠕虫的主机数3 5 图5 4 网络单位时间内传播的数据包3 6 图5 5网络单位时间内产生的丢包数3 7 图5 6 丢包率3 7 图5 7 三种不同的漏洞分布3 8 图5 8 感染蠕虫的主机数3 9 图5 9 单位时间内感染蠕虫的主机数3 9 图5 1 0 网络单位时间内传播的数据包4 0 图5 1 1 网络单位时间内产生的丢包数4 1 图5 1 2 丢包率4 1 图5 1 3 感染邮件蠕虫的主机数4 3 图5 1 4 单位时间内感染邮件蠕虫的主机数4 4 图5 1 5 感染蠕虫的主机数4 5 图5 1 6 单位时间内感染蠕虫的主机数4 6 图5 1 7 网络单位时间内传播的数据包4 7 图5 1 8 网络单位时间内产生的丢包数4 7 图5 1 9 丢包率4 8 第1 v 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得 的研究成果尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它 教育机构的学位或证书而使用过的材料与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意 学位论文题目：墅壁i 查：亟壁垒皇赴坚亟葛至量些： 学位论文作者签名：一二醒d 签薹一日期：砷1 年1 7 月叫。日 学位论文版权使用授权书 本入完全了解国防科学技术大学有关保留、使用学位论文的规定本人授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子 文档，允许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 学位论文题目： 塑壁蚴堡暨虫巡亟茸堑墓地 学位论文作者签名：皇爹虹 日j 期l ，：- y 9 1 年j 廖，月i i v 别! 日- 懒黝摊：一味7 机月叫日 国防科学拄术大学研究生院硕士学位论文 第一章绪论 1 1 课题的研究背景和意义 从1 9 6 9 年1 0 月2 9 日阿帕网的诞生至42 0 0 9 年，互联网已经走过了4 0 年的历 史。经过这4 0 年的发展，互联网已经拥有了超过1 7 亿的用户，覆盖了全球2 5 的人口。互联网已经渗透到人类社会的各个方面它的安全关系着国家、社会的 正常运转。但是近年来针对互联网的威胁越来越多，范围越来越广泛。在互联网 的安全问题中，恶意软件造成的经济损失占有最大的比例。恶意代码主要包括病 毒、蠕虫、术马程序、后门程序、逻辑炸弹等等。随着网络的不断发展和深入， 恶意代码可能造成的危害越来越大，因此它们甚至可以作为网络战的一种攻击手 段。这时网络安全问题已经上升到国家安全的高度了。在众多恶意软件中，蠕虫 占有重要的位置。每次蠕虫的犀发都会对互联网造成巨大的冲击，引起大量的经 济损失。 t 憎一 = = = = = = = ! = = = = = = = = = = = = = = = = = = = = = = = = = = = 1 0 1 0 5 07 08 0 图l _ 1 蠕虫在恶意代码中的比例 1 9 9 8 年1 2 月2 日，m o r r i s 蠕虫被释放到因特网上井在短时间内感染了6 0 0 0 台主机，这占了当时因特网1 左右的机器。2 0 0 1 年7 月1 9 日 c o d er e dv 2 对 w i n d o w s 系统中i i s 服务器进行缓冲区溢出攻击，它在1 4 小时内感染了大约 3 5 9 ，0 0 0 台计算机，造成了巨大的经挤损失。于2 0 0 8 年1 1 月出现的c o n f i e k e r 蠕 虫，主要通过微软w i n d o w $ 操作系统中的网络服务漏洞( m s 0 8 0 6 7 ) 进行传播。 到了2 0 0 9 年1 月，研究人员就发现c o n f i c k e r 蠕虫感染了大约9 百万到l 千5 百 万台的机器，【”。这些机器组成了一个巨大的僵尸网络，恶意攻击者可以利用这个 僵尸网络对网络造成巨大的破坏。2 0 0 9 年4 月，赛门铁克公布了2 0 0 8 年互联网安 全报告吲。该报告对前5 0 位潜在的恶意代码感染进行了分类，并指出了它们各自 第1 顼 国防科学技术大学研究生院硕士学位论文 所占比例。从图1 1 可以看出蠕虫在2 0 0 8 年和2 0 0 7 年的恶意代码感染都占有重要 的位置。 蠕虫是利用在网络中广泛使用的服务存在的安全或策略缺陷进行传播的计算 机程序【5 】。蠕虫与病毒一样都可以自我复制，但蠕虫的传播不需要人的操作，这使 得它的传播速度更快，范围更广。当互联网已经成为社会、经济、生活等方面不 可或缺的组成部分时，如何面对蠕虫对互联网应用造成的威胁是当前网络安全领 域的重要问题。蠕虫的大规模传播会对网络造成巨大的冲击，如采用漏洞扫描进 行传播的蠕虫会访问大量边界路由器当时没有保存的地址，这时路由器会广播 a r p 数据，从而造成边界路由器过载而宕机：在大量蠕虫同时进行扫描时，会造 成部分的网络拥塞，同时b g p 路由会产生震荡，从而使网络服务能力下降。许多 蠕虫除了进行自我复制，它还携带有恶意程序，可以窃取用户的重要数据、发送 垃圾邮件、发起d d o s 攻击、开启后门以方便进一步破坏等。现在被蠕虫感染的 机器可以通过i r c ( i n t e m e tr e l a yc h a t ) 等方式联结起来组成僵尸网络。僵尸网 络不仅对个人用户、商业活动会造成巨大的危害，它甚至对国家安全也是一个重 要的威胁。 通过研究蠕虫的相关特性可以找到一些应对它的措施，如观察蠕虫行为的方 法，对蠕虫传播的检测与早期预警，抑制蠕虫传播的技术，防护蠕虫感染的技术 等。近年来，这些应对蠕虫威胁的措施已经取得了一定的进步，并在网络基础设 施与企业防护设备上得到了应用。但是蠕虫采取的技术也在不断的进步，对蠕虫 的深入研究依然是网络安全领域的重要内容。 1 2 研究内容 蠕虫使用不同的方式在不同的计算机中传播自己。这些蠕虫传播自己的方式 统称为传播机制。传播机制中可以包括许多不同的载体，比如说远程漏洞攻击、 文件共享、电子邮件、即时信息软件等。如果蠕虫只使用一种传播载体，那它就 只能感染一定范围的机器。为了感染尽可能多的机器，恶意攻击者在制作蠕虫时 往往采用多传播载体技术来扩大蠕虫的感染范围，增加它的破坏能力。这些蠕虫 就称为多传播载体蠕虫。 对蠕虫进行深入的研究是应对蠕虫威胁的前提。当前对蠕虫传播进行研究主 要有下三种工具【丌，它们以对蠕虫传播过程描述的粒度由粗到细排序为： 分析模型对蠕虫传播建立了数学公式，它对蠕虫的传播提供了最深刻的理解。 已建立的分析模型有s t u a r ts t a n i f o r d 等人在“c o d er e di 爆发后建立的随机常量 传播( r a n d o mc o n s t a n ts p r e a d ) 模型1 6 1 、c l i f fz o u 等人的双因素蠕虫模型 ( t w o f a c t o rw o r mm o d e l ) 邛】、z e s h e n gc h e n g 建立的a a w p ( a n f l y t i c f la c t i v e 第2 页 国防科学技术大学研究生院硕士学位论文 w o r mp r o p a g a t i o n ) 蠕虫传播模型【9 】。但是由于抽象层次很高，分析模型舍弃了现实 中的一些因素，如网络协议、传输错误、网络带宽、用户的使用习惯等，因此在 许多环境下它并不准确。同时，一些复杂的蠕虫，如采用多传播载体的蠕虫，很 难使用分析模型进行描述。 模拟与仿真。模拟与仿真通过计算机程序来对蠕虫传播过程的各个因素进行 建模，如网络设备、蠕虫程序等，然后进行迭代运算来描述网络蠕虫传播的过程。 模拟与仿真具有很可好的扩展性，同时配置灵活、高效。 实验床通过真实的网络设备与服务器组成小规模的网络进行研究。实验床可 以真实地反映蠕虫传播过程中发现的各个细节，但是构建实验床的代价相当昂贵， 因此它是规模很有限，且在实验床中进行蠕虫研究配置不够灵活。 在以上三种研究工具中，模拟具有特别的优势。在整个网络环境中，蠕虫个 体的形为属于微观范围的，它可能会不断地变化。当需要在宏观层次对蠕虫传播 进行研究时，分析模型就会遇到巨大的困难，但通过对模拟结果进行统计分析， 可以很容易得到蠕虫传播的宏观表现。同时模拟可以很方便地对蠕虫所处的环境 建模，如网络设备、网络状况、用户的差异等，因此模拟可以提供与现实蠕虫传 播相近的结果。在配置灵活性与运行成本方面，模拟相比实验床也具有很强的优 势。因此，模拟是蠕虫研究的一种很好的工具，国内外的研究人员都大量使用模 拟来对蠕虫传播进行研究。 w a g n e r 使用p e r l 脚本语言实现了蠕虫传播的模拟器【l 们。在他的模拟器中虽然 考虑了链路的带宽对蠕虫传播的影响，但是队列、丢包与竞争流量等都被忽视了， 因此模拟的精度比不上包层次的模拟。同时基于t c p 协议的蠕虫也只是以一种简 单的形为方式来建模，没有慢启动与拥塞窗口控制等过程，因此不能准确反映传 播协议对蠕虫传播的影响。 由于蠕虫传播是一个影响整个互联网的现象，许多研究人员试图对蠕虫进行 大规模的模拟。但是当需要在包层次对蠕虫传播进行大规模模拟时，模拟器在内 存与计算时间上遇到了巨大的挑战。对此许多分布式并行网络模拟器被引入到这 一领域。当前广泛使用的分布式并行网络模拟器有s s f 、g t n e t s 、p d n s 等。 s s f 1 1 ( s c a l a b l es i m u l a t i o nf r a m e w o r k ) 是一组用来描述离散事件模拟的应用程 序接1 2 1 ，采用d m l ( d o m a i nm o d e l i n gl a n g u a g e ) 语言来配置模拟应用。s s f 具有面 向对象、简洁、功能强大等特点。当前s s f 有好几个实现版本：s s f n e t 、d a s s f 等。其中s s f n e t 为美国达特茅斯大学开发，采用了j a v a 语言。m i c h a e ll i l j e n s t a m 1 2 j 对蠕虫传播使用了基于混合层次的模拟模型。在模拟模型中i n t e n r e t 的绝大部分被 抽象为宏观层，而对被需要关注的部分网络采用包层次模拟。在宏观层，蠕虫的 传播过程用解析模型建模；在包层次模拟部分，对蠕虫流量进行模拟。该方法不仅 第3 页 国防科学技术大学研究生院硕士学位论文 能够给出蠕虫的全局传播过程，而且能够对需要关注的网络进行有重点的分析， 较好地解决了模拟粒度和复杂性的问题。 g t n e t s 1 3 ( g e o r g i at e c hn e t w o r ks i m u l a t o r ) 和p d n s 1 4 ( p a r a l l e l d i s t r i b u t e d n e t w o r ks i m u l a t o r ) 都是由美国乔治亚理工学院开发的分布式并行网络模拟器。这 两个模拟器都使用通信与同步接口l i b s y n k 来实现并行化。其中p d n s 是n s 2 的 并行化扩展，n s 2 中的脚本可以很方便地在p d n s 上运行。g t n e t s 在设计时考虑 了并行化的问题，比p d n s 更具有可用性与可扩展性。g e o r g ef r i l e y 等人在 g t n e t s 开发了蠕虫传播模块【1 3 1 。在该模块中，蠕虫可以通过t c p 可u d p 协议进 行传播，同时也考虑了背景流量与蠕虫扫描流量之间的关系。 随着p 2 p 文件共享技术的广泛应用，蠕虫也逐渐开始利用p 2 p 网络进行传播。 为此国内外的许多研究人员对p 2 p 蠕虫的模拟进行了广泛的研究。g n u t e l l a 是a o l 的n u l l s o f t 部门开发的一种能够智能发现节点、完全分布的p 2 p 网络通信协议。在 g n u t e l l a 协议中，所有的节点都是对等的，构成一个无结构的p 2 p 网络。乔治亚理 工学院的模拟框架g n u t e l l a s i m 在n s 2 的基础上实现了g n u t e l l a 协议，可以在包层 次对p 2 p 网络进行模拟。西安电子科技大学的杨丁【l5 】在g n u t e l l a s i m 的基础对p 2 p 文件共享型蠕虫的传播进行了模拟研究。 c o n t a g i o n 蠕虫利用正常业务流量进行传播，不会引起网络流量异常，具有较 高的隐蔽性，逐渐成为网络安全的一个重要潜在威胁。王跃武【3 l 】认为c o n t a g i o n 蠕 虫传播依赖于网络业务流量，因此模拟模型必须能够对网络业务流量进行动态模 拟。他提出了一个适用于c o n t a g i o n 蠕虫模拟的w e b 和p 2 p 业务流量动态仿真模 型，并通过选择性抽象克服了数据包级蠕虫模拟的规模限制瓶颈，在n s 2 上实现 了一个完整的c o n t a g i o n 蠕虫模拟系统。 1 3 论文组织结构 本文的主要研究内容是多传播载体蠕虫模拟的设计与实现。在对多传播载体 蠕虫建立了模拟模型后，本文在网络模拟器n s 2 的基础进行了适当的扩展并实现 了该模型，最后进行了模拟实验与分析结果。全文共分为六章，以下章节内容安 排如下： 第二章对蠕虫的相关研究进行了阐述。本章首先就蠕虫的基本概念和功能结 构进行了相关介绍，然后就应对蠕虫的措施做了简单的说明，最后列举几个用于 描述蠕虫传播的分析模型。 第三章首先介绍了多传播载体的蠕虫的典型代表一- - n i m d a 蠕虫，然后详细 阐述了多传播载体蠕虫的模拟模型。多传播载体蠕虫的模拟模型是一个可扩展的 模型，当前包含了两个载体一一电子邮件传播载体和基于软件漏洞的传播载体。 第4 页 国防科学技术大学研究生院硕士学位论文 同时本章对基于漏洞分布的非均匀扫描策略进行了研究，并提出了相应的防护建 议。 第四章首先介绍了当前网络研究领域广泛使用的模拟平台n s 2 ，然后详细阐 述了多传播载体模拟模型在n s 2 上的实现。实现主要从模型的三个主体一一主机、 传播载体、蠕虫来进行。 第五章主要对模拟结果进行分析。模拟主要从三个方面进行，首先是针对基 于漏洞分布的非均匀扫描策略进行了模拟实验，然后对使用电子邮件进行传播的 蠕虫进行了模拟，最后模拟的对象是多传播载体蠕虫。模拟的结果显示，采用多 传播载体不仅可以扩大蠕虫的感染范围，还可以加快它的传播速度。 最后一章对论文工作进行总结，并对下一步的工作进行部署和展望。 第5 页 国防科学技术大学研究生院硕士学位论文 2 1 1 蠕虫的定义 第二章相关研究 弟一早 侣大研艽 2 1 蠕虫的基本概念 19 8 8 年m o r r i s 蠕虫爆发后，s p a f f o r d 1 6 】对蠕虫和病毒进行了定义，他认为， “计算机病毒是一段代码，能把自身加到其他程序包括操作系统上；它不能独立 运行，需要由它的宿主程序运行来激活它 ，而网络蠕虫“可以独立运行，并将 自身的一个包含所有功能的副本传播到另外一台计算机 。k i e n z l e t l 7 】贝0 从破坏性、 网络传播、主动攻击和独立性4 个方面对蠕虫进行了定义：网络蠕虫是通过网络 传播，无须用户干预能够独立地或者依赖文件共享主动攻击的恶意代码，并认为 蠕虫的主要特征在于利用网络传播自身副本，且能自主地或可预期地找到新的可 感染目标，而不在于是否依赖人工的激活，故在分类上可以将邮件蠕虫也归为蠕 虫的一类。 蠕虫与病毒都属于恶意代码中的一种，但是它们之间仍然有一些区别： 1 ，蠕虫与病毒都可以在不同的计算机之间传播，它们都有自我复制的能力。 然而，病毒主要通过寄生于文件中，它们的传播需要进行不同系统之间的文件复 制。而蠕虫则可以通过网络自动传播，有些蠕虫甚至不写入到文件系统中，它们 只存在内存中，因此系统一旦重启，蠕虫便会被清除。 2 ，蠕虫之间可以进行通信以协同完成特定的任务。而病毒只是单独存在的个 体，没有相互通信的能力。但是现在蠕虫与病毒的界线并不是那么清晰，它们在 相同借鉴对方的能力。如c o n t a g i o n 蠕虫就借用了病毒的传播方式【3 。 蠕虫相比其他恶意代码，成为恶意攻击者重要武器的原因有： 1 ，简单、高效。计算机最擅长就是进行重复性的工作。蠕虫作为一段程序可 以重复执行，这样就代替了恶意攻击者手工一个目标一个目标地攻击。因此蠕虫 相对于手工控制攻击效率要高得多。 2 ，具有渗透性。当被感染了蠕虫的个人电脑接入到企业内部网时，蠕虫就可 以在内网中传播开来。许多企业内部网都是在严密的防火墙等安全防护设备保护 下，外来恶意流量是很能渗透进去。但是通过蠕虫的自动传播，企业内部网也可 以被恶意攻击者控制。 3 ，范围广泛。由于当前互联网上的硬件、软件呈现的广泛的同构性，蠕虫可 以轻易感染大量的机器。在桌面操作系统中，w i n d o w s 占了绝对多数，根据h i t l i n k 公司2 0 0 9 年1 0 月7 日发布的数据如表2 1 ，w i n d o w s 所有版本的市场占有率高达 第6 页 国防科学技术大学研究生疏硕士学位论文 百万计的机器就不足为怪了。 表21w i n d o w s 操作系统的市场占有率 操作系统版本市场占有率 w i n d o w s ) ( p 0 0 6 所有的版本 9 28 1 4 ，持续时间久。由于许多个人电脑用户安全防护意识不强等因素，即使漏洞 的补丁已经发布了，他们也不会升级软件或操作系统。这就使蠕虫传播的环境被 保留下来，使蠕虫可以长期地存活在网络中。在“c o d er e dl ”被释放到互联网 的8 个月后，该蠕虫依然还活跃在网络中【1 9 1 。 2 12 蠕虫的演化历史 从1 9 7 9 年的p a r c 蠕虫到1 9 8 8 年的m o r d s 蠕虫，再到2 0 0 8 年的c o n f i c k e r ， 蠕虫已有了四十年的历史。计算机网络的持续发展促进了蠕虫的不断演化。研究 蠕虫的演化历史有助于了解它的发展方向，以便找到应对它的一些拮施。根据蠕 虫使用的技术，本文选取了十三个重要的里程碑来展示蠕虫的发展过程如图2 - 。 。盎乳。，a 一”；箍一：茹m 一吊。i w ，早t 十”。甲7 么 蝗蔓尘! l 鼬：篇。毒 t h 目 图2 i 蠕虫的演化过程 蠕虫最初起源于i 9 7 9 年施乐( x e r o x ) 公司p a l oa l t o 研究中心的p a r c t ”i 。 p a r c 蠕虫可以在以太网中爬行以寻找空闲的计算机，并通过它进行一些在单机上 很耗时的计算。施乐公司的研究人员很早就注意到蠕虫的可控增长是实现蠕虫的 最关键部分。因此他们设计的p a r c 蠕虫具有有限的生命期，并可以接收某一特 定的报文以终止所有蠕虫。虽然他们实施了这些防护措施，但是在实际运行中有 第7 页 国防科学技术大学研究生院硕士学位论文 一个蠕虫失去了控制并快速传播，它在一夜之间使网络中的许多计算机陷入了崩 溃。p a r c 蠕虫的产生使得计算机网络开始面对蠕虫的威胁。 1 9 8 8 年m o r r i s 蠕虫的爆发在短短几个小时内就使用6 0 0 0 台机器瘫痪1 1 6 1 。这 个数字占了当时因特网所有计算机的l o ，造成了巨大的经济损失。该事件的发 生，不仅引起了研究人员对蠕虫的兴趣，也促使d a r p a ( d e f e n s ea d v a n c e d r e s e a r c hp r o j e c t sa g e n c y ) 成立c e r t c c 来应对网络紧急事件。m o r r i s 蠕虫利用4 2 或者4 3 b s d 版本的u n i x 中r e x e c r s h ，f i n g e r 和s e n d m a i l 三种系统服务中存在的漏 洞进行传播。该蠕虫通过被感染机器的e t c h o s t s 等文件获取地址来确定感染目标。 h a p p y 9 9 蠕虫首先出现于1 9 9 9 年1 月中旬。它主要通过电子邮件和u s e n e t 进 行传播。h a p p y 9 9 是第一个使用电子邮件快速传播的蠕虫，同时它也被认为是第一 个的现代蠕虫【2 0 1 。 m e l i s s a 蠕虫首次出现在1 9 9 9 年3 月2 6 日【2 。它结合了病毒的技术，主要通 过邮件附件进行传播。m e l i s s a 使用了微软办公软件w o r d 与e x c e l 中的宏技术。如 果打开一个感染了m e l i s s a 蠕虫的w o r d 文件，它会运行宏来将自己通过o u t l o o k 大量地发送出去，从而感染其他机器。 i l o v e y o u 蠕虫在2 0 0 0 年5 月4 日首次出现【2 2 】。它运用了社会工程学的技 术在电子邮件的主题栏内写着“i l o v e y o u ”诱使他人打开邮件的附件。一旦附 件被打开，一段v b s c r i p t 脚本将会运行并将自己发送给邮件地址列表中的所有人。 该蠕虫在全世界范围内大传播，大概造成了5 0 亿美元的损失。 2 0 0 1 年7 月1 3 日“c o d er e di ”蠕虫爆发，造成了巨大损失，从而引起学术 界、产业界对蠕虫的广泛关注【2 3 1 。“c o d er e di 不需要用户的交互，可以自动 在网络传播，因此传播速度非常的快。该蠕虫利用了微软i i s 网页服务器中的一个 漏洞，通过对该漏洞进行缓冲区溢出攻击，蠕虫可以执行任何代码。 “c o d er e di i 1 2 3 】首次出现于2 0 0 1 年8 月4 日。它感染的目标与“c o d er e d i 相同，也是微软的i i s 服务器。但是它产生扫描目标的算法与“c o d er e di 不同，它以较高的概率扫描本地和邻近网络的地址，从而提高了本地网络中的扫 描效率。 n i m d a 蠕虫于2 0 0 1 年8 月1 8 日被释放到互联网上【2 4 1 。在被释放后的不久， 它就迅速感染了数以万计的主机。n i m d a 蠕虫的感染能力如此强大的地方在于它 采用了多传播载体。感染n i m d a 蠕虫途径有：电子邮件、网络共享、访问被感染 的网站等。 2 0 0 3 年1 月2 5 日，s l a m m e r 蠕虫爆发。它在1 0 分钟内即感染了9 0 的易感 主机。该蠕虫利用m i c r o s o f ts q ls e r v e r2 0 0 0 和m i c r o s o f td e s k t o pe n g i n e ( m s d e ) 2 0 0 0 解析服务中缓冲区溢出漏洞。s l a m m e r 采用u d p 协议，仅用一个3 7 6 字节的 第8 页 国防科学技术大学研究生院硕士学位论文 数据包进行传播。以往的蠕虫都是基于t c p 协议传播，需要目标的响应信息才能 继续攻击，而s l a m m e r 蠕虫则无须目标的任何响应信息，将扫描和攻击阶段合二 为一，极大地提高了传播速度。在s l a m m e r 扫描的高峰，它产生的巨大流量对网 络造成了巨大的破坏【2 5 】。 在2 0 0 4 年，大部分蠕虫的爆发主要是由于三种蠕虫n e t s k y ，b a g l e ，m y d o o m 之间的“蠕虫大战”。其中n e t s k y 蠕虫可以在被感染主机中删除其他两种蠕虫的 变种【2 6 1 。 m y d o o m 是一种电子邮件蠕虫，首次出现于2 0 0 4 年1 月2 6 日。它结合了僵尸 网络的技术，如在被感染主机上预留一个后门以方便对其进行控制、阻止一些系 统升级工具和杀毒软件更新服务的正常工作f 2 7 1 。 s a s s e r 蠕虫首次出现于2 0 0 4 年4 月3 0 日。它通过对微软w i n d o w s 操作系统 中的一个组件l s a s s 进行缓冲区溢出攻击进行传播。以往的漏洞攻击集中于服务 器软件，但是s a s s e r 却对普通p c 的操作系统进行攻击，使它潜在的可感染主机的 规模非常庞大1 2 8 1 。 s a m y 是第一个主要使用跨站脚本进行攻击的蠕虫。它在2 0 0 5 年lo 月4 日更 改了上百万用户在社会网络网站m y s p a c e t o m 上的资料【2 9 1 。 蠕虫在经历了一段相对平静的时期后，c o n f i c k e r 蠕虫于2 0 0 8 年底爆发了。它 利用了当前蠕虫最好的技术，如它跟n i m d a 一样都采取了多传播载体，既可以通 过漏洞扫描传播也可以通过网络共享和移动存储介质传播，同时它跟s a s s e r 一样 选择了普通的家用p c 作为目标，这使它传播的范围不仅仅限于运行服务器的机 器。 2 2 蠕虫的基本结构 文伟平【3 0 】在综合和分析了以往研究人员对蠕虫的研究后，提出了一种将蠕虫 分为两个主要模块的蠕虫结构框架。这两个主要模块分别是主体功能模块和辅助 功能模块。主体功能模块是蠕虫可以通过网络自我传播的决定因素。而辅助功能 模块则为蠕虫提供了破坏力和进行自我保护。蠕虫的主体模块又可以分成4 个子 模块。其中信息搜集模块决定了蠕虫下一个感染目标。对于m o r r i s 之类的蠕虫， 信息收集模块可能读取被感染了的系统中的一些文件，如e c t h o s t s 或用户的邮件 联系人地址列表文件之类。扫描探测模块用来确定由信息搜集到的目标是否可以 被蠕虫感染。对于漏洞扫描的蠕虫，该模块可能对目标地址的某个端口发送连接 请求，旦得到对方的响应和相关的信息，蠕虫就可以确定对方是否能被自己感 染。渗透攻击模块的功能用于获得对方系统的某种权限以进行蠕虫传播。对于漏 洞扫描的蠕虫，该模块就可能是发送一段非法的参数使蠕虫可以获得执行代码的 第9 页 国防科学技术大学研究生院硕士学位论文 权限。比如“c o d er e di ”就向i i s 服务器发送一段字符以进行缓冲区溢出攻击来 获取执行程序的权限。传播模块可以将蠕虫的副本传送给被感染者。传播的方式 主要包括三种：自携带的、第二通道、嵌入式的【5 1 。在自携带的传播方式中，蠕虫 在攻击时就把自己传输到目标主机上。使用这种传播方式的蠕虫有“s l a m m e r ”蠕 虫等。在第二通道的传播方式，蠕虫使用与攻击不同的通道来传播蠕虫代码。b l a s t e r 蠕虫虽然通过r p c 进行攻击，但它在却被感染的机器上使用t f t p 来下载蠕虫代 码。嵌入式的蠕虫将自己隐藏在正常的流量上，这样通过流量监测是无法发现蠕 虫传播的。c o n t a g i o n 蠕虫就使用这种方式来传播自己【3 l 】。 功能结构 信息搜集模块 扫描探测模块 主要功能 】h 广荔翥蓦蕊1 l r 辅助功能 传播模块 隐藏模块 破坏模块 通信模块 远程控制模块 自动升级模块 图2 2 蠕虫的功能结构 仅仅能够自我传播的蠕虫的危害是比较有限的，当蠕虫可以相互通信，可以 协同工作时，它的威力才能充分发挥出来。隐藏模块用于隐蔽蠕虫的传播，使系 统与用户不能发现蠕虫的存在。采用r o o t l d t 技术的蠕虫就可以将蠕虫所在的进程 隐藏起来，不被系统工具所检测到。破坏模块是蠕虫作者制造蠕虫的目标所在， 它可以包含各式各样的功能，如窃取用户的重要数据、发起d d o s 攻击、发送垃 圾邮件等。通信模块是蠕虫与蠕虫、蠕虫与控制者之间交流的通道，通过它蠕虫 可以协同工作，进行大规模的破坏。通过远程控制模块，蠕虫控制者可以对蠕虫 下达指令。当前有许多的蠕虫组成的僵尸网络就是采用i r c ( i n t e m e tr e l a yc h a t ) 进行控制通信的。控制者可以在i r c 上对被控制的蠕虫发布命令，指示它们协同 完成某个任务。由于采用模块化的设计，蠕虫的各个部分可以进行升级。通过自 动升级模块，蠕虫的各个功能模块不断更新以适应新的需求。 2 3 针对蠕虫的相关措施 蠕虫的传播不仅严重威胁到网络基础设施的稳定与安全，它还可能会对终端 用户造成严重的破坏。应对蠕虫传播的相关措施包括两个方面：蠕虫检测、蠕虫 第1 0 页 国防科学技术大学研究生院硕士学位论文 防护。 2 3 1 蠕虫检测 蠕虫作为恶意攻击者强有力的工具在于它自动传播的特性。它可快速地感染 大规模的主机，这些主机从而可以被恶意攻击者使用。但是它们的快速传播过程 也会产生明显的特征。而这些特征就是检测蠕虫传播的重要依据。当前对蠕虫传 播的检测主要有三种技术，它们分别是流量分析、蜜网与黑洞网络、基于特征值 的检测系统。 流量分析的内容包括通信双方的地址，使用的协议与端口，连接成功与否， 单位时间内的流量等。所有这些特征结合在一起就可以建立起网络在正常情况下 的基本特征。这样当网络流量的模式发生异常时就可以判断是否存在蠕虫传播。 当前许多蠕虫都采用漏洞扫描的方式进行传播。这种类型的蠕虫在早期以指数增 长的方式在网络中传播。这在网络中的表现就是蠕虫的扫描流量以指数的方式增 长。因此，通过监测网络流量的增长方式可以检测出是否有蠕虫正在传播1 32 。监 测流量的地方主要放在网络的交汇处如路由器、防火墙等。同时当某台主机被蠕 虫感染后，它为了迸一步传播蠕虫会发送大量的扫描数据。这时它的网络流量模 式也就改变了，由此就可以检测出它是否被蠕虫感染了。不过流量分析也存在不 足之处：首先建立起流量的正常模式需要大量的时间和资源，这使它不适于一些 小型用户使用。其次是对于漏洞扫描这种蠕虫，流量分析是有效的。它们的快速 传播会引起明显的流量异常，流量分析可以比较容易的检测出是否存在蠕虫传播。 但是对于一些传播速度更缓慢、更隐蔽的蠕虫，流量分析就很难检测出蠕虫传播。 此外对于一些突发性的流量，流量分析会误认为是蠕虫传播，从而产生误报。 蜜罐就是一个故意被黑客攻击的系统。蠕虫会不加区分地攻击网络中存在的 可被攻击的所有主机，这时攻击的目标就包括了蜜罐。在攻击发生之后，研究人 员就可以从中提取数据来研究蠕虫的攻击过程、蠕虫的代码等。蜜网是由蜜罐构 成了一个网络体系架构，在这个架