网络蠕虫检测系统设计

1、网络蠕虫检测系统设计摘要：以网络蠕虫为主要研究对象，分析了网络蠕虫的功能结构和传播流程，同时通过对IPv6环境下网络蠕虫传播的特殊性研究，建立了一个新型的网络蠕虫传播模型。在此基础上，给出了一种基于指数熵的网络蠕虫检测方法和实验性研究方法，并对该方法进行了分析、推导以及检测。关键词：网络蠕虫；IPv6;指数熵0引言IPv4协议存在很多问题，不能满足物联网对海量网络地址的需求，于是IETF制定了IPv6协议。虽然IPv6协议在拥有更宽的地址空间及路由和安全等问题上有了很大改进，但是IPv6协议同样没有解决洪泛攻击、地址假冒、中间人(maninthemiddle)攻击、应用层攻击、报文偷看(Sni

2、ffing)等问题，所以网络安全问题依然不可轻视。网络蠕虫是继IPv6协议后一个很严重的网络安全问题，网络蠕虫并没有随着IPv6的出现而消失，大面积的网络蠕虫依然寄生在IPv6协议的网络中。由此，研究IPv6协议下的网络蠕虫检测方法有着非常重要的意义。相关工作蠕虫是一种在网络中传播的恶意病毒，它的出现对于木马病毒、宏病毒来说比较晚，但是无论从传播速度、传播范围还是从破坏程度上来讲，蠕虫病毒都是以往传统病毒所无法比拟的1。蠕虫功能结构国内外很多学者对蠕虫的功能结构进行了研究，其中一种比较典型的功能结构框架由6个功能模块组成2v/sup,分别是：搜索模块、攻击模块、命令行模块、通信模块、智能模块和

3、非攻击使用模块。本文结合当前蠕虫的具体运作情况，提出了一种新的蠕虫功能模型。把它分成了核心模块和扩展模块两部分，结构如图1。蠕虫工作机制蠕虫的工作机制是将自己从一台计算机复制到另一台计算机，并执行预定操作功能的程序代码，蠕虫可以自动执行，同时可以自我复制，系统一旦感染蠕虫，蠕虫即可自行传播。蠕虫是一种恶性病毒，通过网络进行传播，它具有传播性、隐蔽性、破坏性等病毒的共同特点，同时也具有一些自身的特性，如不寄生于文件（有的只存在于内存中）、与黑客技术结合以及对网络拒绝服务等。例如，蠕虫可向电子邮件地址簿中的联系人发送自己的副本，那些联系人的计算机也将执行同样的操作，结果造成多米诺效应（网络通信负担

4、沉重），使计算机和整个Internet的速度减慢3v/sup。普通病毒主要针对计算机文件系统进行感染，而蠕虫病毒的传染目标更为广泛，它包括局域网和互联网内的所有主机。系统一旦感染蠕虫，蠕虫便将自己从一台主机复制到互联网内的另一台主机，实现自行复制和传播。因而从破坏程度上讲，蠕虫病毒比普通病毒严重得多。依托于网络的拓展，蠕虫病毒仅需很短的时间即可蔓延至整个网络，导致严重的网络瘫痪。在局域网环境中，蠕虫的传播也有多种途径，如共享文件夹、恶意网页、电子邮件和有漏洞的服务器等。蠕虫可在数小时内蔓延全世界，它们的主动攻击和突然爆发使网络管理员束手无策。同时，蠕虫病毒会占用带宽和内存，很可能致使网络和计算

5、机崩溃。蠕虫不必通过“宿主”程序或者文件传播，它的危害远比普通病毒大。网络蠕虫检测系统在传统的网络环境下，蠕虫经常使用随机地址扫描方法查找易感染主机。IPv4协议使用了32位地址空间，因此利用快速扫描策略，一个蠕虫完成对所有地址空间的扫描仅需几小时。而对于IPv6,因其具有庞大的128位地址空间，基于随机扫描的网络蠕虫较难获取其它主机地址，因此普遍认为IPv6天生具有对蠕虫的抵抗能力。然而，随着网络蠕虫攻击手段越来越多，蠕虫病毒在IPv6环境下的传播逐渐成为人们关注的焦点4。2.1IPV6蠕虫设计为了分析蠕虫在IPv6网络中的传播，本文采用了名为Worm6的三层网络蠕虫模型。这种蠕虫模型通过使

6、用不同的策略有效地识别和攻击目标。不同的模型层次具有不同的作用。第一层应用于蠕虫扫描子网之时。蠕虫探索随机分布在不同子网当中的不同主机。对于蠕虫传播来说，依靠对主机自己的域名进行随机扫描是远远不够的。因此，在第二层，每当一个域名主机被感染了，它会通过对应的本地扫描策略扫描在当前的子网内更多的易感染主机。在因特网蠕虫的传播过程中，蠕虫感染主机的次数不止一次，这种情况几乎不可避免，因此亟需建立一个机制，避免主机在第三层中被反复感染。Worm6传播模型如图2所示。数据捕获模块网络系统存在大量的数据包，本模块主要承担部分前期数据包捕获工作，并负责将这些预处理后的数据进行存储。数据捕获的结构如图4所示。

7、本模块首先对数据包进行判断，提取有用数据包，剔除垃圾数据包。在相应时间窗口中，取出数据包中的源地址、目的地址以及相关的其他包头信息，放入IP头数据结构中，然后调用检测算法对数据进行处理。数据捕获模块的工作流程如图5所示。分析判定模块在数据捕获模块完成对数据的捕获和预处理之后，分析判定模块负责分配一个容量为4k的列表以储存主机的地址分类，分析数据包的源IP地址和目的IP地址。在查看以该主机为源地址的连接时，通过调用地址转换模块（Hash函数）计算连接中目标地址的Hash值，记为i，然后将对应于该Hash值的列表项的值加1，然后继续考察下一个以该主机为源地址的连接。若时间间隔达到预设的窗口大小，则

8、通过指数熵函数计算该主机的目标地址的熵，与预先设定的熵值进行比较，若计算得到的熵值大于网络蠕虫判断阈值，则判定该主机异常5。IP地址映射函数的实现方法如下：IpConvert（Ip）IpHigh=（Ip&FFFF0000）16；/取高16位，移位IpLow=Ip&0000FFFF；/取低16位IpTemp=IpHigh+IpLow；IpHash=IpTemp%4096；/取余从图6可以看出，通常流经异常目的IP地址的数据会比较分散，而流经正常目的IP地址的数据则相对集中。通过以上检测算法可以得出，一般情况下，正常主机的指数熵介于02之间，异常主机则通常大于2。结果输出模块分析判定之后，输出的结

9、果主要有两种：一种是同一个源地址（IP、Mac或Port）下的目的地址（IP、Mac或Port）分布情况，另一种是系统识别出的蠕虫分布变化情况。系统测试环境与结果3.1测试环境3.2测试结果图7显示了利用本系统在IPv6环境下IPv6蠕虫病毒的检测结果。本文所实现的系统能捕捉到所有的IP数据包。测试证明，宽带连接从禁用向启用切换时，守护线程能保证捕捉线程恢复工作。4结语本文首先分析了一般网络蠕虫的传播特性，在现有网络蠕虫技术的基础上，提出一种基于指数熵的网络蠕虫检测方法，并设计了可应用于IPv6环境下的网络蠕虫检测系统，给出了分析推导和检测程序设计的思路和方法。本文所提出的系统及其方法仅作为实

10、验性研究，系统完整性设计还有待进一步完善。参考文献：AnalysisoftheimpactofheterogeneousnetworkenvironmentonwormpropagationC.ProceedingsoftheThirdInternationalConferenceonMultimediaInformationNetworkingandSecurity，2011.YANGXINFENG，GUOYONGLI，LIUKECHENG.ResearchoncontrolstrategyofwormsspreadincomplexnetworksC.InternationalConferenceonComputerScienceandNetworkTechnology(I