受控蠕蟲框架結(jié)構(gòu)研究

(信息工程大學(xué) 信息工程學(xué)院， 河南 鄭州 450002)

摘 要：最近幾年，隨著網(wǎng)絡(luò)系統(tǒng)應(yīng)用及復(fù)雜性的增加，網(wǎng)絡(luò)蠕蟲成為網(wǎng)絡(luò)系統(tǒng)安全的重要威脅。因此研究網(wǎng)絡(luò)蠕蟲的相關(guān)技術(shù)十分重要。給出蠕蟲的基本定義，介紹了蠕蟲工作流程圖，并在此基礎(chǔ)上提出了一種受控蠕蟲的分布式結(jié)構(gòu)框架；最后從受控蠕蟲功能著手描述了受控蠕蟲的工作流程圖。

關(guān)鍵詞：受控蠕蟲； 分布式； 激活； 可控制的

中圖法分類號(hào)：TP390．5文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1001-3695(2006)08-0074-02



Research of Controlled Worm Framework



LUO Jun hong， ZHANG You wei， XIE Yu qiang， SHU Hui

(College of Information Engineering， Information Engineering University， Zhengzhou Henan 450002， China)

Abstract:Recently the explosive growth of network applications and its complexity， and the threat of Internet worms against network become serious increasingly. So the technology research about the Internet worm is very important. In this paper the author introduces the definition of worm，and analyses the flow chart of worm. Then it gives a point of the worm distributed framework which supports controlled configuration. At last described the flow chart of worm which based on the controlled worm functions.

Key words:Controlled Worm; Distributed; Activation; Controlled

隨著互聯(lián)網(wǎng)應(yīng)用的深入，網(wǎng)絡(luò)蠕蟲對(duì)計(jì)算機(jī)系統(tǒng)安全和網(wǎng)絡(luò)安全的威脅日益增加。在網(wǎng)絡(luò)環(huán)境下，多樣化的傳播途徑和復(fù)雜的應(yīng)用環(huán)境使網(wǎng)絡(luò)蠕蟲的發(fā)生頻率增高，潛伏性變強(qiáng)，覆蓋面更廣，造成的損失也更大。因此對(duì)蠕蟲技術(shù)的研究倍受人們重視。本文簡(jiǎn)單介紹了一種新的受控蠕蟲結(jié)構(gòu)，并介紹了受控蠕蟲的基本概念、分布式框架結(jié)構(gòu)及其工作流程。

1網(wǎng)絡(luò)蠕蟲的定義及功能結(jié)構(gòu)

1．1網(wǎng)絡(luò)蠕蟲的定義

網(wǎng)絡(luò)蠕蟲強(qiáng)調(diào)自身的主動(dòng)性和獨(dú)立性。 Kienzle和Elder從破壞性、網(wǎng)絡(luò)傳播、主動(dòng)攻擊和獨(dú)立性四個(gè)方面對(duì)網(wǎng)絡(luò)蠕蟲進(jìn)行了定義:網(wǎng)絡(luò)蠕蟲是通過網(wǎng)絡(luò)傳播，無需用戶干預(yù)便能夠獨(dú)立地或依賴文件共享進(jìn)行主動(dòng)攻擊的惡意代碼。

一種較普遍的網(wǎng)絡(luò)蠕蟲定義為網(wǎng)絡(luò)蠕蟲是無需計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序，它通過不停地獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)來進(jìn)行傳播。

1．2網(wǎng)絡(luò)蠕蟲的功能流程圖

分析網(wǎng)絡(luò)中近幾年傳播力、感染力、破壞力較強(qiáng)的蠕蟲，結(jié)合網(wǎng)絡(luò)蠕蟲的主動(dòng)攻擊、行蹤隱蔽、利用漏洞、產(chǎn)生安全隱患、反復(fù)性和破壞性等特征，簡(jiǎn)單介紹Internet蠕蟲的工作流程。其流程一般分為獲取目標(biāo)主機(jī)地址、傳播、駐留、自我保護(hù)、復(fù)制和執(zhí)行黑客任務(wù)六部分，如圖1所示。其中獲取目標(biāo)主機(jī)地址、傳播和駐留三部分是核心流程，執(zhí)行了核心流程的蠕蟲就可以利用漏洞在網(wǎng)絡(luò)上進(jìn)行自我傳播、復(fù)制，完成蠕蟲的基本功能。Internet蠕蟲為了提高自己的生存能力和破壞能力，在執(zhí)行核心流程的基礎(chǔ)上又增加了自我保護(hù)、復(fù)制和執(zhí)行黑客任務(wù)三部分非核心流程。它們的執(zhí)行與否不影響蠕蟲基本功能的實(shí)現(xiàn)。Internet蠕蟲在獲取目標(biāo)主機(jī)的地址后，進(jìn)行傳播，傳播的范圍隨蠕蟲特征不同而有所差異；傳播成功后，在目標(biāo)主機(jī)上駐留，這就實(shí)現(xiàn)了一個(gè)蠕蟲的基本功能。

2受控蠕蟲功能結(jié)構(gòu)及流程

2．1受控蠕蟲功能特性

在蠕蟲的原始定義中，沒有明確描述被感染計(jì)算機(jī)的使用者在整個(gè)蠕蟲傳播過程中所處的地位，同時(shí)也忽略了一個(gè)重要因素，就是蠕蟲釋放者在整個(gè)蠕蟲傳播過程中的作用。對(duì)于受控蠕蟲來說，蠕蟲釋放者的地位非常重要，受控蠕蟲的傳播、攻擊等主要行為都受蠕蟲釋放者的控制。本文對(duì)受控蠕蟲作出定義：受控蠕蟲是具有利用漏洞在網(wǎng)絡(luò)上進(jìn)行自我傳播復(fù)制能力的獨(dú)立程序，它的執(zhí)行無需被感染主機(jī)使用者干預(yù)，它的傳播、攻擊等行為受蠕蟲釋放者控制。

受控蠕蟲是普通Internet蠕蟲在功能上的一種擴(kuò)展，它繼承了普通Internet蠕蟲的主要特征，在普通Internet蠕蟲的編寫過程中運(yùn)用大量技術(shù)也可以直接移植到受控蠕蟲。與此同時(shí)，受控蠕蟲又具有以下特征：

（1）具有可控性。受控蠕蟲能夠按照控制者的意圖只在特定范圍內(nèi)傳播，或只感染具有某種特征的主機(jī)；而且控制者還可以根據(jù)實(shí)際情況，隨時(shí)激活受控蠕蟲的某個(gè)功能模塊。受控蠕蟲所體現(xiàn)出的這些可控性是它同普通Internet蠕蟲的最大區(qū)別。

（2）設(shè)立蠕蟲控制中心。受控蠕蟲設(shè)立了蠕蟲控制中心，通過蠕蟲控制中心，受控蠕蟲可以充分利用集中控制的優(yōu)勢(shì)。蠕蟲傳播時(shí)，主體程序和數(shù)據(jù)都可以從蠕蟲控制中心獲得，這使得蠕蟲的傳播部分可以做的很小。通過蠕蟲控制中心的指導(dǎo)獲得傳播目標(biāo)主機(jī)地址，可以大大提高受控蠕蟲感染的成功率。

（3）采用集中掃描的策略。普通Internet蠕蟲為了在被發(fā)現(xiàn)和抑制之前盡量傳播到更大的范圍，所有的感染節(jié)點(diǎn)都會(huì)進(jìn)行漏洞掃描和蠕蟲傳播，這往往會(huì)造成網(wǎng)絡(luò)的擁塞，嚴(yán)重影響網(wǎng)絡(luò)、主機(jī)性能。而受控蠕蟲在進(jìn)行傳播時(shí)，可以采用集中掃描的策略，由若干個(gè)掃描節(jié)點(diǎn)一次性完成對(duì)特定范圍網(wǎng)絡(luò)的掃描，從而減小蠕蟲傳播對(duì)網(wǎng)絡(luò)帶寬的影響。

（4）多種應(yīng)用目的。為了能夠執(zhí)行不同的任務(wù)，受控蠕蟲可以從蠕蟲控制中心下載不同的任務(wù)模塊，例如進(jìn)行分布式計(jì)算或采集網(wǎng)絡(luò)數(shù)據(jù)等，然后執(zhí)行任務(wù)模塊，并將結(jié)果匯總到蠕蟲控制中心。

（5）對(duì)用戶透明。對(duì)用戶透明是由蠕蟲的工作方式?jīng)Q定的。蠕蟲的運(yùn)行和傳播都無需用戶參與，所以用戶察覺不到蠕蟲的存在。

2．2受控蠕蟲的分布式結(jié)構(gòu)框架

根據(jù)受控蠕蟲的功能特征，結(jié)合網(wǎng)絡(luò)蠕蟲的結(jié)構(gòu)信息，給出受控蠕蟲分布式結(jié)構(gòu)框架。該結(jié)構(gòu)框架由蠕蟲控制中心、蠕蟲駐留節(jié)點(diǎn)和掃描節(jié)點(diǎn)三種功能節(jié)點(diǎn)構(gòu)成，如圖2所示。這三種功能節(jié)點(diǎn)協(xié)同工作，完成受控蠕蟲的傳播、駐留、攻擊等主要功能。這里針對(duì)蠕蟲的分布式框架結(jié)構(gòu)作一個(gè)簡(jiǎn)單的分析。

（1）受控蠕蟲控制中心是指運(yùn)行蠕蟲控制程序的主機(jī)。控制中心通過向受控蠕蟲發(fā)送控制指令來達(dá)到控制蠕蟲行為的目的，它根據(jù)蠕蟲駐留節(jié)點(diǎn)發(fā)回的反饋信息，可以掌握特定區(qū)域內(nèi)蠕蟲傳播、駐留的實(shí)際情況，制定更優(yōu)的傳播策略，從而加快受控蠕蟲傳播的速度和成功率，減小對(duì)網(wǎng)絡(luò)帶寬的影響。

（2）掃描節(jié)點(diǎn)是指運(yùn)行漏洞掃描程序的主機(jī)。漏洞掃描程序可以在本地主機(jī)手動(dòng)安裝，也可以通過具有掃描功能的受控蠕蟲植入到遠(yuǎn)程主機(jī)。掃描節(jié)點(diǎn)的掃描范圍受控制中心控制，得到的結(jié)果信息會(huì)反饋到蠕蟲控制中心，由控制中心完成相關(guān)的處理。受控蠕蟲的這種掃描方法基于若干個(gè)固定的掃描節(jié)點(diǎn)，采用了中央控制，分布工作的策略，可以一次性完成對(duì)特定范圍網(wǎng)絡(luò)的掃描，對(duì)網(wǎng)絡(luò)帶寬的影響很小。需要注意的是，掃描節(jié)點(diǎn)的功能也可以由受控蠕蟲控制中心或蠕蟲駐留節(jié)點(diǎn)來完成，所以，在受控蠕蟲的分布式結(jié)構(gòu)框架中，掃描節(jié)點(diǎn)是可以省略的。

（3）蠕蟲駐留節(jié)點(diǎn)是指Internet中被受控蠕蟲感染并駐留的主機(jī)。它通過解析接收到的控制信息得到控制指令，然后執(zhí)行相關(guān)操作。蠕蟲駐留節(jié)點(diǎn)在進(jìn)行蠕蟲傳播時(shí)，傳播地址列表可以從蠕蟲控制中心得到，也可以從掃描節(jié)點(diǎn)得到，從而實(shí)現(xiàn)了蠕蟲傳播范圍的精確受控。

具有分布式結(jié)構(gòu)框架是受控蠕蟲同普通Internet蠕蟲的一個(gè)顯著區(qū)別。受控蠕蟲采用分布式結(jié)構(gòu)框架是由受控蠕蟲的功能特性決定的，分布式結(jié)構(gòu)框架有利于實(shí)現(xiàn)蠕蟲行為受控，同時(shí)可以有效地減小蠕蟲傳播時(shí)對(duì)網(wǎng)絡(luò)帶寬的影響，使得受控蠕蟲不易被網(wǎng)絡(luò)監(jiān)控系統(tǒng)發(fā)現(xiàn)。



2．3受控蠕蟲模型的工作流程圖

具有分布式框架結(jié)構(gòu)的受控蠕蟲，其主要優(yōu)勢(shì)在于：

（1）統(tǒng)一的蠕蟲控制中心，調(diào)整蠕蟲行為（對(duì)蠕蟲的傳播時(shí)間、范圍、流量進(jìn)行控制），控制被感染主機(jī)，使得受控蠕蟲的傳播速度更快、攻擊組織性更強(qiáng)、占用網(wǎng)絡(luò)帶寬更小；

（2）蠕蟲的行為激活精確受控，傳播范圍精確受控；

（3）數(shù)據(jù)傳輸、通信等行為能夠穿越防火墻；

（4）能夠長期駐留，具有較強(qiáng)的適應(yīng)能力；

（5）能夠在線升級(jí)，可以使蠕蟲編寫者隨時(shí)更新其他模塊（傳播模塊、特定功能模塊）的功能，從而實(shí)現(xiàn)不同的攻擊目的。

這里基于受控蠕蟲功能特性、分布式結(jié)構(gòu)框架和功能結(jié)構(gòu)的分析結(jié)果，提出一種簡(jiǎn)單受控蠕蟲模型。簡(jiǎn)單受控蠕蟲模型的工作流程和功能模塊劃分如圖3所示，包括駐留模塊、控制模塊、傳播模塊和任務(wù)模塊四部分，采用了由蠕蟲控制中心和蠕蟲駐留節(jié)點(diǎn)構(gòu)成的分布式結(jié)構(gòu)框架。

依據(jù)此模型實(shí)現(xiàn)的網(wǎng)絡(luò)蠕蟲具有傳播激活受控、能夠長期駐留、進(jìn)程通信隱藏、通信數(shù)據(jù)包能夠穿越防火墻等受控蠕蟲的主要功能特性。

3小結(jié)

每一次Internet蠕蟲的全面爆發(fā)均會(huì)造成網(wǎng)絡(luò)擁塞、系統(tǒng)性能降低等后果，因此，我們提出一種可以控制蠕蟲行為特性的網(wǎng)絡(luò)蠕蟲——受控蠕蟲。受控蠕蟲由于其可控性使其具有很多優(yōu)良的特性。

傳播激活受控，便于蠕蟲釋放者可以根據(jù)需要有針對(duì)性地控制蠕蟲的傳播范圍；建立控制中心對(duì)蠕蟲的行為進(jìn)行集中控制，這是受控蠕蟲最大的優(yōu)勢(shì)；受控蠕蟲采用集中掃描的策略，減小對(duì)網(wǎng)絡(luò)帶寬的影響。

受控蠕蟲較為突出的優(yōu)勢(shì)，以及人們對(duì)計(jì)算機(jī)內(nèi)核技術(shù)的深入研究，編寫具有受控功能的蠕蟲已經(jīng)成為網(wǎng)絡(luò)蠕蟲發(fā)展的趨勢(shì)。

參考文獻(xiàn)：

[1]The Last Stage of Delirium Research Group. Win32 Assembly Components[EB/OL].http://lsd pl.net，2002.

[2]Microsoft Corporation.Microsoft Developer Network Library[EB/OL]. http://msdn.microsoft.com/library， 2002.

[3]文偉平.網(wǎng)絡(luò)蠕蟲研究與進(jìn)展[J].軟件學(xué)報(bào)， 2004，15(8):1208.

[4]段鋼.加密與解密[M].北京：電子工業(yè)出版社，2003.

[5]鄭輝，李冠一，涂菶生.蠕蟲的行為特征描述和工作原理分析[C].第三屆中國信息與通信安全學(xué)術(shù)會(huì)議，2003.

[6]eEye Digital Security. Sapphire Worm Code Disassembled[EB/OL]. http://www.eEye.com/html/Research/Flash/sapphire.txt， 2002.

作者簡(jiǎn)介：羅軍宏（1976-），河南鄭州人，講師，碩士，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、病毒研究；張有為（1975-），湖北荊州人，講師，碩士，主要研究方向?yàn)榫W(wǎng)絡(luò)通信；謝余強(qiáng)（1964-），湖北武漢人，教授，碩導(dǎo)，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、病毒研究；舒輝（1974-），江蘇鹽城人，副教授，博士，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、病毒研究。

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文。