一種基于疫苗技術的智能防治系統

摘要：多種網絡蠕蟲的防治一直是網絡安全急需解決的問題。在分析現有防治技術的基礎上，針對多種網絡蠕蟲環境，設計了一種基于疫苗技術的智能防治系統。首先給出了系統結構以及系統的工作流程，隨后介紹了智能防治中心，最后討論了智能疫苗的分類、智能變換及其通信技術。

關鍵詞：網絡安全； 網絡蠕蟲； 智能疫苗

中圖法分類號：TP309．5文獻標識碼：A

文章編號：1001－3695(2007)01-0194－02

近年來，網絡蠕蟲又有了許多新的特點：生命周期越來越長，難以在短時間內徹底清除；變種越來越多，出現了網絡蠕蟲家族[1]的現象；集多種攻擊技術于一身，使其功能更強大、傳播速度更快、危害更嚴重。鑒于上述原因，網絡蠕蟲防治技術也隨之出現了不少新的進展[2~4]，尤其是主動式、疫苗的概念。簡單地說，主動式就是相對于以往被動檢測而言，主動地對容易感染的主機（簡稱易感主機）、已感染主機（簡稱已感主機）進行查殺。疫苗程序則是對網絡蠕蟲進行抑制的主動查殺程序。丁睿等人[5]提出了主動式網絡病毒防治模型AAVM。該模型可以集成不同殺毒廠商的防病毒能力，清除局域網內的網絡蠕蟲。但AAVM的前提是建立在各大廠商協調的基礎上，可能還需要一段時間才能見到成效。此外，彭國軍等人[6]的疫苗共享思想與鄭輝[7]的接種疫苗技術有相同之處，而后者的接種疫苗技術更為規范，更具有實用性。但是，以上的研究基本上是基于一種網絡蠕蟲來考慮的，并沒有考慮到現實中多種網絡蠕蟲同時共存的情況。一些大型企業或校園局域網內長期同時存在紅色代碼、尼姆達、沖擊波、震蕩波等多種網絡蠕蟲，對網絡應用構成了危害。

為解決多種網絡蠕蟲同時共存的問題，筆者在分析現有防治技術的基礎上，設計了一種基于疫苗技術的智能防治系統。

1系統組成

如圖1所示，系統主要由智能防治中心、數據庫、智能疫苗三部分組成。智能防治中心是整個系統的核心，布置在局域網內，其主要功能是掃描漏洞信息、調度智能疫苗，并與數據庫交互信息；智能疫苗的主要功能是自主地向易感主機、已感主機接種智能疫苗，并與智能防治中心交互網絡蠕蟲信息，對已感主機進行查殺；數據庫主要功能是存放易感主機、已感主機的分布信息、網絡蠕蟲的感染時間、感染范圍等數據。

圖1系統結構圖

智能防治系統整體工作分為三個階段，分別是預防階段、單發階段（即單一種類網絡蠕蟲發作階段）、多發階段（即多個種類網絡蠕蟲發作階段）。

（1）預防階段。網絡管理員獲知已發現嚴重的操作系統漏洞，可能導致網絡蠕蟲的爆發。網絡管理員根據公布的漏洞信息，使用智能防治中心向整個局域網進行漏洞掃描，掌握所有網絡漏洞分布狀況；隨后，分析具體漏洞掃描數據，向易感主機發送預警疫苗。在接種后，預警疫苗根據漏洞開放端口、主機操作系統版本等信息，對易感主機提出預警信息，并給出正確的防治措施，同時向智能防治中心進行信息注冊。

（2）單發階段。個別主機發現感染單一種類網絡蠕蟲后，向網絡管理員報告。網絡管理員向智能防治中心輸入已感主機的信息；根據可獲得的網絡蠕蟲信息，智能防治中心向可能感染的局域網進行漏洞掃描，掌握整體網絡漏洞分布狀況；隨后，分析具體漏洞掃描數據，根據不同的疫苗制作情況，向易感主機、已感主機發送不同的智能疫苗，如標記疫苗、補丁疫苗、追殺疫苗；在接種后，智能疫苗對易感主機進行修補，對已感主機進行查殺，并與智能防治中心交互網絡蠕蟲信息；最后根據智能防治中心指定的主機列表，智能疫苗依次對其進行查殺。

（3）多發階段。多個主機發現多個種類網絡蠕蟲，向網絡管理員報告。網絡管理員的操作與單發階段大致相同，與單發階段的不同之處就在于智能疫苗的變換上。具體體現在智能疫苗對已感主機進行查殺后，能夠根據已感主機的網絡蠕蟲種類，下載針對性的智能疫苗進行查殺；最后，智能疫苗對局域網的相鄰主機依次進行查殺。

2智能防治中心

智能防治中心具有漏洞掃描、疫苗管理、信息顯示等功能。漏洞掃描就是啟動網絡漏洞探測軟件，對目標主機進行指定漏洞的探測過程，并返回相應的漏洞信息。智能防治中心可以集成比較成熟的漏洞掃描軟件，如Nessus，Xscan等。疫苗管理就是對各種網絡蠕蟲的智能疫苗進行分類管理。在查殺時，對目標主機進行疫苗接種；在維護時，對數據庫中的智能疫苗進行添加、刪除，以及參數設置。此外，智能防治中心顯示各種智能疫苗的信息，包括疫苗的個數、疫苗針對的蠕蟲種類、疫苗針對的操作系統、查殺蠕蟲的方式等。

正常網絡維護時，智能防治中心顯示整個網絡的防治狀態信息：①顯示整個網絡的漏洞分布，網絡管理員能夠分析存在的易感染區，并及時修補相關漏洞；②顯示每臺主機的操作系統版本、漏洞信息、補丁版本、蠕蟲感染時間、蠕蟲種類、查殺結果，方便網絡管理員的分析研究；③顯示蠕蟲多發區，網絡管理員可以對該區域主機進行及時跟蹤，找出問題的根本所在。例如，分析該區域主機是否經常重裝操作系統（這種情況容易存在嚴重漏洞，引發蠕蟲感染）。如果因為工作原因需要重裝，則建議相關部門采取有效措施，保證每次能夠安裝最新的補丁以及軟件防火墻等；如果同一臺主機多次感染網絡蠕蟲，可以根據數據庫信息，分析感染原因，進一步指導該主機的使用者采取正確的防治措施；如果是因為主機使用者的防范意識不夠，存在下載木馬、感染病毒的隱患，則應及時進行網絡安全指導，學習網絡安全常識。 

在查殺網絡蠕蟲時，智能防治中心依據漏洞掃描結果，分別在預防階段、單發階段、多發階段對易感主機、已感主機進行相應智能疫苗的接種，隨后顯示智能疫苗反饋的工作狀態信息。

3智能疫苗

智能防治系統與以往的網絡蠕蟲防治技術不同之處主要表現在智能疫苗的分類、變換和通信三個方面。

3．1疫苗分類

關于疫苗的概念，文獻[7]中給出了定義。為破壞蠕蟲傳播流程中的某個環節而在主機上建立的標記，稱為蠕蟲疫苗[7]。在此，我們根據網絡蠕蟲的爆發周期，將疫苗進行更為細致的分類：

(1)一種新的漏洞公布后，其攻擊代碼不久便會出現。此時，我們要在新的網絡蠕蟲爆發前，根據公布的漏洞信息制作預警疫苗。預警疫苗主要功能是根據漏洞開放端口、主機操作系統版本等信息，對易感主機提出預警信息，指出正確的防治措施，并向智能防治中心進行信息注冊。

(2)新的網絡蠕蟲開始爆發。此時，在分析網絡蠕蟲的正常終止條件或異常終止條件[7]后，制作標記疫苗。標記疫苗的主要功能是破壞網絡蠕蟲傳播流程中的某個環節而在主機上建立標記，阻止網絡蠕蟲的進一步擴散。

（3）針對新漏洞的補丁發布后，根據補丁信息制作補丁疫苗，其主要功能是修補漏洞，防止網絡蠕蟲的感染。

(4)對該網絡蠕蟲進行詳細分析后，根據其工作流程以及具體的感染特點制作追殺疫苗。追殺疫苗的主要功能就是徹底地查殺網絡蠕蟲。它可以分為主動和被動兩種模式。主動模式是追殺疫苗在局域網內逐個對主機進行主動查殺；被動模式是追殺疫苗在局域網內的指定一臺主機上，被動等待網絡蠕蟲的探測活動，當它探測到一個感染企圖后，就反向追蹤到已感主機進行徹底查殺。主動模式能夠保證查殺效果，但容易影響正常工作；被動模式不影響正常工作，但需要一定的時間。因此，可以根據具體情況，結合使用。

另外，在實現技術上，疫苗可以采用統一的標準數據接口和工作流程，其功能模塊可根據不同的需求執行不同的防治任務。疫苗的不同也主要區分在功能模塊上，預警疫苗、標記疫苗、補丁疫苗、追殺疫苗，其功能依次增強。所以，如果已存在后者疫苗，則不再使用前期的疫苗。

3．2智能變換

疫苗的智能變換主要體現在對多種網絡蠕蟲的查殺過程中，如圖2所示。智能防治中心向已感主機接種后，智能疫苗在已感主機1進行本地檢測行為；隨后，智能疫苗向局域網內的已感主機進行漏洞掃描；在分析漏洞掃描結果后，智能疫苗確定下一個目標為已感主機2，并與智能防治中心進行通信；智能防治中心向智能疫苗傳輸針對已感主機2的查殺模塊，智能疫苗自身進行模塊調整；最后，智能疫苗向已感主機2繼續接種。

3．3疫苗通信

結合移動Agent通信技術，智能疫苗采用文獻[8]中的通信方式。這種通信框架由通信管理層、本地行為層、網絡行為層組成，如圖3所示。通信管理層根據通信職能，分為外部感

知器和內部管理器。外部感知器主要感知外部事件，接收外部環境的信息，如來自智能防治中心的消息和請求；內部管理器主要管理內部事件，處理內部模塊的信息，如來自本地行為層的消息和請求。

本地行為層主要調用查殺模塊在本地主機進行檢測工作，網絡行為層主要調用掃描模塊在網絡間進行相關工作，兩者均通過通信管理層進行協調。

在三層結構中，通信管理層是整個系統工作的核心：①內部管理器在該智能疫苗的生命周期內始終進行自主的工作，協調處理各種內部模塊的信息。②外部感知器不斷查詢外界是否出現特定事件狀態，并將捕獲信息處理后提交給內部管理器。③內部管理器根據事件類型，啟動本地行為層或網絡行為層相應的功能模塊進行處理。詳細闡述可參考文獻[8]。

圖3通信框架

4結束語

網絡蠕蟲的防治技術在不斷發展，目前主要在主動防御、整體防御方面進行研究。本文在分析現有防治技術的基礎上，針對多種網絡蠕蟲環境，設計了一種基于疫苗技術的智能防治系統。其主要的技術特點是智能防治中心的調度和智能疫苗的接種，主要解決多種網絡蠕蟲同時感染的問題。目前，智能防治系統在模擬的局域網環境中進行了大量試驗。實驗數據顯示，該系統取得了明顯的智能防治效果。下一步的工作將集中解決查殺的速度問題和跨平臺查殺問題。

參考文獻：

［1］Hanson D， Kostanecki B， et al. A Comparison Study of Three Worm Families and Their Propagation in a Network[EB/OL]. http://www.securityfocus.com/infocus/1752，200312.

［2］文偉平，卿斯漢，蔣建春，等. 網絡蠕蟲研究與進展[J]. 軟件學報， 20-04，15(8):12081218.

［3］Tom Vogt. Simulating and Optimising Worm Propagation Algorithms[EB/OL]. http://web.lemuria.org/security/WormPropagation.pdf，20-0402.

［4］Jason Gordon. Lessons Learned from Virus Infections[EB/OL]. http://www.securityfocus.com/infocus/1804， 20-0410.

［5］丁睿，云曉春，包秀國，等. 主動式網絡病毒防治模型[J]. 計算機工程與應用， 2003，39（27）:174176.

［6］彭國軍，張煥國，傅建明，等. 以“毒”攻毒不是異想天開[J]. 計算機工程與應用， 2003，39（29）:159160，180.

［7］鄭輝. 主動Internet蠕蟲防治技術——接種疫苗[J]. 計算機工程與應用， 20-04，40(25):58.

［8］蔡銘，孫樂昌，陸余良，等.一種基于MADP協議的移動Agent通信框架[J]. 計算機應用研究， 20-04，21(5):242244.

作者簡介：

孫樂昌，教授，博導，主要研究方向為網絡安全、操作系統、無線通信；

蔡銘，博士研究生，主要研究方向為網絡安全、惡意代碼、Agent技術；

姜欣，博士研究生，主要研究方向為網絡安全、網絡體系結構。

注:本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文