網絡蠕蟲防范技術研究

王玉霞

摘 要：受文網絡蠕蟲的傳播機制進行了建模分析，在此基礎上進一步總結并且描述了網絡蠕蟲的檢測技術，介紹了網絡蠕蟲的控制方法，著手于研究網絡蠕蟲的檢測與防御技術。

關鍵詞：網絡蠕蟲 防范 研究

中圖分類號：TP319.3 文獻標識碼：A 文章編號：1674-098X（2014）02（a）-0056-01

網絡蠕蟲是常見的病毒，雖然具有一般病毒的特征，即通過網絡載體進行復制傳播，但與一般的病毒最主要區別是沒有人為干預，能夠獨立運行。網絡蠕蟲具有潛伏性強、傳播快、生存周期長、覆蓋面廣、發生頻率高等特點，特別是新型蠕蟲與多態蠕蟲的涌現，造成網絡癱瘓，成為危害網絡安全的重大隱患。

1 網絡蠕蟲的建模分析

研究網絡蠕蟲的傳播機制，通過蠕蟲主體功能的四個模塊對蠕蟲病毒進行分析，即掃描、搜索、攻擊、復制和傳輸四個模塊。

1.1 搜索模塊

該模塊決定采用技術的和非技術的方法搜集本地或者目標網絡的信息，其搜索主要內容有系統類型、版本、用戶名、郵件列表、開放的服務器軟件版本、網絡拓撲結構以及邊界的路由信息。

1.2 掃描模塊

該模塊利用信息搜集模塊搜集的信息所完成的檢測，探測搜索的主機。通常掃描探測策略有順序、基于目標列表、基于路由掃描、隨機和選擇性隨機掃描等。

1.3 攻擊模塊

該模塊利用掃描探測模塊探測的主機漏洞，對目標系統實施攻擊和建立傳輸通道，以植入和運行蠕蟲副本。緩沖區溢出攻擊是普遍的攻擊形式，此外攻擊形式還有系統誤配置和字符串格式攻擊等。

1.4 復制模塊

該模塊通過交互原主機和新主機，將病毒復制到新主機并啟動，生成多種形式的副本。

1.5 傳輸模塊

該模塊在實施攻擊后，下載安裝附加的惡意代碼到目標機，還會添加到windows進程中，致使系統操作異常。

通過對網絡蠕蟲的建模分析表明，網絡蠕蟲的傳播雖具有突發性，但還有一定的規律性，因此，在傳播初期進行有效的檢測和控制能夠抑制蠕蟲的泛濫。

2 網絡蠕蟲檢測技術

網絡蠕蟲控制技術的主要思想是，通過研究各個主機流量隨時間變化的規律，預測網絡蠕蟲的變化趨勢，進而有效防范病毒的傳播。網絡蠕蟲控制方向一般有三大方面，即主機隔離、阻斷、限速。當前最常用的是檢測主機單位時間發起的連接失敗率，丟棄數據包且切斷主機與網絡的通信，但是對流量產生影響，準確率也受到限制。

2.1 網絡蠕蟲檢測主要技術

檢測技術被稱作是防火墻的補充，即第二道安全門，通過自身校驗、安全日志、關鍵字等來對蠕蟲特征進行檢測。檢測技術是主動的網絡防御技術，能夠彌補單純防火墻的不足。網絡蠕蟲檢測技術在采用入侵檢測技術的同時，也結合了網絡蠕蟲自身及其傳播中具有的特點，綜合應用了多種技術來進行蠕蟲檢測和控制，其中包括網絡蠕蟲檢測與預警，網絡蠕蟲傳播抑制，網絡蠕蟲應對等。通常情況下，檢測技術有兩種，即誤用檢測和異常檢測。

誤用檢測是基于知識、規則的檢測，一般是根據以往的各種攻擊，提取特征，然后建立一個規則庫，當根據檢測到的事件模式或者系統狀態，與預先建立的規則庫相匹配時，則說明有入侵行為特征編碼存在。誤用檢測技術雖然有較高的準確度，但是誤用檢測主要檢測曾出現的異常行為特征，而變種的蠕蟲病毒和以往沒出現的異常行為沒有檢測能力，因此其規則庫必須依據不斷出現的新情況及時更新，規則庫更新的頻率決定了系統的檢測能力。

異常檢測是通過對網絡的正常行為的描述，定量地描述其行為特征，分析和發現系統異常行為和網絡流量的異常情況，網絡流量的異常檢測基本思想是把網絡流量特征分為兩個層次的特征集合，即基本和組合特征集合。

2.2 網絡蠕蟲檢測技術比較

異常檢測技術中對正常網絡行為的描述是通過對過去大量歷史數據的分析得到的，任何偏離的正常行為均被認為是異常。相比之下，誤用檢測則通過標識的那些已知的入侵行為，通過對其具體行為的判斷、推理，進而檢測其行為。兩者相比較而言，異常檢測技術的誤報率比較高，誤用檢測技術盡管誤報率較低，但是漏報率卻是比較高的。

3 網絡蠕蟲控制技術

一般情況下控制的方法是直接關閉服務器、切斷用戶鏈接，這種做法有效控制蠕蟲傳播，可是也將導致通訊中斷，影響正常用戶的使用。在不關閉服務器或切斷用戶鏈接情況下，可通過兩個步驟控制蠕蟲，一是截獲蠕蟲病毒調用Win32函數功能，二是檢查函數調用者代碼，若判斷調用者代碼為蠕蟲病毒等惡意代碼，終止程序的運行。引入簽名驗證機制和captcha驗證機制，可以有效防范蠕蟲病毒。簽名驗證機制對發送方的文件通過簽名驗證，同樣在接受方進行驗證簽名，判斷代碼是否可疑；captcha驗證機制將數字和字母隨機組成隨機圖片發送給用戶，這些圖片很難識別，用戶需依據服務器發送的挑戰信息進行驗證。此外，IM信息流量監控也可有效的抑制蠕蟲的傳播，它是及時捕獲正常用戶和已感染用戶的通信速率的差異，對已感染用戶進行限制和處理，通常情況下只需監控URL鏈接或文件傳輸請求消息，但是相同端口的請求消息，無法準確的區分蠕蟲流量和正常流量，因此有一些誤報率。

單一的網絡蠕蟲控制技術可以對蠕蟲病毒進行早期的預警和控制，但是在實際操作中還存在一定的缺陷，需要綜合應用多項技術，在盡可能不影響網絡流量的情況下，有效抑制網絡蠕蟲的傳播。

由于網絡蠕蟲潛伏性大和傳播途徑的多樣化，并且顯示出比一般病毒更大的破壞性，給信息安全帶來了嚴重的威脅，由此造成的損失無法估量。如何有效的檢測和控制網絡蠕蟲，已成為網絡安全領域內研究的重要課題。網絡蠕蟲檢測和控制技術的綜合應用可以有效減少誤報對網絡流量的影響。盡管網絡蠕蟲檢測和控制技術取得了一定了效果，但是該研究仍是一項長遠的工作，需要今后不斷深入的探究和研究。

參考文獻

[1] C ZouL Gao，W Gong，D Towsley.Monito ring and Early Warni ng for Internet Worms.Umass ECE Technical Report TR-C SE-03-01，2003.

[2] 史海峰，徐濤.基于安全審計的監控系統模型的設計[J].計算機技術與發展，2006，16（4）.

[3] K.C.Tan，E.J.Teoh，Q.Yu，K.C.Goh：A hybrid evolutionary algorithm for attribute selection in data mining[J].Expert Systems with Applications，2009，36（4）.

[4] 汪偉.網絡蠕蟲檢測技術研究與實現[D].博士學位論文，浙江大學，2006.endprint