網(wǎng)絡(luò)蠕蟲(chóng)防范技術(shù)研究

王玉霞

摘 要：受文網(wǎng)絡(luò)蠕蟲(chóng)的傳播機(jī)制進(jìn)行了建模分析，在此基礎(chǔ)上進(jìn)一步總結(jié)并且描述了網(wǎng)絡(luò)蠕蟲(chóng)的檢測(cè)技術(shù)，介紹了網(wǎng)絡(luò)蠕蟲(chóng)的控制方法，著手于研究網(wǎng)絡(luò)蠕蟲(chóng)的檢測(cè)與防御技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò)蠕蟲(chóng) 防范 研究

中圖分類號(hào)：TP319.3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2014）02（a）-0056-01

網(wǎng)絡(luò)蠕蟲(chóng)是常見(jiàn)的病毒，雖然具有一般病毒的特征，即通過(guò)網(wǎng)絡(luò)載體進(jìn)行復(fù)制傳播，但與一般的病毒最主要區(qū)別是沒(méi)有人為干預(yù)，能夠獨(dú)立運(yùn)行。網(wǎng)絡(luò)蠕蟲(chóng)具有潛伏性強(qiáng)、傳播快、生存周期長(zhǎng)、覆蓋面廣、發(fā)生頻率高等特點(diǎn)，特別是新型蠕蟲(chóng)與多態(tài)蠕蟲(chóng)的涌現(xiàn)，造成網(wǎng)絡(luò)癱瘓，成為危害網(wǎng)絡(luò)安全的重大隱患。

1 網(wǎng)絡(luò)蠕蟲(chóng)的建模分析

研究網(wǎng)絡(luò)蠕蟲(chóng)的傳播機(jī)制，通過(guò)蠕蟲(chóng)主體功能的四個(gè)模塊對(duì)蠕蟲(chóng)病毒進(jìn)行分析，即掃描、搜索、攻擊、復(fù)制和傳輸四個(gè)模塊。

1.1 搜索模塊

該模塊決定采用技術(shù)的和非技術(shù)的方法搜集本地或者目標(biāo)網(wǎng)絡(luò)的信息，其搜索主要內(nèi)容有系統(tǒng)類型、版本、用戶名、郵件列表、開(kāi)放的服務(wù)器軟件版本、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及邊界的路由信息。

1.2 掃描模塊

該模塊利用信息搜集模塊搜集的信息所完成的檢測(cè)，探測(cè)搜索的主機(jī)。通常掃描探測(cè)策略有順序、基于目標(biāo)列表、基于路由掃描、隨機(jī)和選擇性隨機(jī)掃描等。

1.3 攻擊模塊

該模塊利用掃描探測(cè)模塊探測(cè)的主機(jī)漏洞，對(duì)目標(biāo)系統(tǒng)實(shí)施攻擊和建立傳輸通道，以植入和運(yùn)行蠕蟲(chóng)副本。緩沖區(qū)溢出攻擊是普遍的攻擊形式，此外攻擊形式還有系統(tǒng)誤配置和字符串格式攻擊等。

1.4 復(fù)制模塊

該模塊通過(guò)交互原主機(jī)和新主機(jī)，將病毒復(fù)制到新主機(jī)并啟動(dòng)，生成多種形式的副本。

1.5 傳輸模塊

該模塊在實(shí)施攻擊后，下載安裝附加的惡意代碼到目標(biāo)機(jī)，還會(huì)添加到windows進(jìn)程中，致使系統(tǒng)操作異常。

通過(guò)對(duì)網(wǎng)絡(luò)蠕蟲(chóng)的建模分析表明，網(wǎng)絡(luò)蠕蟲(chóng)的傳播雖具有突發(fā)性，但還有一定的規(guī)律性，因此，在傳播初期進(jìn)行有效的檢測(cè)和控制能夠抑制蠕蟲(chóng)的泛濫。

2 網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)技術(shù)

網(wǎng)絡(luò)蠕蟲(chóng)控制技術(shù)的主要思想是，通過(guò)研究各個(gè)主機(jī)流量隨時(shí)間變化的規(guī)律，預(yù)測(cè)網(wǎng)絡(luò)蠕蟲(chóng)的變化趨勢(shì)，進(jìn)而有效防范病毒的傳播。網(wǎng)絡(luò)蠕蟲(chóng)控制方向一般有三大方面，即主機(jī)隔離、阻斷、限速。當(dāng)前最常用的是檢測(cè)主機(jī)單位時(shí)間發(fā)起的連接失敗率，丟棄數(shù)據(jù)包且切斷主機(jī)與網(wǎng)絡(luò)的通信，但是對(duì)流量產(chǎn)生影響，準(zhǔn)確率也受到限制。

2.1 網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)主要技術(shù)

檢測(cè)技術(shù)被稱作是防火墻的補(bǔ)充，即第二道安全門，通過(guò)自身校驗(yàn)、安全日志、關(guān)鍵字等來(lái)對(duì)蠕蟲(chóng)特征進(jìn)行檢測(cè)。檢測(cè)技術(shù)是主動(dòng)的網(wǎng)絡(luò)防御技術(shù)，能夠彌補(bǔ)單純防火墻的不足。網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)技術(shù)在采用入侵檢測(cè)技術(shù)的同時(shí)，也結(jié)合了網(wǎng)絡(luò)蠕蟲(chóng)自身及其傳播中具有的特點(diǎn)，綜合應(yīng)用了多種技術(shù)來(lái)進(jìn)行蠕蟲(chóng)檢測(cè)和控制，其中包括網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)與預(yù)警，網(wǎng)絡(luò)蠕蟲(chóng)傳播抑制，網(wǎng)絡(luò)蠕蟲(chóng)應(yīng)對(duì)等。通常情況下，檢測(cè)技術(shù)有兩種，即誤用檢測(cè)和異常檢測(cè)。

誤用檢測(cè)是基于知識(shí)、規(guī)則的檢測(cè)，一般是根據(jù)以往的各種攻擊，提取特征，然后建立一個(gè)規(guī)則庫(kù)，當(dāng)根據(jù)檢測(cè)到的事件模式或者系統(tǒng)狀態(tài)，與預(yù)先建立的規(guī)則庫(kù)相匹配時(shí)，則說(shuō)明有入侵行為特征編碼存在。誤用檢測(cè)技術(shù)雖然有較高的準(zhǔn)確度，但是誤用檢測(cè)主要檢測(cè)曾出現(xiàn)的異常行為特征，而變種的蠕蟲(chóng)病毒和以往沒(méi)出現(xiàn)的異常行為沒(méi)有檢測(cè)能力，因此其規(guī)則庫(kù)必須依據(jù)不斷出現(xiàn)的新情況及時(shí)更新，規(guī)則庫(kù)更新的頻率決定了系統(tǒng)的檢測(cè)能力。

異常檢測(cè)是通過(guò)對(duì)網(wǎng)絡(luò)的正常行為的描述，定量地描述其行為特征，分析和發(fā)現(xiàn)系統(tǒng)異常行為和網(wǎng)絡(luò)流量的異常情況，網(wǎng)絡(luò)流量的異常檢測(cè)基本思想是把網(wǎng)絡(luò)流量特征分為兩個(gè)層次的特征集合，即基本和組合特征集合。

2.2 網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)技術(shù)比較

異常檢測(cè)技術(shù)中對(duì)正常網(wǎng)絡(luò)行為的描述是通過(guò)對(duì)過(guò)去大量歷史數(shù)據(jù)的分析得到的，任何偏離的正常行為均被認(rèn)為是異常。相比之下，誤用檢測(cè)則通過(guò)標(biāo)識(shí)的那些已知的入侵行為，通過(guò)對(duì)其具體行為的判斷、推理，進(jìn)而檢測(cè)其行為。兩者相比較而言，異常檢測(cè)技術(shù)的誤報(bào)率比較高，誤用檢測(cè)技術(shù)盡管誤報(bào)率較低，但是漏報(bào)率卻是比較高的。

3 網(wǎng)絡(luò)蠕蟲(chóng)控制技術(shù)

一般情況下控制的方法是直接關(guān)閉服務(wù)器、切斷用戶鏈接，這種做法有效控制蠕蟲(chóng)傳播，可是也將導(dǎo)致通訊中斷，影響正常用戶的使用。在不關(guān)閉服務(wù)器或切斷用戶鏈接情況下，可通過(guò)兩個(gè)步驟控制蠕蟲(chóng)，一是截獲蠕蟲(chóng)病毒調(diào)用Win32函數(shù)功能，二是檢查函數(shù)調(diào)用者代碼，若判斷調(diào)用者代碼為蠕蟲(chóng)病毒等惡意代碼，終止程序的運(yùn)行。引入簽名驗(yàn)證機(jī)制和captcha驗(yàn)證機(jī)制，可以有效防范蠕蟲(chóng)病毒。簽名驗(yàn)證機(jī)制對(duì)發(fā)送方的文件通過(guò)簽名驗(yàn)證，同樣在接受方進(jìn)行驗(yàn)證簽名，判斷代碼是否可疑；captcha驗(yàn)證機(jī)制將數(shù)字和字母隨機(jī)組成隨機(jī)圖片發(fā)送給用戶，這些圖片很難識(shí)別，用戶需依據(jù)服務(wù)器發(fā)送的挑戰(zhàn)信息進(jìn)行驗(yàn)證。此外，IM信息流量監(jiān)控也可有效的抑制蠕蟲(chóng)的傳播，它是及時(shí)捕獲正常用戶和已感染用戶的通信速率的差異，對(duì)已感染用戶進(jìn)行限制和處理，通常情況下只需監(jiān)控URL鏈接或文件傳輸請(qǐng)求消息，但是相同端口的請(qǐng)求消息，無(wú)法準(zhǔn)確的區(qū)分蠕蟲(chóng)流量和正常流量，因此有一些誤報(bào)率。

單一的網(wǎng)絡(luò)蠕蟲(chóng)控制技術(shù)可以對(duì)蠕蟲(chóng)病毒進(jìn)行早期的預(yù)警和控制，但是在實(shí)際操作中還存在一定的缺陷，需要綜合應(yīng)用多項(xiàng)技術(shù)，在盡可能不影響網(wǎng)絡(luò)流量的情況下，有效抑制網(wǎng)絡(luò)蠕蟲(chóng)的傳播。

由于網(wǎng)絡(luò)蠕蟲(chóng)潛伏性大和傳播途徑的多樣化，并且顯示出比一般病毒更大的破壞性，給信息安全帶來(lái)了嚴(yán)重的威脅，由此造成的損失無(wú)法估量。如何有效的檢測(cè)和控制網(wǎng)絡(luò)蠕蟲(chóng)，已成為網(wǎng)絡(luò)安全領(lǐng)域內(nèi)研究的重要課題。網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)和控制技術(shù)的綜合應(yīng)用可以有效減少誤報(bào)對(duì)網(wǎng)絡(luò)流量的影響。盡管網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)和控制技術(shù)取得了一定了效果，但是該研究仍是一項(xiàng)長(zhǎng)遠(yuǎn)的工作，需要今后不斷深入的探究和研究。

參考文獻(xiàn)

[1] C ZouL Gao，W Gong，D Towsley.Monito ring and Early Warni ng for Internet Worms.Umass ECE Technical Report TR-C SE-03-01，2003.

[2] 史海峰，徐濤.基于安全審計(jì)的監(jiān)控系統(tǒng)模型的設(shè)計(jì)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2006，16（4）.

[3] K.C.Tan，E.J.Teoh，Q.Yu，K.C.Goh：A hybrid evolutionary algorithm for attribute selection in data mining[J].Expert Systems with Applications，2009，36（4）.

[4] 汪偉.網(wǎng)絡(luò)蠕蟲(chóng)檢測(cè)技術(shù)研究與實(shí)現(xiàn)[D].博士學(xué)位論文，浙江大學(xué)，2006.endprint