網(wǎng)絡(luò)蠕蟲的檢測技術(shù)研究

【摘要】網(wǎng)絡(luò)蠕蟲的檢測是防范網(wǎng)絡(luò)蠕蟲的第一步，對防范的成功實現(xiàn)起著非常重要的作用。通過常見的網(wǎng)絡(luò)蠕蟲檢測算法的研究，將其進行了分類，并對每一種檢測方法的基本原理進行了分析。

【關(guān)鍵詞】網(wǎng)絡(luò)蠕蟲；檢測；分類

目前網(wǎng)絡(luò)蠕蟲的種類越來越多，破壞力也越來越大，并且更加隱蔽。網(wǎng)絡(luò)蠕蟲不僅占用被感染主機的資源，而且在網(wǎng)絡(luò)中如果被感染主機較多，網(wǎng)絡(luò)蠕蟲使用大量進程進行掃描探測的情況下，會造成網(wǎng)絡(luò)的嚴(yán)重阻塞。由于互聯(lián)網(wǎng)具有開放性的特點，缺乏明確的全局管理機構(gòu)和中心控制能力，沒有完善的機制保證互聯(lián)網(wǎng)絡(luò)節(jié)點不受網(wǎng)絡(luò)蠕蟲的攻擊，傳統(tǒng)的基于單機的病毒預(yù)防技術(shù)、基于單機聯(lián)動的局域網(wǎng)病毒防范技術(shù)、病毒防火墻技術(shù)等都不能很好地應(yīng)對開放式網(wǎng)絡(luò)對網(wǎng)絡(luò)蠕蟲的預(yù)警要求[1]，因此網(wǎng)絡(luò)蠕蟲的檢測研究變得愈發(fā)重要。下面簡介幾種網(wǎng)絡(luò)蠕蟲檢測方法。

1.基于特征串匹配的檢測

在網(wǎng)絡(luò)中捕獲流經(jīng)網(wǎng)絡(luò)出入口的所有數(shù)據(jù)包，根據(jù)已掌握的網(wǎng)絡(luò)蠕蟲的特征串或規(guī)則表達(dá)式對數(shù)據(jù)包進行掃描匹配。華盛頓大學(xué)的John W.Lockwood 等人提出了一種采用可編程邏輯設(shè)備（簡稱PLDs），基于PLDs的檢測技術(shù)采用高速硬件實現(xiàn)其核心功能，能夠?qū)崿F(xiàn)大規(guī)模高速網(wǎng)絡(luò)環(huán)境對網(wǎng)絡(luò)蠕蟲的檢測。但這類方法不能檢測和防御未知蠕蟲，而且存在一定的誤警率。基于蜜罐技術(shù)（HoneyPot）[2]的檢測是另一個實用的特征串匹配檢測技術(shù)，它在邊界網(wǎng)關(guān)或易受到蠕蟲攻擊的地方置放多個的虛擬HoneyPot，相互之間共享捕獲的數(shù)據(jù)信息，當(dāng)網(wǎng)絡(luò)蠕蟲根據(jù)一定的掃描策略掃描存在漏洞主機的地址空間時，捕獲網(wǎng)絡(luò)蠕蟲掃描攻擊的數(shù)據(jù)，然后特征匹配來判斷是否有網(wǎng)絡(luò)蠕蟲攻擊。

2.基于關(guān)聯(lián)分析的檢測

在基于蠕蟲目標(biāo)選擇研究的基礎(chǔ)上，通過收集計算機和網(wǎng)絡(luò)活動的數(shù)據(jù)以及它們之間的連接等信息來檢測。著名的基于GrIDS的網(wǎng)絡(luò)蠕蟲檢測[3]就屬于這一類，它主要是針對大規(guī)模網(wǎng)絡(luò)攻擊和自動化入侵設(shè)計，根據(jù)收集計算機和網(wǎng)絡(luò)活動的數(shù)據(jù)以及它們之間的連接信息構(gòu)建網(wǎng)絡(luò)活動行為來表征網(wǎng)絡(luò)活動結(jié)構(gòu)上的因果關(guān)系，利用網(wǎng)絡(luò)行為與其的匹配與否來檢測網(wǎng)絡(luò)蠕蟲。該技術(shù)能夠檢測已知蠕蟲和大部分未知蠕蟲。但只能作簡單的基于事件的關(guān)聯(lián)分析，沒有對網(wǎng)絡(luò)中傳輸?shù)陌畔⒒谏舷挛牡南嚓P(guān)性分析，沒有對TCP連接中的目標(biāo)地址和目標(biāo)服務(wù)進行分析。中科院卿斯?jié)h教授提出的基于網(wǎng)狀關(guān)聯(lián)分析的蠕蟲檢測方法[4]彌補了GrIDS方法的不足，充分利用網(wǎng)絡(luò)環(huán)境中各探測點提供的信息和數(shù)據(jù)，通過對網(wǎng)絡(luò)數(shù)據(jù)的傳輸行為的數(shù)據(jù)挖掘和異常檢測來進行信息流的源節(jié)點與目標(biāo)節(jié)點的關(guān)聯(lián)分析。

3.基于掃描行為的檢測

在網(wǎng)絡(luò)中網(wǎng)絡(luò)蠕蟲通常會盲目地利用隨機掃描、分解掃描、混合掃描或完全掃描等方式掃描大量的IP地址為尋找易攻擊的目標(biāo)，從而導(dǎo)致網(wǎng)絡(luò)充斥大量的掃描數(shù)據(jù)包，在一定程度上引起網(wǎng)絡(luò)異常[5]，因此通過檢測網(wǎng)絡(luò)數(shù)據(jù)的異常可檢測網(wǎng)絡(luò)蠕蟲，一般通過監(jiān)測網(wǎng)絡(luò)中的ICMP-T3、TCP-SYN、TCP—RST報文來實現(xiàn)。

4.基于人工智能技術(shù)的檢測

近些年迅猛發(fā)展的人工智能技術(shù)也被用于網(wǎng)絡(luò)蠕蟲的檢測，常見的有基于神經(jīng)網(wǎng)絡(luò)[6]和基于免疫系統(tǒng)的網(wǎng)絡(luò)蠕蟲檢測[7]。基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)蠕蟲檢測方法利用神經(jīng)網(wǎng)絡(luò)對正常的網(wǎng)絡(luò)行為進行學(xué)習(xí)，然后利用訓(xùn)練過的神經(jīng)網(wǎng)絡(luò)檢測出潛在的網(wǎng)絡(luò)蠕蟲的攻擊；基于免疫系統(tǒng)的網(wǎng)絡(luò)蠕蟲檢測方法是通過模仿生物有機體的免疫系統(tǒng)工作機制，使電腦系統(tǒng)能夠?qū)⒄５木W(wǎng)絡(luò)行為和網(wǎng)絡(luò)蠕蟲等非法行為區(qū)分開來。

5.結(jié)束語

隨著網(wǎng)絡(luò)時代的到來，網(wǎng)絡(luò)蠕蟲的變種越來越多，功能更強大，傳播速度更快，危害也更嚴(yán)重，網(wǎng)絡(luò)蠕蟲的檢測研究也變得愈發(fā)重要。

參考文獻

[1]文偉平，卿斯?jié)h，蔣建春.網(wǎng)絡(luò)蠕蟲研究與進展[J].軟件學(xué)報，2004，15（8）：1208-1219.

[2]David Dagon，Qin Xinzhou，Gu Guofci，et a1.HoneyStat：local worm detection using honeypots[C].Proc of 7th International Symposium on Recent Advances in Intrusion Detection，2004：39-58.

[3]Steven cheung，Rick Grawford，Mark Dilger.The Design of GrIDS：A Graph-Based Intrusion Detection System.Davis：CA 1999.

[4]卿斯?jié)h，文偉平，蔣建春等.一種基于網(wǎng)狀關(guān)聯(lián)分析的網(wǎng)絡(luò)蠕蟲預(yù)警新方法[J].通信學(xué)報，2004，25（7）：62-70.

[5]楊新宇，史椸，朱慧君.基于本地網(wǎng)絡(luò)的蠕蟲檢測定位算法[J].中國科學(xué)E輯：信息科學(xué)，2008，38（12）：2099-2111.

[6]李鴻培，王新梅.基于神經(jīng)網(wǎng)絡(luò)的入俊檢測系統(tǒng)模型[J].西安電子科技大學(xué)學(xué)報，1999，26（5）：667-670.

[7]Hofmeyr S，F(xiàn)orrest S.Architeeture for an artifieal Inunune system[J].Evolutionary Computation，2000，8（4）：443-473.

作者簡介：張宏琳（1982—），女，陜西咸陽人，碩士，工程師，現(xiàn)供職于中國人民銀行西安分行營管部科技處，主要研究方向：信息系統(tǒng)安全。