基于計(jì)算機(jī)網(wǎng)絡(luò)的蠕蟲防御和檢測(cè)技術(shù)

許冬燕 弭 妍 魏蜜蜜

（山東外事職業(yè)大學(xué)信息與控制工程學(xué)院，山東 乳山 264504）

在信息時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)安全直接決定了個(gè)人的隱私安全，同時(shí)也影響著社會(huì)經(jīng)濟(jì)的發(fā)展。蠕蟲（Worm）是一種常見(jiàn)的惡意代碼，可以在計(jì)算機(jī)的程序文件中自動(dòng)復(fù)制，并借助于網(wǎng)絡(luò)進(jìn)行傳播、蔓延。根據(jù)其傳播途徑的不同，又可分為Email 蠕蟲、IM 蠕蟲、Internet 蠕蟲和IRC蠕蟲等若干種。近年來(lái)，網(wǎng)絡(luò)蠕蟲呈現(xiàn)出種類更加多樣、隱蔽性更強(qiáng)、危害后果更為嚴(yán)重等一系列特點(diǎn)，在這一背景下關(guān)于網(wǎng)絡(luò)蠕蟲的主動(dòng)防御和智能檢測(cè)技術(shù)成為熱門研究課題。

1 蠕蟲的網(wǎng)絡(luò)增長(zhǎng)模式分析

蠕蟲會(huì)通過(guò)自我復(fù)制實(shí)現(xiàn)數(shù)量的指數(shù)式增長(zhǎng)，決定其增長(zhǎng)速度的主要因素有兩個(gè)：其一是網(wǎng)絡(luò)中存在有漏洞主機(jī)的數(shù)量，其二是被感染率。通常情況下，在蠕蟲感染初期會(huì)以指數(shù)形式快速增長(zhǎng)，在達(dá)到一定的數(shù)量級(jí)后趨于平穩(wěn)。蠕蟲增長(zhǎng)的數(shù)學(xué)模型為：

式（1）中，a 代表某個(gè)網(wǎng)絡(luò)中所有存在漏洞的主機(jī)的感染率，t 代表時(shí)間，K 代表初始化感染率。由該式可以看出蠕蟲的增長(zhǎng)率是一個(gè)隨機(jī)常量，對(duì)式（1）解微分方程后可得：

式（2）中T 代表蠕蟲開始增長(zhǎng)時(shí)的時(shí)間常量。該增長(zhǎng)模型可適用于大多數(shù)蠕蟲，但是不同蠕蟲的K 值存在較大差異，K 值越大，則說(shuō)明這類蠕蟲在單位時(shí)間內(nèi)感染主機(jī)的數(shù)量更多。但是由于同一網(wǎng)絡(luò)內(nèi)存在漏洞的主機(jī)的數(shù)量是一定的，因此當(dāng)感染規(guī)模達(dá)到一定數(shù)量級(jí)后，將不會(huì)再有新的主機(jī)被感染，不同K 值對(duì)蠕蟲增長(zhǎng)的影響如圖1 所示。

圖1 蠕蟲增長(zhǎng)模型圖

由圖1 可知，在K=5 時(shí)，蠕蟲大概需要25s（5s-30s）才能達(dá)到最大感染規(guī)模；在K=10 時(shí)，蠕蟲大概需要(8s-31s)23s 達(dá)到最大感染規(guī)模；而K=20 時(shí)，僅用9s（32s-41s）就達(dá)到了最大感染規(guī)模。

2 一種基于網(wǎng)絡(luò)的蠕蟲防御和檢測(cè)技術(shù)

2.1 企業(yè)網(wǎng)絡(luò)安全架構(gòu)

現(xiàn)階段常用的企業(yè)網(wǎng)絡(luò)安全架構(gòu)包括了路由器、防火墻、入侵檢測(cè)系統(tǒng)和蜜罐系統(tǒng)等，如圖2 所示。

圖2 企業(yè)網(wǎng)絡(luò)安全架構(gòu)

由圖2 可知，來(lái)自于外部Internet 上的數(shù)據(jù)流量或者訪問(wèn)行為，首先經(jīng)路由器到達(dá)企業(yè)級(jí)防火墻，并激活入侵檢測(cè)系統(tǒng)（NIDS），經(jīng)過(guò)防火墻的過(guò)濾和NIDS 的檢測(cè)后，確定數(shù)據(jù)信息和訪問(wèn)行為安全后，才允許進(jìn)入到企業(yè)網(wǎng)絡(luò)。另外，為了切實(shí)維護(hù)企業(yè)商業(yè)機(jī)密的隱私和重要數(shù)據(jù)的安全，企業(yè)的內(nèi)部訪問(wèn)網(wǎng)絡(luò)和外部公共訪問(wèn)網(wǎng)絡(luò)相互獨(dú)立，并且各自部署了蜜罐系統(tǒng)。除此之外，一些企業(yè)網(wǎng)絡(luò)系統(tǒng)中還會(huì)使用到黑洞技術(shù)、路由器訪問(wèn)控制列表保護(hù)技術(shù)等，對(duì)防御主機(jī)遭受網(wǎng)絡(luò)的攻擊也有重要作用。

2.2 防火墻保護(hù)

防火墻保護(hù)的機(jī)理是由系統(tǒng)默認(rèn)或者用戶自定義的規(guī)則，對(duì)所有外部傳輸流量及訪問(wèn)行為進(jìn)行過(guò)濾，從而達(dá)到保證網(wǎng)絡(luò)訪問(wèn)安全的目的。常用的防火墻可分為三種，一種是基于網(wǎng)絡(luò)流狀態(tài)跟蹤的Stateful 防火墻，它能監(jiān)視應(yīng)用層的協(xié)議，判斷執(zhí)行該協(xié)議的各項(xiàng)命令是否正常。除此之外還有Nonstateful 防火墻和代理防火墻。防火墻在抵御蠕蟲感染和攻擊時(shí)，最直接的方式是關(guān)閉網(wǎng)絡(luò)端口，從而切斷本地主機(jī)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)交換。通過(guò)切斷蠕蟲傳播途徑，達(dá)到保護(hù)網(wǎng)絡(luò)安全目的。蠕蟲進(jìn)行網(wǎng)絡(luò)攻擊時(shí)常用的漏洞和端口如表1 所示。

表1 網(wǎng)絡(luò)蠕蟲利用的漏洞和對(duì)應(yīng)端口

當(dāng)然，防火墻本身也會(huì)存在一些漏洞，而隨著蠕蟲的不斷升級(jí)迭代，他們也會(huì)利用防火墻的漏洞進(jìn)行攻擊和傳播，因此企業(yè)需要對(duì)防火墻進(jìn)行不斷的升級(jí)、打補(bǔ)丁，從而保證防火墻在防御和檢測(cè)蠕蟲方面發(fā)揮作用。從企業(yè)安全角度考慮，僅用邊界防火墻顯然不能滿足安全需要，在將防火墻作為企業(yè)網(wǎng)絡(luò)安全第一道屏障的基礎(chǔ)上，還要綜合運(yùn)用網(wǎng)絡(luò)入侵檢測(cè)技術(shù)、蜜罐技術(shù)等進(jìn)一步提高整體安全性。

2.3 入侵檢測(cè)

入侵檢測(cè)（IDS）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，并且在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或采取主動(dòng)防御措施的網(wǎng)絡(luò)安全技術(shù)。按照數(shù)據(jù)來(lái)源進(jìn)行劃分，又可分成面向主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）和面向網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）。前者的檢測(cè)數(shù)據(jù)主要是主機(jī)中的日志文件、審計(jì)記錄等，而后者以網(wǎng)絡(luò)流量為主。入侵檢測(cè)流程如圖3 所示。

圖3 入侵檢測(cè)示意圖

結(jié)合圖3，當(dāng)用戶或者攻擊者從外部網(wǎng)絡(luò)訪問(wèn)企業(yè)信息系統(tǒng)時(shí)，首先由防火墻進(jìn)行初步過(guò)濾，杜絕異常訪問(wèn)。然后通過(guò)特征檢測(cè)器識(shí)別訪問(wèn)對(duì)象，同時(shí)向異常檢測(cè)檢測(cè)單元發(fā)送Web 請(qǐng)求。異常檢測(cè)器接收到該請(qǐng)求后，利用數(shù)學(xué)模型進(jìn)行異常檢測(cè)，并判斷有無(wú)異常行為。將檢測(cè)結(jié)果反饋給訓(xùn)練控制臺(tái)，最終由安全管理終端下達(dá)指令。如果經(jīng)檢測(cè)無(wú)異常，則允許訪問(wèn)者正常獲取審計(jì)日志等文件信息；如果經(jīng)檢測(cè)發(fā)現(xiàn)有異常，則判斷為入侵行為，終止其訪問(wèn)行為，從而保證審計(jì)日志的安全。

2.4 蜜罐技術(shù)

蜜罐（Honeypot）的機(jī)理是人為設(shè)置網(wǎng)絡(luò)陷阱（即蜜罐），誘騙攻擊者將主要的資源和時(shí)間都放在攻擊蜜罐系統(tǒng)上，并暴露自己的攻擊模式。現(xiàn)階段很多比較先進(jìn)的蜜罐系統(tǒng)，還能在受到攻擊后作出相應(yīng)的應(yīng)答，讓攻擊者產(chǎn)生錯(cuò)誤判斷，繼續(xù)執(zhí)行攻擊行為，在這一過(guò)程中讓網(wǎng)絡(luò)安全員或網(wǎng)絡(luò)安全系統(tǒng)了解更多的技術(shù)細(xì)節(jié)，以便于根據(jù)攻擊模式提供針對(duì)性的防御策略，甚至逆向追溯攻擊者的IP 地址，達(dá)到打擊網(wǎng)絡(luò)犯罪的效果。現(xiàn)階段蜜罐技術(shù)已經(jīng)趨于成熟，并且衍生出了多種類型，例如按照交互程度的不同，可分為高交互蜜罐與低交互蜜罐，按照蜜罐是否真實(shí)可以分為實(shí)系統(tǒng)蜜罐、偽系統(tǒng)蜜罐等。在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中，基于蜜罐的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4 所示。

圖4 基于蜜罐技術(shù)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

根據(jù)圖4，網(wǎng)絡(luò)安全系統(tǒng)在截取外部訪問(wèn)行為后，可直接進(jìn)行攻擊檢測(cè)，也可基于人工智能的機(jī)器學(xué)習(xí)進(jìn)行引擎檢測(cè)，進(jìn)一步判斷是否存在隱蔽的攻擊行為。如果發(fā)現(xiàn)有攻擊行為，則直接進(jìn)行攻擊預(yù)警。完成攻擊檢測(cè)后，對(duì)于已經(jīng)確定的攻擊行為，則引導(dǎo)其攻擊偽裝服務(wù)器；如果未發(fā)現(xiàn)攻擊行為，則正常訪問(wèn)真實(shí)服務(wù)器。其中，偽裝服務(wù)器與真實(shí)服務(wù)器的服務(wù)功能相同，但是只保留了沒(méi)有保密價(jià)值的數(shù)據(jù)。即便是攻擊者最終破壞了偽裝服務(wù)器的防火墻系統(tǒng)，也無(wú)法得到有價(jià)值的信息，從而讓真實(shí)服務(wù)器的核心數(shù)據(jù)得到了保護(hù)。

2.5 白色蠕蟲與反擊技術(shù)

白色蠕蟲（Ethical Worm）是利用應(yīng)用補(bǔ)丁或者加固配置等方式，在檢測(cè)到有蠕蟲入侵，但是尚未侵占系統(tǒng)之間進(jìn)行網(wǎng)絡(luò)安全漏洞的修復(fù)，從而達(dá)到保護(hù)數(shù)據(jù)安全的一種技術(shù)手段。在傳統(tǒng)的網(wǎng)絡(luò)安全管理模式下，每當(dāng)發(fā)布一個(gè)新的補(bǔ)丁時(shí)，系統(tǒng)管理員首先要判斷系統(tǒng)是否需要安裝該補(bǔ)丁，然后進(jìn)一步驗(yàn)證補(bǔ)丁的真實(shí)性，以免安裝了被攻擊者偽裝成補(bǔ)丁的惡意代碼。驗(yàn)證通過(guò)后再安裝補(bǔ)丁，修補(bǔ)系統(tǒng)的安全漏洞。整個(gè)過(guò)程不僅操作繁瑣，而且浪費(fèi)較多時(shí)間。相比之下，利用白色蠕蟲技術(shù)則可以省略上述步驟，自動(dòng)修補(bǔ)安全漏洞，有效遏制了蠕蟲的大規(guī)模爆發(fā)，從而以更快的速度、更少的資源消耗，達(dá)到了保護(hù)系統(tǒng)安全的目的。另外，白色蠕蟲技術(shù)除了可以作出主動(dòng)防御外，還具備反擊功能，主動(dòng)清除主機(jī)內(nèi)感染的蠕蟲。

3 基于計(jì)算機(jī)網(wǎng)絡(luò)的蠕蟲防御與檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

3.1 實(shí)時(shí)監(jiān)控模塊設(shè)計(jì)

由于主機(jī)感染蠕蟲后，短時(shí)間內(nèi)蠕蟲就會(huì)通過(guò)爆發(fā)式增長(zhǎng)對(duì)其他主機(jī)造成破壞，因此必須要設(shè)計(jì)實(shí)時(shí)監(jiān)控模塊，保證在蠕蟲感染初期、尚未造成嚴(yán)重?fù)p失前進(jìn)行檢測(cè)、識(shí)別，進(jìn)而采取主動(dòng)防御或清除措施。實(shí)時(shí)監(jiān)控模塊的進(jìn)程操作可以用PsSetCreateProcessNotifyRoutine()函數(shù)來(lái)實(shí)現(xiàn)，函數(shù)原型為：

該 模 塊 的 線 程 操 作 可 以 用PsSetCreateThreadNotifyRoutine()函數(shù)來(lái)實(shí)現(xiàn)。以上函數(shù)由Windows 2016 server 系統(tǒng)的ntoskrnl.exe 提供，并支持在用戶態(tài)程序中調(diào)用。基于用戶態(tài)I/O 口的請(qǐng)求調(diào)用流程如圖5 所示。

圖5 I/O 請(qǐng)求流程圖

基于I/O 實(shí)時(shí)傳輸檢測(cè)信息，實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)程和線程的全過(guò)程、動(dòng)態(tài)化監(jiān)控，一旦發(fā)現(xiàn)有蠕蟲感染或攻擊，則立即進(jìn)入主動(dòng)防御姿態(tài)，利用防火墻、蜜罐、Ethical 蠕蟲反擊等技術(shù)保護(hù)網(wǎng)絡(luò)系統(tǒng)安全。

3.2 內(nèi)核服務(wù)函數(shù)掛鉤模塊

掛鉤技術(shù)（Hooking）可以攔截在軟件之間傳遞的信息、時(shí)間或函數(shù)調(diào)用。當(dāng)檢測(cè)到系統(tǒng)被蠕蟲入侵時(shí)，利用掛鉤技術(shù)可以強(qiáng)制暫停系統(tǒng)調(diào)用，從而達(dá)到終止入侵行為、保護(hù)系統(tǒng)安全的效果。在本系統(tǒng)設(shè)計(jì)中，使用了基于核心態(tài)的掛鉤模塊。針對(duì)常見(jiàn)的蠕蟲類型，設(shè)計(jì)不同的調(diào)用函數(shù)并存儲(chǔ)在系統(tǒng)中，利用掛鉤用戶模式下的API函數(shù)可以檢測(cè)出蠕蟲攻擊。例如，將Blaste 蠕蟲注入到wvchost.exe 進(jìn)程的rpcss.dll 中，調(diào)用CreateProcesss ()函數(shù)，該函數(shù)的返回地址在棧中，由此可以檢測(cè)出Blaster蠕蟲的攻擊。

4 結(jié)論

蠕蟲感染和攻擊已經(jīng)成為現(xiàn)階段威脅網(wǎng)絡(luò)安全的一種主要形式，為切實(shí)保護(hù)網(wǎng)絡(luò)安全和用戶隱私，必須要提高對(duì)蠕蟲的檢測(cè)精度和效率，在及時(shí)、準(zhǔn)確識(shí)別蠕蟲之后，立即采取主動(dòng)防御或者清除措施，消除蠕蟲的安全威脅。目前來(lái)看，防火墻保護(hù)、入侵檢測(cè)、蜜罐技術(shù)以及Ethical 蠕蟲反擊技術(shù)等，在保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全方面均發(fā)揮了積極作用。當(dāng)然，隨著蠕蟲自身的不斷更新迭代，相應(yīng)的防御和檢測(cè)技術(shù)也必須持續(xù)創(chuàng)新，才能始終發(fā)揮系統(tǒng)保護(hù)作用。